twiGIS obvykle slouží jako interní firemní informační systém. Je nainstalovaný na serveru uvnitř sítě, je v doméně, díky doméně je nastaveno jednotné ověřování a SSO pomocí ActiveDirectory, atd.
Často je však potřeba tuto aplikaci používat i mimo vnitřní síť: v terénu, na mobilních zařízeních, z domova, atd. Tradiční přístupy, jak toho dosáhnout byly dosud dva:
- Reverzní proxy: Přes hlavní firemní proxy/bránu je vytvořen prostup z vnější sítě na aplikaci nainstalovanou uvnitř. Poměrně jednoduché a funkční řešení, které však má určitá bezpečnostní rizika (například snadné napadení/zahlcení aplikace zvenku).
- VPN: Zabezpečený přístup přes VPN z různých zařízení. Bezpečnější, ale pro uživatele otravnější, na mobilech někdy nemožná nebo komplikovaná metoda.
Obě varianty naši zákazníci aktivně používají. V nedávné době přibyla další možnost, která je nám velmi sympatická: Microsoft Azure AD Application Proxy. Cloudové řešení, které využívá AD identit publikovaných do cloudu (třeba kvůli Office 365) k ověřování uživatelů aplikace a zajistí bezpečné nasměrování komunikace z internetu na vnitřní aplikaci.
Informace k nastavení řešení aplikační proxy a ověřování:
- Using Azure AD Application Proxy to publish on-premises apps for remote users
- Kerberos Constrained Delegation for single sign-on to your apps with Application Proxy
Takže pokud už třeba Azure a Office365 používáte a máte vypublikované identity, je zde velmi zajímavá alternativa pro publikaci (nejen) twiGISu vašim uživatelům do Internetu nebo na spravovaná zařízení.
Komentáře
Okomentovat