Ative a ponte de identidade, configure o nome do host externo para o serviço e baixe o arquivo de metadados do provedor de serviços do Unified Access Gateway.
Esse arquivo de metadados é carregado na página configuração de aplicativo da web no serviço do VMware Workspace ONE Access.
Pré-requisitos
- Se o usuário que se autenticar no Provedor de Identidade fizer parte de um domínio de Active Directory diferente em comparação com o território Kerberos configurado no UAG, atualize a configuração do provedor de identidade para retornar um atributo SAML personalizado "upn" com o valor
<username>@<domain>
como parte da resposta saml.
Exemplo de asserção SAML esperada do Provedor de Identidade para o atributo "upn"
<saml:AttributeStatement>
<saml:Attribute Name="upn" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
<saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">[email protected]</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
- Você deve ter definido as seguintes Configurações de Ponte de Identidade no console de administração do Unified Access Gateway. Você pode encontrar essas configurações na seção Configurações avançadas.
- Metadados do provedor de identidade carregados para o Unified Access Gateway
- O nome principal do Kerberos configurado e o arquivo keytab carregado para o Unified Access Gateway.
- O nome do território e as informações do centro de distribuição de chaves.
- Certifique-se de que a porta TCP/UDP 88 esteja aberta, pois o Unified Access Gateway a usa para a comunicação do Kerberos com o Active Directory.
Procedimento
- Na seção Configurar Manualmente da IU do administrador, clique em Selecionar.
- Na linha , clique em Mostrar.
- Clique no ícone de engrenagem Configurações de Proxy Reverso.
- Na página Configurações de Proxy Reverso, clique em Adicionar para criar uma configuração de proxy.
- Ative a opção Ativar configurações de proxy reverso e defina as configurações do serviço de borda a seguir.
Opção |
Descrição |
Identificador |
O identificador do serviço de borda é configurado como o proxy reverso da Web. |
Identificação de instância |
Nome exclusivo da instância do proxy reverso da Web. |
URL de destino do proxy |
Especifique o URI interno do aplicativo da Web. É obrigatório que o Unified Access Gateway leia e acesse esta URL. |
Impressões digitais da URL de destino do proxy |
Insira a URI para combinar com esta configuração de proxy. Uma impressão digital está no formato [alg=]xx:xx. Os ‘xx’ são dígitos hexadecimais. Se você não configurar as impressões digitais, os certificados do servidor deverão ser emitidos por uma Autoridade de Certificação (Certificate Authority, CA) confiável. |
Padrão de proxy |
Insira os caminhos de URI correspondentes que encaminham para a URL de destino. Por exemplo, insira como (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)). Observação: ao configurar vários proxies reversos, forneça o nome do host no padrão de host do proxy |
- Para definir outras configurações avançadas, clique em Mais.
Opção |
Descrição |
Métodos de autenticação |
O padrão é utilizar a autenticação de passagem do nome de usuário e senha. Os métodos de autenticação configurados no Unified Access Gateway estão listados nos menus suspensos. Os métodos de Autenticação de Certificado do Dispositivo, RSA SecurID e RADIUS são compatíveis. |
Caminho de URI para verificação de integridade |
O Unified Access Gateway se conecta a este caminho de URI para verificar a integridade de seu aplicativo Web. |
SAML SP |
Necessário quando você configura o Unified Access Gateway como um proxy reverso autenticado para Workspace ONE Access. Insira o nome do provedor de serviços SAML para o agente do View XML API. Esse nome deve corresponder ao nome de um provedor de serviços configurado com o Unified Access Gatewayou ser o valor especial DEMO. Se houver vários provedores de serviços configurados com oUnified Access Gateway, seus nomes deverão ser únicos. |
URL externa |
O valor padrão é a URL do host do Unified Access Gateway e a porta 443. É possível inserir uma outra URL externa. Digite como https://<host:port>. |
Padrão desprotegido |
Insira o padrão de redirecionamento do Workspace ONE Access conhecido. Por exemplo: (/|/catalog-portal(.*)|/|/SAAS/|/SAAS|/SAAS/API/1.0/GET/image(.*)|/SAAS/horizon/css(.*)|/SAAS/horizon/angular(.*)|/SAAS/horizon/js(.*)|/SAAS/horizon/js-lib(.*)|/SAAS/auth/login(.*)|/SAAS/jersey/manager/api/branding|/SAAS/horizon/images/(.*)|/SAAS/jersey/manager/api/images/(.*)|/hc/(.*)/authenticate/(.*)|/hc/static/(.*)|/SAAS/auth/saml/response|/SAAS/auth/authenticatedUserDispatcher|/web(.*)|/SAAS/apps/|/SAAS/horizon/portal/(.*)|/SAAS/horizon/fonts(.*)|/SAAS/API/1.0/POST/sso(.*)|/SAAS/API/1.0/REST/system/info(.*)|/SAAS/API/1.0/REST/auth/cert(.*)|/SAAS/API/1.0/REST/oauth2/activate(.*)|/SAAS/API/1.0/GET/user/devices/register(.*)|/SAAS/API/1.0/oauth2/token(.*)|/SAAS/API/1.0/REST/oauth2/session(.*)|/SAAS/API/1.0/REST/user/resources(.*)|/hc/t/(.*)/(.*)/authenticate(.*)|/SAAS/API/1.0/REST/auth/logout(.*)|/SAAS/auth/saml/response(.*)|/SAAS/(.*)/(.*)auth/login(.*)|/SAAS/API/1.0/GET/apps/launch(.*)|/SAAS/API/1.0/REST/user/applications(.*)|/SAAS/auth/federation/sso(.*)|/SAAS/auth/oauth2/authorize(.*)|/hc/prepareSaml/failure(.*)|/SAAS/auth/oauthtoken(.*)|/SAAS/API/1.0/GET/metadata/idp.xml|/SAAS/auth/saml/artifact/resolve(.*)|/hc/(.*)/authAdapter(.*)|/hc/authenticate/(.*)|/SAAS/auth/logout|/SAAS/common.js|/SAAS/auth/launchInput(.*)|/SAAS/launchUsersApplication.do(.*)|/hc/API/1.0/REST/thinapp/download(.*)|/hc/t/(.*)/(.*)/logout(.*)|/SAAS/auth/wsfed/services(.*)|/SAAS/auth/wsfed/active/logon(.*)) |
Cookie de autenticação |
Insira o nome do cookie de autenticação. Por exemplo: HZN |
URL de redirecionamento de logon |
Se o usuário fizer logout do portal, digite o URL de redirecionamento para efetuar login novamente. Por exemplo: /SAAS/auth/login?dest=%s |
Padrão de host de proxy |
Nome de host externo usado para verificar o host que entra para verificar se combina com o padrão para aquela instância. O padrão do host é opcional ao configurar instâncias de proxy reverso da Web. |
Certificados confiáveis |
|
Cabeçalhos de Segurança de Resposta |
Clique em '+' para adicionar um cabeçalho. Digite o nome do cabeçalho de segurança. Digite o valor. Clique em '-' para remover um cabeçalho. Edite um cabeçalho de segurança existente para atualizar o nome e o valor do cabeçalho.
Importante: Os nomes e valores do cabeçalho só são salvos após você clicar em
Salvar. Alguns cabeçalhos de segurança padrão estão presentes por padrão. Os cabeçalhos configurados serão adicionados à resposta do
Unified Access Gateway ao cliente somente se os cabeçalhos correspondentes estiverem ausentes na resposta do servidor de back-end configurado.
Observação: Modifique os cabeçalhos de resposta de segurança com cuidado. Modificar esses parâmetros pode afetar o funcionamento seguro do
Unified Access Gateway.
|
Entradas de host |
Insira os detalhes a serem adicionados no arquivo /etc/hosts. Cada entrada deve incluir um IP, um nome de host e um pseudônimo de nome de host opcional nesta ordem, separados por um espaço. Por exemplo, 10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias. Clique no sinal de " +" para adicionar várias entradas de host.
Importante: As entradas de host são salvas somente depois que você clicar em
Salvar.
|
- Ative a opção Ativar Ponte de Identidade.
- Configurar as seguintes configurações do serviço de borda.
Opção |
Descrição |
Tipos de autenticação |
Selecione SAML. |
Atributos SAML |
Lista de atributos SAML que é transmitida como cabeçalhos de solicitação. Essa opção fica visível apenas quando Ativar Ponte de Identidade está ativado e os Tipos de Autenticação estão definidos como SAML. Clique em '+' para um atributo SAML como parte do cabeçalho. |
Públicos-Alvo de SAML |
Certifique-se de que o tipo de autenticação SAML seja escolhido.
Insira a URL do público-alvo.
Observação: Se a caixa de texto for deixada vazia, os públicos-alvo não serão restritos.
Para compreender como o UAG oferece suporte a Públicos-Alvo de SAML, consulte Públicos-Alvo de SAML. |
Provedor de identidade |
No menu suspenso, selecione o provedor de identidade. |
Keytab |
No menu suspenso, selecione o keytab configurado para este proxy reverso. |
Nome da identidade do serviço de destino |
Insira o nome principal do serviço Kerberos. Cada identidade sempre é totalmente qualificada com o nome do território. Por exemplo, myco_hostname@MYCOMPANY. Digite o nome do território em letras maiúsculas. Se não for adicionado um nome na caixa de texto, o nome principal do serviço será derivado do nome do host da URL de destino do proxy. |
Página de aterrissagem de serviço |
Insira a página para a qual os usuários são redirecionados no provedor de identidade após a validação da declaração. A configuração padrão é / . |
Nome de cabeçalho do usuário |
Para a autenticação baseada em cabeçalho, insira o nome do cabeçalho HTTP que inclui a ID do usuário derivada da declaração. |
- Na seção Baixar metadados SP, clicar em Download.
Salve o arquivo de metadados do provedor de serviços.
- Clique em Salvar.
O que Fazer Depois
Adicione o arquivo de metadados do provedor de serviços do Unified Access Gateway à página de configuração de aplicativo de Internet no serviço do Workspace ONE Access.