Azure 代理到 Intranet 托管的 ASP.net/IIS 网站

Question

我有一个使用 Windows 身份验证的 Intranet 托管的 asp.net/IISv10/windows 2016 网站，我尝试使用 Azure 代理向 Internet 公开。

当前的方法是使用 kerberos 将凭据从 Azure 传递到 IIS。 Azure AD 与域 AD 同步。 Azure 身份验证完成后，我们目前仍会收到第二个 Windows 质询弹出窗口。我已经阅读了很多关于这个问题的资料，并且仍在积极进行故障排除，但这种设置似乎很难开始工作。

我的问题是：在这种情况下，Kerberos 是身份验证的最佳选择吗？ Azure 代理中提供的其他形式的身份验证是否更简单？

更新：我们设法让 Kerberos 正常工作，结果证明问题有两个方面。第一个是一个错字，把一切都搞砸了。一旦这个问题得到解决，我们就会得到一个“坏网关”错误，我们可以快速调试。 我们已经为 App Proxy 连接器服务器 (xxxxx) 设置了委派设置，对于“仅信任此计算机以委派到指定的服务器”选项，我们选择了“仅使用 Kerberos”选项。文档实际上说将其更改为“使用任何身份验证协议”选项。这解决了问题。

Answer 1

如果您指的是 Azure 应用程序代理，它适用于：

• 使用Integrated Windows Authentication 的Web 应用程序 身份验证
• 使用基于表单或header-based 的 Web 应用程序 访问
• 您希望向不同设备上的丰富应用程序公开的 Web API
• Remote Desktop Gateway 后面托管的应用程序
• 与 Active Directory 身份验证库 (ADAL) 集成的富客户端应用

应用程序代理支持单点登录。有关支持的方法的更多信息，请参阅选择 single sign-on method。

文档参考：

Remote access to on-premises applications through Azure AD Application Proxy

Kerberos Constrained Delegation for Single Sign-on to your apps with Application Proxy

希望以上信息有所帮助。