Informations de base

À partir de la documentation :

Le Proxy d'application d'Azure Active Directory fournit un accès distant sécurisé aux applications web sur site. Après une authentification unique sur Azure AD, les utilisateurs peuvent accéder à la fois aux applications cloud et sur site via une URL externe ou un portail d'application interne.

Cela fonctionne de la manière suivante :

1. Après que l'utilisateur ait accédé à l'application via un point de terminaison, l'utilisateur est dirigé vers la page de connexion Azure AD.

2. Après une connexion réussie, Azure AD envoie un jeton au périphérique client de l'utilisateur.

3. Le client envoie le jeton au service Proxy d'application, qui récupère le nom principal de l'utilisateur (UPN) et le nom principal de sécurité (SPN) à partir du jeton. Le Proxy d'application envoie ensuite la demande au connecteur Proxy d'application.

4. Si vous avez configuré une authentification unique, le connecteur effectue toute authentification supplémentaire requise au nom de l'utilisateur.

5. Le connecteur envoie la demande à l'application sur site.

6. La réponse est envoyée via le connecteur et le service Proxy d'application à l'utilisateur.

Énumération

# Enumerate applications with application proxy configured
Get-AzureADApplication | %{try{Get-AzureADApplicationProxyApplication -ObjectId $_.ObjectID;$_.DisplayName;$_.ObjectID}catch{}}

# Get applications service principal
Get-AzureADServicePrincipal -All $true | ?{$_.DisplayName -eq "Name"}

# Use the following ps1 script from https://learn.microsoft.com/en-us/azure/active-directory/app-proxy/scripts/powershell-display-users-group-of-app
# to find users and groups assigned to the application. Pass the ObjectID of the Service Principal to it
Get-ApplicationProxyAssignedUsersAndGroups -ObjectId <object-id>

Références

• https://learn.microsoft.com/en-us/azure/active-directory/app-proxy/application-proxy