Ao usar instalações locais do Workspace ONE UEM, o servidor de API é normalmente instalado atrás de um firewall sem acesso de entrada à Internet. Para usar com segurança os recursos de automação do Workspace ONE Intelligence, você pode configurar um serviço de borda de proxy reverso da Web dentro do Unified Access Gateway para permitir acesso apenas ao serviço de API, para que as ações possam ser realizadas em dispositivos, usuários e outros recursos.

Pré-requisitos

  • O serviço de API do UEM deve ter um nome de domínio totalmente qualificado (fully qualified domain name, FQDN) como o nome do host.
  • O Unified Access Gateway deve utilizar um DNS interno. Isso significa que a URL de destino do proxy deve usar um FQDN.
  • A combinação de padrão de proxy e o padrão de host de proxy para uma instância de proxy reverso da Web deverá ser exclusiva se houver vários configuração de proxies reversos em uma instância do Unified Access Gateway.
  • Os nomes de host de todos os proxies reversos configurados devem ser resolvidos para o mesmo endereço IP, que é o endereço IP da instância do Unified Access Gateway.
  • Para obter mais informações sobre as Configurações Avançadas do Serviço de Borda, consulte Configurações avançadas do serviço de borda.

Procedimento

  1. Na seção Configurar Manualmente da IU do administrador, clique em Selecionar.
  2. Nas Configurações Gerais > Configurações do Serviço de Borda, clique em Mostrar.
  3. Clique no ícone de engrenagem Configurações de Proxy Reverso.
  4. Na página de configuração do Proxy Reverso, clique em Adicionar.
  5. Na seção Configurações de Proxy Reverso, altere o NÃO para SIM para ativar o proxy reverso.
  6. Configurar as configurações do serviço de borda.
    Opção Descrição
    Identificador O identificador do serviço de borda é configurado como proxy reverso da Web.
    Identificação de instância O nome exclusivo para identificar e diferenciar uma instância de proxy reverso da Web de todas as demais instâncias de proxy reverso da Web.
    URL de destino do proxy Insira o endereço do aplicativo da Web, que geralmente é a URL de back-end. Por exemplo, para o servidor de API do Workspace ONE UEM, pode ser uma URL/Endereço IP diferente do seu login no console. Você pode verificar isso consultando as páginas de configurações do UEM em Configurações > Sistema > Avançado > API > REST API > URL da REST API.
    Impressões digitais da URL de destino do proxy Insira uma lista das impressões digitais do certificado do servidor SSL aceitáveis para a URL de proxyDestination. Se você especificar *, qualquer certificado será aceito. Uma impressão digital tem o formato [alg=]xx:xx, onde alg pode ser o padrão, sha1 ou md5. Os xx são dígitos hexadecimais. O separador ‘:’ também pode ser um espaço ou estar ausente. O caso em uma impressão digital é ignorado. Por exemplo:

    sha1=B6 77 DC 9C 19 94 2E F1 78 F0 AD 4B EC 85 D1 7A F8 8B DC 34

    sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:be:78:ed:ff:50:23:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db

    Se você não configurar as impressões digitais, os certificados do servidor deverão ser emitidos por uma Autoridade de Certificação (Certificate Authority, CA) confiável.

    Padrão de proxy Insira os caminhos de URI correspondentes que encaminham para a URL de destino. Para a API do Workspace ONE UEM, use: (/API(.*)|/api(.*)|/Api(.*)|).
    Observação: Ao configurar vários proxies reversos, forneça o nome do host no padrão de host do proxy.
  7. Para definir outras configurações avançadas, clique em Mais.
    Opção Descrição
    Métodos de autenticação

    O padrão é utilizar a autenticação de passagem do nome de usuário e senha. Os métodos de autenticação configurados no Unified Access Gateway estão listados nos menus suspensos. Os métodos de Autenticação de Certificado do Dispositivo, RSA SecurID e RADIUS são compatíveis.

    URL externa O valor padrão é a URL do host do Unified Access Gateway e a porta 443. É possível inserir uma outra URL externa. Digite como https://<host:port>.
    Observação:

    Ao usar o Unified Access Gateway por trás de um balanceador de carga, insira a URL do Balanceador de Carga neste campo.

    Padrão de host de proxy Nome de host externo usado para verificar o host que entra para verificar se combina com o padrão para aquela instância em particular. O padrão do host é opcional ao configurar instâncias de proxy reverso da Web.
    Certificados confiáveis Adicione um certificado confiável para este serviço de borda. Clique em '+' para selecionar um certificado no formato PEM e adicionar ao armazenamento de confiança. Clique em '-' para remover um certificado do armazenamento de confiança. Por padrão, o nome do alias é o nome do arquivo do certificado PEM. Edite a caixa de texto do alias para fornecer um nome diferente.
    Entradas de host Insira os detalhes a serem adicionados no arquivo /etc/hosts. Cada entrada deve incluir um IP, um nome de host e um pseudônimo de nome de host opcional nesta ordem, separados por um espaço. Por exemplo, 10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias. Clique no sinal de " +" para adicionar várias entradas de host.
    Importante: As entradas de host são salvas somente depois que você clicar em Salvar.
  8. Clique em Salvar.

O que Fazer Depois

Para configurar o Conector da API do Workspace UEM para uso com o Workspace ONE Intelligence, consulte o tópico Introdução às automações da documentação do Workspace ONE Intelligence. Use a URL externa configurada para o seu Unified Access Gateway em vez da URL do servidor interno da REST API do UEM.