Configure o recurso de ponte do Unified Access Gateway para fornecer single sign-on (SSO) aos aplicativos não SAML legados no local utilizando a validação do certificado.

Pré-requisitos

Antes de iniciar o processo de configuração, certifique-se de os arquivos e certificados a seguir estejam disponíveis:

Consulte a documentação relevante do produto para gerar os certificados raiz e de usuário e o arquivo keytab para aplicativos não SAML.

Certifique-se de que a porta TCP/UDP 88 esteja aberta, pois o Unified Access Gateway a usa para a comunicação do Kerberos com o Active Directory.

Procedimento

  1. Em Configurações de autenticação > Certificado X509, vá para:
    1. No Certificados de autoridade de certificação raiz e intermediária, clique em Selecionar e carregue a cadeia de certificado inteira.
    2. Ative a opção Ativar Revogação de Certificado.
    3. Marque a caixa de seleção para Ativar revogação de OCSP.
    4. Insira a URL de respondente do OCSP na caixa de texto URL do OCSP.
      O Unified Access Gateway envia a solicitação OCSP para a URL especificada e recebe uma resposta que contém as informações que indicam se o certificado foi revogado.
    5. Marque a caixa de seleção Usar URL do OCSP do certificado somente se houver um caso de uso para enviar a solicitação OCSP à URL do OCSP no certificado de cliente. Se isso não estiver ativado, será automaticamente configurado com o valor na caixa de texto da URL do OCSP.
  2. Em Configurações avançadas > Configurações de ponte de identidade > Configurações de OSCP, clique em Adicionar.
    1. Clique em Selecionar e carregue o certificado de assinatura OCSP.
  3. Selecione o ícone de engrenagem Configurações de território e defina as configurações de território conforme descrito em Definir configurações do território.
  4. Em Configurações gerais > Configurações do serviço de borda, selecione o ícone de engrenagem Configurações de Proxy Reverso.
  5. Ative a opção Ativar Configurações de Ponte de Identidade, defina as configurações a seguir de Ponte de Identidade e clique em Salvar.
    Opção Descrição
    Tipos de autenticação Selecione CERTIFICADO no menu suspenso.
    Keytab No menu suspenso, selecione o keytab configurado para este proxy reverso.
    Nome da identidade do serviço de destino Insira o nome principal do serviço Kerberos. Cada identidade sempre é totalmente qualificada com o nome do território. Por exemplo, myco_hostname@MYCOMPANY. Digite o nome do território em letras maiúsculas. Se não for adicionado um nome na caixa de texto, o nome principal do serviço será derivado do nome do host da URL de destino do proxy.
    Nome de cabeçalho do usuário Para a autenticação baseada em cabeçalho, insira o nome do cabeçalho HTTP que inclui a ID do usuário derivada da declaração ou use a padrão, AccessPoint-User-ID.

O que Fazer Depois

Quando você usa o Workspace ONE Web para acessar o site de destino, o site de destino atua como o proxy reverso. O Unified Access Gateway valida o certificado apresentado. Se o certificado for válido, o navegador exibirá a página de interface de usuário do aplicativo de back-end.

Para mensagens de erro e informações de resolução de problemas específicas, consulte Erros de ponte de identidade.