IBM Mobile Platform: Desenvolvimento de Aplicações Mobile
Proxy Reverso com Web Application Proxy
1. Quintas da TI WEBCAST
19
mar
23
hs
2 0 1 5
Palestrante: Moderador:
SecurityIT
Usando Web Application Proxy para publishsing
seguro de aplicações corporativas
Uilson Souza
MCTS [ISA/TMG] | MTAC
Senior IT Consultant – Microsoft Environment
@usouzajr | http://uilson76.wordpress.com
Thiago Guirotto
MTAC | MCSE [private cloud] | MCT
http://thiagoguirotto.com.br
Facebookthiagoguirotto
Nível: 300
2. Agenda
♦O que é o WAP – Web Application Proxy
♦A idéia do WAP
♦AD FS Proxy
♦WAP e Active Directory Federation Services
♦Para quem usa reverse proxy no Forefront TMG
♦Instalação e configuração
♦Microsoft Azure – AD Application Proxy
♦Referências para estudo
3. O que é o WAP – Web Application Proxy
♦Uma função agregada a role Remote Access no Windows Server 2012
R2
♦Executa o serviço de proxy reverso para aplicações web provendo
acesso para conexões externas ao ambiente (claims aware ou não)
♦Atua também como um AD FS Proxy
♦Provê acesso a aplicações corporativas por qualquer dispositivo
Smartphone / Tablet´s / Notebook´s ou desktop´s pessoal/corporativo
♦SSO nativo, autenticação por Claims, KCD, MSFBA, Oauth, Client
Certificate Authentication e também Passthrough
♦Muitas funções integradas ao Power Shell
6. ADFS Proxy
Clientes Externos
www
Edge Firewall Back Firewall
AD FS Proxy AD FS
DMZ Internal network
1. Assertion Provider
2. Assertion Consumer
3. Metadata Provider
Claims aware app
HTTP Post
7. WAP e Active Directory Federation Services
♦Faz a pré-autenticação usando o Active Directory Federation
Services (AD FS)
♦Usa o AD FS como base de dados
♦Para ambientes onde o WAP fica em uma DMZ, certifique-se
que o acesso ao AD FS pelas portas 80, 443 e 49443 estejam
liberados
♦Para aumentar o nível de segurança é possível tb alterar essas
portas para o número que o administrador achar conveniente
8. WAP e Active Directory Federation Services
♦Para alterar as portas default do AD FS:
Set-ADFSProperties -HttpsPort 444
Set-ADFSProperties -HttpPort 81
OBS: Essa alteração não impacta no Web Server
9. Para quem usa reverse proxy no Forefront TMG
♦TMG – vendas encerradas em Jan-2013, suporte mainstream até 14-
abr-2015, suporte extendido até 14-abr-2020
♦WAP não faz cache, nem tem controle de intrusão (Intrusion
Detection)
♦WAP trabalha só com SSL (HTTPS)
♦Acesso WAP para HTTP previsto para próxima versão do produto
♦Algumas restrições a certificados wildcard (*.dominio.com)
♦Pre-Auth para Lync e OWA – ambos oferecem
♦Possível controlar e bloquear tentativas de logon
♦Não possui monitoração em tempo real – usar Event Viewer
11. Instalação e configuração
O que vou precisar:
♦Windows Server 2012 R2
♦Active Directory Domain Services – principalmente para ambientes
com KCD (Kerberos Constrained Delegation)
♦Active Directory Certificate Services – para certificados digitais ou
certificado de uma CA Externa
♦Active Directory Federation Services – para serviços de autorização,
autenticação e armazenamento das configurações do Web
Application Proxy
♦Remote Access – a role que contém o Web Application Proxy
15. Instalação e configuração
Atenção:
♦Se for usar o mesmo AD FS da sua rede para o WAP veja como
foi gerado o certificado
♦Atenção na hora de definir o AD FS name
♦O WAP Server precisa ter o root certificate instalado e acesso a
CRL
♦Definir o registro da aplicação no DNS com o IP do WAP
♦Instalar o certificado a aplicação no servidor do WAP
16. Microsoft Azure – AD Application Proxy
♦Trabalha no mesmo conceito do WAP, porém,
voltado a cloud
♦Liberado para as subscriptions Azure Active
Directory Premium e Basic
♦Para acesso a partir da rede corporativa é
necessário download do Azure AD Application
Proxy Connector
17. Referências para estudo
♦ Todos os Curations – Uilson Souza
https://curah.microsoft.com/Search?query=%22uilson+souza%22
19. Agregando conhecimento
Microsoft Virtual Academy
Treinamento gratuito da Microsoft
oferecido por especialistas.
www.microsoftvirtualacademy.com
Serviço de curadoria projetado e
mantido pela comunidade técnica.
curah.microsoft.com
Curah!
Artigos técnicos desenvolvidos pela
própria comunidade técnica.
social.technet.microsoft.com/wiki/pt-br/
TechNet Wiki