1. Quintas da TI WEBCAST 19 mar 23 hs 2 0 1 5 Palestrante: Moderador: SecurityIT Usando Web Application Proxy para publishsing seguro de aplicaes corporativas Uilson Souza MCTS [ISA/TMG] | MTAC Senior IT Consultant Microsoft Environment @usouzajr | http://uilson76.wordpress.com Thiago Guirotto MTAC | MCSE [private cloud] | MCT http://thiagoguirotto.com.br Facebookthiagoguirotto Nvel: 300 2. Agenda O que o WAP Web Application Proxy A idia do WAP AD FS Proxy WAP e Active Directory Federation Services Para quem usa reverse proxy no Forefront TMG Instalao e configurao Microsoft Azure AD Application Proxy Referncias para estudo 3. O que o WAP Web Application Proxy Uma funo agregada a role Remote Access no Windows Server 2012 R2 Executa o servio de proxy reverso para aplicaes web provendo acesso para conexes externas ao ambiente (claims aware ou no) Atua tambm como um AD FS Proxy Prov acesso a aplicaes corporativas por qualquer dispositivo Smartphone / Tablets / Notebooks ou desktops pessoal/corporativo SSO nativo, autenticao por Claims, KCD, MSFBA, Oauth, Client Certificate Authentication e tambm Passthrough Muitas funes integradas ao Power Shell 4. A idia do WAP 5. A idia do WAP 6. ADFS Proxy Clientes Externos www Edge Firewall Back Firewall AD FS Proxy AD FS DMZ Internal network 1. Assertion Provider 2. Assertion Consumer 3. Metadata Provider Claims aware app HTTP Post 7. WAP e Active Directory Federation Services Faz a pr-autenticao usando o Active Directory Federation Services (AD FS) Usa o AD FS como base de dados Para ambientes onde o WAP fica em uma DMZ, certifique-se que o acesso ao AD FS pelas portas 80, 443 e 49443 estejam liberados Para aumentar o nvel de segurana possvel tb alterar essas portas para o nmero que o administrador achar conveniente 8. WAP e Active Directory Federation Services Para alterar as portas default do AD FS: Set-ADFSProperties -HttpsPort 444 Set-ADFSProperties -HttpPort 81 OBS: Essa alterao no impacta no Web Server 9. Para quem usa reverse proxy no Forefront TMG TMG vendas encerradas em Jan-2013, suporte mainstream at 14- abr-2015, suporte extendido at 14-abr-2020 WAP no faz cache, nem tem controle de intruso (Intrusion Detection) WAP trabalha s com SSL (HTTPS) Acesso WAP para HTTP previsto para prxima verso do produto Algumas restries a certificados wildcard (*.dominio.com) Pre-Auth para Lync e OWA ambos oferecem Possvel controlar e bloquear tentativas de logon No possui monitorao em tempo real usar Event Viewer 10. Instalao e configurao Anlise prvia do Ambiente - Sizing 11. Instalao e configurao O que vou precisar: Windows Server 2012 R2 Active Directory Domain Services principalmente para ambientes com KCD (Kerberos Constrained Delegation) Active Directory Certificate Services para certificados digitais ou certificado de uma CA Externa Active Directory Federation Services para servios de autorizao, autenticao e armazenamento das configuraes do Web Application Proxy Remote Access a role que contm o Web Application Proxy 12. Instalao e configurao 13. Instalao e configurao 14. Instalao e configurao 15. Instalao e configurao Ateno: Se for usar o mesmo AD FS da sua rede para o WAP veja como foi gerado o certificado Ateno na hora de definir o AD FS name O WAP Server precisa ter o root certificate instalado e acesso a CRL Definir o registro da aplicao no DNS com o IP do WAP Instalar o certificado a aplicao no servidor do WAP 16. Microsoft Azure AD Application Proxy Trabalha no mesmo conceito do WAP, porm, voltado a cloud Liberado para as subscriptions Azure Active Directory Premium e Basic Para acesso a partir da rede corporativa necessrio download do Azure AD Application Proxy Connector 17. Referncias para estudo Todos os Curations Uilson Souza https://curah.microsoft.com/Search?query=%22uilson+souza%22 18. Blog Microsoft Space http://uilson76.wordpress.com 19. Agregando conhecimento Microsoft Virtual Academy Treinamento gratuito da Microsoft oferecido por especialistas. www.microsoftvirtualacademy.com Servio de curadoria projetado e mantido pela comunidade tcnica. curah.microsoft.com Curah! Artigos tcnicos desenvolvidos pela prpria comunidade tcnica. social.technet.microsoft.com/wiki/pt-br/ TechNet Wiki