Az - Application Proxy

Podstawowe informacje

Z dokumentacji:

Azure Active Directory's Application Proxy zapewnia bezpieczny zdalny dostęp do lokalnych aplikacji webowych. Po jednokrotnym logowaniu do Azure AD, użytkownicy mogą uzyskać dostęp zarówno do aplikacji w chmurze, jak i lokalnych aplikacji za pośrednictwem zewnętrznego URL lub wewnętrznego portalu aplikacji.

Działa to w ten sposób:

1. Po uzyskaniu dostępu do aplikacji przez punkt końcowy, użytkownik jest kierowany na stronę logowania Azure AD.

2. Po pomyślnym zalogowaniu, Azure AD wysyła token do urządzenia klienckiego użytkownika.

3. Klient wysyła token do usługi Application Proxy, która pobiera nazwę główną użytkownika (UPN) i nazwę główną zabezpieczeń (SPN) z tokena. Application Proxy następnie wysyła żądanie do łącznika Application Proxy.

4. Jeśli skonfigurowano jednolite logowanie, łącznik wykonuje wszelkie dodatkowe uwierzytelnienie wymagane w imieniu użytkownika.

5. Łącznik wysyła żądanie do lokalnej aplikacji.

6. Odpowiedź jest wysyłana przez łącznik i usługę Application Proxy do użytkownika.

Enumeracja

# Enumerate applications with application proxy configured
Get-AzureADApplication | %{try{Get-AzureADApplicationProxyApplication -ObjectId $_.ObjectID;$_.DisplayName;$_.ObjectID}catch{}}

# Get applications service principal
Get-AzureADServicePrincipal -All $true | ?{$_.DisplayName -eq "Name"}

# Use the following ps1 script from https://learn.microsoft.com/en-us/azure/active-directory/app-proxy/scripts/powershell-display-users-group-of-app
# to find users and groups assigned to the application. Pass the ObjectID of the Service Principal to it
Get-ApplicationProxyAssignedUsersAndGroups -ObjectId <object-id>

Odniesienia

• https://learn.microsoft.com/en-us/azure/active-directory/app-proxy/application-proxy