Quando o Kerberos é configurado no aplicativo de back-end, para configurar a ponte de identidade no Unified Access Gateway, carregue os metadados do provedor de identidade e o arquivo keytab e configure as definições de território do KCD.
Esta versão de ponte de identidade oferece suporte a vários domínios com uma configuração de domínio único. Isso significa que o usuário e a conta SPN podem estar em domínios diferentes.
Quando a ponte de identidade está habilitada com a autenticação baseada em cabeçalho, as configurações de keytab e as configurações de território do KCD não são necessárias.
Antes de configurar as definições da ponte de identidade para a autenticação do Kerberos, certifique-se de que o seguinte esteja disponível.
Um provedor de identidade é configurado e os metadados SAML do provedor de identidade são salvos. O arquivo de metadados SAML é carregado para o Unified Access Gateway (apenas cenários de SAML).
Para a autenticação do Kerberos, um servidor com o Kerberos habilitado com os nomes dos territórios para os centros de distribuição de chaves para o uso identificado.
Para a autenticação do Kerberos, carregar o arquivo keytab para o Unified Access Gateway. O arquivo keytab inclui as credenciais para a conta do serviço de Active Directory que é configurada para obter o ticket do Kerberos em nome de qualquer usuário no domínio para um determinado serviço de back-end.
Certifique-se de que as seguintes portas estejam abertas:
Porta 443 para solicitações HTTP de entrada
Porta TCP/UDP 88 para a comunicação do Kerberos com o Active Directory
O Unified Access Gateway usa TCP para se comunicar com aplicativos de back-end. A porta apropriada na qual o back-end está escutando, por exemplo, porta TCP 8080.
Não há suporte para a configuração da ponte de identidade de tanto o SAML quanto o Certificado para Kerberos para duas diferentes instâncias de proxy reverso na mesma instância do Unified Access Gateway.
Não há suporte para instâncias de Proxy Reverso da Web com a autoridade de certificação e sem a autenticação baseada em certificado que não tem a ponte de identidade ativada no mesmo appliance.