使用 Workspace ONE UEM 的内部部署安装时,API 服务器通常安装在防火墙后面,无需 Internet 接入。要安全地使用 Workspace ONE Intelligence 自动化功能,您可以在 Unified Access Gateway 中配置 Web 反向代理 Edge 服务以仅允许访问 API 服务,这样便可对设备、用户和其他资源执行操作。

前提条件

  • UEM API 服务必须使用完全限定域名 (Fully Qualified Domain Name, FQDN) 作为主机名。
  • Unified Access Gateway 必须使用内部 DNS。这意味着,代理目标 URL 必须使用 FQDN。
  • 如果在 Unified Access Gateway 实例中设置了多个反向代理,Web 反向代理实例的代理模式和代理主机模式组合必须是唯一的。
  • 已配置的所有反向代理的主机名将解析为与 Unified Access Gateway 实例 IP 地址相同的 IP 地址。
  • 有关高级 Edge 服务设置的详细信息,请参阅高级 Edge 服务设置

过程

  1. 在管理 UI 的“手动配置”部分中,单击选择
  2. 常规设置中,打开 Edge 服务设置切换开关。
  3. 单击反向代理设置齿轮箱图标。
  4. 在“反向代理设置”页中,单击添加
  5. 打开启用反向代理设置切换开关以启用反向代理。
  6. 配置以下 Edge 服务设置。
    选项 说明
    标识符 将 Edge 服务标识符设置为 Web 反向代理。
    实例 ID 唯一名称,用于识别和区分一个 Web 反向代理实例和所有其他 Web 反向代理实例。
    代理目标 URL 输入 Web 应用程序的地址(通常为后端 URL)。例如,对于 Workspace ONE UEM API 服务器,该地址可能是与您的控制台登录不同的 URL/IP 地址。您可以通过在 UEM 设置页面中的设置 > 系统 > 高级 > API > REST API > REST API URL 下进行检查来验证此情况。
    代理目标 URL 指纹 proxyDestination URL 输入可接受的 SSL 服务器证书指纹列表。如果指定了 *,则可以接受任何证书。指纹采用 [alg=]xx:xx 格式,其中 alg 可以是 sha1(默认值)或 md5xx 是十六进制数字。“:”分隔符还可以是空格,也可以缺失。指纹不区分大小写。例如:

    sha1=B6 77 DC 9C 19 94 2E F1 78 F0 AD 4B EC 85 D1 7A F8 8B DC 34

    sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:be:78:ed:ff:50:23:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db

    如果未配置指纹,则必须由受信任的 CA 颁发服务器证书。
    代理模式 输入转发到目标 URL 的匹配 URI 路径。对于 Workspace ONE UEM API,请使用:(/API(.*)|/api(.*)|/Api(.*)|)
    注: 在配置多个反向代理时,请在代理主机模式中提供主机名。
  7. 要配置其他高级设置,请单击更多
    选项 说明
    身份验证方法

    默认设置是使用用户名和密码的直通身份验证。将在下拉菜单中列出在 Unified Access Gateway 中配置的身份验证方法。支持 SecurIDRADIUSPassthroughX.509 Certificate 身份验证方法。

    外部 URL 默认值为 Unified Access Gateway 主机 URL 和端口 443。您可以输入其他外部 URL。输入时应采用以下格式:https://<host:port>.
    注:

    使用负载均衡器后面的 Unified Access Gateway 时,请在此字段中输入负载均衡器 URL。

    代理主机模式 外部主机名,用于检查入站主机,以确定它是否匹配该特定实例的模式。在配置 Web 反向代理实例时,主机模式是可选的。
    受信任证书
    • 单击 + 可选择 PEM 格式的证书并将其添加到信任存储中。
    • 要提供其他名称,请编辑别名文本框。

      默认情况下,别名是 PEM 证书的文件名。

    • 单击 - 可从信任存储中移除证书。
    主机条目 输入要添加到 /etc/hosts 文件中的详细信息。每个条目均应按顺序包含一个 IP、一个主机名和一个可选主机名别名,并且以空格分隔。例如,10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias。单击“+”号可添加多个主机条目。
    重要说明: 只有在您单击 保存后,才会保存主机条目。
  8. 单击保存

下一步做什么

要将 Workspace UEM API Connector 配置为与 Workspace ONE Intelligence 结合使用,请参阅 Workspace ONE Intelligence 文档中的自动化入门主题。使用为您的 Unified Access Gateway 配置的外部 URL,而不是 UEM REST API 内部服务器 URL。