Informações Básicas

Da documentação:

O Proxy de Aplicação do Azure Active Directory fornece acesso remoto seguro a aplicativos web locais. Após um login único no Azure AD, os usuários podem acessar tanto aplicativos em nuvem quanto locais por meio de um URL externo ou um portal de aplicativos interno.

Funciona assim:

1. Após o usuário acessar o aplicativo por meio de um endpoint, o usuário é direcionado para a página de login do Azure AD.

2. Após um login bem-sucedido, o Azure AD envia um token para o dispositivo cliente do usuário.

3. O cliente envia o token para o serviço de Proxy de Aplicação, que recupera o nome principal do usuário (UPN) e o nome principal de segurança (SPN) do token. O Proxy de Aplicação então envia a solicitação para o conector do Proxy de Aplicação.

4. Se você configurou o login único, o conector realiza qualquer autenticação adicional necessária em nome do usuário.

5. O conector envia a solicitação para o aplicativo local.

6. A resposta é enviada através do conector e do serviço de Proxy de Aplicação para o usuário.

Enumeração

# Enumerate applications with application proxy configured
Get-AzureADApplication | %{try{Get-AzureADApplicationProxyApplication -ObjectId $_.ObjectID;$_.DisplayName;$_.ObjectID}catch{}}

# Get applications service principal
Get-AzureADServicePrincipal -All $true | ?{$_.DisplayName -eq "Name"}

# Use the following ps1 script from https://learn.microsoft.com/en-us/azure/active-directory/app-proxy/scripts/powershell-display-users-group-of-app
# to find users and groups assigned to the application. Pass the ObjectID of the Service Principal to it
Get-ApplicationProxyAssignedUsersAndGroups -ObjectId <object-id>

Referências

• https://learn.microsoft.com/en-us/azure/active-directory/app-proxy/application-proxy