Aktivieren Sie Identity Bridging, konfigurieren Sie den externen Hostnamen für den Dienst und laden Sie die Unified Access Gateway-Dienstanbieter-Metadatendatei herunter.

Diese Metadatendatei wird auf die Konfigurationsseite der Webanwendung im VMware Workspace ONE Access-Dienst hochgeladen.

Voraussetzungen

  • Wenn der Benutzer, der sich beim Identitätsanbieter authentifiziert, zu einer anderen Active Directory-Domäne gehört als der im UAG konfigurierte Kerberos-Bereich, muss die Konfiguration des Identitätsanbieters aktualisiert werden, um ein benutzerdefiniertes SAML-Attribut „upn“ mit dem Wert <username>@<domain> als Teil der SAML-Antwort zurückzugeben.
    Beispiel einer SAML-Assertion, die vom Identitätsanbieter für das Attribut „upn“ erwartet wird
    <saml:AttributeStatement>
          <saml:Attribute Name="upn" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
                      <saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">[email protected]</saml:AttributeValue>
          </saml:Attribute>
    </saml:AttributeStatement>
  • Sie müssen die folgenden Identity Bridging-Einstellungen auf der Unified Access Gateway-Verwaltungskonsole konfiguriert haben. Sie können diese Einstellungen im Bereich Erweiterte Einstellungen finden.
    • Die Identitätsanbieter-Metadaten müssen auf Unified Access Gateway hochgeladen sein
    • Der Kerberos-Prinzipalname muss konfiguriert und die Keytab-Datei muss auf Unified Access Gateway hochgeladen sein
    • Der Bereichsname und die Key Distribution Center-Informationen.
  • Stellen Sie sicher, dass TCP/UDP-Port 88 geöffnet ist, da Unified Access Gateway diesen Port für die Kerberos-Kommunikation mit Active Directory verwendet.

Prozedur

  1. Klicken Sie auf der Admin-UI im Bereich Manuell konfigurieren auf Auswählen.
  2. Klicken Sie unter Allgemeine Einstellungen > Einstellungen für Edge-Dienst auf Anzeigen.
  3. Klicken Sie auf das Zahnradsymbol für die Reverse-Proxy-Einstellungen.
  4. Klicken Sie auf der Seite Reverse-Proxy-Einstellungen auf Hinzufügen, um eine Proxy-Einstellung zu erstellen.
  5. Legen Sie die Option Reverse-Proxy-Einstellungen aktivieren auf 'JA' fest, und konfigurieren Sie die folgenden Edge-Diensteinstellungen.
    Option Beschreibung
    Bezeichner Für den Bezeichner des Edge-Diensts wird der Web-Reverse-Proxy festgelegt.
    Instanzen-ID Eindeutiger Name für die Instanz des Web-Reverse-Proxy.
    Proxy-Ziel-URL Geben Sie die interne URI für die Webanwendung an. Unified Access Gateway muss diese URL auflösen und auf sie zugreifen können.
    Fingerabdrücke für Proxy-Ziel-URL Geben Sie den entsprechenden URI für diese Proxy-Einstellung an. Ein Fingerabdruck hat das Format [alg=]xx:xx, wobei „alg“ der Standardwert „sha1“ oder „md5“ sein kann. „xx“ steht für Hexadezimalzahlen. Beispiel: sha=C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3.

    Wenn Sie die Fingerabdrücke nicht konfigurieren, müssen die Serverzertifikate durch eine vertrauenswürdige Zertifizierungsstelle ausgestellt worden sein.

    Proxy-Muster Geben Sie die entsprechenden URI-Pfade ein, die an die Ziel-URL weitergegeben werden. Beispiel: (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)).

    Hinweis: Wenn Sie mehrere Reverse-Proxys konfigurieren, geben Sie den Hostnamen im Proxy-Host-Muster an.

  6. Klicken Sie auf Mehr, um erweiterte Einstellungen zu konfigurieren.
    Option Beschreibung
    Authentifizierungsmethoden

    Standardmäßig wird die Passthrough-Authentifizierung des Benutzernamens und des Kennworts verwendet. In den Dropdown-Menüs sind die von Ihnen in Unified Access Gateway konfigurierten Authentifizierungsmethoden aufgeführt. RSA SecurID-, RADIUS- und Authentifizierungsmethoden für Gerätezertifikate werden unterstützt.

    URI-Pfad für Integritätsprüfung Unified Access Gateway verbindet sich mit diesem URI-Pfad, um den Systemzustand Ihrer Webanwendung zu überprüfen.
    SAML SP

    Erforderlich, wenn Sie Unified Access Gateway als authentifizierten Reverse-Proxy für Workspace ONE Access konfigurieren. Geben Sie den Namen des SAML-Dienstanbieters für den View XML API-Broker ein. Dieser Name muss entweder mit dem Namen eines mit Unified Access Gateway konfigurierten Dienstanbieters übereinstimmen oder der spezielle Wert DEMO sein. Wenn mehrere Dienstanbieter mit Unified Access Gateway konfiguriert wurden, müssen ihre Namen eindeutig sein.

    Externe URL Standardmäßig ist die Unified Access Gateway-Host-URL, Port 443, angegeben. Sie können eine weitere externe URL eingeben. Geben Sie diese in folgender Form ein: https://<host:port>.
    UnSecure-Muster Geben Sie das bekannte Workspace ONE Access-Umleitungsmuster ein. Beispiel: (/|/catalog-portal(.*)|/|/SAAS/|/SAAS|/SAAS/API/1.0/GET/image(.*)|/SAAS/horizon/css(.*)|/SAAS/horizon/angular(.*)|/SAAS/horizon/js(.*)|/SAAS/horizon/js-lib(.*)|/SAAS/auth/login(.*)|/SAAS/jersey/manager/api/branding|/SAAS/horizon/images/(.*)|/SAAS/jersey/manager/api/images/(.*)|/hc/(.*)/authenticate/(.*)|/hc/static/(.*)|/SAAS/auth/saml/response|/SAAS/auth/authenticatedUserDispatcher|/web(.*)|/SAAS/apps/|/SAAS/horizon/portal/(.*)|/SAAS/horizon/fonts(.*)|/SAAS/API/1.0/POST/sso(.*)|/SAAS/API/1.0/REST/system/info(.*)|/SAAS/API/1.0/REST/auth/cert(.*)|/SAAS/API/1.0/REST/oauth2/activate(.*)|/SAAS/API/1.0/GET/user/devices/register(.*)|/SAAS/API/1.0/oauth2/token(.*)|/SAAS/API/1.0/REST/oauth2/session(.*)|/SAAS/API/1.0/REST/user/resources(.*)|/hc/t/(.*)/(.*)/authenticate(.*)|/SAAS/API/1.0/REST/auth/logout(.*)|/SAAS/auth/saml/response(.*)|/SAAS/(.*)/(.*)auth/login(.*)|/SAAS/API/1.0/GET/apps/launch(.*)|/SAAS/API/1.0/REST/user/applications(.*)|/SAAS/auth/federation/sso(.*)|/SAAS/auth/oauth2/authorize(.*)|/hc/prepareSaml/failure(.*)|/SAAS/auth/oauthtoken(.*)|/SAAS/API/1.0/GET/metadata/idp.xml|/SAAS/auth/saml/artifact/resolve(.*)|/hc/(.*)/authAdapter(.*)|/hc/authenticate/(.*)|/SAAS/auth/logout|/SAAS/common.js|/SAAS/auth/launchInput(.*)|/SAAS/launchUsersApplication.do(.*)|/hc/API/1.0/REST/thinapp/download(.*)|/hc/t/(.*)/(.*)/logout(.*)|/SAAS/auth/wsfed/services(.*)|/SAAS/auth/wsfed/active/logon(.*))
    Authentifizierungs-Cookie Geben Sie den Namen des Authentifizierungs-Cookies ein. Beispiel: HZN
    URL für Anmeldungsumleitung Wenn der Benutzer sich beim Portal abmeldet, geben Sie die Umleitungs-URL für die erneute Anmeldung ein. Beispiel: /SAAS/auth/login?dest=%s
    Proxy-Host-Muster Externer Hostname, mit dem geprüft wird, ob der eingehende Host dem Muster für diese Instanz entspricht. Beim Konfigurieren der Instanzen des Web-Reverse-Proxy ist das Host-Muster optional.
    Vertrauenswürdige Zertifikate
    • Klicken Sie auf +, um ein Zertifikat im PEM-Format auszuwählen und es dem Trust Store hinzuzufügen.
    • Um einen anderen Namen anzugeben, bearbeiten Sie das Textfeld „Alias“.

      Standardmäßig ist der Aliasname der Dateiname des PEM-Zertifikats.

    • Klicken Sie auf -, um ein Zertifikat aus dem Trust Store zu entfernen.
    Sicherheitsheader der Antwort Klicken Sie auf „+“, um eine Kopfzeile hinzuzufügen. Geben Sie den Namen der Sicherheitskopfzeile ein. Geben Sie den Wert ein. Klicken Sie auf „-“, um eine Kopfzeile zu entfernen. Bearbeiten Sie eine vorhandene Sicherheitskopfzeile, um den Namen und den Wert der Kopfzeile zu aktualisieren.
    Wichtig: Die Kopfzeilennamen und -werte werden erst gespeichert, nachdem Sie auf Speichern geklickt haben. Einige Sicherheitskopfzeilen sind standardmäßig vorhanden. Die konfigurierten Kopfzeilen werden der Unified Access Gateway-Antwort an den Client nur dann hinzugefügt, wenn die entsprechenden Kopfzeilen in der Antwort vom konfigurierten Backend-Server nicht vorhanden sind.
    Hinweis: Gehen Sie vorsichtig beim Ändern von Sicherheitsantwortkopfzeilen vor. Eine Änderung dieser Parameter kann die sichere Funktion von Unified Access Gateway beeinträchtigen.
    Hosteinträge Geben Sie die Details ein, die der Datei /etc/hosts hinzugefügt werden sollen. Jeder Eintrag sollte eine IP, einen Hostnamen und einen optionalen Hostnamensalias (in dieser Reihenfolge) enthalten, die durch ein Leerzeichen voneinander getrennt sind. Beispiel: 10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias. Klicken Sie auf das Pluszeichen, um mehrere Hosteinträge hinzuzufügen.
    Wichtig: Die Hosteinträge werden erst gespeichert, nachdem Sie auf Speichern geklickt haben.
  7. Ändern Sie im Bereich „Identity Bridging aktivieren“ den Wert NEIN zu JA.
  8. Konfigurieren Sie die folgenden Identity Bridging-Einstellungen.
    Option Beschreibung
    Authentifizierungstypen Wählen Sie die SAML aus.
    SAML-Attribute Liste der SAML-Attribute, die als Anforderungskopfzeile übergeben wird. Diese Option wird nur angezeigt, wenn Identity Bridging aktivieren auf Ja festgelegt ist und Authentifizierungstypen auf SAML. Klicken Sie auf „+“, um ein SAML-Attribut als Teil der Kopfzeile hinzuzufügen.
    SAML-Zielgruppen

    Stellen Sie sicher, dass der SAML-Authentifizierungstyp ausgewählt ist.

    Geben Sie die Zielgruppen-URL ein.
    Hinweis: Wenn das Textfeld leer bleibt, sind die Zielgruppen nicht eingeschränkt.

    Informationen zur UAG-Unterstützung bei SAML-Zielgruppen finden Sie unter SAML-Zielgruppen.

    Identitätsanbieter Wählen Sie aus dem Dropdown-Menü den Identitätsanbieter aus.
    Keytab Wählen Sie im Dropdown-Menü die für diesen Reverse-Proxy konfigurierte Keytab-Datei.
    Name des Prinzipals des Zieldiensts Geben Sie den Prinzipalnamen des Kerberos-Diensts ein. Jeder Prinzipal ist stets durch den Namen des Bereichs vollständig qualifiziert. Beispiel: myco_hostname@MYCOMPANY. Geben Sie den Bereichsnamen in Großbuchstaben ein. Wenn Sie keinen Namen in das Textfeld eingeben, wird der Name des Prinzipals aus dem Hostnamen der Proxy-Ziel-URL abgeleitet.
    Landingpage des Dienstes Geben Sie die Seite ein, auf die Benutzer nach Validierung der Assertion im Identitätsanbieter geleitet werden. Die Standardeinstellung lautet /.
    Name der Benutzer-Kopfzeile Zur kopfzeilenbasierten Authentifizierung geben Sie den Namen der HTTP-Kopfzeile ein, die die aus der Assertion abgeleitete Benutzer-ID enthält.
  9. Klicken Sie im Abschnitt „SP-Metadaten herunterladen“ auf Herunterladen.
    Speichern Sie die Dienstanbieter-Metadatendatei.
  10. Klicken Sie auf Speichern.

Nächste Maßnahme

Fügen Sie die Unified Access Gateway-Dienstanbieter-Metadatendatei auf der Konfigurationsseite der Webanwendung im Workspace ONE Access-Dienst hinzu.