Grundlegende Informationen

Aus den Dokumenten:

Der Anwendungsproxy von Azure Active Directory bietet sicheren Remotezugriff auf lokale Webanwendungen. Nach einer einzigen Anmeldung bei Azure AD können Benutzer sowohl auf Cloud- als auch auf lokale Anwendungen über eine externe URL oder ein internes Anwendungsportal zugreifen.

Es funktioniert wie folgt:

1. Nachdem der Benutzer die Anwendung über einen Endpunkt aufgerufen hat, wird der Benutzer zur Azure AD-Anmeldeseite weitergeleitet.

2. Nach einer erfolgreichen Anmeldung sendet Azure AD ein Token an das Clientgerät des Benutzers.

3. Der Client sendet das Token an den Anwendungsproxydienst, der den Benutzernamen des Benutzers (UPN) und den Sicherheitsprinzipalnamen (SPN) aus dem Token abruft. Der Anwendungsproxy sendet dann die Anfrage an den Anwendungsproxy-Connector.

4. Wenn Sie die Einmalanmeldung konfiguriert haben, führt der Connector alle erforderlichen zusätzlichen Authentifizierungen im Namen des Benutzers durch.

5. Der Connector sendet die Anfrage an die lokale Anwendung.

6. Die Antwort wird über den Connector und den Anwendungsproxydienst an den Benutzer gesendet.

Enumeration

# Enumerate applications with application proxy configured
Get-AzureADApplication | %{try{Get-AzureADApplicationProxyApplication -ObjectId $_.ObjectID;$_.DisplayName;$_.ObjectID}catch{}}

# Get applications service principal
Get-AzureADServicePrincipal -All $true | ?{$_.DisplayName -eq "Name"}

# Use the following ps1 script from https://learn.microsoft.com/en-us/azure/active-directory/app-proxy/scripts/powershell-display-users-group-of-app
# to find users and groups assigned to the application. Pass the ObjectID of the Service Principal to it
Get-ApplicationProxyAssignedUsersAndGroups -ObjectId <object-id>

Referenzen

• https://learn.microsoft.com/en-us/azure/active-directory/app-proxy/application-proxy