必须在 Workspace ONE Access 服务中配置证书代理设置,才能管理 Android 移动 SSO 请求。

前提条件

仅用于移动 SSO 身份验证的 Workspace ONE Access 内部部署需要设置证书代理。

  • 已正确配置负载均衡器。
  • 证书已上载到 Workspace ONE Access 服务。
  • 证书代理服务正在 Workspace ONE Access 设备中运行。

过程

  1. 登录到 Workspace ONE Access 控制台,然后导航到监控 > 弹性页面。
  2. 在要配置证书代理的服务节点上,单击 VA 配置
  3. 单击移动 SSO
  4. 启用证书代理,并配置 CertProxy 设置以将 Android 移动 SSO 请求定向到 Workspace ONE Access 服务。
    选项 描述
    强制目标 选择强制目标后,必须在“目标”文本框中提供单个主机名或 IP 地址。所有 Android SSO 请求都将发送到该目标。该目标是负载均衡器或本地主机,具体取决于 Workspace ONE Access 配置。
    目标 如果已启用强制目标,则输入要使用的主机名或 IP 地址。

    如果未选择“强制目标”,则输入可以接收 Android SSO 请求的已批准目标的允许列表。该名单中的地址可以由分号分隔,采用 CIDR 格式、以空格分隔的子网格式,或为单个 IP。

    远程 IP 源

    从列表中选择用于从 HTTP 请求获取 CertProxy 实例 IP 的源。

    如果负载均衡器位于证书代理和 Workspace ONE Access 实例之间,请使用 X-forwarded-For 标头或 X-Real-Ip 标头。

    如果 CertProxy 直接与 Workspace ONE Access 通信,请使用请求远程地址
    负载均衡器数 如果“远程 IP 源”值为 X-Forwarded-For,请输入 CertProxy 服务和 Workspace ONE Access 实例之间的负载均衡器数量。
    证书代理实例允许列表

    使用有权接收身份验证请求的 IP 地址设置 CertProxy 允许列表。

    输入由分号分隔的 CertProxy 实例的 IP 地址,可以采用 CIDR 格式、以空格分隔的子网格式,也可以是单个 IP。如果目标设置为本地主机,请将本地主机 IP 地址添加到此列表。此 IP 地址通常为 127.0.0.1。
  5. 确认证书代理密钥证书代理密钥 (Identity Manager) 的哈希值相同。检查配置文件 cert-proxy.properties 和 runtime-config.properties。
    这两个文本框预先填充了证书代理服务和 Workspace ONE Access 服务的证书密钥的哈希值。
    两个哈希值必须匹配。如果哈希值不匹配,请将配置文件中一个服务的值复制到其他服务。
  6. 通过 Workspace ONE Access 服务为 Android SSO 配置证书代理配置。
    选项 描述
    端口 通常会为证书代理配置两个端口。

    端口 5262 接收来自 Android 设备的外部请求。

    端口 5263 接收来自 Workspace ONE Access 服务的内部管理员请求。

    管理员端口

    如果在“端口”文本框中配置的端口号是从 Workspace ONE Access 服务接收证书的内部请求的端口,则启用管理员端口。该端口通常为 5263。

    如果该端口不用于接收内部请求,请勿启用此单选按钮。

    SSL 证书类型 Android SSO 证书代理是 Workspace ONE Access 设备上的一项单独服务。选择直通可重用在“设备设置”>“安装 SSL 证书”页面中为 Workspace ONE Access 置备的直通证书。如果需要不同的证书,请选择自定义并在 SSL 证书链文本框中上载证书。
  7. 要配置其他端口,请单击添加端口,然后按照步骤 6 中所述配置设置。
  8. 要保存端口配置,请单击保存
  9. 如果在此页面上所做的更改会影响证书,请单击页面顶部的重新启动证书代理服务
    单击“重新启动证书代理服务”时,可能需要重新启动 Workspace ONE Access 服务。

下一步做什么

在每个节点上设置证书代理服务。如果已在第一个设备上设置了证书代理服务,则当您在设备上克隆 Workspace ONE Access 服务时,大多数代理设置均已配置妥当。要验证是否正确设置了证书代理设置,您可以检查 runtime-config.properties 文件。