启用身份桥接,配置服务的外部主机名,并下载 Unified Access Gateway 服务提供程序元数据文件。
该元数据文件将被上载到 VMware Identity Manager 服务中的 Web 应用程序配置页面。
前提条件
您必须已在 Unified Access Gateway 管理控制台中配置了以下身份桥接设置。您可以在高级设置部分下找到这些设置。
- 已将身份提供程序元数据上载到 Unified Access Gateway。
- 已配置 Kerberos 主体名称,并且已将 Keytab 文件上载到 Unified Access Gateway。
- 领域名称和密钥分发中心信息。
确保打开了 TCP/UDP 端口 88,因为 Unified Access Gateway 使用该端口与 Active Directory 进行 Kerberos 通信。
过程
- 在管理 UI 的手动配置部分中,单击选择。
- 在常规设置 > Edge 服务设置行中,单击显示。
- 单击反向代理设置齿轮箱图标。
- 在反向代理设置页面中,单击添加以创建代理设置。
- 将启用反向代理设置设为“是”,并配置以下 Edge 服务设置。
选项 说明 标识符 将 Edge 服务标识符设置为 Web 反向代理。 实例 ID Web 反向代理实例的唯一名称。 代理目标 URL 指定 Web 应用程序的内部 URI。Unified Access Gateway 必须能够解析和访问此 URL。 代理目标 URL 指纹 输入与此代理设置匹配的 URI。指纹采用 [alg=]xx:xx 格式,其中 alg 可以是 sha1、default 或 md5。“xx”是十六进制数字。例如,sha=C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3。 如果未配置指纹,则必须由受信任的 CA 颁发服务器证书。
代理模式 输入转发到目标 URL 的匹配 URI 路径。例如,输入为 (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*))。 注意:配置多个反向代理时,请在代理主机模式中提供主机名。
- 要配置其他高级设置,请单击更多。
选项 说明 身份验证方法 默认设置是使用用户名和密码的直通身份验证。将在下拉菜单中列出在 Unified Access Gateway 中配置的身份验证方法。支持 RSA SecurID、RADIUS 和设备证书身份验证方法。
运行状况检查 URI 路径 Unified Access Gateway 会连接到此 URI 路径以检查您的 Web 应用程序的运行状况。 SAML SP 将 Unified Access Gateway 配置为 VMware Identity Manager 的经过身份验证的反向代理时是必需的。输入 View XML API 代理的 SAML 服务提供程序名称。该名称必须与使用 Unified Access Gateway 配置的服务提供程序的名称相匹配,或者是特殊值 DEMO。如果存在多个使用 Unified Access Gateway 配置的服务提供程序,它们的名称必须是唯一的。
外部 URL 默认值为 Unified Access Gateway 主机 URL 和端口 443。您可以输入其他外部 URL。输入时应采用以下格式: https://<host:port>.
不安全模式 输入已知的 VMware Identity Manager 重定向模式。例如: (/|/catalog-portal(.*)|/|/SAAS/|/SAAS|/SAAS/API/1.0/GET/image(.*)|/SAAS/horizon/css(.*)|/SAAS/horizon/angular(.*)|/SAAS/horizon/js(.*)|/SAAS/horizon/js-lib(.*)|/SAAS/auth/login(.*)|/SAAS/jersey/manager/api/branding|/SAAS/horizon/images/(.*)|/SAAS/jersey/manager/api/images/(.*)|/hc/(.*)/authenticate/(.*)|/hc/static/(.*)|/SAAS/auth/saml/response|/SAAS/auth/authenticatedUserDispatcher|/web(.*)|/SAAS/apps/|/SAAS/horizon/portal/(.*)|/SAAS/horizon/fonts(.*)|/SAAS/API/1.0/POST/sso(.*)|/SAAS/API/1.0/REST/system/info(.*)|/SAAS/API/1.0/REST/auth/cert(.*)|/SAAS/API/1.0/REST/oauth2/activate(.*)|/SAAS/API/1.0/GET/user/devices/register(.*)|/SAAS/API/1.0/oauth2/token(.*)|/SAAS/API/1.0/REST/oauth2/session(.*)|/SAAS/API/1.0/REST/user/resources(.*)|/hc/t/(.*)/(.*)/authenticate(.*)|/SAAS/API/1.0/REST/auth/logout(.*)|/SAAS/auth/saml/response(.*)|/SAAS/(.*)/(.*)auth/login(.*)|/SAAS/API/1.0/GET/apps/launch(.*)|/SAAS/API/1.0/REST/user/applications(.*)|/SAAS/auth/federation/sso(.*)|/SAAS/auth/oauth2/authorize(.*)|/hc/prepareSaml/failure(.*)|/SAAS/auth/oauthtoken(.*)|/SAAS/API/1.0/GET/metadata/idp.xml|/SAAS/auth/saml/artifact/resolve(.*)|/hc/(.*)/authAdapter(.*)|/hc/authenticate/(.*)|/SAAS/auth/logout|/SAAS/common.js|/SAAS/auth/launchInput(.*)|/SAAS/launchUsersApplication.do(.*)|/hc/API/1.0/REST/thinapp/download(.*)|/hc/t/(.*)/(.*)/logout(.*)|/SAAS/auth/wsfed/services(.*)|/SAAS/auth/wsfed/active/logon(.*)))
身份验证 Cookie 输入身份验证 Cookie 名称。例如:HZN 登录重定向 URL 如果用户注销了门户,输入此重定向 URL 可重新登录。例如:/SAAS/auth/login?dest=%s 代理主机模式 外部主机名,用于检查入站主机,以确定它是否匹配该特定实例的模式。主机模式在配置 Web 反向代理实例时是可选的。 受信任证书 将受信任的证书添加到该 Edge 服务中。可以单击“+”以选择 PEM 格式的证书并添加到信任存储中,或单击“-”以将证书从信任存储中移除。默认情况下,别名是 PEM 证书的文件名。可以编辑别名文本框以提供不同的名称。 主机条目 输入要添加到 /etc/hosts 文件中的详细信息。每个条目均应按顺序包含一个 IP、一个主机名和一个可选主机名别名,并且以空格分隔。例如,10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias。单击“+”号可添加多个主机条目。 重要事项: 只有在您单击 保存后,才会保存主机条目。 - 在“启用身份桥接”部分中,将否更改为是。
- 配置以下身份桥接设置。
选项 说明 身份验证类型 选择“SAML”。 身份提供程序 从下拉菜单中,选择“身份提供程序”。 Keytab 在下拉菜单中,为该反向代理选择已配置的 Keytab。 目标服务主体名称 输入 Kerberos 服务主体名称。每个主体始终采用领域名称进行完全限定。例如,myco_hostname@MYCOMPANY。以大写字母形式键入领域名称。如果您未向文本框中添加名称,则服务主体名称将派生自代理目标 URL 的主机名。 服务登录页面 在断言得到验证后,进入身份提供程序中用户被重定向到的页面。默认设置为 /
。用户标头名称 对于基于标头的身份验证,输入包含派生自断言的用户 ID 的 HTTP 标头名称。 - 在“下载 SP 元数据”部分中,单击下载。
保存服务提供程序元数据文件。
- 单击保存。
后续步骤
将 Unified Access Gateway 服务提供程序元数据文件添加到 VMware Identity Manager 服务中的 Web 应用程序配置页面。