我有一个使用Windows身份验证托管的asp.net/IISv10/windows 2016网站的内部网,我正尝试使用Azure代理向Internet公开。
当前方法是使用Kerberos将凭据从Azure传递到IIS。 Azure AD与域AD同步。 Azure身份验证完成后,我们目前仍会弹出第二个Windows挑战弹出窗口。我已经对该问题进行了很多阅读,并且仍在积极地进行故障排除,但是这种设置似乎很难上手。
我的问题是:在这种情况下,Kerberos是否是身份验证的最佳选择? Azure代理中是否提供了其他形式的身份验证,这是一种更简单的方法?
更新:我们设法使Kerberos正常运行,结果发现问题有两个。首先是一个错字,把所有东西弄乱了。解决此问题后,我们得到了一个“错误的网关”错误,我们可以对其进行快速调试。 我们已经为App Proxy连接器服务器(xxxxx)设置了委派设置,对于“信任此计算机仅将其委派给指定的服务器”选项,我们选择了“仅使用Kerberos”选项。该文档实际上说将其更改为“使用任何身份验证协议”选项。这样就解决了问题。
答案 0 :(得分:1)
如果您指的是Azure应用程序代理,它可用于:
应用程序代理支持单点登录。有关支持的方法的更多信息,请参见选择single sign-on method。
文档参考:
Remote access to on-premises applications through Azure AD Application Proxy
Kerberos Constrained Delegation for Single Sign-on to your apps with Application Proxy
希望以上信息对您有所帮助。