본문 바로가기
IT Knowledge/Office365

Azure App Proxy 개요 및 네트워크(1)

by Seok. 2021. 2. 15.
반응형

Azure App Proxy(AAP)?

App Proxy는 사용자가 원격 클라이언트에서 On-Premise 웹 어플리케이션에 액세스할 수 있게 해주는 Azure AD의 기능입니다

다시 말해, 회사의 웹 어플리케이션을 회사 밖에서도 접근할 수 있도록 연결해주는 기능입니다. 

(집 PC or 이동중에 모바일로도 회사의 웹 어플리케이션에 VPN없이 안전하게 접근할 수 있게 해주는 기능)

 

 

Azure App Proxy 장점

  • 간편한 사용. 
    • 어플리케이션 프록시를 사용하도록 OnPremise 어플리케이션을 변경하거나 업데이트할 필요가 없습니다.
  • 보안. 
    • On-Premise 애플리케이션은 Azure의 권한 부여 컨트롤 및 보안 분석을 사용할 수 있습니다.
    • 예를 들어 On-Premise 응용 프로그램은 조건부 액세스 및 2 단계 인증을 사용할 수 있습니다.
    • 애플리케이션 프록시는 방화벽을 통해 인바운드 연결을 열 필요가 없습니다.
  • 비용 효율성. 
    • 일반적으로 OnPremise 어플리케이션을 외부로 오픈하려면 DMZ(완충 영역)에 VPN이나 다른 복잡한 인프라를 구축해야 하는데, 어플리케이션 프록시를 사용하기 위해서는 네트워크 인프라를 변경하거나 On-Premise 환경에 추가 어플라이언스를 설치할 필요가 없습니다. 

Azure App Proxy 작동 원리

Azure AD와 애플리케이션 프록시가 함께 작동하여 온-프레미스 애플리케이션에 대한 Single Sign-On을 제공하는 방법

  1. 사용자는 엔드포인트를 통해 애플리케이션에 액세스한 후에는 Azure AD 로그인 페이지로 리디렉션됩니다.
  2. 로그인이 성공하면 Azure AD가 사용자의 클라이언트 디바이스에 토큰을 전송합니다.
  3. 클라이언트가 애플리케이션 프록시 서비스로 토큰을 보내면 서비스는 토큰에서 UPN(사용자 주체 이름) SPN(보안 주체 이름)을 검색합니다그러면 애플리케이션 프록시가 애플리케이션 프록시 커넥터에 요청을 보냅니다.
  4. (선택사항) (Single Sign-On을 구성한 경우)커넥터는 사용자를 대신하는 데 필요한 모든 추가 인증을 수행합니다.(ADFS)
  5. 커넥터는 온-프레미스 애플리케이션에 요청을 보냅니다.
  6. 응답은 커넥터 및 애플리케이션 프록시 서비스를 통해 사용자에게 전송됩니다.

Azure App Proxy를 이용하기 위한 라이선스

Azure AD Premium 구독이 필요합니다.

 

필요 요구사항(Requirement)

Azure AD Application Proxy Connector 를 설치하려면, Windows server 2012 R2 이상의 서버가 필요합니다. 

이 서버는 도메인 컨트롤러(DC) or 응용 프로그램 서버 일 수 있으나, 응용 프로그램 서버가 가장 좋습니다. 

 

SSO 기능을 위해서는 ADFS가 필요

ADFS는 SSO 기능을 제공하므로, 사용자는 Azure AD Premium 제품군을 다른 서비스에도 액세스하려면 ADFS가 필요합니다. (ADFS 3.0)

Azure App Proxy 네트워크

아웃바운드(Out-Bound) 트래픽 방화벽 오픈 필요. 

Azure AD Application Proxy Connector -> URL

URL Port 사용 방법
*.msappproxy.net
*.servicebus.windows.net		 80, 443 커넥터와 애플리케이션 프록시 클라우드 서비스 간의 통신
mscrl.microsoft.com:80
crl.microsoft.com:80
ocsp.msocsp.com:80
www.microsoft.com:80		 80 Azure에서는 다음과 같은 URL을 사용하여 인증서를 확인합니다.
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net		 80, 443 커넥터는 등록 프로세스 동안 다음과 같은 URL을 사용합니다.

 

출처: <https://docs.microsoft.com/ko-kr/azure/active-directory/manage-apps/application-proxy-add-on-premises-application>

반응형

'IT Knowledge > Office365' 카테고리의 다른 글

Azure App Proxy - Connector 설치(with Proxy)(3)  (1) 2021.03.15
Azure App Proxy - Connector 설치(with Proxy)(2)  (5) 2021.02.16
Azure SSPR(Self-Service Password Reset) with On-Premise AD  (2) 2021.02.14
Microsoft Sway 소개 - 대화형보고서, 프레젠테이션  (1) 2021.01.08
Microsoft ToDo - 하루를 스마트하게  (3) 2021.01.07

관련글

댓글

티스토리툴바