在配置 Workspace ONE UEM 控制台和 VMware Identity Manager 控制台以进行 Android 移动 SSO 身份验证时,您配置了网络流量规则,以便 VMware Tunnel 移动应用程序将流量传送到端口 5262。当用户使用其 Android 设备启动需要单点登录的 SAML 应用程序时,Tunnel 应用程序会拦截该请求,并根据设备流量规则,建立连接证书代理端口 5262 的代理隧道。

下图显示了为证书代理服务配置了端口 5262 和端口 5263 时的身份验证批准流程。

图 1. 配置了端口 5262 和端口 5263 时的适用于 Android 移动单点登录的身份验证批准流程

为证书代理配置了端口 5262 和端口 5263 时的身份验证流程。

  1. 用户从 Android 移动设备启动 SAML 应用程序。

  2. SAML 应用程序请求进行身份验证。

  3. 需要在端口 443 上进行 Identity Manager 身份验证,才能登录该应用程序。

  4. 配置了网络流量规则,以便 VMware Tunnel 应用程序将流量传送到端口 5262。Tunnel 应用程序拦截该请求,并根据设备流量规则,建立连接证书代理端口 5262 的代理隧道。

  5. 负载平衡器在端口 5262 上配置了 SSL 直通,负载平衡器将该请求传递到群集中某个节点上的证书代理端口 5262。

  6. 证书代理服务接收该请求,提取用户证书,并使用该请求的源端口号(例如,端口 55563)将其存储为本地文件,以便作为参考密钥。

  7. 证书代理服务将该请求转发到 VMware Identity Manager,用于在负载平衡器的端口 443 上进行身份验证。在此示例中,发送节点(节点 2)的 IP 地址包含在 X-Forwarded-For 标头中,原始请求源端口号信息(端口 55563)包含在 RemotePort 标头中。

  8. 负载平衡器根据负载平衡器规则,向其中一个节点(在此示例中为节点 1)上的端口 443 发送请求。该请求包含 X-Forwarded-For 标头和 RemotePort 标头。

  9. 节点 1 中的 Horizon 服务端口 443 与节点 2 中端口 5263 上的证书代理服务进行通信,以便将该服务定向到 /some/path/55563 来检索用户证书并执行身份验证。

  10. 检索了证书,并对用户进行了身份验证。