结合云中的 Workspace ONE 客户端使用 Unified Access Gateway 身份桥接

身份桥接模式可设置为与云中的 Workspace ONE 结合使用来对用户进行身份验证。当用户请求访问旧版 Web 应用程序时，身份提供程序将应用适用的身份验证和授权策略。

在用户得到验证后，身份提供程序会创建一个 SAML 令牌并将其发送给用户。用户将 SAML 令牌传递到 DMZ 中的 Unified Access Gateway。Unified Access Gateway 验证 SAML 令牌并检索令牌中的用户主体名称。

如果请求需要进行 Kerberos 身份验证，则使用 Kerberos 约束委派来与 Active Directory 服务器协商。Unified Access Gateway 模拟用户检索 Kerberos 令牌以通过应用程序进行身份验证。

如果请求需要进行基于标头的身份验证，则将用户标头名称发送到 Web 服务器以请求通过应用程序进行身份验证。

应用程序将响应发回 Unified Access Gateway。然后响应将返回给用户。

结合内部部署的 Workspace ONE 客户端使用身份桥接

当身份桥接模式设置为通过内部部署环境中的 Workspace ONE 对用户进行身份验证时，用户需输入 URL 以通过 Unified Access Gateway 代理访问内部部署的旧版 Web 应用程序。Unified Access Gateway 将请求重定向到身份提供程序以进行身份验证。身份提供程序将身份验证和授权策略应用于请求。在用户得到验证后，身份提供程序会创建一个 SAML 令牌并将该令牌发送给用户。

用户将 SAML 令牌传递到 Unified Access Gateway。Unified Access Gateway 验证 SAML 令牌并检索令牌中的用户主体名称。

如果请求需要进行 Kerberos 身份验证，则使用 Kerberos 约束委派来与 Active Directory 服务器协商。Unified Access Gateway 模拟用户检索 Kerberos 令牌以通过应用程序进行身份验证。

如果请求需要进行基于标头的身份验证，则将用户标头名称发送到 Web 服务器以请求通过应用程序进行身份验证。

应用程序将响应发回 Unified Access Gateway。然后响应将返回给用户。

使用证书到 Kerberos 的身份桥接

您可以配置身份桥接，以便使用证书验证对内部部署的旧版非 SAML 应用程序进行单点登录 (SSO)。请参阅配置用于身份桥接（证书到 Kerberos）的 Web 反向代理。