Web Application Proxy (WAP) là gì?
Web Application Proxy (WAP) là một thành phần của Windows Server Remote Access, hoạt động như một Reverse Proxy, cho phép người dùng trên Internet truy cập an toàn vào các ứng dụng web nội bộ mà không cần mở trực tiếp máy chủ ứng dụng ra Internet.
Đặc điểm của Web Application Proxy:
Thay vì kết nối trực tiếp đến máy chủ ứng dụng, người dùng sẽ truy cập Web Application Proxy trước. Proxy sẽ xác thực người dùng, sau đó mới chuyển tiếp yêu cầu vào hệ thống bên trong.
Hai phương thức xác thực của Web Application Proxy
Khi publish một ứng dụng web, bạn có thể lựa chọn một trong hai cơ chế xác thực. 1. AD FS Preauthentication
Đây là phương thức Web Application Proxy sẽ xác thực người dùng trước khi chuyển yêu cầu vào ứng dụng.
Lợi ích:
Chỉ khi người dùng vượt qua bước xác thực này thì lưu lượng mới được chuyển đến ứng dụng nội bộ.
2. Pass-through Preauthentication
Tên gọi này khá dễ gây hiểu nhầm.
Thực tế, Pass-through không thực hiện bất kỳ bước xác thực nào tại Web Application Proxy.
Proxy chỉ đơn giản chuyển tiếp toàn bộ yêu cầu đến máy chủ web phía sau, và việc xác thực (nếu có) sẽ do chính ứng dụng đảm nhiệm.
Nói cách khác:
Publish ứng dụng bằng Web Application Proxy
Để triển khai Web Application Proxy, trước tiên cần có:
Khi publish một ứng dụng web, bạn cần khai báo:
Sau khi hoàn tất, người dùng sẽ truy cập ứng dụng thông qua địa chỉ Internet, còn Web Application Proxy sẽ chịu trách nhiệm chuyển tiếp lưu lượng đến máy chủ backend.
Web Application Proxy (WAP) là một thành phần của Windows Server Remote Access, hoạt động như một Reverse Proxy, cho phép người dùng trên Internet truy cập an toàn vào các ứng dụng web nội bộ mà không cần mở trực tiếp máy chủ ứng dụng ra Internet.
Đặc điểm của Web Application Proxy:
- Cung cấp chức năng Reverse Web Proxy.
- Hoạt động cùng với Active Directory Federation Services (AD FS).
- Thường được triển khai trong Perimeter Network (DMZ) để bảo vệ hệ thống nội bộ.
Thay vì kết nối trực tiếp đến máy chủ ứng dụng, người dùng sẽ truy cập Web Application Proxy trước. Proxy sẽ xác thực người dùng, sau đó mới chuyển tiếp yêu cầu vào hệ thống bên trong.
Hai phương thức xác thực của Web Application Proxy
Khi publish một ứng dụng web, bạn có thể lựa chọn một trong hai cơ chế xác thực. 1. AD FS Preauthentication
Đây là phương thức Web Application Proxy sẽ xác thực người dùng trước khi chuyển yêu cầu vào ứng dụng.
Lợi ích:
- Single Sign-On (SSO)
- Multifactor Authentication (MFA)
- Workplace Join
- Conditional Access và kiểm soát truy cập nâng cao
Chỉ khi người dùng vượt qua bước xác thực này thì lưu lượng mới được chuyển đến ứng dụng nội bộ.
2. Pass-through Preauthentication
Tên gọi này khá dễ gây hiểu nhầm.
Thực tế, Pass-through không thực hiện bất kỳ bước xác thực nào tại Web Application Proxy.
Proxy chỉ đơn giản chuyển tiếp toàn bộ yêu cầu đến máy chủ web phía sau, và việc xác thực (nếu có) sẽ do chính ứng dụng đảm nhiệm.
Nói cách khác:
- AD FS Preauthentication: xác thực tại Proxy.
- Pass-through: Proxy không xác thực, chỉ chuyển tiếp lưu lượng.
Publish ứng dụng bằng Web Application Proxy
Để triển khai Web Application Proxy, trước tiên cần có:
- Tên của máy chủ AD FS.
- Tài khoản quản trị AD FS.
- Chứng chỉ SSL dành cho AD FS Proxy.
Khi publish một ứng dụng web, bạn cần khai báo:
- Loại xác thực (AD FS hoặc Pass-through).
- Tên ứng dụng.
- External URL.
- Chứng chỉ SSL chứa External URL.
- Địa chỉ (URL) của máy chủ web nội bộ.
Sau khi hoàn tất, người dùng sẽ truy cập ứng dụng thông qua địa chỉ Internet, còn Web Application Proxy sẽ chịu trách nhiệm chuyển tiếp lưu lượng đến máy chủ backend.