Az - Application Proxy

Podstawowe Informacje

Z dokumentacji:

Application Proxy usługi Azure Active Directory zapewnia bezpieczny zdalny dostęp do lokalnych aplikacji webowych. Po jednokrotnym logowaniu do Azure AD, użytkownicy mogą uzyskać dostęp zarówno do aplikacji w chmurze, jak i lokalnych aplikacji poprzez zewnętrzny URL lub wewnętrzny portal aplikacji.

Działa to w następujący sposób:

1. Po uzyskaniu dostępu do aplikacji przez punkt końcowy, użytkownik jest kierowany na stronę logowania Azure AD.

2. Po pomyślnym zalogowaniu, Azure AD wysyła token do urządzenia klienta użytkownika.

3. Klient wysyła token do usługi Application Proxy, która pobiera nazwę główną użytkownika (UPN) i nazwę główną zabezpieczeń (SPN) z tokenu. Application Proxy następnie wysyła żądanie do łącznika Application Proxy.

4. Jeśli skonfigurowano jednokrotne logowanie, łącznik wykonuje wszelkie dodatkowe uwierzytelnianie wymagane w imieniu użytkownika.

5. Łącznik wysyła żądanie do lokalnej aplikacji.

6. Odpowiedź jest przesyłana przez łącznik i usługę Application Proxy do użytkownika.

Enumeracja

# Enumerate applications with application proxy configured
Get-AzureADApplication | %{try{Get-AzureADApplicationProxyApplication -ObjectId $_.ObjectID;$_.DisplayName;$_.ObjectID}catch{}}

# Get applications service principal
Get-AzureADServicePrincipal -All $true | ?{$_.DisplayName -eq "Name"}

# Use the following ps1 script from https://learn.microsoft.com/en-us/azure/active-directory/app-proxy/scripts/powershell-display-users-group-of-app
# to find users and groups assigned to the application. Pass the ObjectID of the Service Principal to it
Get-ApplicationProxyAssignedUsersAndGroups -ObjectId <object-id>

Referencje

• https://learn.microsoft.com/en-us/azure/active-directory/app-proxy/application-proxy