必须在 VMware Identity Manager 服务中配置证书代理设置,才能管理 Android 移动 SSO 请求。

前提条件

  • 已正确配置负载平衡器。

  • 将证书上载到 VMware Identity Manager 服务。

  • 对于适用于 Linux 的 VMware Identity Manager,证书代理服务正在运行。

过程

  1. 登录到 VMware Identity Manager 控制台,然后选择设备设置选项卡。
  2. 单击移动 SSO
  3. 为向 VMware Identity Manager 服务发送的 Android 移动 SSO 请求配置证书代理设置。

    选项

    描述

    强制目标

    选择强制目标后,必须在“目标”文本框中提供单个主机名或 IP 地址。所有 Android SSO 请求都将发送到该目标。该目标是负载平衡器或 localhost,具体取决于 VMware Identity Manager 配置。

    目标

    如果已启用“强制目标”,则输入要使用的主机名或 IP 地址。

    如果未选择“强制目标”,则输入可以接收 Android SSO 请求的已批准目标的白名单。该名单中的地址可以由分号分隔,采用 CIDR 格式、以空格分隔的子网格式,或为单个 IP。

    所有 RemotePort 标头

    允许使用负载平衡器中的 RemotePort 标头。从代理发送到 Identity Manager 服务的请求的源端口号会被添加到该标头中。

    连接时需要 RemotePort 标头,用于告知接收节点应调用何处来获取证书。

    接受 RemotePort

    输入可包含 RemotePort 标头的已批准地址的白名单。

    该名单中的地址可以由分号分隔,采用 CIDR 格式、以空格分隔的子网格式,或为单个 IP。

  4. 确认证书代理密钥证书代理密钥 (Identity Manager) 的哈希值相同。检查配置文件 cert-proxy.properties 和 runtime-config.properties。

    这两个文本框预先填充了证书代理服务和 VMware Identity Manager 服务的证书密钥的哈希值。

    两个哈希值必须匹配。如果哈希值不匹配,则必须在配置文件中通过将一个服务的哈希值复制到另一个服务,来解决此问题。

  5. 通过 VMware Identity Manager 服务为 Android SSO 配置证书代理配置。

    选项

    描述

    端口

    通常会为证书代理配置两个端口。

    端口 5262 接收来自 Android 设备的外部请求。

    端口 5263 接收来自 VMware Identity Manager 服务的内部管理员请求。

    管理员端口

    如果在“端口”文本框中配置的端口号是从 VMware Identity Manager 服务接收证书的内部请求的端口,则启用管理员端口。该端口通常为 5263。

    如果该端口不用于接收内部请求,请勿启用此单选按钮。

    SSL 证书类型

    Android SSO 证书代理是 Identity Manager 计算机上的一项单独服务。选择直通可重用在“设备设置”>“安装 SSL 证书”页面中为 VMware Identity Manager 置备的直通证书。如果需要不同的证书,请选择自定义并在 SSL 证书链文本框中上载证书。

  6. 要配置其他端口,请单击添加端口,然后按照步骤 5 中的所述配置设置。
  7. 要保存端口配置,请单击保存
  8. 如果在此页面上所做的更改会影响证书,请单击页面顶部的重新启动证书代理服务

    单击“重新启动证书代理服务”时,可能需要重新启动 VMware Identity Manager 服务。

下一步做什么

在每个节点上设置证书代理服务。如果已在第一台计算机上设置了证书代理服务,则当您在设备上克隆 Identity Manager 服务或在 Windows 计算机上复制文件时,大多数代理设置均已配置妥当。要验证是否正确设置了证书代理设置,您可以检查 runtime-config.properties 文件。