可以配置 Unified Access Gateway 桥接功能,以便使用证书验证对内部部署的旧版非 SAML 应用程序进行单点登录 (SSO)。

前提条件

在开始配置过程之前,请先确保您拥有以下文件和证书:

请参阅相关产品文档,以便为非 SAML 应用程序生成根证书和用户证书以及 Keytab 文件。

确保打开了 TCP/UDP 端口 88,因为 Unified Access Gateway 使用该端口与 Active Directory 进行 Kerberos 通信。

过程

  1. 身份验证设置 > X509 证书中,转到:
    1. 根和中间 CA 证书中,单击选择并上载整个证书链。
    2. 启用证书吊销处,将设置切换为
    3. 选中启用 OCSP 吊销复选框。
    4. OCSP URL 文本框中输入 OCSP 响应程序 URL。
      Unified Access Gateway 会将 OCSP 请求发送到指定的 URL,并接收一条响应,该响应中包含指示证书是否已吊销的信息。
    5. 仅当存在将 OCSP 请求发送到客户端证书中的 OCSP URL 的用例时,才选中使用证书中的 OCSP URL 复选框。如果未启用此设置,将默认使用 OCSP URL 文本框中的值。
      Cert-to-Kerberos - X509 证书
  2. 高级设置 > 身份桥接设置 > OSCP 设置中,单击添加
    1. 单击选择并上载 OCSP 签名证书。
  3. 选择领域设置齿轮箱图标,并按照配置领域设置中的说明配置领域设置。
  4. 常规设置 > Edge 服务设置中,选择反向代理设置齿轮箱图标。
  5. 启用身份桥接设置设置为,并配置以下身份桥接设置,然后单击保存
    启用 Cert-to-Kerberos 的身份桥接设置
    选项 说明
    身份验证类型 从下拉菜单中选择“证书”。
    Keytab 在下拉菜单中,为该反向代理选择已配置的 Keytab。
    目标服务主体名称 输入 Kerberos 服务主体名称。每个主体始终采用领域名称进行完全限定。例如,myco_hostname@MYCOMPANY。以大写字母形式键入领域名称。如果您未向文本框中添加名称,则服务主体名称将派生自代理目标 URL 的主机名。
    用户标头名称 对于基于标头的身份验证,输入包含派生自断言的用户 ID 的 HTTP 标头名称,或使用默认名称 AccessPoint-User-ID。

下一步做什么

使用 Workspace ONE Web 访问目标网站时,该目标网站会充当反向代理。Unified Access Gateway 会验证所提供的证书。如果证书有效,浏览器将显示后端应用程序的用户界面页。

有关具体的错误消息和故障排除信息,请参阅错误故障排除:身份桥接