Para configurar alta disponibilidade para autenticação Kerberos no Workspace ONE Access, é necessário um balanceador de carga. Depois de instalar e configurar as instâncias do serviço de Autenticação Kerberos, instale um balanceador de carga na sua rede interna dentro do firewall e adicione os hosts de serviço de Autenticação Kerberos a ele.

Você também deve estabelecer a confiança SSL entre o balanceador de carga e os hosts do serviço de Autenticação Kerberos e alterar o valor do nome do host IdP no IDP do espaço de trabalho para a autenticação Kerberos.

Configurações do balanceador de carga

Defina essas configurações no balanceador de carga:

  • Tempo limite do balanceador de carga

    Talvez você precise aumentar o padrão do tempo limite de solicitação do balanceador de carga. O valor é definido em minutos. Caso a configuração do tempo-limite seja muito baixa, talvez você veja este erro.

    Erro 502: O serviço está temporariamente indisponível

Requisito de certificado para o Connector

Cada Workspace ONE Access Connector no qual o serviço de Autenticação Kerberos está instalado deve ter um certificado SSL confiável. Embora você possa usar o certificado autoassinado e gerado pelo Workspace ONE Access Connector para fins de teste, para uso de produção recomendamos que você use certificados SSL confiáveis assinados por uma CA pública ou interna.

Carregar o certificado raiz do Workspace ONE Access Connector no balanceador de carga

Para estabelecer a confiança entre o balanceador de carga e o host de serviço de Autenticação Kerberos, carregue no balanceador de carga o certificado raiz da CA do conector.

Se você estiver usando o certificado autoassinado gerado pelo Workspace ONE Access Connector, poderá obter o certificado raiz, root_ca.per, em INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf.

Carregar o certificado raiz do balanceador de carga no Workspace ONE Access Connector

Para estabelecer a confiança entre o balanceador de carga e o host de serviço de Autenticação Kerberos, carregue em cada host de serviço de Autenticação Kerberos o certificado raiz da CA do balanceador de carga.

Para carregar o certificado, execute o instalador do Workspace ONE Access Connector e adicione o certificado na página Instalar Certificados Raiz Confiáveis.
Página Instalar Certificado Raiz Confiável no assistente de instalação

Atualizar URL de Autenticação

  1. Selecione Integrações > Provedores de Identidade.
  2. Selecione o IDP do Workspace que tem o método de autenticação Kerberos configurado.
  3. Na caixa de texto Nome do Host IdP, altere o nome do host do nome de host do conector para o nome do host do balanceador de carga.

    Por exemplo: meubc.exemplo.com

    Observação: Se o balanceador de carga não estiver em execução na porta padrão, especifique o número da porta. Por exemplo, mylb.example.com:443.