#azure #azure-active-directory #reverse-proxy #azure-virtual-machine
#azure #azure-active-directory #обратный прокси #azure-виртуальная машина
Вопрос:
У меня есть виртуальная машина Azure, на которой размещено приложение. Виртуальная сеть, в которой расположена виртуальная машина, подключена через VPN к моей внутренней сети. Приложение открыто для Интернета с помощью Azure connector и настройки обратного прокси-сервера.
Рассматриваемый пользователь находится в том же домене, что и виртуальная машина. Этот пользователь имеет доступ только к IP-адресу этой виртуальной машины. Когда я пытаюсь войти в приложение с помощью этого пользователя, это не работает, он не может быть аутентифицирован. Но когда я снимаю это ограничение входа в систему, и пользователь получает доступ ко всем машинам во внутренней сети, он может получить доступ к приложению и пройти проверку подлинности.
Мне нужно выяснить, какие IP-адреса должны быть у этого пользователя. Я не могу оставить ему доступ ко всем машинам во внутренней сети, мне нужно указать только необходимые.
Как я могу это проверить?
Ответ №1:
В этом случае, если вы хотите, чтобы этот пользователь получил доступ к вашему приложению через Интернет, вам следует добавить общедоступный исходящий IP-адрес этого пользователя в ограничение входа.
Если вы хотите, чтобы этот пользователь получил доступ к вашему приложению во внутренней сети или из локальной сети, вам следует добавить частный IP-адрес этого пользователя.
Виртуальная машина Azure может быть защищена правилами NSG, вы можете проверить журналы потоков NSG, чтобы узнать текущее состояние сети, кто подключается, откуда они подключаются, какие порты открыты для Интернета, ожидаемое поведение сети, нерегулярное поведение сети и внезапное увеличение трафика. С помощью flowTuples вы можете найти исходный IP-адрес, который запрашивается вашей виртуальной машиной Azure.
Для получения дополнительной информации вы можете прочитать Введение в ведение журнала потоков для групп сетевой безопасности.