Sie können den Web-Reverse-Proxy-Dienst zur Verwendung von Unified Access Gateway mit VMware Identity Manager konfigurieren.

Voraussetzungen

Anforderungen für die Bereitstellung mit VMware Identity Manager.

  • Aufgeteiltes DNS. Bei einem aufgeteilten DNS kann der Name auf verschiedene IP-Adressen aufgelöst werden – abhängig davon, ob es sich um eine interne oder externe IP handelt.

  • Der VMware Identity Manager-Dienst muss einen vollqualifizierten Domänennamen (FQDN) als Hostnamen aufweisen.

  • Unified Access Gateway muss das interne DNS verwenden. Die Proxy-Ziel-URL muss also FQDN verwenden.

Prozedur

  1. Klicken Sie auf der Verwaltungsoberfläche im Bereich „Manuell konfigurieren“ auf Auswählen.
  2. Klicken Sie unter „Allgemeine Einstellungen“ in der Zeile mit den Einstellungen des Edgedienstes auf Anzeigen.
  3. Klicken Sie auf das Zahnradsymbol für die Reverse-Proxy-Einstellungen.
  4. Klicken Sie auf der Seite „Reverse-Proxy-Einstellungen“ auf Hinzufügen.
  5. Ändern Sie im Abschnitt „Reverse-Proxy-Einstellungen aktivieren“ NEIN zu JA, um den Reverse-Proxy zu aktivieren.
  6. Konfigurieren Sie die folgenden Edgediensteinstellungen.

    Option

    Beschreibung

    Bezeichner

    Für den Bezeichner des Edgedienstes wird der Web-Reverse-Proxy festgelegt.

    Instanzen-ID

    Der eindeutige Name, um eine Instanz des Web-Reverse-Proxy zu identifizieren und von allen anderen Instanzen des Web-Reverse-Proxy zu unterscheiden.

    Proxy-Ziel-URL

    Geben Sie die Adresse der Webanwendung ein.

    Fingerabdrücke für Proxy-Ziel-URL

    Geben Sie eine Liste annehmbarer Fingerabdrücke von SSL-Server-Zertifikaten für die proxyDestination-URL ein. Wenn Sie das Platzhalterzeichen * einfügen, werden alle Zertifikate zugelassen. Ein Fingerabdruck hat das Format [alg=]xx:xx, wobei „alg“ der Standardwert „sha1“ oder „md5“ sein kann. „xx“ steht für Hexadezimalzahlen. Beispiel: sha = C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3

    Wenn Sie die Fingerabdrücke nicht konfigurieren, müssen die Serverzertifikate durch eine vertrauenswürdige Zertifizierungsstelle ausgestellt worden sein.

    Proxy-Muster

    Geben Sie die entsprechenden URI-Pfade ein, die an die Ziel-URL weitergegeben werden. Beispiel: (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)).

    Anmerkung:

    Wenn Sie mehrere Reverse-Proxys konfigurieren, geben Sie den Hostnamen im Proxy-Host-Muster an.

  7. Klicken Sie auf Mehr, um erweiterte Einstellungen zu konfigurieren.

    Option

    Beschreibung

    Authentifizierungsmethoden

    Standardmäßig wird die Passthrough-Authentifizierung des Benutzernamens und des Kennworts verwendet. In den Dropdown-Menüs sind die von Ihnen in Unified Access Gateway konfigurierten Authentifizierungsmethoden aufgeführt.

    URL für Integritätsprüfung

    Wenn ein Lastausgleichsdienst konfiguriert ist, geben Sie die URL ein, die der Lastausgleichsdienst verwendet, um eine Verbindung mit der Unified Access Gateway-Appliance herzustellen und eine Integritätsprüfung durchzuführen.

    SAML SP

    Dieses Feld ist erforderlich, wenn UAG als authentifizierter Reverse-Proxy für VMware Identity Manager konfiguriert wird. Geben Sie den Namen des SAML-Dienstanbieters für den View XML API-Broker ein. Dieser Name muss entweder mit dem Namen eines mit Unified Access Gateway konfigurierten Dienstanbieters übereinstimmen oder der spezielle Wert DEMO sein. Wenn mehrere Dienstanbieter mit Unified Access Gateway konfiguriert wurden, müssen ihre Namen eindeutig sein.

    Aktivierungscode

    Geben Sie den vom VMware Identity Manager-Dienst generierten und in Unified Access Gateway importierten Code ein, um eine Vertrauensbeziehung zwischen VMware Identity Manager und Unified Access Gateway aufzubauen. Beachten Sie, dass für lokale Bereitstellungen der Aktivierungscode nicht erforderlich ist. Ausführliche Informationen zur Generierung eines Aktivierungscodes finden Sie unter VMware Identity Manager-Cloud-Bereitstellung.

    Externe URL

    Standardmäßig ist die Unified Access Gateway-Host-URL, Port 443, angegeben. Sie können eine weitere externe URL eingeben. Geben Sie diese in folgender Form ein: https://<host:port>.

    UnSecure-Muster

    Geben Sie das bekannte Muster der VMware Identity Manager-Umleitung ein. Beispiel: (/catalog-portal(.)|/|/SAAS/|/SAAS|/SAAS/API/1.0/GET/image(.)|/SAAS/horizon/css(.)|/SAAS/horizon/angular(.)|/SAAS/horizon/js(.)|/SAAS/horizon/js-lib(.)|/SAAS/auth/login(.)|/SAAS/jersey/manager/api/branding|/SAAS/horizon/images/(.)|/SAAS/jersey/manager/api/images/(.)|/hc/(.)/authenticate/(.)|/hc/static/(.)|/SAAS/auth/saml/response|/SAAS/auth/authenticatedUserDispatcher|/web(.)|/SAAS/apps/|/SAAS/horizon/portal/(.)|/SAAS/horizon/fonts(.)|/SAAS/API/1.0/POST/sso(.)|/SAAS/API/1.0/REST/system/info(.)|/SAAS/API/1.0/REST/auth/cert(.)|/SAAS/API/1.0/REST/oauth2/activate(.)|/SAAS/API/1.0/GET/user/devices/register(.)|/SAAS/API/1.0/oauth2/token(.)|/SAAS/API/1.0/REST/oauth2/session(.)|/SAAS/API/1.0/REST/user/resources(.)|/hc/t/(.)/(.)/authenticate(.)|/SAAS/API/1.0/REST/auth/logout(.)|/SAAS/auth/saml/response(.)|/SAAS/(.)/(.)auth/login(.)|/SAAS/API/1.0/GET/apps/launch(.)|/SAAS/API/1.0/REST/user/applications(.)|/SAAS/auth/federation/sso(.)|/SAAS/auth/oauth2/authorize(.)|/hc/prepareSaml/failure(.)|/SAAS/auth/oauthtoken(.)|/SAAS/API/1.0/GET/metadata/idp.xml|/SAAS/auth/saml/artifact/resolve(.)|/hc/(.)/authAdapter(.)|/hc/authenticate/(.)|/SAAS/auth/logout|/SAAS/common.js|/SAAS/auth/launchInput(.)|/SAAS/launchUsersApplication.do(.)|/hc/API/1.0/REST/thinapp/download(.)|/hc/t/(.)/(.)/logout(.*))

    Authentifizierungs-Cookie

    Geben Sie den Namen des Authentifizierungs-Cookies ein. Beispiel: HZN

    URL für Anmeldungsumleitung

    Wenn der Benutzer sich beim Portal abmeldet, geben Sie die Umleitungs-URL für die erneute Anmeldung ein. Beispiel: /SAAS/auth/login?dest=%s

    Proxy-Host-Muster

    Externer Hostname, mit dem geprüft wird, ob der eingehende Host dem Muster für diese bestimmte Instanz entspricht. Beim Konfigurieren der Instanzen des Web-Reverse-Proxys ist das Host-Muster optional.

    Hosteinträge

    Geben Sie eine durch Komma getrennte Liste von Hostnamen ein, die der /etc/hosts-Datei hinzugefügt werden. Jeder Eintrag enthält eine IP, einen Hostnamen und einen optionalen Hostnamensalias (in dieser Reihenfolge), die durch ein Leerzeichen getrennt sind. Beispiel: 10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias.

    Anmerkung:

    Die Optionen „UnSecure-Muster“, „Authentifizierungs-Cookie“ und „URL für Anmeldungsumleitung“ können nur mit VMware Identity Manager anwendet werden. Die hier bereitgestellten Werte gelten auch für Access Point 2.8 und Access Point 2.9.

    Anmerkung:

    Das Authentifizierungs-Cookie und die Eigenschaften für UnSecure-Muster gelten nicht für den Authentifizierungs-Reverse-Proxy. Sie müssen die Authentifizierungsmethode mit der Eigenschaft für Authentifizierungsmethoden definieren.

  8. Klicken Sie auf Speichern.

Nächste Maßnahme

Informationen zum Aktivieren von Identity Bridging finden Sie unter Konfigurieren der Identity Bridging-Einstellungen.