您可以配置 Web 反向代理服务,以便将 Unified Access GatewayWorkspace ONE Access 一起使用。

前提条件

请注意使用 Workspace ONE Access 进行部署时的以下要求:

  • 拆分 DNS。在外部,主机名必须解析为 Unified Access Gateway 的 IP 地址。在内部,在 Unified Access Gateway 上,相同的主机名必须通过内部 DNS 映射或 Unified Access Gateway 上的主机名条目解析为实际 Web 服务器。
    注: 如果仅使用 Web 反向代理进行部署,则不需要配置身份桥接。
  • Workspace ONE Access 服务必须使用完全限定域名 (Fully Qualified Domain Name, FQDN) 作为主机名。
  • Unified Access Gateway 必须使用内部 DNS。这意味着,代理目标 URL 必须使用 FQDN。
  • 如果在 Unified Access Gateway 实例中设置了多个反向代理,则 Web 反向代理实例的代理模式和代理主机模式组合必须是唯一的。
  • 已配置的所有反向代理的主机名必须解析为与 Unified Access Gateway 实例 IP 地址相同的 IP 地址。
  • 有关高级 Edge 服务设置的信息,请参阅高级 Edge 服务设置

过程

  1. 在管理 UI 的手动配置部分中,单击选择
  2. 常规设置 > Edge 服务设置中,单击显示
  3. 单击反向代理设置齿轮箱图标。
  4. 反向代理设置页中,单击添加
  5. 打开启用反向代理设置切换开关以启用反向代理。
  6. 配置以下 Edge 服务设置。
    选项 说明
    标识符 将 Edge 服务标识符设置为 Web 反向代理。
    实例 ID 唯一名称,用于识别和区分一个 Web 反向代理实例和所有其他 Web 反向代理实例。
    代理目标 URL 输入 Web 应用程序的地址(通常为后端 URL)。例如,对于 Workspace ONE Access,请在客户端计算机上添加 IP 地址、Workspace ONE Access 主机名和外部 DNS。在管理 UI 中,添加 IP 地址、Workspace ONE Access 主机名和内部 DNS。
    代理目标 URL 指纹 proxyDestination URL 输入可接受的 SSL 服务器证书指纹列表。如果指定了 *,则可以接受任何证书。指纹的格式为 [alg=]xx:xxxx 是十六进制数字。“:”分隔符还可以是空格,也可以缺失。指纹不区分大小写。例如:

    sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:be:78:ed:ff:50:23:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db

    如果未配置指纹,则必须由受信任的 CA 颁发服务器证书。

    代理模式 输入转发到目标 URL 的匹配 URI 路径。例如,输入为 (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*))
    注: 在配置多个反向代理时,请在代理主机模式中提供主机名。
  7. 要配置其他高级设置,请单击更多
    选项 说明
    身份验证方法

    默认设置是使用用户名和密码的直通身份验证。将在下拉菜单中列出在 Unified Access Gateway 中配置的身份验证方法。支持 RSA SecurID、RADIUS 和设备证书身份验证方法。

    运行状况检查 URI 路径 Unified Access Gateway 会连接到此 URI 路径以检查您的 Web 应用程序的运行状况。
    SAML SP

    Unified Access Gateway 配置为 Workspace ONE Access 的经验证反向代理时是必需的。输入 View XML API 代理的 SAML 服务提供程序名称。该名称必须与使用 Unified Access Gateway 配置的服务提供程序的名称相匹配,或者是特殊值 DEMO。如果存在多个使用 Unified Access Gateway 配置的服务提供程序,它们的名称必须是唯一的。

    外部 URL 默认值为 Unified Access Gateway 主机 URL 和端口 443。您可以输入其他外部 URL。输入时应采用以下格式:https://<host:port>.
    不安全模式 输入已知的 Workspace ONE Access 重定向模式。例如: (/|/catalog-portal(.*)|/|/SAAS/|/SAAS|/SAAS/API/1.0/GET/image(.*)|/SAAS/horizon/css(.*)|/SAAS/horizon/angular(.*)|/SAAS/horizon/js(.*)|/SAAS/horizon/js-lib(.*)|/SAAS/auth/login(.*)|/SAAS/jersey/manager/api/branding|/SAAS/horizon/images/(.*)|/SAAS/jersey/manager/api/images/(.*)|/hc/(.*)/authenticate/(.*)|/hc/static/(.*)|/SAAS/auth/saml/response|/SAAS/auth/authenticatedUserDispatcher|/web(.*)|/SAAS/apps/|/SAAS/horizon/portal/(.*)|/SAAS/horizon/fonts(.*)|/SAAS/API/1.0/POST/sso(.*)|/SAAS/API/1.0/REST/system/info(.*)|/SAAS/API/1.0/REST/auth/cert(.*)|/SAAS/API/1.0/REST/oauth2/activate(.*)|/SAAS/API/1.0/GET/user/devices/register(.*)|/SAAS/API/1.0/oauth2/token(.*)|/SAAS/API/1.0/REST/oauth2/session(.*)|/SAAS/API/1.0/REST/user/resources(.*)|/hc/t/(.*)/(.*)/authenticate(.*)|/SAAS/API/1.0/REST/auth/logout(.*)|/SAAS/auth/saml/response(.*)|/SAAS/(.*)/(.*)auth/login(.*)|/SAAS/API/1.0/GET/apps/launch(.*)|/SAAS/API/1.0/REST/user/applications(.*)|/SAAS/auth/federation/sso(.*)|/SAAS/auth/oauth2/authorize(.*)|/hc/prepareSaml/failure(.*)|/SAAS/auth/oauthtoken(.*)|/SAAS/API/1.0/GET/metadata/idp.xml|/SAAS/auth/saml/artifact/resolve(.*)|/hc/(.*)/authAdapter(.*)|/hc/authenticate/(.*)|/SAAS/auth/logout|/SAAS/common.js|/SAAS/auth/launchInput(.*)|/SAAS/launchUsersApplication.do(.*)|/hc/API/1.0/REST/thinapp/download(.*)|/hc/t/(.*)/(.*)/logout(.*)|/SAAS/auth/wsfed/services(.*)|/SAAS/auth/wsfed/active/logon(.*))
    身份验证 Cookie 输入身份验证 Cookie 名称。例如:HZN
    登录重定向 URL 如果用户注销了门户,输入此重定向 URL 可重新登录。例如:/SAAS/auth/login?dest=%s
    代理主机模式 外部主机名,用于检查入站主机,以确定它是否匹配该实例的模式。在配置 Web 反向代理实例时,主机模式是可选的。
    受信任证书
    • 单击 + 可选择 PEM 格式的证书并将其添加到信任存储中。
    • 要提供其他名称,请编辑别名文本框。

      默认情况下,别名是 PEM 证书的文件名。

    • 单击 - 可从信任存储中移除证书。
    响应安全标头 单击“+”可添加标头。输入安全标头的名称。输入值。单击“-”可移除标头。编辑现有安全标头可更新标头的名称和值。
    重要说明: 只有在单击 保存后,才会保存标头的名称和值。默认情况下会显示一些标准安全标头。仅当来自所配置的后端服务器的响应中未提供所配置的标头时,才会将相应标头添加到对客户端的 Unified Access Gateway 响应中。
    注: 修改安全响应标头时应小心谨慎。修改这些参数可能会影响 Unified Access Gateway 的安全功能。
    主机条目 输入要添加到 /etc/hosts 文件中的详细信息。每个条目均应按顺序包含一个 IP、一个主机名和一个可选主机名别名,并且以空格分隔。例如,10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias。单击“+”号可添加多个主机条目。
    重要说明: 只有在您单击 保存后,才会保存主机条目。
    注: UnSecure PatternAuth CookieLogin Redirect URL 选项仅适用于 Workspace ONE Access
    注: “身份验证 Cookie”和“不安全模式”属性对身份验证反向代理无效。您必须使用 Auth Methods 属性来定义身份验证方法。
  8. 单击保存

下一步做什么

要启用身份桥接,请参阅配置身份桥接设置