启用身份桥接,配置服务的外部主机名,并下载 Unified Access Gateway 服务提供程序元数据文件。

该元数据文件将被上载到 VMware Identity Manager 服务的 Web 应用程序配置页面。

前提条件

已在 Unified Access Gateway 管理 UI 的“高级设置”部分中配置身份桥接设置。必须配置以下设置。

  • 已将身份提供程序元数据上载到 Unified Access Gateway
  • 已配置 Kerberos 主体名称,并且已将 Keytab 文件上载到 Unified Access Gateway
  • 领域名称和密钥分发中心信息。

过程

  1. 在管理 UI 的“手动配置”部分中,单击选择
  2. 在“常规设置”>“Edge 服务设置”行中,单击显示
  3. 单击反向代理设置齿轮箱图标。
  4. 在“反向代理设置”页面中,单击添加以创建新的代理设置。
  5. 配置以下 Edge 服务设置。
    选项 说明
    标识符 将 Edge 服务标识符设置为 Web 反向代理。
    实例 ID Web 反向代理实例的唯一名称。
    代理目标 URL 指定 Web 应用程序的内部 URI。Unified Access Gateway 必须能够解析和访问此 URL。
    代理目标 URL 指纹 输入与此代理设置匹配的 URI。指纹采用 [alg=]xx:xx 格式,其中 alg 可以是 sha1、default 或 md5。“xx”是十六进制数字。例如,sha=C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3

    如果未配置指纹,则必须由受信任的 CA 颁发服务器证书。

    代理模式 (可选)指定主机模式。如果代理模式并非唯一,主机模式会告知 Unified Access Gateway 何时使用此代理设置转发流量。此设置通过客户端 Web 浏览器使用的 URL 确定。例如,输入为 (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*))
  6. 在“启用身份桥接”部分中,将“否”更改为
  7. 配置以下身份桥接设置。
    选项 说明
    身份提供程序 在下拉菜单中,选择要使用的身份提供程序。
    Keytab 在下拉菜单中,为该反向代理选择已配置的 Keytab。
    目标服务主体名称 输入 Kerberos 服务主体名称。每个主体始终采用领域名称进行完全限定。例如,myco_hostname@MYCOMPANY。以大写字母形式键入领域名称。如果您未向文本框中添加名称,则服务主体名称将派生自代理目标 URL 的主机名。
    服务登录页面 在断言得到验证后,进入身份提供程序中用户被重定向到的页面。默认设置为 /
    用户标头名称 对于基于标头的身份验证,输入包含派生自断言的用户 ID 的 HTTP 标头名称。
  8. 在“下载 SP 元数据”部分中,单击下载
    保存服务提供程序元数据文件。
  9. 单击保存

后续步骤

Unified Access Gateway 服务提供程序元数据文件添加到 VMware Identity Manager 服务中的 Web 应用程序配置页面。