Renverser le Proxy pour Access Portal

Dans Fireware v12.5 et les versions ultérieures, vous pouvez configurer des actions de proxy inverse dans la configuration d'Access Portal. Avec un proxy inverse, les utilisateurs distants peuvent se connecter en toute sécurité aux applications Web internes et aux services Microsoft Exchange sans client VPN. Le proxy inverse transmet le trafic HTTP des réseaux externes aux serveurs Exchange ou à d'autres applications Web sur les réseaux internes qui se trouvent derrière un Firebox.

Par exemple, vous pouvez configurer des actions de proxy inverse pour que les utilisateurs distants puissent se connecter à des applications Web d'entreprise communes. Les applications doivent utiliser le HTML, le HTML5 ou le JavaScript. Les navigateurs doivent prendre en charge la TLS (nous recommandons la TLS 1.2 et versions ultérieures).

Nous vous recommandons de limiter le nombre de connexions RDP simultanées en fonction de la RAM allouée à chaque Firebox. Chaque session RDP ou SSH nécessite environ 15 Mo de RAM.

Vous pouvez également configurer une action de proxy inverse pour Microsoft Exchange. Pour se connecter aux services Exchange, les utilisateurs distants peuvent se connecter à une URL externe par l'une de ces méthodes :

  • Périphériques mobiles avec clients de messagerie Microsoft (via ActiveSync)
  • Microsoft Outlook
  • Microsoft Outlook Web Access
  • Microsoft Outlook Web Access via Access Portal (avec connexion automatique)

Exigences

Lorsque vous configurez des actions de proxy inverse pour des applications Web internes, prenez en compte ces exigences :

  • Vous devez disposer d'un FQDN pour Access Portal et vous devez vous connecter à Access Portal avec le FQDN (pas l'adresse IP)
  • Chaque application Web interne doit avoir un FQDN qui se trouve dans le même domaine qu'Access Portal (par exemple, si le FQDN d'Access Portal est portal.exemple.com, l'application Web doit être <valeur>.exemple.com)
  • Vous ne pouvez pas configurer la même URL pour une application Web et une action de proxy inverse.
  • Lorsque vous ajoutez une action de chemin URL, pour l'Authentification du Client vous devez sélectionner Access Portal (pas HTTP Basic)
  • Si une application Web utilise le HTTPS, les certificats d'autorité de certification de la chaine de confiance doivent être stockés sur le Firebox ou vous devez sélectionner l'option Certificat de Confiance pour l'action de proxy inverse

Pour éviter des avertissements de certificat côté client, le certificat Web du Firebox doit inclure les noms d'hôte de vos applications Web comme noms alternatifs ou utiliser un nom d'hôte générique tel que *.exemple.com comme nom commun.

Authentification et Accès aux Applications Web

Pour accéder aux applications Web internes, les utilisateurs peuvent s'authentifier de ces manières :

  • Par Exchange ActiveSync via le Firebox pour les applications de messagerie mobile
  • Par HTTP et TLS via le Firebox pour certaines applications de courrier électronique
  • Par MFA via le Firebox pour accéder aux applications Web internes

Nous recommandons que les applications Web d'entreprise personnalisées utilisent Access Portal pour des raisons de sécurité afin de fournir une couche d'authentification et d'autorisation basée sur les options susmentionnées.

Transmettre les Identifiants Access Portal

Avec les actions de proxy inverse, il est possible de transmettre les informations d'identification d'Access Portal. Activez cette option pour que les utilisateurs se connectent automatiquement aux applications Web avec leurs informations d'identification d'Access Portal.

Lorsque cette fonction est activée, Access Portal met en cache les informations d'identification des utilisateurs. Les informations d'identification mises en cache sont envoyées à l'application Web avec un en-tête d'autorisation HTTP par TLS.

Pour se connecter à des applications Web avec des informations d'identification d'Access Portal, l'application Web doit accepter l'authentification HTTP. Access Portal et l'application Web doivent également partager le même domaine d'authentification.

Dans les cas suivants, n'activez pas l'option de transmission des informations d'identification d'Access Portal :

  • Les utilisateurs se connectent à Access Portal avec SAML
  • Les utilisateurs se connectent à Access Portal avec un domaine d'authentification différent de celui de l'application Web (par exemple, avec Firebox-DB)

Activer le Proxy Inverse

Pour activer la fonctionnalité de proxy inverse dans la Web UI ou Policy Manager :

  1. Sélectionnez Services d'Abonnement > Access Portal.
  2. Si vous ne l'avez pas encore fait, sélectionnez Activer Access Portal.
  3. Sélectionnez l'onglet Proxy Inverse.
  4. Sélectionnez Activer Proxy Inverse.

Après avoir activé la fonctionnalité de proxy inverse, vous devez ajouter une ou plusieurs actions de proxy inverse.

Ajouter des Actions de Proxy Inverse

Vous pouvez ajouter une action de proxy inverse avec un assistant ou vous pouvez ignorer l'assistant pour configurer manuellement une action.

Pour configurer des services Exchange, nous recommandons l'assistant car il contient des configurations prédéfinies pour les services basés sur Exchange.

Ajouter des Actions de Proxy Inverse avec l'Assistant

  1. Sélectionnez Services d'Abonnement > Access Portal.
  2. Sélectionnez l'onglet Proxy Inverse.
  3. Cliquez sur Ajouter.

  1. Cliquez sur Suivant pour continuer avec l'assistant.

  1. Sur la page Action de Proxy Inverse, sélectionnez Ensemble prédéfini d'Actions de Proxy Inverse pour.
  2. Dans la liste déroulante, sélectionnez Microsoft Exchange.

  1. Cliquez sur Suivant.
  2. Dans la zone de texte URL Interne, saisissez l'URL d'hôte interne des applications Web du Serveur Microsoft Exchange.
  3. Dans la zone de texte Domaine E-mail, saisissez votre domaine d'e-mail Microsoft Exchange.
  4. Choisissez si le service web utilise un certificat auto-signé.

  1. Cliquez sur Suivant.
  2. Dans la zone de texte URL Externe, saisissez l'URL que les utilisateurs distants utiliseront pour accéder à ce service.
  3. Si la valeur préremplie dans la zone de texte URL Autodécouverte n'est pas correcte, saisissez l'URL que les clients distants utiliseront pour découvrir ce service.

  1. Cliquez sur Suivant.
  2. Choisissez d'ajouter ou non Outlook Web Access comme application Web dans Access Portal.
  3. Choisissez de transmettre ou non les informations d'identification du Access Portal à Outlook Web Access. Activez cette option pour que les utilisateurs se connectent automatiquement à certaines applications web avec leurs informations d'identification du Access Portal.

    Pour se connecter à certaines applications Web avec les informations d'identification d'Access Portal, l'application Web doit accepter une authentification HTTP et Access Portal et l'application Web doivent partager le même domaine d'authentification.

  1. Cliquez sur Suivant.
  2. Cliquez sur Terminer. Vous pouvez choisir de modifier l'action après la fermeture de l'assistant. Par exemple, vous pouvez vouloir spécifier une Action de Chemin URL. Pour plus d'informations. consultez Actions de Chemin URL.

    Les Actions de Chemin URL déterminent la traduction d'URL nécessaire qui se produit lorsqu'un utilisateur navigue vers l'URL d'Access Portal et s'authentifie avec succès.

  1. Sur le serveur Exchange, vous devez activer l'authentification de base pour les chemins virtuels utilisés, la découverte automatique, EWS et mapi.
  1. Sélectionnez Services d'Abonnement > Access Portal.
  2. Sélectionnez l'onglet Proxy Inverse.
  3. Cliquez sur Ajouter.

  1. Cliquez sur Suivant pour continuer avec l'assistant.

  1. Sur la page Action de Proxy Inverse, sélectionnez Ensemble prédéfini d'Actions de Proxy Inverse pour.
  2. Dans la liste déroulante, sélectionnez Microsoft Exchange.

  1. Cliquez sur Suivant.
  2. Dans la zone de texte URL Interne, saisissez l'URL d'hôte interne des applications Web du Serveur Microsoft Exchange.
  3. Dans la zone de texte Domaine E-mail, saisissez votre domaine d'e-mail Microsoft Exchange.
  4. Choisissez si le service web utilise un certificat auto-signé.

  1. Cliquez sur Suivant.
  2. Dans la zone de texte URL Externe, saisissez l'URL que les utilisateurs distants utiliseront pour accéder à ce service.
  3. Si la valeur dans la zone de texte URL Autodécouverte n'est pas correcte, saisissez l'URL que les clients distants utiliseront pour découvrir ce service.

  1. Cliquez sur Suivant.
  2. Choisissez s'il faut ajouter Outlook Web Access comme application web dans Access Portal.
  3. Choisissez de transmettre ou non les informations d'identification du Access Portal à Outlook Web Access. Activez cette option pour que les utilisateurs se connectent automatiquement à certaines applications web avec leurs informations d'identification du Access Portal.

    Pour se connecter à certaines applications Web avec les informations d'identification Access Portal, l'application Web doit accepter une authentification HTTP et Access Portal et l'application Web doivent partager le même domaine d’authentification.

  1. Cliquez sur Suivant.
  2. Cliquez sur Terminer. Vous pouvez choisir de modifier l'action après la fermeture de l'assistant. Par exemple, vous pouvez vouloir spécifier une Action de Chemin URL. Pour plus d'informations. consultez Actions de Chemin URL.

    Les Actions de Chemin URL déterminent la traduction d'URL nécessaire qui se produit lorsqu'un utilisateur navigue vers l'URL d'Access Portal et s'authentifie avec succès.

  1. Sur le serveur Exchange, vous devez activer l'authentification de base pour les chemins virtuels utilisés, la découverte automatique, EWS et mapi.
  1. Sélectionnez Services d'Abonnement > Access Portal.
  2. Sélectionnez l'onglet Proxy Inverse.
  3. Cliquez sur Ajouter.

  1. Cliquez sur Suivant pour continuer avec l'assistant.

  1. Sélectionnez Ajouter une Action de Proxy Inverse Simple.

  1. Cliquez sur Suivant.
  2. Dans la zone de texte URL Externe, indiquez l'URL externe pour les connexions des utilisateurs.

  1. Cliquez sur Suivant.
  2. Dans la zone de texte URL Interne, précisez l'URL interne du serveur.
  3. Choisissez si le service web utilise un certificat auto-signé.

  1. Cliquez sur Suivant.
  2. Choisissez d'authentifier les utilisateurs avec Access Portal ou HTTP Basic.
  3. Choisissez s'il faut ajouter cette URL comme application web dans Access Portal.

  1. Cliquez sur Suivant.
  2. Si vous choisissez de ne pas ajouter cette URL comme application Web dans Access Portal, saisissez un nom et une description pour l'action de cartographie d'URL.

  1. Si vous choisissez d'ajouter cette URL en tant qu'application Web dans Access Portal, vous devez préciser :
    • Nom de l'application
    • Description de l'application
    • Icône personnalisée (facultatif)
    • S'il faut transmettre les informations d'identification d'Access Portal à l'URL

    Pour vous connecter à certaines applications Web avec des informations d'identification Access Portal, l'application Web doit accepter une authentification HTTP et Access Portal et l'application Web doivent partager le même domaine d’authentification.

  1. Cliquez sur Suivant.
  2. Cliquez sur Terminer. Vous pouvez choisir de modifier l'action après la fermeture de l'assistant. Par exemple, vous pouvez vouloir spécifier une Action de Chemin URL. Pour plus d'informations. consultez Actions de Chemin URL.

    Les Actions de Chemin d'Accès de l'URL déterminent la traduction d'URL nécessaire qui se produit lorsqu'un utilisateur navigue vers l'URL du Access Portal et s'authentifie avec succès. L'Action de Chemin par défaut (de « / » vers « / ») autorise tout ce qui va de l'hôte externe à l'hôte interne.

  1. Sélectionnez Services d'Abonnement > Access Portal.
  2. Sélectionnez l'onglet Proxy Inverse.
  3. Cliquez sur Ajouter.

  1. Cliquez sur Suivant pour continuer avec l'assistant.

  1. Sélectionnez Ajouter une Action de Proxy Inverse Simple.

  1. Cliquez sur Suivant.
  2. Dans la zone de texte URL Externe, indiquez l'URL externe pour les connexions des utilisateurs.

  1. Cliquez sur Suivant.
  2. Dans la zone de texte URL Interne, précisez l'URL interne du serveur.
  3. Choisissez si le service web utilise un certificat auto-signé.

  1. Cliquez sur Suivant.
  2. Sélectionnez l'option appropriée pour authentifier les utilisateurs.
  3. Choisissez s'il faut ajouter cette URL comme application web dans Access Portal.

  1. Cliquez sur Suivant.
  2. Si vous avez choisi de ne pas ajouter cette URL en tant qu'application Web dans Access Portal, saisissez un nom et une description pour l'action de cartographie d'URL. Pour plus d'informations, consultez Actions de Chemin URL.

  1. Si vous choisissez d'ajouter cette URL en tant qu'application Web dans Access Portal, vous devez aussi préciser :
    • Nom de l'application
    • Description de l'application
    • Icône personnalisée (facultatif)
    • S'il faut transmettre les informations d'identification d'Access Portal à l'URL

    Pour vous connecter à certaines applications Web avec des informations d'identification Access Portal, l'application Web doit accepter une authentification HTTP et Access Portal et l'application Web doivent partager le même domaine d’authentification.

  1. Cliquez sur Suivant.
  2. Cliquez sur Terminer. Vous pouvez choisir de modifier l'action après la fermeture de l'assistant. Par exemple, vous pouvez vouloir spécifier une Action de Chemin URL. Pour plus d'informations. consultez Actions de Chemin URL.

    Les Actions de Chemin d'Accès de l'URL déterminent la traduction d'URL nécessaire qui se produit lorsqu'un utilisateur navigue vers l'URL du Access Portal et s'authentifie avec succès. L'Action de Chemin par défaut (de « / » vers « / ») autorise tout ce qui va de l'hôte externe à l'hôte interne.

Ajouter Manuellement des Actions de Proxy Inverse

  1. Sélectionnez Services d'Abonnement > Access Portal.
  2. Sélectionnez l'onglet Proxy Inverse.
  3. Cliquez sur Ajouter.

  1. Cliquez sur Ignorer pour ignorer l'assistant et ajouter manuellement une action de proxy inverse.

  1. Saisissez un Nom et une Description pour votre action de proxy inverse.
  2. Dans la zone de texte URL Externe, saisissez l'URL que les utilisateurs distants utiliseront pour accéder à ce service Web.
  3. Dans la zone de texte URL Interne, saisissez l'URL interne du service Web.
  4. Si le service utilise un certificat auto-signé et que vous faites confiance à la connexion et au serveur, cochez la case Approuver le Certificat.

  1. (Facultatif) Pour ajouter une Action de Chemin URL, dans la section Action de Chemin URL, cliquez sur Ajouter. Par exemple, vous pouvez vouloir n'exposer que certains chemins. Pour plus d'informations, consultez Actions de Chemin URL.

    Les Actions de Chemin d'Accès de l'URL déterminent la traduction d'URL nécessaire qui se produit lorsqu'un utilisateur navigue vers l'URL du Access Portal et s'authentifie avec succès. L'Action de Chemin par défaut (de « / » vers « / ») autorise tout ce qui va de l'hôte externe à l'hôte interne.

  1. Dans les zones de texte De et À, saisissez votre chemin URL. Les chemins d’accès doivent respecter la casse. Le chemin d’accès De et le chemin d’accès À doivent correspondre.

    Si le chemin est un répertoire virtuel sur le serveur Web, nous recommandons que le chemin d’accès se termine par une barre oblique (/). Les chemins d'accès suivis par une chaine de requête ne doivent pas se terminer par une barre oblique (/).

  2. Choisissez de transmettre ou non les informations d'identification du Access Portal à l'application web. Activez cette option pour que les utilisateurs se connectent automatiquement à certaines applications web avec leurs informations d'identification du Access Portal.

    Pour se connecter à certaines applications Web avec les informations d'identification Access Portal, l'application Web doit accepter une authentification HTTP et Access Portal et l'application Web doivent partager le même domaine d’authentification.

  1. Cliquez sur OK pour ajouter l'action de chemin URL.
  2. Cliquez sur OK pour ajouter votre action de proxy inverse.

  1. Sélectionnez Services d'Abonnement > Access Portal.
  2. Sélectionnez l'onglet Proxy Inverse.
  3. Cliquez sur Ajouter.

  1. Cliquez sur Ignorer pour ignorer l'assistant et ajouter manuellement une action de proxy inverse.

  1. Saisissez un Nom et une Description pour votre action de proxy inverse.
  2. Dans la zone de texte URL Externe, saisissez l'URL que les utilisateurs distants utiliseront pour accéder à ce service Web.
  3. Dans la zone de texte URL Interne, saisissez l'URL interne du service Web.
  4. Si le service utilise un certificat auto-signé et que vous faites confiance à la connexion et au serveur, cochez la case Approuver le Certificat.

  1. (Facultatif) Pour ajouter une Action de Chemin URL, cliquez sur Ajouter. Par exemple, vous pouvez vouloir n'exposer que certains chemins. Pour plus d'informations, consultez Actions de Chemin URL.

    Les Actions de Chemin d'Accès de l'URL déterminent la traduction d'URL nécessaire qui se produit lorsqu'un utilisateur navigue vers l'URL du Access Portal et s'authentifie avec succès. L'Action de Chemin par défaut (de « / » vers « / ») autorise tout ce qui va de l'hôte externe à l'hôte interne.

  2. Dans les zones de texte De et À, saisissez votre chemin URL. Les chemins d’accès doivent respecter la casse. Le chemin d’accès De et le chemin d’accès À doivent correspondre.

    Si le chemin est un répertoire (virtuel) sur le serveur Web, nous recommandons que le chemin d’accès se termine par une barre oblique (/). Les chemins d'accès suivis par une chaine de requête ne doivent pas se terminer par une barre oblique (/).

  3. Choisissez de transmettre ou non les informations d'identification d'Access Portal à Exchange. Activez cette option pour que les utilisateurs se connectent automatiquement à certaines applications web avec leurs informations d'identification du Access Portal.

    Pour se connecter à certaines applications Web avec les informations d'identification Access Portal, l'application Web doit accepter une authentification HTTP et Access Portal et l'application Web doivent partager le même domaine d’authentification.

  1. Cliquez sur OK pour ajouter l'action de chemin URL.
  2. Cliquez sur OK pour ajouter votre action de proxy inverse.

Actions de Chemin URL

Les Actions de Chemin d'Accès de l'URL déterminent la traduction d'URL nécessaire qui se produit lorsqu'un utilisateur navigue vers l'URL du Access Portal et s'authentifie avec succès.

L'Action de Chemin d'Accès par défaut (de « / » à « / ») autorise tout ce qui va de l'hôte externe à l'hôte interne. Vous pouvez ajouter une Action de Chemin URL si vous souhaitez uniquement exposer des chemins spécifiques.

Lorsque vous ajoutez une action de chemin URL :

  • Le chemin d’accès De et le chemin d’accès À doivent correspondre
  • Les chemins d’accès doivent respecter la casse
  • Si le chemin est un répertoire virtuel sur le serveur Web, nous recommandons que le chemin d’accès se termine par une barre oblique (/)
  • Les chemins d'accès suivis par une chaîne de requête ne doivent pas se terminer par une barre oblique (/)
  • Pour les applications Web internes, pour Authentification du Client, vous devez sélectionner Access Portal

Les actions de proxy inverse d'Access Portal ne prennent pas en charge la redirection d'URL.

  1. Sélectionnez Services d'Abonnement > Access Portal.
  2. Sélectionnez l'onglet Proxy Inverse.
  3. Sélectionnez l'action de proxy inverse à laquelle vous souhaitez ajouter une Action de chemin URL et cliquez sur Modifier.
  4. Dans la section Action du Chemin d'Accès de l'URL, cliquez sur Ajouter.

  1. Dans les zones de texte De et À, saisissez votre chemin URL. Les chemins d’accès doivent respecter la casse. Le chemin d’accès De et le chemin d’accès À doivent correspondre.

    Si le chemin est un répertoire virtuel sur le serveur Web, nous recommandons que le chemin d’accès se termine par une barre oblique (/). Les chemins d'accès suivis par une chaine de requête ne doivent pas se terminer par une barre oblique (/).

  2. Choisissez de transmettre ou non les informations d'identification du Access Portal à l'application web. Activez cette option pour que les utilisateurs se connectent automatiquement à certaines applications web avec leurs informations d'identification du Access Portal.

    Pour se connecter à certaines applications Web avec les informations d'identification Access Portal, l'application Web doit accepter une authentification HTTP et Access Portal et l'application Web doivent partager le même domaine d’authentification.

  1. Cliquez sur OK pour ajouter l'action de chemin URL.
  2. Cliquez sur OK pour enregistrer les modifications apportées à votre action de proxy inverse.

  1. Sélectionnez Services d'Abonnement > Access Portal.
  2. Sélectionnez l'onglet Proxy Inverse.
  3. Sélectionnez l'action de proxy inverse à laquelle vous souhaitez ajouter une Action de chemin URL et cliquez sur Modifier.
  4. Dans la section Action du Chemin d'Accès de l'URL, cliquez sur Ajouter.
  5. Dans les zones de texte De et À, saisissez votre chemin URL. Les chemins d’accès doivent respecter la casse. Le chemin d’accès De et le chemin d’accès À doivent correspondre.

    Si le chemin est un répertoire (virtuel) sur le serveur Web, nous recommandons que le chemin d’accès se termine par une barre oblique (/). Les chemins d'accès suivis par une chaine de requête ne doivent pas se terminer par une barre oblique (/).

  6. Choisissez de transmettre ou non les informations d'identification d'Access Portal à Exchange. Activez cette option pour que les utilisateurs se connectent automatiquement à certaines applications web avec leurs informations d'identification du Access Portal.

    Pour se connecter à certaines applications Web avec les informations d'identification Access Portal, l'application Web doit accepter une authentification HTTP et Access Portal et l'application Web doivent partager le même domaine d’authentification.

  1. Cliquez sur OK pour ajouter l'action de chemin URL.
  2. Cliquez sur OK pour enregistrer les modifications apportées à votre action de proxy inverse.

Voir Également

Configurer Access Portal

Précédence et Héritage des Paramètres SSL/TLS

Personnaliser l'Apparence d'Access Portal