É possível configurar o serviço de proxy reverso da Web para utilizar o Unified Access Gateway com o VMware Identity Manager.

Pré-requisitos

Observe os seguintes requisitos para a implantação com o VMware Identity Manager:

  • DNS dividido. O DNS dividido pode ser usado para resolver o nome para endereços IP diferentes, dependendo se o IP é interno ou externo.
  • O serviço do VMware Identity Manager deve ter um nome de domínio totalmente qualificado (FQDN) como nome do host.
  • O Unified Access Gateway deve usar DNS interno. Isso significa que a URL de destino do proxy deve usar um FQDN.
  • A combinação de padrão de proxy e o padrão de host de proxy para uma instância de proxy reverso da Web deverá ser exclusiva se houver vários configuração de proxies reversos em uma instância de Unified Access Gateway.
  • Os nomes de host de todos os proxies reversos configurados devem ser resolvidos para o mesmo endereço IP, que é o endereço IP da instância do Unified Access Gateway.
  • Consulte Configurações avançadas do serviço de borda para obter informações sobre as configurações do serviço de borda avançadas.

Procedimento

  1. Na seção Configurar Manualmente da IU do administrador, clique em Selecionar.
  2. Nas Configurações Gerais > Configurações do Serviço de Borda, clique em Mostrar.
  3. Clique no ícone de engrenagem Configurações de Proxy Reverso.
  4. Na página de configuração do Proxy Reverso, clique em Adicionar.
  5. Na seção Configurações de Proxy Reverso, altere o NÃO para SIM para ativar o proxy reverso.
  6. Configurar as configurações do serviço de borda.
    Opção Descrição
    Identificador O identificador do serviço de borda é configurado como proxy reverso da Web.
    Identificação de instância O nome exclusivo para identificar e diferenciar uma instância de proxy reverso da Web de todas as demais instâncias de proxy reverso da Web.
    URL de destino do proxy Insira o endereço do aplicativo da Web.
    Impressões digitais da URL de destino do proxy Insira uma lista das impressões digitais do certificado do servidor SSL aceitáveis para a URL de proxyDestination. Se você especificar *, qualquer certificado será aceito. Uma impressão digital tem o formato [alg=]xx:xx, onde alg pode ser o padrão, sha1 ou md5. Os xx são dígitos hexadecimais. O separador ‘:’ também pode ser um espaço ou estar ausente. O caso em uma impressão digital é ignorado. Por exemplo:

    sha1=B6 77 DC 9C 19 94 2E F1 78 F0 AD 4B EC 85 D1 7A F8 8B DC 34

    sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:be:78:ed:ff:50:23:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db

    Se você não configurar as impressões digitais, os certificados do servidor deverão ser emitidos por uma Autoridade de Certificação (Certificate Authority, CA) confiável.

    Padrão de proxy Insira os caminhos de URI correspondentes que encaminham para a URL de destino. Por exemplo, insira como (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)).
    Observação: Ao configurar vários proxies reversos, forneça o nome do host no padrão de host do proxy.
  7. Para definir outras configurações avançadas, clique em Mais.
    Opção Descrição
    Métodos de autenticação

    O padrão é utilizar a autenticação de passagem do nome de usuário e senha. Os métodos de autenticação configurados no Unified Access Gateway estão listados nos menus suspensos.

    Caminho de URI para verificação de integridade O Unified Access Gateway se conecta a este caminho de URI para verificar a integridade de seu aplicativo Web.
    SAML SP

    Necessário quando você configura o Unified Access Gateway como um proxy reverso autenticado para VMware Identity Manager. Insira o nome do provedor de serviços SAML para o agente do View XML API. Esse nome deve corresponder ao nome de um provedor de serviços configurado com o Unified Access Gatewayou ser o valor especial DEMO. Se houver vários provedores de serviços configurados com oUnified Access Gateway, seus nomes deverão ser únicos.

    URL externa O valor padrão é a URL do host do Unified Access Gateway e a porta 443. É possível inserir uma outra URL externa. Digite como https://<host:port>.
    Padrão desprotegido Insira o padrão de redirecionamento conhecido do VMware Identity Manager. Por exemplo: (/|/catalog-portal(.*)|/|/SAAS/|/SAAS|/SAAS/API/1.0/GET/image(.*)|/SAAS/horizon/css(.*)|/SAAS/horizon/angular(.*)|/SAAS/horizon/js(.*)|/SAAS/horizon/js-lib(.*)|/SAAS/auth/login(.*)|/SAAS/jersey/manager/api/branding|/SAAS/horizon/images/(.*)|/SAAS/jersey/manager/api/images/(.*)|/hc/(.*)/authenticate/(.*)|/hc/static/(.*)|/SAAS/auth/saml/response|/SAAS/auth/authenticatedUserDispatcher|/web(.*)|/SAAS/apps/|/SAAS/horizon/portal/(.*)|/SAAS/horizon/fonts(.*)|/SAAS/API/1.0/POST/sso(.*)|/SAAS/API/1.0/REST/system/info(.*)|/SAAS/API/1.0/REST/auth/cert(.*)|/SAAS/API/1.0/REST/oauth2/activate(.*)|/SAAS/API/1.0/GET/user/devices/register(.*)|/SAAS/API/1.0/oauth2/token(.*)|/SAAS/API/1.0/REST/oauth2/session(.*)|/SAAS/API/1.0/REST/user/resources(.*)|/hc/t/(.*)/(.*)/authenticate(.*)|/SAAS/API/1.0/REST/auth/logout(.*)|/SAAS/auth/saml/response(.*)|/SAAS/(.*)/(.*)auth/login(.*)|/SAAS/API/1.0/GET/apps/launch(.*)|/SAAS/API/1.0/REST/user/applications(.*)|/SAAS/auth/federation/sso(.*)|/SAAS/auth/oauth2/authorize(.*)|/hc/prepareSaml/failure(.*)|/SAAS/auth/oauthtoken(.*)|/SAAS/API/1.0/GET/metadata/idp.xml|/SAAS/auth/saml/artifact/resolve(.*)|/hc/(.*)/authAdapter(.*)|/hc/authenticate/(.*)|/SAAS/auth/logout|/SAAS/common.js|/SAAS/auth/launchInput(.*)|/SAAS/launchUsersApplication.do(.*)|/hc/API/1.0/REST/thinapp/download(.*)|/hc/t/(.*)/(.*)/logout(.*)|/SAAS/auth/wsfed/services(.*)|/SAAS/auth/wsfed/active/logon(.*)))
    Cookie de autenticação Insira o nome do cookie de autenticação. Por exemplo: HZN
    URL de redirecionamento de logon Se o usuário fizer logout do portal, digite o URL de redirecionamento para efetuar login novamente. Por exemplo: /SAAS/auth/login?dest=%s
    Padrão de host de proxy Nome de host externo usado para verificar o host que entra para verificar se combina com o padrão para aquela instância em particular. O padrão do host é opcional ao configurar instâncias de proxy reverso da Web.
    Entradas de host Insira os detalhes a serem adicionados no arquivo /etc/hosts. Cada entrada deve incluir um IP, um nome de host e um pseudônimo de nome de host opcional nesta ordem, separados por um espaço. Por exemplo, 10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias. Clique no sinal de " +" para adicionar várias entradas de host.
    Importante: As entradas de host são salvas somente depois que você clicar em Salvar.
    Observação: As opções de UnSecure Pattern, Auth Cookie e Login Redirect URL são aplicáveis apenas com VMware Identity Manager. Os valores fornecidos aqui também são aplicáveis ao Access Point 2.8 e ao Unified Access Gateway 2.9.
    Observação: As propriedades do Cookie de autenticação e do Padrão desprotegido não são válidas para proxy reverso de autenticação. Você deve usar a propriedade Auth Methods para definir o método de autenticação.
  8. Clique em Salvar.

O que Fazer Depois

Para habilitar a ponte de identidade, consulte Configurando as definições da ponte de identidade.