启用身份桥接,配置服务的外部主机名,并下载 Unified Access Gateway 服务提供程序元数据文件。
该元数据文件将被上载到 VMware Identity Manager 服务的 Web 应用程序配置页面。
前提条件
已在 Unified Access Gateway 管理 UI 的“高级设置”部分中配置身份桥接设置。必须配置以下设置。
- 已将身份提供程序元数据上载到 Unified Access Gateway。
- 已配置 Kerberos 主体名称,并且已将 Keytab 文件上载到 Unified Access Gateway。
- 领域名称和密钥分发中心信息。
过程
- 在管理 UI 的“手动配置”部分中,单击选择。
- 在“常规设置”>“Edge 服务设置”行中,单击显示。
- 单击反向代理设置齿轮箱图标。
- 在“反向代理设置”页面中,单击添加以创建新的代理设置。
- 配置以下 Edge 服务设置。
| 选项 |
说明 |
| 标识符 |
将 Edge 服务标识符设置为 Web 反向代理。 |
| 实例 ID |
Web 反向代理实例的唯一名称。 |
| 代理目标 URL |
指定 Web 应用程序的内部 URI。Unified Access Gateway 必须能够解析和访问此 URL。 |
| 代理目标 URL 指纹 |
输入与此代理设置匹配的 URI。指纹采用 [alg=]xx:xx 格式,其中 alg 可以是 sha1、default 或 md5。“xx”是十六进制数字。例如,sha=C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3 如果未配置指纹,则必须由受信任的 CA 颁发服务器证书。 |
| 代理模式 |
(可选)指定主机模式。如果代理模式并非唯一,主机模式会告知 Unified Access Gateway 何时使用此代理设置转发流量。此设置通过客户端 Web 浏览器使用的 URL 确定。例如,输入为 (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*))。 |
- 在“启用身份桥接”部分中,将“否”更改为是。
- 配置以下身份桥接设置。
| 选项 |
说明 |
| 身份提供程序 |
在下拉菜单中,选择要使用的身份提供程序。 |
| Keytab |
在下拉菜单中,为该反向代理选择已配置的 Keytab。 |
| 目标服务主体名称 |
输入 Kerberos 服务主体名称。每个主体始终采用领域名称进行完全限定。例如,myco_hostname@MYCOMPANY。以大写字母形式键入领域名称。如果您未向文本框中添加名称,则服务主体名称将派生自代理目标 URL 的主机名。 |
| 服务登录页面 |
在断言得到验证后,进入身份提供程序中用户被重定向到的页面。默认设置为 /。 |
| 用户标头名称 |
对于基于标头的身份验证,输入包含派生自断言的用户 ID 的 HTTP 标头名称。 |
- 在“下载 SP 元数据”部分中,单击下载。
保存服务提供程序元数据文件。
- 单击保存。
后续步骤
将 Unified Access Gateway 服务提供程序元数据文件添加到 VMware Identity Manager 服务中的 Web 应用程序配置页面。
