启用身份桥接,配置服务的外部主机名,并下载 Unified Access Gateway 服务提供程序元数据文件。
该元数据文件将被上载到 VMware Workspace ONE Access 服务中的 Web 应用程序配置页面。
前提条件
- 如果向身份提供程序进行身份验证的用户与在 UAG 上配置的 Kerberos 领域相比属于不同的 Active Directory 域,请更新身份提供程序配置,以便在 SAML 响应中返回具有值
<username>@<domain>
的自定义 SAML 属性“upn”。
应从身份提供程序获得“upn”属性的 SAML 断言示例
<saml:AttributeStatement>
<saml:Attribute Name="upn" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
<saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">[email protected]</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
- 您必须已在 Unified Access Gateway 管理控制台中配置了以下身份桥接设置。您可以在高级设置部分下找到这些设置。
- 已将身份提供程序元数据上载到 Unified Access Gateway
- 已配置 Kerberos 主体名称,并且已将 Keytab 文件上载到 Unified Access Gateway
- 领域名称和密钥分发中心信息。
- 确保打开了 TCP/UDP 端口 88,因为 Unified Access Gateway 使用该端口与 Active Directory 进行 Kerberos 通信。
过程
- 在管理 UI 的手动配置部分中,单击选择。
- 在行中,单击显示。
- 单击反向代理设置齿轮箱图标。
- 在反向代理设置页面中,单击添加以创建代理设置。
- 打开启用反向代理设置切换开关,并配置以下 Edge 服务设置。
选项 |
说明 |
标识符 |
Edge 服务标识符设置为 Web 反向代理。 |
实例 ID |
Web 反向代理实例的唯一名称。 |
代理目标 URL |
指定 Web 应用程序的内部 URI。Unified Access Gateway 必须能够解析和访问此 URL。 |
代理目标 URL 指纹 |
输入与此代理设置匹配的 URI。指纹的格式为 [alg=]xx:xx。“xx”是十六进制数字。 如果未配置指纹,则必须由受信任的 CA 颁发服务器证书。 |
代理模式 |
输入转发到目标 URL 的匹配 URI 路径。例如,输入为 (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*))。 注意:配置多个反向代理时,请在代理主机模式中提供主机名。 |
- 要配置其他高级设置,请单击更多。
选项 |
说明 |
身份验证方法 |
默认设置是使用用户名和密码的直通身份验证。将在下拉菜单中列出在 Unified Access Gateway 中配置的身份验证方法。支持 RSA SecurID、RADIUS 和设备证书身份验证方法。 |
运行状况检查 URI 路径 |
Unified Access Gateway 会连接到此 URI 路径以检查您的 Web 应用程序的运行状况。 |
SAML SP |
将 Unified Access Gateway 配置为 Workspace ONE Access 的经验证反向代理时是必需的。输入 View XML API 代理的 SAML 服务提供程序名称。该名称必须与使用 Unified Access Gateway 配置的服务提供程序的名称相匹配,或者是特殊值 DEMO。如果存在多个使用 Unified Access Gateway 配置的服务提供程序,它们的名称必须是唯一的。 |
外部 URL |
默认值为 Unified Access Gateway 主机 URL 和端口 443。您可以输入其他外部 URL。输入时应采用以下格式:https://<host:port>. |
不安全模式 |
输入已知的 Workspace ONE Access 重定向模式。例如: (/|/catalog-portal(.*)|/|/SAAS/|/SAAS|/SAAS/API/1.0/GET/image(.*)|/SAAS/horizon/css(.*)|/SAAS/horizon/angular(.*)|/SAAS/horizon/js(.*)|/SAAS/horizon/js-lib(.*)|/SAAS/auth/login(.*)|/SAAS/jersey/manager/api/branding|/SAAS/horizon/images/(.*)|/SAAS/jersey/manager/api/images/(.*)|/hc/(.*)/authenticate/(.*)|/hc/static/(.*)|/SAAS/auth/saml/response|/SAAS/auth/authenticatedUserDispatcher|/web(.*)|/SAAS/apps/|/SAAS/horizon/portal/(.*)|/SAAS/horizon/fonts(.*)|/SAAS/API/1.0/POST/sso(.*)|/SAAS/API/1.0/REST/system/info(.*)|/SAAS/API/1.0/REST/auth/cert(.*)|/SAAS/API/1.0/REST/oauth2/activate(.*)|/SAAS/API/1.0/GET/user/devices/register(.*)|/SAAS/API/1.0/oauth2/token(.*)|/SAAS/API/1.0/REST/oauth2/session(.*)|/SAAS/API/1.0/REST/user/resources(.*)|/hc/t/(.*)/(.*)/authenticate(.*)|/SAAS/API/1.0/REST/auth/logout(.*)|/SAAS/auth/saml/response(.*)|/SAAS/(.*)/(.*)auth/login(.*)|/SAAS/API/1.0/GET/apps/launch(.*)|/SAAS/API/1.0/REST/user/applications(.*)|/SAAS/auth/federation/sso(.*)|/SAAS/auth/oauth2/authorize(.*)|/hc/prepareSaml/failure(.*)|/SAAS/auth/oauthtoken(.*)|/SAAS/API/1.0/GET/metadata/idp.xml|/SAAS/auth/saml/artifact/resolve(.*)|/hc/(.*)/authAdapter(.*)|/hc/authenticate/(.*)|/SAAS/auth/logout|/SAAS/common.js|/SAAS/auth/launchInput(.*)|/SAAS/launchUsersApplication.do(.*)|/hc/API/1.0/REST/thinapp/download(.*)|/hc/t/(.*)/(.*)/logout(.*)|/SAAS/auth/wsfed/services(.*)|/SAAS/auth/wsfed/active/logon(.*)) |
身份验证 Cookie |
输入身份验证 Cookie 名称。例如:HZN |
登录重定向 URL |
如果用户注销了门户,输入此重定向 URL 可重新登录。例如:/SAAS/auth/login?dest=%s |
代理主机模式 |
外部主机名,用于检查入站主机,以确定它是否匹配该实例的模式。在配置 Web 反向代理实例时,主机模式是可选的。 |
受信任证书 |
- 单击 + 可选择 PEM 格式的证书并将其添加到信任存储中。
- 要提供其他名称,请编辑别名文本框。
默认情况下,别名是 PEM 证书的文件名。
- 单击 - 可从信任存储中移除证书。
|
响应安全标头 |
单击“+”可添加标头。输入安全标头的名称。输入值。单击“-”可移除标头。编辑现有安全标头可更新标头的名称和值。
重要说明: 只有在单击
保存后,才会保存标头的名称和值。默认情况下会显示一些标准安全标头。仅当来自所配置的后端服务器的响应中未提供所配置的标头时,才会将相应标头添加到对客户端的
Unified Access Gateway 响应中。
注: 修改安全响应标头时应小心谨慎。修改这些参数可能会影响
Unified Access Gateway 的安全功能。
|
主机条目 |
输入要添加到 /etc/hosts 文件中的详细信息。每个条目均应按顺序包含一个 IP、一个主机名和一个可选主机名别名,并且以空格分隔。例如,10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias。单击“+”号可添加多个主机条目。
重要说明: 只有在您单击
保存后,才会保存主机条目。
|
- 打开启用身份桥接切换开关。
- 配置以下身份桥接设置。
选项 |
说明 |
身份验证类型 |
选择“SAML”。 |
SAML 属性 |
作为请求标头传递的 SAML 属性列表。仅当打开启用身份桥接,并将身份验证类型设置为 SAML 时,此选项才可见。单击“+”可添加 SAML 属性以作为标头的一部分。 |
SAML 受众 |
确保已选择 SAML 身份验证类型。
输入受众 URL。
注: 如果将此文本框留空,受众将不受限制。
要了解 UAG 支持 SAML 受众的方式,请参阅SAML 受众。 |
身份提供程序 |
从下拉菜单中,选择“身份提供程序”。 |
Keytab |
在下拉菜单中,为该反向代理选择已配置的 Keytab。 |
目标服务主体名称 |
输入 Kerberos 服务主体名称。每个主体始终采用领域名称进行完全限定。例如,myco_hostname@MYCOMPANY。以大写字母形式键入领域名称。如果您未向文本框中添加名称,则服务主体名称将派生自代理目标 URL 的主机名。 |
服务登录页面 |
在断言得到验证后,进入身份提供程序中用户被重定向到的页面。默认设置为 / 。 |
用户标头名称 |
对于基于标头的身份验证,输入包含派生自断言的用户 ID 的 HTTP 标头名称。 |
- 在“下载 SP 元数据”部分中,单击下载。
保存服务提供程序元数据文件。
- 单击保存。
下一步做什么
将 Unified Access Gateway 服务提供程序元数据文件添加到 Workspace ONE Access 服务中的 Web 应用程序配置页面。