Ative a ponte de identidade, configure o nome do host externo para o serviço e baixe o arquivo de metadados do provedor de serviços do Unified Access Gateway.

Esse arquivo de metadados é carregado na página configuração de aplicativo da web no serviço do VMware Workspace ONE Access.

Pré-requisitos

  • Se o usuário que se autenticar no Provedor de Identidade fizer parte de um domínio de Active Directory diferente em comparação com o território Kerberos configurado no UAG, atualize a configuração do provedor de identidade para retornar um atributo SAML personalizado "upn" com o valor <username>@<domain> como parte da resposta saml.
    Exemplo de asserção SAML esperada do Provedor de Identidade para o atributo "upn" 
    <saml:AttributeStatement>
      <saml:Attribute Name="upn" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
                  <saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">[email protected]</saml:AttributeValue>
      </saml:Attribute>
</saml:AttributeStatement>
  • Você deve ter definido as seguintes Configurações de Ponte de Identidade no console de administração do Unified Access Gateway. Você pode encontrar essas configurações na seção Configurações avançadas.
    • Metadados do provedor de identidade carregados para o Unified Access Gateway
    • O nome principal do Kerberos configurado e o arquivo keytab carregado para o Unified Access Gateway.
    • O nome do território e as informações do centro de distribuição de chaves.
  • Certifique-se de que a porta TCP/UDP 88 esteja aberta, pois o Unified Access Gateway a usa para a comunicação do Kerberos com o Active Directory.

Procedimento

  1. Na seção Configurar Manualmente da IU do administrador, clique em Selecionar.
  2. Na linha Configurações gerais > Configuração de serviço de borda, clique em Mostrar.
  3. Clique no ícone de engrenagem Configurações de Proxy Reverso.
  4. Na página Configurações de Proxy Reverso, clique em Adicionar para criar uma configuração de proxy.
  5. Ative a opção Ativar configurações de proxy reverso e defina as configurações do serviço de borda a seguir.
    Opção Descrição
    Identificador O identificador do serviço de borda é configurado como o proxy reverso da Web.
    Identificação de instância Nome exclusivo da instância do proxy reverso da Web.
    URL de destino do proxy Especifique o URI interno do aplicativo da Web. É obrigatório que o Unified Access Gateway leia e acesse esta URL.
    Impressões digitais da URL de destino do proxy Insira a URI para combinar com esta configuração de proxy. Uma impressão digital está no formato [alg=]xx:xx. Os ‘xx’ são dígitos hexadecimais.

    Se você não configurar as impressões digitais, os certificados do servidor deverão ser emitidos por uma Autoridade de Certificação (Certificate Authority, CA) confiável.

    Padrão de proxy Insira os caminhos de URI correspondentes que encaminham para a URL de destino. Por exemplo, insira como (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)).

    Observação: ao configurar vários proxies reversos, forneça o nome do host no padrão de host do proxy

  6. Para definir outras configurações avançadas, clique em Mais.
    Opção Descrição
    Métodos de autenticação

    O padrão é utilizar a autenticação de passagem do nome de usuário e senha. Os métodos de autenticação configurados no Unified Access Gateway estão listados nos menus suspensos. Os métodos de Autenticação de Certificado do Dispositivo, RSA SecurID e RADIUS são compatíveis.

    Caminho de URI para verificação de integridade O Unified Access Gateway se conecta a este caminho de URI para verificar a integridade de seu aplicativo Web.
    SAML SP

    Necessário quando você configura o Unified Access Gateway como um proxy reverso autenticado para Workspace ONE Access. Insira o nome do provedor de serviços SAML para o agente do View XML API. Esse nome deve corresponder ao nome de um provedor de serviços configurado com o Unified Access Gatewayou ser o valor especial DEMO. Se houver vários provedores de serviços configurados com oUnified Access Gateway, seus nomes deverão ser únicos.

    URL externa O valor padrão é a URL do host do Unified Access Gateway e a porta 443. É possível inserir uma outra URL externa. Digite como https://<host:port>.
    Padrão desprotegido Insira o padrão de redirecionamento do Workspace ONE Access conhecido. Por exemplo: (/|/catalog-portal(.*)|/|/SAAS/|/SAAS|/SAAS/API/1.0/GET/image(.*)|/SAAS/horizon/css(.*)|/SAAS/horizon/angular(.*)|/SAAS/horizon/js(.*)|/SAAS/horizon/js-lib(.*)|/SAAS/auth/login(.*)|/SAAS/jersey/manager/api/branding|/SAAS/horizon/images/(.*)|/SAAS/jersey/manager/api/images/(.*)|/hc/(.*)/authenticate/(.*)|/hc/static/(.*)|/SAAS/auth/saml/response|/SAAS/auth/authenticatedUserDispatcher|/web(.*)|/SAAS/apps/|/SAAS/horizon/portal/(.*)|/SAAS/horizon/fonts(.*)|/SAAS/API/1.0/POST/sso(.*)|/SAAS/API/1.0/REST/system/info(.*)|/SAAS/API/1.0/REST/auth/cert(.*)|/SAAS/API/1.0/REST/oauth2/activate(.*)|/SAAS/API/1.0/GET/user/devices/register(.*)|/SAAS/API/1.0/oauth2/token(.*)|/SAAS/API/1.0/REST/oauth2/session(.*)|/SAAS/API/1.0/REST/user/resources(.*)|/hc/t/(.*)/(.*)/authenticate(.*)|/SAAS/API/1.0/REST/auth/logout(.*)|/SAAS/auth/saml/response(.*)|/SAAS/(.*)/(.*)auth/login(.*)|/SAAS/API/1.0/GET/apps/launch(.*)|/SAAS/API/1.0/REST/user/applications(.*)|/SAAS/auth/federation/sso(.*)|/SAAS/auth/oauth2/authorize(.*)|/hc/prepareSaml/failure(.*)|/SAAS/auth/oauthtoken(.*)|/SAAS/API/1.0/GET/metadata/idp.xml|/SAAS/auth/saml/artifact/resolve(.*)|/hc/(.*)/authAdapter(.*)|/hc/authenticate/(.*)|/SAAS/auth/logout|/SAAS/common.js|/SAAS/auth/launchInput(.*)|/SAAS/launchUsersApplication.do(.*)|/hc/API/1.0/REST/thinapp/download(.*)|/hc/t/(.*)/(.*)/logout(.*)|/SAAS/auth/wsfed/services(.*)|/SAAS/auth/wsfed/active/logon(.*))
    Cookie de autenticação Insira o nome do cookie de autenticação. Por exemplo: HZN
    URL de redirecionamento de logon Se o usuário fizer logout do portal, digite o URL de redirecionamento para efetuar login novamente. Por exemplo: /SAAS/auth/login?dest=%s
    Padrão de host de proxy Nome de host externo usado para verificar o host que entra para verificar se combina com o padrão para aquela instância. O padrão do host é opcional ao configurar instâncias de proxy reverso da Web.
    Certificados confiáveis
    • Para selecionar um certificado no formato PEM e adicionar ao armazenamento de confiança, clique em +.
    • Para fornecer um nome diferente, edite a caixa de texto do alias.

      Por padrão, o nome do alias é o nome do arquivo do certificado PEM.

    • Para remover um certificado do armazenamento de confiança, clique em -.
    Cabeçalhos de Segurança de Resposta Clique em '+' para adicionar um cabeçalho. Digite o nome do cabeçalho de segurança. Digite o valor. Clique em '-' para remover um cabeçalho. Edite um cabeçalho de segurança existente para atualizar o nome e o valor do cabeçalho.
    Importante: Os nomes e valores do cabeçalho só são salvos após você clicar em Salvar. Alguns cabeçalhos de segurança padrão estão presentes por padrão. Os cabeçalhos configurados serão adicionados à resposta do Unified Access Gateway ao cliente somente se os cabeçalhos correspondentes estiverem ausentes na resposta do servidor de back-end configurado.
    Observação: Modifique os cabeçalhos de resposta de segurança com cuidado. Modificar esses parâmetros pode afetar o funcionamento seguro do Unified Access Gateway.
    Entradas de host Insira os detalhes a serem adicionados no arquivo /etc/hosts. Cada entrada deve incluir um IP, um nome de host e um pseudônimo de nome de host opcional nesta ordem, separados por um espaço. Por exemplo, 10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias. Clique no sinal de " +" para adicionar várias entradas de host.
    Importante: As entradas de host são salvas somente depois que você clicar em Salvar.
  7. Ative a opção Ativar Ponte de Identidade.
  8. Configurar as seguintes configurações do serviço de borda.
    Opção Descrição
    Tipos de autenticação Selecione SAML.
    Atributos SAML Lista de atributos SAML que é transmitida como cabeçalhos de solicitação. Essa opção fica visível apenas quando Ativar Ponte de Identidade está ativado e os Tipos de Autenticação estão definidos como SAML. Clique em '+' para um atributo SAML como parte do cabeçalho.
    Públicos-Alvo de SAML

    Certifique-se de que o tipo de autenticação SAML seja escolhido.

    Insira a URL do público-alvo.
    Observação: Se a caixa de texto for deixada vazia, os públicos-alvo não serão restritos.

    Para compreender como o UAG oferece suporte a Públicos-Alvo de SAML, consulte Públicos-Alvo de SAML.
    Provedor de identidade No menu suspenso, selecione o provedor de identidade.
    Keytab No menu suspenso, selecione o keytab configurado para este proxy reverso.
    Nome da identidade do serviço de destino Insira o nome principal do serviço Kerberos. Cada identidade sempre é totalmente qualificada com o nome do território. Por exemplo, myco_hostname@MYCOMPANY. Digite o nome do território em letras maiúsculas. Se não for adicionado um nome na caixa de texto, o nome principal do serviço será derivado do nome do host da URL de destino do proxy.
    Página de aterrissagem de serviço Insira a página para a qual os usuários são redirecionados no provedor de identidade após a validação da declaração. A configuração padrão é /.
    Nome de cabeçalho do usuário Para a autenticação baseada em cabeçalho, insira o nome do cabeçalho HTTP que inclui a ID do usuário derivada da declaração.
  9. Na seção Baixar metadados SP, clicar em Download.
    Salve o arquivo de metadados do provedor de serviços.
  10. Clique em Salvar.

O que Fazer Depois

Adicione o arquivo de metadados do provedor de serviços do Unified Access Gateway à página de configuração de aplicativo de Internet no serviço do Workspace ONE Access.