As configurações de proxy de certificado devem ser configuradas no serviço do Workspace ONE Access para gerenciar as solicitações de SSO móvel de Android.

Pré-requisitos

A configuração do proxy de certificado é necessária apenas para implantações locais do Workspace ONE Access para autenticação via SSO Móvel do Android.

  • O balanceador de carga está configurado corretamente.
  • Certificados carregados no serviço do Workspace ONE Access.
  • O serviço de proxy de certificado em execução no dispositivo do Workspace ONE Access.

Procedimento

  1. Faça login no console do Workspace ONE Access e navegue até a página Monitor > Resiliência.
  2. Clique em Configuração da VA no nó de serviço a ser configurado com o proxy de certificado.
  3. Clique em SSO Móvel.
  4. Habilite Proxy de Certificado e defina as configurações de CertProxy para solicitações de SSO Móvel do Android para o serviço do Workspace ONE Access.
    Opção Descrição
    Destino Forçado Quando a opção Destino Forçado é selecionada, um único nome de host ou endereço IP deve ser fornecido na caixa de texto Destino. Todas as solicitações de SSO de Android são enviadas para esse destino. Esse destino é o balanceador de carga ou o host local, dependendo da configuração do Workspace ONE Access.
    Destino Se a opção Destino Forçado estiver ativada, digite o nome do host ou o endereço IP a ser usado.

    Se a opção Destino Forçado não estiver selecionado, insira a lista de permissão de destinos aprovados que podem receber solicitações de SSO do Android. Os endereços na lista podem ser separados por um ponto e vírgula no formato CIDR, no formato de sub-rede delimitado por um espaço ou em um único IP.

    Origem do IP remoto

    Na lista, selecione a origem usada para obter o IP da instância CertProxy por meio da solicitação HTTP.

    Se um balanceador de carga estiver entre o proxy de certificado e o Workspace ONE Access, por exemplo, use o cabeçalho X-forwarded-For ou X-Real-Ip .

    Se o CertProxy estiver se comunicando diretamente com o Workspace ONE Access, use Solicitar Endereço Remoto.
    Número de balanceadores de carga Se o valor da Origem do IP Remoto for X-Forwarded-For, insira o número de balanceadores de carga que estão entre o serviço CertProxy e a instância do Workspace ONE Access.
    Lista de permissões da instância de proxy de certificado

    Configure uma lista de permissões de CertProxy com os endereços IP autorizados a receber solicitações de autenticação.

    Digite os endereços IP das instâncias CertProxy separados por ponto-e-vírgula, no formato CIDR, no formato de sub-rede delimitado por um espaço ou como um único IP. Se o destino estiver definido como localhost, adicione o endereço IP do localhost à lista. Ele é geralmente 127.0.0.1.
  5. Verifique se o valor de hash para a Chave de Proxy de Certificado e para a Chave de Proxy de Certificado (Identity Manager) são os mesmos. Verifique os arquivos de configuração cert-proxy.properties e runtime-config.properties.
    Essas duas caixas de texto são pré-preenchidas com o valor de hash das chaves de certificado do serviço de proxy de certificado e do serviço do Workspace ONE Access .
    Os hashes devem corresponder. Se os hashes não corresponderem, copie o valor de um serviço para outro nos arquivos de configuração.
  6. Defina a configuração de proxy de certificado para SSO de Android por meio do serviço do Workspace ONE Access .
    Opção Descrição
    Porta Normalmente, duas portas são configuradas para o proxy de certificado.

    A porta 5262 recebe a solicitação externa do dispositivo Android.

    A porta 5263 recebe a solicitação de administrador interno do serviço do Workspace ONE Access .

    Porta de Administração

    Se o número da porta configurado na caixa de texto Porta for a porta que recebe a solicitação interna do serviço do Workspace ONE Access para o certificado, ative Porta de Administração. Normalmente, a porta é 5263.

    Se essa porta não for usada para receber a solicitação interna, não habilite esse botão de rádio.

    Tipo de Certificado SSL O proxy de certificado SSO do Android é um serviço separado no dispositivo Workspace ONE Access. Selecione Passagem para reutilizar o certificado de passagem provisionado para o Workspace ONE Access na página Configurações do Appliance > Instalar Certificados SSL. Se um certificado diferente for necessário, selecione Personalizar e carregue o certificado na caixa de texto Cadeia de Certificados SSL.
  7. Para configurar outra porta, clique em Adicionar Porta e defina as configurações conforme descrito na etapa 6.
  8. Para salvar a configuração da porta, clique em Salvar.
  9. Quando você fizer alterações nesta página que afetem os certificados, clique em Reiniciar o serviço de Proxy de Certificado no topo da página.
    Clicar em Reiniciar o serviço de Proxy de Certificado pode exigir uma reinicialização do serviço do Workspace ONE Access.

O que Fazer Depois

Configure o serviço de proxy de certificado em cada nó. Se o serviço de proxy de certificado estiver configurado no primeiro dispositivo, quando você clonar o serviço do Workspace ONE Access no dispositivo, a maioria das configurações de proxy será definida. Para verificar se as configurações do proxy de certificado estão definidas corretamente, você pode verificar o arquivo runtime-config.properties.