1. Quintas da TI WEBCAST 19 mar 23 hs 2 0 1 5 Palestrante:
Moderador: SecurityIT Usando Web Application Proxy para publishsing
seguro de aplicaes corporativas Uilson Souza MCTS [ISA/TMG] | MTAC
Senior IT Consultant Microsoft Environment @usouzajr |
http://uilson76.wordpress.com Thiago Guirotto MTAC | MCSE [private
cloud] | MCT http://thiagoguirotto.com.br Facebookthiagoguirotto
Nvel: 300 2. Agenda O que o WAP Web Application Proxy A idia do WAP
AD FS Proxy WAP e Active Directory Federation Services Para quem
usa reverse proxy no Forefront TMG Instalao e configurao Microsoft
Azure AD Application Proxy Referncias para estudo 3. O que o WAP
Web Application Proxy Uma funo agregada a role Remote Access no
Windows Server 2012 R2 Executa o servio de proxy reverso para
aplicaes web provendo acesso para conexes externas ao ambiente
(claims aware ou no) Atua tambm como um AD FS Proxy Prov acesso a
aplicaes corporativas por qualquer dispositivo Smartphone / Tablets
/ Notebooks ou desktops pessoal/corporativo SSO nativo, autenticao
por Claims, KCD, MSFBA, Oauth, Client Certificate Authentication e
tambm Passthrough Muitas funes integradas ao Power Shell 4. A idia
do WAP 5. A idia do WAP 6. ADFS Proxy Clientes Externos www Edge
Firewall Back Firewall AD FS Proxy AD FS DMZ Internal network 1.
Assertion Provider 2. Assertion Consumer 3. Metadata Provider
Claims aware app HTTP Post 7. WAP e Active Directory Federation
Services Faz a pr-autenticao usando o Active Directory Federation
Services (AD FS) Usa o AD FS como base de dados Para ambientes onde
o WAP fica em uma DMZ, certifique-se que o acesso ao AD FS pelas
portas 80, 443 e 49443 estejam liberados Para aumentar o nvel de
segurana possvel tb alterar essas portas para o nmero que o
administrador achar conveniente 8. WAP e Active Directory
Federation Services Para alterar as portas default do AD FS:
Set-ADFSProperties -HttpsPort 444 Set-ADFSProperties -HttpPort 81
OBS: Essa alterao no impacta no Web Server 9. Para quem usa reverse
proxy no Forefront TMG TMG vendas encerradas em Jan-2013, suporte
mainstream at 14- abr-2015, suporte extendido at 14-abr-2020 WAP no
faz cache, nem tem controle de intruso (Intrusion Detection) WAP
trabalha s com SSL (HTTPS) Acesso WAP para HTTP previsto para
prxima verso do produto Algumas restries a certificados wildcard
(*.dominio.com) Pre-Auth para Lync e OWA ambos oferecem Possvel
controlar e bloquear tentativas de logon No possui monitorao em
tempo real usar Event Viewer 10. Instalao e configurao Anlise prvia
do Ambiente - Sizing 11. Instalao e configurao O que vou precisar:
Windows Server 2012 R2 Active Directory Domain Services
principalmente para ambientes com KCD (Kerberos Constrained
Delegation) Active Directory Certificate Services para certificados
digitais ou certificado de uma CA Externa Active Directory
Federation Services para servios de autorizao, autenticao e
armazenamento das configuraes do Web Application Proxy Remote
Access a role que contm o Web Application Proxy 12. Instalao e
configurao 13. Instalao e configurao 14. Instalao e configurao 15.
Instalao e configurao Ateno: Se for usar o mesmo AD FS da sua rede
para o WAP veja como foi gerado o certificado Ateno na hora de
definir o AD FS name O WAP Server precisa ter o root certificate
instalado e acesso a CRL Definir o registro da aplicao no DNS com o
IP do WAP Instalar o certificado a aplicao no servidor do WAP 16.
Microsoft Azure AD Application Proxy Trabalha no mesmo conceito do
WAP, porm, voltado a cloud Liberado para as subscriptions Azure
Active Directory Premium e Basic Para acesso a partir da rede
corporativa necessrio download do Azure AD Application Proxy
Connector 17. Referncias para estudo Todos os Curations Uilson
Souza https://curah.microsoft.com/Search?query=%22uilson+souza%22
18. Blog Microsoft Space http://uilson76.wordpress.com 19.
Agregando conhecimento Microsoft Virtual Academy Treinamento
gratuito da Microsoft oferecido por especialistas.
www.microsoftvirtualacademy.com Servio de curadoria projetado e
mantido pela comunidade tcnica. curah.microsoft.com Curah! Artigos
tcnicos desenvolvidos pela prpria comunidade tcnica.
social.technet.microsoft.com/wiki/pt-br/ TechNet Wiki