É possível configurar o serviço de proxy reverso da Web para utilizar o Unified Access Gateway com o Workspace ONE Access.

Pré-requisitos

Observe os seguintes requisitos para a implantação com o Workspace ONE Access:

  • DNS dividido. Externamente, o nome do host deve ser resolvido para o endereço IP do Unified Access Gateway. Internamente, no Unified Access Gateway, o mesmo nome de host deve ser resolvido para o servidor Web real por meio de mapeamento de DNS interno ou de uma entrada de nome de host no Unified Access Gateway.
    Observação: Se você estiver implantando apenas com o proxy reverso da Web, não será necessário configurar a ponte de identidade.
  • O serviço do Workspace ONE Access deve ter um nome de domínio totalmente qualificado (FQDN) como nome do host.
  • O Unified Access Gateway deve usar DNS interno. Isso significa que a URL de destino do proxy deve usar um FQDN.
  • A combinação de padrão de proxy e o padrão de host de proxy para uma instância de proxy reverso da Web deverá ser exclusiva se houver vários configuração de proxies reversos em uma instância de Unified Access Gateway.
  • Os nomes de host de todos os proxies reversos configurados devem ser resolvidos para o mesmo endereço IP, que é o endereço IP da instância do Unified Access Gateway.
  • Consulte Configurações avançadas do serviço de borda para obter informações sobre as configurações do serviço de borda avançadas.

Procedimento

  1. Na seção Configurar Manualmente da IU do administrador, clique em Selecionar.
  2. Nas Configurações Gerais > Configurações do Serviço de Borda, clique em Mostrar.
  3. Clique no ícone de engrenagem Configurações de Proxy Reverso.
  4. Na página Configuração de Proxy Reverso, clique em Adicionar.
  5. Ative a opção Ativar Configurações de Proxy Reverso para ativar o proxy reverso.
  6. Configurar as configurações do serviço de borda.
    Opção Descrição
    Identificador O identificador do serviço de borda é configurado como proxy reverso da Web.
    Identificação de instância O nome exclusivo para identificar e diferenciar uma instância de proxy reverso da Web de todas as demais instâncias de proxy reverso da Web.
    URL de destino do proxy Digite o endereço do aplicativo da Web, que geralmente é a URL de back-end. Por exemplo, para o Workspace ONE Access, adicione o endereço IP, o nome do host do Workspace ONE Access e o DNS externo na máquina cliente. Na IU de Administrador, adicione o endereço IP, o nome do host do Workspace ONE Access e o DNS interno.
    Impressões digitais da URL de destino do proxy Insira uma lista das impressões digitais do certificado do servidor SSL aceitáveis para a URL de proxyDestination. Se você especificar *, qualquer certificado será aceito. Uma impressão digital tem o formato [alg=]xx:xx, onde alg pode ser o padrão, sha1 ou md5. Os xx são dígitos hexadecimais. O separador ‘:’ também pode ser um espaço ou estar ausente. O caso em uma impressão digital é ignorado. Por exemplo:

    sha1=B6 77 DC 9C 19 94 2E F1 78 F0 AD 4B EC 85 D1 7A F8 8B DC 34

    sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:be:78:ed:ff:50:23:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db

    Se você não configurar as impressões digitais, os certificados do servidor deverão ser emitidos por uma Autoridade de Certificação (Certificate Authority, CA) confiável.

    Padrão de proxy Insira os caminhos de URI correspondentes que encaminham para a URL de destino. Por exemplo, digite como (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)).
    Observação: Ao configurar vários proxies reversos, forneça o nome do host no padrão de host do proxy.
  7. Para definir outras configurações avançadas, clique em Mais.
    Opção Descrição
    Métodos de autenticação

    O padrão é utilizar a autenticação de passagem do nome de usuário e senha. Os métodos de autenticação configurados no Unified Access Gateway estão listados nos menus suspensos. Os métodos de Autenticação de Certificado do Dispositivo, RSA SecurID e RADIUS são compatíveis.

    Caminho de URI para verificação de integridade O Unified Access Gateway se conecta a este caminho de URI para verificar a integridade de seu aplicativo Web.
    SAML SP

    Necessário quando você configura o Unified Access Gateway como um proxy reverso autenticado para Workspace ONE Access. Insira o nome do provedor de serviços SAML para o agente do View XML API. Esse nome deve corresponder ao nome de um provedor de serviços configurado com o Unified Access Gatewayou ser o valor especial DEMO. Se houver vários provedores de serviços configurados com oUnified Access Gateway, seus nomes deverão ser únicos.

    URL externa O valor padrão é a URL do host do Unified Access Gateway e a porta 443. É possível inserir uma outra URL externa. Digite como https://<host:port>.
    Padrão desprotegido Insira o padrão de redirecionamento do Workspace ONE Access conhecido. Por exemplo: (/|/catalog-portal(.*)|/|/SAAS/|/SAAS|/SAAS/API/1.0/GET/image(.*)|/SAAS/horizon/css(.*)|/SAAS/horizon/angular(.*)|/SAAS/horizon/js(.*)|/SAAS/horizon/js-lib(.*)|/SAAS/auth/login(.*)|/SAAS/jersey/manager/api/branding|/SAAS/horizon/images/(.*)|/SAAS/jersey/manager/api/images/(.*)|/hc/(.*)/authenticate/(.*)|/hc/static/(.*)|/SAAS/auth/saml/response|/SAAS/auth/authenticatedUserDispatcher|/web(.*)|/SAAS/apps/|/SAAS/horizon/portal/(.*)|/SAAS/horizon/fonts(.*)|/SAAS/API/1.0/POST/sso(.*)|/SAAS/API/1.0/REST/system/info(.*)|/SAAS/API/1.0/REST/auth/cert(.*)|/SAAS/API/1.0/REST/oauth2/activate(.*)|/SAAS/API/1.0/GET/user/devices/register(.*)|/SAAS/API/1.0/oauth2/token(.*)|/SAAS/API/1.0/REST/oauth2/session(.*)|/SAAS/API/1.0/REST/user/resources(.*)|/hc/t/(.*)/(.*)/authenticate(.*)|/SAAS/API/1.0/REST/auth/logout(.*)|/SAAS/auth/saml/response(.*)|/SAAS/(.*)/(.*)auth/login(.*)|/SAAS/API/1.0/GET/apps/launch(.*)|/SAAS/API/1.0/REST/user/applications(.*)|/SAAS/auth/federation/sso(.*)|/SAAS/auth/oauth2/authorize(.*)|/hc/prepareSaml/failure(.*)|/SAAS/auth/oauthtoken(.*)|/SAAS/API/1.0/GET/metadata/idp.xml|/SAAS/auth/saml/artifact/resolve(.*)|/hc/(.*)/authAdapter(.*)|/hc/authenticate/(.*)|/SAAS/auth/logout|/SAAS/common.js|/SAAS/auth/launchInput(.*)|/SAAS/launchUsersApplication.do(.*)|/hc/API/1.0/REST/thinapp/download(.*)|/hc/t/(.*)/(.*)/logout(.*)|/SAAS/auth/wsfed/services(.*)|/SAAS/auth/wsfed/active/logon(.*))
    Cookie de autenticação Insira o nome do cookie de autenticação. Por exemplo: HZN
    URL de redirecionamento de logon Se o usuário fizer logout do portal, digite o URL de redirecionamento para efetuar login novamente. Por exemplo: /SAAS/auth/login?dest=%s
    Padrão de host de proxy Nome de host externo usado para verificar o host que entra para verificar se combina com o padrão para aquela instância. O padrão do host é opcional ao configurar instâncias de proxy reverso da Web.
    Certificados confiáveis
    • Para selecionar um certificado no formato PEM e adicionar ao armazenamento de confiança, clique em +.
    • Para fornecer um nome diferente, edite a caixa de texto do alias.

      Por padrão, o nome do alias é o nome do arquivo do certificado PEM.

    • Para remover um certificado do armazenamento de confiança, clique em -.
    Cabeçalhos de Segurança de Resposta Clique em '+' para adicionar um cabeçalho. Digite o nome do cabeçalho de segurança. Digite o valor. Clique em '-' para remover um cabeçalho. Edite um cabeçalho de segurança existente para atualizar o nome e o valor do cabeçalho.
    Importante: Os nomes e valores do cabeçalho só são salvos após você clicar em Salvar. Alguns cabeçalhos de segurança padrão estão presentes por padrão. Os cabeçalhos configurados serão adicionados à resposta do Unified Access Gateway ao cliente somente se os cabeçalhos correspondentes estiverem ausentes na resposta do servidor de back-end configurado.
    Observação: Modifique os cabeçalhos de resposta de segurança com cuidado. Modificar esses parâmetros pode afetar o funcionamento seguro do Unified Access Gateway.
    Entradas de host Insira os detalhes a serem adicionados no arquivo /etc/hosts. Cada entrada deve incluir um IP, um nome de host e um pseudônimo de nome de host opcional nesta ordem, separados por um espaço. Por exemplo, 10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias. Clique no sinal de " +" para adicionar várias entradas de host.
    Importante: As entradas de host são salvas somente depois que você clicar em Salvar.
    Observação: As opções de UnSecure Pattern, Auth Cookie e Login Redirect URL são aplicáveis apenas com Workspace ONE Access.
    Observação: As propriedades do Cookie de autenticação e do Padrão desprotegido não são válidas para proxy reverso de autenticação. Você deve usar a propriedade Auth Methods para definir o método de autenticação.
  8. Clique em Salvar.

O que Fazer Depois

Para habilitar a ponte de identidade, consulte Configurando as definições da ponte de identidade.