Para configurar alta disponibilidade para autenticação Kerberos no Workspace ONE Access, é necessário um balanceador de carga. Depois de instalar e configurar as instâncias do serviço de Autenticação Kerberos, instale um balanceador de carga na sua rede interna dentro do firewall e adicione os hosts de serviço de Autenticação Kerberos a ele.
Você também deve estabelecer a confiança SSL entre o balanceador de carga e os hosts do serviço de Autenticação Kerberos e alterar o valor do nome do host IdP no IDP do espaço de trabalho para a autenticação Kerberos.
Configurações do balanceador de carga
Defina essas configurações no balanceador de carga:
- Tempo limite do balanceador de carga
Talvez você precise aumentar o padrão do tempo limite de solicitação do balanceador de carga. O valor é definido em minutos. Caso a configuração do tempo-limite seja muito baixa, talvez você veja este erro.
Erro 502: O serviço está temporariamente indisponível
Requisito de certificado para o Connector
Cada Workspace ONE Access Connector no qual o serviço de Autenticação Kerberos está instalado deve ter um certificado SSL confiável. Embora você possa usar o certificado autoassinado e gerado pelo Workspace ONE Access Connector para fins de teste, para uso de produção recomendamos que você use certificados SSL confiáveis assinados por uma CA pública ou interna.
Carregar o certificado raiz do Workspace ONE Access Connector no balanceador de carga
Para estabelecer a confiança entre o balanceador de carga e o host de serviço de Autenticação Kerberos, carregue no balanceador de carga o certificado raiz da CA do conector.
Se você estiver usando o certificado autoassinado gerado pelo Workspace ONE Access Connector, poderá obter o certificado raiz, root_ca.per, em INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf.
Carregar o certificado raiz do balanceador de carga no Workspace ONE Access Connector
Para estabelecer a confiança entre o balanceador de carga e o host de serviço de Autenticação Kerberos, carregue em cada host de serviço de Autenticação Kerberos o certificado raiz da CA do balanceador de carga.
Atualizar URL de Autenticação
- Selecione .
- Selecione o IDP do Workspace que tem o método de autenticação Kerberos configurado.
- Na caixa de texto Nome do Host IdP, altere o nome do host do nome de host do conector para o nome do host do balanceador de carga.
Por exemplo: meubc.exemplo.com
Observação: Se o balanceador de carga não estiver em execução na porta padrão, especifique o número da porta. Por exemplo, mylb.example.com:443.