您可以配置 Web 反向代理服务以将 Unified Access Gateway 与 VMware Identity Manager 一起使用。

先决条件

使用 VMware Identity Manager 进行部署的要求。

  • 拆分 DNS。拆分 DNS 可用于解析不同 IP 地址的名称,具体取决于 IP 是内部地址还是外部地址。

  • VMware Identity Manager 服务必须将完全限定域名 (Fully Qualified Domain Name, FQDN) 作为主机名。

  • Unified Access Gateway 必须使用内部 DNS。这意味着,代理目标 URL 必须使用 FQDN。

过程

  1. 在管理 UI 的“手动配置”部分中,单击选择
  2. 在“常规设置”>“Edge 服务设置”行中,单击显示
  3. 单击反向代理设置齿轮箱图标。
  4. 在“反向代理设置”页中,单击添加
  5. 在“启用反向代理设置”部分中,将“否”更改为以启用反向代理。
  6. 配置以下 Edge 服务设置。

    选项

    说明

    标识符

    将 Edge 服务标识符设置为 Web 反向代理。

    实例 ID

    唯一名称,用于识别和区分一个 Web 反向代理实例和所有其他 Web 反向代理实例。

    代理目标 URL

    输入 Web 应用程序的地址。

    代理目标 URL 指纹

    为 proxyDestination URL 输入可接受的 SSL 服务器证书指纹列表。如果包含通配符 *,则允许使用任何证书。指纹采用 [alg=]xx:xx 格式,其中 alg 可以是 sha1(默认)或 md5。“xx”是十六进制数字。“:”分隔符还可以是空格,也可以缺失。指纹不区分大小写。例如:

    sha1=B6 77 DC 9C 19 94 2E F1 78 F0 AD 4B EC 85 D1 7A F8 8B DC 34,

    sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:be:78:ed:ff:50:23:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db

    如果未配置指纹,则必须由受信任的 CA 颁发服务器证书。

    代理模式

    输入转发到目标 URL 的匹配 URI 路径。例如,输入为 (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*))

    注:

    在配置多个反向代理时,提供代理主机模式的主机名。

  7. 要配置其他高级设置,请单击更多

    选项

    说明

    身份验证方法

    默认设置是使用用户名和密码的直通身份验证。将在下拉菜单中列出在 Unified Access Gateway 中配置的身份验证方法。

    运行状况检查 URI 路径

    Unified Access Gateway 会连接到此 URI 路径以检查您的 Web 应用程序的运行状况。

    SAML SP

    在将 UAG 配置为 VMware Identity Manager 的经过身份验证的反向代理时,此字段为必填字段。输入 View XML API 代理的 SAML 服务提供程序名称。该名称必须与使用 Unified Access Gateway 配置的服务提供程序的名称相匹配,或者是特殊值 DEMO。如果存在多个使用 Unified Access Gateway 配置的服务提供程序,它们的名称必须是唯一的。

    激活码

    输入 VMware Identity Manager 服务生成并导入到 Unified Access Gateway 以在 VMware Identity Manager 和 Unified Access Gateway 之间建立信任关系的代码。请注意,内部部署不需要激活码。有关如何生成激活码的详细信息,请参阅《VMware Identity Manager 云部署》

    外部 URL

    默认值为 Unified Access Gateway 主机 URL 和端口 443。您可以输入其他外部 URL。输入时应采用以下格式:https://<host:port>.

    不安全模式

    输入已知的 VMware Identity Manager 重定向模式。例如: (/catalog-portal(.*)|/|/SAAS/|/SAAS|/SAAS/API/1.0/GET/image(.*)|/SAAS/horizon/css(.*)|/SAAS/horizon/angular(.*)|/SAAS/horizon/js(.*)|/SAAS/horizon/js-lib(.*)|/SAAS/auth/login(.*)|/SAAS/jersey/manager/api/branding|/SAAS/horizon/images/(.*)|/SAAS/jersey/manager/api/images/(.*)|/hc/(.*)/authenticate/(.*)|/hc/static/(.*)|/SAAS/auth/saml/response|/SAAS/auth/authenticatedUserDispatcher|/web(.*)|/SAAS/apps/|/SAAS/horizon/portal/(.*)|/SAAS/horizon/fonts(.*)|/SAAS/API/1.0/POST/sso(.*)|/SAAS/API/1.0/REST/system/info(.*)|/SAAS/API/1.0/REST/auth/cert(.*)|/SAAS/API/1.0/REST/oauth2/activate(.*)|/SAAS/API/1.0/GET/user/devices/register(.*)|/SAAS/API/1.0/oauth2/token(.*)|/SAAS/API/1.0/REST/oauth2/session(.*)|/SAAS/API/1.0/REST/user/resources(.*)|/hc/t/(.*)/(.*)/authenticate(.*)|/SAAS/API/1.0/REST/auth/logout(.*)|/SAAS/auth/saml/response(.*)|/SAAS/(.*)/(.*)auth/login(.*)|/SAAS/API/1.0/GET/apps/launch(.*)|/SAAS/API/1.0/REST/user/applications(.*)|/SAAS/auth/federation/sso(.*)|/SAAS/auth/oauth2/authorize(.*)|/hc/prepareSaml/failure(.*)|/SAAS/auth/oauthtoken(.*)|/SAAS/API/1.0/GET/metadata/idp.xml|/SAAS/auth/saml/artifact/resolve(.*)|/hc/(.*)/authAdapter(.*)|/hc/authenticate/(.*)|/SAAS/auth/logout|/SAAS/common.js|/SAAS/auth/launchInput(.*)|/SAAS/launchUsersApplication.do(.*)|/hc/API/1.0/REST/thinapp/download(.*)|/hc/t/(.*)/(.*)/logout(.*))

    身份验证 Cookie

    输入身份验证 Cookie 名称。例如:HZN

    登录重定向 URL

    如果用户注销了门户,输入此重定向 URL 可重新登录。例如:/SAAS/auth/login?dest=%s

    代理主机模式

    外部主机名,用于检查入站主机,以确定它是否匹配该特定实例的模式。主机模式在配置 Web 反向代理实例时是可选的。

    主机条目

    输入要添加到 /etc/hosts 文件中的主机条目的逗号分隔列表。每个条目均按顺序包含一个 IP、主机名和可选主机名别名,并且以空格分隔。例如,10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias

    注:

    “不安全模式”、“身份验证 Cookie”和“登录重定向 URL”选项仅适用于 VMware Identity Manager。此处提供的值还适用于 Access Point 2.8 和 Unified Access Gateway 2.9。

    注:

    “身份验证 Cookie”和“不安全模式”属性对身份验证反向代理无效。您必须使用“身份验证方法”属性来定义身份验证方法。

  8. 单击保存

下一步做什么

要启用身份桥接,请参阅配置身份桥接设置