É possível configurar o serviço de proxy reverso da Web para utilizar o Unified Access Gateway com o VMware Identity Manager.

Pré-requisitos

Requisitos para a implantação com o VMware Identity Manager.

  • DNS dividido. O DNS dividido pode ser usado para resolver o nome para endereços IP diferentes, dependendo se o IP é interno ou externo.
  • O serviço do VMware Identity Manager deve ter um nome de domínio totalmente qualificado (fully qualified domain name, FQDN) como o nome do host.
  • O Unified Access Gateway deve usar DNS interno. Isso significa que a URL de destino do proxy deve usar um FQDN.

Procedimento

  1. Na seção Configurar Manualmente a IU do administrador, clique em Selecionar.
  2. Nas Configurações Gerais > Configurações de Serviços de Borda, clique em Mostrar.
  3. Clique no ícone de engrenagem Configurações de Proxy Reverso.
  4. Na página de configuração do proxy reverso, clique em Adicionar.
  5. Na seção Configurações de proxy reverso, altere o NÃO para SIM para habilitar o proxy reverso.
  6. Configurar as configurações do serviço de borda.
    Opção Descrição
    Identificador O identificador do serviço de borda é configurado como proxy reverso da Web.
    Identificação de instância O nome exclusivo para identificar e diferenciar uma instância de proxy reverso da Web de todas as demais instâncias de proxy reverso da Web.
    URL de destino do proxy Insira o endereço do aplicativo da Web.
    Impressões digitais da URL de destino do proxy Insira uma lista das impressões digitais do certificado do servidor SSL aceitáveis para a URL de destino do proxy. Se você incluir um curinga*, qualquer certificado será permitido. Uma impressão digital tem o formato [alg=]xx:xx, onde alg pode ser sha1, o padrão ou md5. Os ‘xx’ são dígitos hexadecimais. O separador ‘:’ também pode ser um espaço ou estar ausente. O caso em uma impressão digital é ignorado. Por exemplo:

    sha1=B6 77 DC 9C 19 94 2E F1 78 F0 AD 4B EC 85 D1 7A F8 8B DC 34,

    sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:be:78:ed:ff:50:23:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db

    Se você não configurar as impressões digitais, os certificados do servidor deverão ser emitidos por uma Autoridade de Certificação (Certificate Authority, CA) confiável.

    Padrão de proxy Insira os caminhos de URI correspondentes que encaminham para a URL de destino. Por exemplo, insira como (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)).
    Observação: Ao configurar vários proxies reversos, forneça o nome do host no padrão de host do proxy.
  7. Para definir outras configurações avançadas, clique em Mais.
    Opção Descrição
    Métodos de autenticação

    O padrão é utilizar a autenticação de passagem do nome de usuário e senha. Os métodos de autenticação configurados no Unified Access Gateway estão listados nos menus suspensos.

    Caminho de URI para verificação de integridade O Unified Access Gateway se conecta a este caminho de URI para verificar a integridade de seu aplicativo Web.
    SAML SP

    Esse campo é necessário ao configurar o UAG como proxy reverso autenticado para o VMware Identity Manager. Insira o nome do provedor de serviços SAML para o agente do View XML API. Esse nome deve corresponder ao nome de um provedor de serviços configurado com o Unified Access Gatewayou ser o valor especial DEMO. Se houver vários provedores de serviços configurados com oUnified Access Gateway, seus nomes deverão ser únicos.

    Código de ativação Insira o código de ativação gerado pelo serviço do VMware Identity Manager e importado no Unified Access Gateway para configurar a confiança entre o VMware Identity Manager e o Unified Access Gateway. Observe que o código de ativação não é necessário para implantações on-premise (local). Para obter detalhes sobre como gerar um código de ativação, consulte Implantação em nuvem do VMware Identity Manager.
    URL externa O valor padrão é a URL do host do Unified Access Gateway e a porta 443. É possível inserir uma outra URL externa. Digite como https://<host:port>.
    Padrão desprotegido Insira o padrão de redirecionamento conhecido do VMware Identity Manager. Por exemplo: (/catalog-portal(.*)|/|/SAAS/|/SAAS|/SAAS/API/1.0/GET/image(.*)|/SAAS/horizon/css(.*)|/SAAS/horizon/angular(.*)|/SAAS/horizon/js(.*)|/SAAS/horizon/js-lib(.*)|/SAAS/auth/login(.*)|/SAAS/jersey/manager/api/branding|/SAAS/horizon/images/(.*)|/SAAS/jersey/manager/api/images/(.*)|/hc/(.*)/authenticate/(.*)|/hc/static/(.*)|/SAAS/auth/saml/response|/SAAS/auth/authenticatedUserDispatcher|/web(.*)|/SAAS/apps/|/SAAS/horizon/portal/(.*)|/SAAS/horizon/fonts(.*)|/SAAS/API/1.0/POST/sso(.*)|/SAAS/API/1.0/REST/system/info(.*)|/SAAS/API/1.0/REST/auth/cert(.*)|/SAAS/API/1.0/REST/oauth2/activate(.*)|/SAAS/API/1.0/GET/user/devices/register(.*)|/SAAS/API/1.0/oauth2/token(.*)|/SAAS/API/1.0/REST/oauth2/session(.*)|/SAAS/API/1.0/REST/user/resources(.*)|/hc/t/(.*)/(.*)/authenticate(.*)|/SAAS/API/1.0/REST/auth/logout(.*)|/SAAS/auth/saml/response(.*)|/SAAS/(.*)/(.*)auth/login(.*)|/SAAS/API/1.0/GET/apps/launch(.*)|/SAAS/API/1.0/REST/user/applications(.*)|/SAAS/auth/federation/sso(.*)|/SAAS/auth/oauth2/authorize(.*)|/hc/prepareSaml/failure(.*)|/SAAS/auth/oauthtoken(.*)|/SAAS/API/1.0/GET/metadata/idp.xml|/SAAS/auth/saml/artifact/resolve(.*)|/hc/(.*)/authAdapter(.*)|/hc/authenticate/(.*)|/SAAS/auth/logout|/SAAS/common.js|/SAAS/auth/launchInput(.*)|/SAAS/launchUsersApplication.do(.*)|/hc/API/1.0/REST/thinapp/download(.*)|/hc/t/(.*)/(.*)/logout(.*))
    Cookie de autenticação Insira o nome do cookie de autenticação. Por exemplo: HZN
    URL de redirecionamento de logon Se o usuário fizer logout do portal, digite o URL de redirecionamento para efetuar login novamente. Por exemplo: /SAAS/auth/login?dest=%s
    Padrão de host de proxy Nome de host externo usado para verificar o host que entra para verificar se combina com o padrão para aquela instância em particular. O padrão do host é opcional ao configurar instâncias de proxy reverso da Web.
    Entradas de host Insira uma lista separada por vírgulas das entradas de host a serem adicionadas no arquivo de /etc/hosts. Cada entrada inclui um IP, um nome de host e um pseudônimo de nome de host opcional nesta ordem, separados por um espaço. Por exemplo, 10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias.
    Observação: Padrão desprotegido, Cookie de autenticação e as opções de URL de redirecionamento de logon são aplicáveis apenas com o VMware Identity Manager. Os valores fornecidos aqui também são aplicáveis ao Access Point 2.8 e ao Unified Access Gateway 2.9.
    Observação: As propriedades do Cookie de autenticação e do Padrão desprotegido não são válidas para proxy reverso de autenticação. Você deve usar a propriedade Métodos de autenticação para definir o método de autenticação.
  8. Clique em Salvar.

O que Fazer Depois

Para habilitar a ponte de identidade, consulte Configurando as definições da ponte de identidade.