「Webアプリケーションプロキシ」はマルチデバイス環境におけるリモートアクセスの“要”：vNextに備えよ！ 次期Windows Serverのココに注目（24）（1/2 ページ）

連載目次

次のWebアプリケーションプロキシは、ここが変わる！

　「Webアプリケーションプロキシ（Web Application Proxy）」は、Active Directoryフェデレーションサービス（AD FS）と連携して動作する“HTTPSアプリケーションのためのリバースプロキシ”です。

　Webアプリケーションプロキシは企業ネットワークの境界に設置することで、企業ネットワークの内部で稼働する要求（Claim、クレーム）ベースのアプリケーションや、要求に非対応のアプリケーションに対し、AD FS事前認証に基づくアクセスを外部のユーザーやデバイスに提供できます。単純に、HTTPS要求をバックエンドのアプリケーションにパススルーして転送することも可能です。

　AD FS事前認証とは、Active DirectoryのユーザーIDおよびパスワードによるフォーム認証やWindows統合認証のことで、オプションで「ワークプレース参加（Workplace Join）」に基づくデバイス認証、証明書ベースの多要素認証を組み合わせることができます。

　前回説明したように、Windows Server 2016のAD FSでは、プライマリ認証方法としてのデバイス認証や「Microsoft Azure Active Directoryの多要素認証（Azure MFA）」のサポートが追加される予定です。

　Windows Server 2016のWebアプリケーションプロキシには、以下の表1に示す新機能の追加、および改善が行われる予定です。

• What's New in Web Application Proxy in Windows Server Technical Preview［英語］（Microsoft TechNet）　新機能や改善のいくつかを簡単に説明しましょう。「HTTP基本認証アプリケーションのAD FS事前認証による公開」は、Exchange ActiveSyncのようなHTTP基本認証を使用する、非Webブラウザークライアントに対して、企業内のバックエンドに対するアクセスを可能にします。

　現在のWebアプリケーションプロキシは、主にWebブラウザーでアクセスするアプリケーションを対象に、AD FS事前認証によるシングルサインオン（SSO）アクセスを提供します。新しいWebアプリケーションプロキシでは、HTTPS基本認証を使用するリッチアプリケーションやスマートフォンアプリに対して、同様のアクセスを可能にします（画面1）。

画面1　新しいWebアプリケーションプロキシのアプリケーション公開ウィザード

　「HTTPアプリケーションの公開」は文字通り、HTTP（TCPポート80）でアクセスするWebアプリケーションの公開です。現在のWebアプリケーションプロキシは、HTTPS（TCPポート443）でアクセスするWebアプリケーションの公開のみが可能でした。

　外部クライアントからのアクセスは、URLに含まれるドメイン名とSSL／TLS証明書の共通名やDNS代替名との一致により、適切な内部のサーバーに要求を転送します。新しいWebアプリケーションプロキシでは、HTTPベースのURL指定によるパススルー公開が可能です（画面2）。

画面2　新しいWebアプリケーションプロキシは、HTTPベースのアプリケーションのパススルー公開に対応

　「管理コンソールの改善」では、公開済みアプリケーションの編集が可能になることが大きいでしょう。現在のWebアプリケーションプロキシでは公開設定を変更するためには、いったん現在の設定を削除した後、新たに公開設定を行うという手順が必要でした。新しいWebアプリケーションプロキシには「Edit（編集）」アクションが用意され、既存の公開設定を調整できるようになります（画面3）。

画面3　「Edit（編集）」アクションが用意され、既存のアプリケーション公開設定の編集が可能に