您可以配置 Web 反向代理服务,以便将 Unified Access Gateway 与 Workspace ONE Access 一起使用。
前提条件
请注意使用 Workspace ONE Access 进行部署时的以下要求:
过程
- 在管理 UI 的手动配置部分中,单击选择。
- 在中,单击显示。
- 单击反向代理设置齿轮箱图标。
- 在反向代理设置页中,单击添加。
- 打开启用反向代理设置切换开关以启用反向代理。
- 配置以下 Edge 服务设置。
| 选项 |
说明 |
| 标识符 |
将 Edge 服务标识符设置为 Web 反向代理。 |
| 实例 ID |
唯一名称,用于识别和区分一个 Web 反向代理实例和所有其他 Web 反向代理实例。 |
| 代理目标 URL |
输入 Web 应用程序的地址(通常为后端 URL)。例如,对于 Workspace ONE Access,请在客户端计算机上添加 IP 地址、Workspace ONE Access 主机名和外部 DNS。在管理 UI 中,添加 IP 地址、Workspace ONE Access 主机名和内部 DNS。 |
| 代理目标 URL 指纹 |
为 proxyDestination URL 输入可接受的 SSL 服务器证书指纹列表。如果指定了 *,则可以接受任何证书。指纹的格式为 [alg=]xx:xx。xx 是十六进制数字。“:”分隔符还可以是空格,也可以缺失。指纹不区分大小写。例如: sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:be:78:ed:ff:50:23:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db 如果未配置指纹,则必须由受信任的 CA 颁发服务器证书。 |
| 代理模式 |
输入转发到目标 URL 的匹配 URI 路径。例如,输入为 (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*))。
注: 在配置多个反向代理时,请在代理主机模式中提供主机名。
|
- 要配置其他高级设置,请单击更多。
| 选项 |
说明 |
| 身份验证方法 |
默认设置是使用用户名和密码的直通身份验证。将在下拉菜单中列出在 Unified Access Gateway 中配置的身份验证方法。支持 RSA SecurID、RADIUS 和设备证书身份验证方法。 |
| 运行状况检查 URI 路径 |
Unified Access Gateway 会连接到此 URI 路径以检查您的 Web 应用程序的运行状况。 |
| SAML SP |
将 Unified Access Gateway 配置为 Workspace ONE Access 的经验证反向代理时是必需的。输入 View XML API 代理的 SAML 服务提供程序名称。该名称必须与使用 Unified Access Gateway 配置的服务提供程序的名称相匹配,或者是特殊值 DEMO。如果存在多个使用 Unified Access Gateway 配置的服务提供程序,它们的名称必须是唯一的。 |
| 外部 URL |
默认值为 Unified Access Gateway 主机 URL 和端口 443。您可以输入其他外部 URL。输入时应采用以下格式:https://<host:port>. |
| 不安全模式 |
输入已知的 Workspace ONE Access 重定向模式。例如: (/|/catalog-portal(.*)|/|/SAAS/|/SAAS|/SAAS/API/1.0/GET/image(.*)|/SAAS/horizon/css(.*)|/SAAS/horizon/angular(.*)|/SAAS/horizon/js(.*)|/SAAS/horizon/js-lib(.*)|/SAAS/auth/login(.*)|/SAAS/jersey/manager/api/branding|/SAAS/horizon/images/(.*)|/SAAS/jersey/manager/api/images/(.*)|/hc/(.*)/authenticate/(.*)|/hc/static/(.*)|/SAAS/auth/saml/response|/SAAS/auth/authenticatedUserDispatcher|/web(.*)|/SAAS/apps/|/SAAS/horizon/portal/(.*)|/SAAS/horizon/fonts(.*)|/SAAS/API/1.0/POST/sso(.*)|/SAAS/API/1.0/REST/system/info(.*)|/SAAS/API/1.0/REST/auth/cert(.*)|/SAAS/API/1.0/REST/oauth2/activate(.*)|/SAAS/API/1.0/GET/user/devices/register(.*)|/SAAS/API/1.0/oauth2/token(.*)|/SAAS/API/1.0/REST/oauth2/session(.*)|/SAAS/API/1.0/REST/user/resources(.*)|/hc/t/(.*)/(.*)/authenticate(.*)|/SAAS/API/1.0/REST/auth/logout(.*)|/SAAS/auth/saml/response(.*)|/SAAS/(.*)/(.*)auth/login(.*)|/SAAS/API/1.0/GET/apps/launch(.*)|/SAAS/API/1.0/REST/user/applications(.*)|/SAAS/auth/federation/sso(.*)|/SAAS/auth/oauth2/authorize(.*)|/hc/prepareSaml/failure(.*)|/SAAS/auth/oauthtoken(.*)|/SAAS/API/1.0/GET/metadata/idp.xml|/SAAS/auth/saml/artifact/resolve(.*)|/hc/(.*)/authAdapter(.*)|/hc/authenticate/(.*)|/SAAS/auth/logout|/SAAS/common.js|/SAAS/auth/launchInput(.*)|/SAAS/launchUsersApplication.do(.*)|/hc/API/1.0/REST/thinapp/download(.*)|/hc/t/(.*)/(.*)/logout(.*)|/SAAS/auth/wsfed/services(.*)|/SAAS/auth/wsfed/active/logon(.*)) |
| 身份验证 Cookie |
输入身份验证 Cookie 名称。例如:HZN |
| 登录重定向 URL |
如果用户注销了门户,输入此重定向 URL 可重新登录。例如:/SAAS/auth/login?dest=%s |
| 代理主机模式 |
外部主机名,用于检查入站主机,以确定它是否匹配该实例的模式。在配置 Web 反向代理实例时,主机模式是可选的。 |
| 受信任证书 |
- 单击 + 可选择 PEM 格式的证书并将其添加到信任存储中。
- 要提供其他名称,请编辑别名文本框。
默认情况下,别名是 PEM 证书的文件名。
- 单击 - 可从信任存储中移除证书。
|
| 响应安全标头 |
单击“+”可添加标头。输入安全标头的名称。输入值。单击“-”可移除标头。编辑现有安全标头可更新标头的名称和值。
重要说明: 只有在单击
保存后,才会保存标头的名称和值。默认情况下会显示一些标准安全标头。仅当来自所配置的后端服务器的响应中未提供所配置的标头时,才会将相应标头添加到对客户端的
Unified Access Gateway 响应中。
注: 修改安全响应标头时应小心谨慎。修改这些参数可能会影响
Unified Access Gateway 的安全功能。
|
| 主机条目 |
输入要添加到 /etc/hosts 文件中的详细信息。每个条目均应按顺序包含一个 IP、一个主机名和一个可选主机名别名,并且以空格分隔。例如,10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias。单击“+”号可添加多个主机条目。
重要说明: 只有在您单击
保存后,才会保存主机条目。
|
注:
UnSecure Pattern、
Auth Cookie 和
Login Redirect URL 选项仅适用于
Workspace ONE Access。
注: “身份验证 Cookie”和“不安全模式”属性对身份验证反向代理无效。您必须使用
Auth Methods 属性来定义身份验证方法。
- 单击保存。
下一步做什么
要启用身份桥接,请参阅配置身份桥接设置。
