Bạn đang muốn công bố ứng dụng nội bộ cho người dùng truy cập từ Internet, nhưng vẫn đảm bảo xác thực và bảo mật? Hãy cùng tìm hiểu cách triển khai Web Application Proxy (WAP) kết hợp với AD FS – một thành phần quan trọng trong hệ sinh thái Microsoft giúp xác thực và reverse proxy cho các ứng dụng nội bộ.
Tổng Quan 3 Bước Cấu Hình Web Application Proxy

1. Cấu hình Web Application Proxy (WAP):
   • Nhập tên máy chủ AD FS (AD FS server name)
   • Cung cấp thông tin đăng nhập quản trị viên AD FS
   • Chỉ định chứng chỉ SSL cho AD FS
2. Công bố ứng dụng Web:
   • Chọn loại xác thực trước (Pre-authentication), ví dụ: Pass-through hoặc AD FS
   • Xác định ứng dụng sẽ được công bố
   • Nhập URL bên ngoài của ứng dụng (ví dụ: https://lon-svr1.adatum.com)
   • Cung cấp chứng chỉ phù hợp với tên miền công bố (CN = lon-svr1.adatum.com)
   • Nhập URL của máy chủ backend nội bộ
3. Kiểm thử và xác minh:
   • Truy cập ứng dụng từ bên ngoài
   • Kiểm tra xác thực và forwarding
   • Giám sát log truy cập từ WAP và AD FS

---

Case Study: Triển Khai WAP Cho Ứng Dụng Nội Bộ "HR Portal"

Tình huống:

Công ty A có ứng dụng quản lý nhân sự tên là HR Portal, triển khai nội bộ tại địa chỉ http://hrportal.local. Họ muốn nhân viên có thể truy cập ứng dụng này từ Internet thông qua địa chỉ https://hr.company.com, nhưng vẫn đảm bảo xác thực với AD FS.
Các bước triển khai:

Bước 1: Cấu hình AD FS

• Đảm bảo đã có máy chủ AD FS hoạt động.
• Cài đặt chứng chỉ SSL với Subject Name = hr.company.com

Bước 2: Cài đặt và cấu hình Web Application Proxy

Trên máy chủ DMZ:

• Cài role Web Application Proxy
• Nhập tên máy chủ AD FS: adfs.company.local
• Nhập thông tin quản trị viên AD FS
• Chọn chứng chỉ SSL phù hợp (CN = hr.company.com)

Bước 3: Công bố ứng dụng

• Pre-authentication: AD FS
• Tên ứng dụng: HR Portal
• External URL: https://hr.company.com
• Backend server URL: http://hrportal.local
• Chứng chỉ: Đã cài từ bước trước

Bước 4: Kiểm thử

• Truy cập từ Internet: https://hr.company.com
• Đăng nhập bằng tài khoản AD
• Kiểm tra chuyển tiếp thành công đến http://hrportal.local

---

Kết luận

WAP không chỉ là một reverse proxy thông thường, mà còn kết hợp chặt chẽ với AD FS để cung cấp xác thực Single Sign-On, đặc biệt hữu ích cho môi trường Hybrid và các dịch vụ Microsoft như Exchange, SharePoint, Dynamics CRM.
Gợi ý:

• Luôn triển khai WAP trong vùng DMZ.
• Sử dụng chứng chỉ wildcard nếu công bố nhiều ứng dụng.
• Kiểm tra log WAP để khắc phục sự cố xác thực.

---

Bạn đang quản lý hệ thống cho doanh nghiệp? Hãy thử triển khai mô hình này ngay hôm nay để tăng cường bảo mật khi công bố ứng dụng nội bộ ra Internet!
Nếu bạn thấy bài viết hữu ích, đừng ngại chia sẻ với anh em kỹ sư hệ thống khác trong cộng đồng nhé.