Bei Verwendung von lokalen Installationen von Workspace ONE UEM wird der API-Server in der Regel hinter einer Firewall ohne eingehenden Internetzugriff installiert. Um die Automatisierungsfunktionen von Workspace ONE Intelligence sicher zu verwenden, können Sie einen Web-Reverse-Proxy-Edge-Dienst innerhalb von Unified Access Gateway konfigurieren, um den Zugriff nur auf den API-Dienst zu ermöglichen, damit Aktionen für Geräte, Benutzer und andere Ressourcen durchgeführt werden können.
Voraussetzungen
- Der UEM-API-Dienst muss einen vollqualifizierten Domänennamen (FQDN) als Hostnamen aufweisen.
- Unified Access Gateway muss interne DNS verwenden. Die Proxy-Ziel-URL muss also FQDN verwenden.
- Die Kombination aus Proxy-Muster und Proxy-Host-Muster für eine Web-Reverse-Proxy-Instanz muss eindeutig sein, wenn mehrere Reverse-Proxys in einer Unified Access Gateway-Instanz eingerichtet sind.
- Die Hostnamen aller konfigurierten Reverse-Proxys sollten auf die gleiche IP-Adresse aufgelöst werden, die die IP-Adresse der Unified Access Gateway-Instanz ist.
- Weitere Informationen zu den erweiterten Einstellungen für den Edge-Dienst finden Sie unter Erweiterte Einstellungen für Edge-Dienst.
Prozedur
- Klicken Sie auf der Verwaltungsoberfläche im Bereich „Manuell konfigurieren“ auf Auswählen.
- Aktivieren Sie unter Allgemeine Einstellungen die Umschaltoption Einstellungen für Edge-Dienst.
- Klicken Sie auf das Zahnradsymbol für die Reverse-Proxy-Einstellungen.
- Klicken Sie auf der Seite „Reverse-Proxy-Einstellungen“ auf Hinzufügen.
- Schalten Sie die Umschaltoption Reverse-Proxy-Einstellungen aktivieren ein, um den Reverse-Proxy zu aktivieren.
- Konfigurieren Sie die folgenden Edgediensteinstellungen.
Option Beschreibung Bezeichner Für den Bezeichner des Edgedienstes wird der Web-Reverse-Proxy festgelegt. Instanzen-ID Der eindeutige Name, um eine Instanz des Web-Reverse-Proxy zu identifizieren und von allen anderen Instanzen des Web-Reverse-Proxy zu unterscheiden. Proxy-Ziel-URL Geben Sie die Adresse der Webanwendung ein, bei der es sich in der Regel um die Back-End-URL handelt. Beim Workspace ONE UEM-API-Server kann es sich beispielsweise um eine andere URL/IP-Adresse als bei Ihrer Konsolenanmeldung handeln. Sie können dies auf den UEM-Einstellungsseiten unter Einstellungen > System > Erweitert > API > REST API > REST API-URL überprüfen. Fingerabdrücke für Proxy-Ziel-URL Geben Sie eine Liste annehmbarer Fingerabdrücke von SSL-Server-Zertifikaten für die proxyDestination-URL ein. Wenn Sie * angeben, wird jedes Zertifikat akzeptiert. Ein Fingerabdruck hat das Format [alg=]xx:xx, wobei alg der Standardwert sha1 oder md5 sein kann. xx steht für Hexadezimalzahlen. Das ':' Trennzeichen kann auch ein Leerzeichen sein oder fehlen. Der Fall in einem Fingerabdruck wird ignoriert. Beispiel: sha1=B6 77 DC 9C 19 94 2E F1 78 F0 AD 4B EC 85 D1 7A F8 8B DC 34
sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:be:78:ed:ff:50:23:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db
Wenn Sie die Fingerabdrücke nicht konfigurieren, müssen die Serverzertifikate durch eine vertrauenswürdige Zertifizierungsstelle ausgestellt worden sein.Proxy-Muster Geben Sie die entsprechenden URI-Pfade ein, die an die Ziel-URL weitergegeben werden. Verwenden Sie für die Workspace ONE UEM-API: (/API(.*)|/api(.*)|/Api(.*)|)
.Hinweis: Wenn Sie mehrere Reverse-Proxys konfigurieren, geben Sie den Hostnamen im Proxy-Host-Muster an. - Klicken Sie auf Mehr, um erweiterte Einstellungen zu konfigurieren.
Option Beschreibung Authentifizierungsmethoden Standardmäßig wird die Passthrough-Authentifizierung des Benutzernamens und des Kennworts verwendet. In den Dropdown-Menüs sind die von Ihnen in Unified Access Gateway konfigurierten Authentifizierungsmethoden aufgeführt. Die Authentifizierungsmethoden
SecurID
,RADIUS
,Passthrough
undX.509 Certificate
werden unterstützt.Externe URL Standardmäßig ist die Unified Access Gateway-Host-URL, Port 443, angegeben. Sie können eine weitere externe URL eingeben. Geben Sie diese in folgender Form ein: https://<host:port>.
Hinweis:Geben Sie bei Verwendung von Unified Access Gateway hinter einem Lastausgleichsdienst die URL des Lastausgleichsdiensts in dieses Feld ein.
Proxy-Host-Muster Externer Hostname, mit dem geprüft wird, ob der eingehende Host dem Muster für diese bestimmte Instanz entspricht. Beim Konfigurieren der Instanzen des Web-Reverse-Proxy ist das Host-Muster optional. Vertrauenswürdige Zertifikate - Klicken Sie auf +, um ein Zertifikat im PEM-Format auszuwählen und es dem Trust Store hinzuzufügen.
- Um einen anderen Namen anzugeben, bearbeiten Sie das Textfeld „Alias“.
Standardmäßig ist der Aliasname der Dateiname des PEM-Zertifikats.
- Klicken Sie auf -, um ein Zertifikat aus dem Trust Store zu entfernen.
Hosteinträge Geben Sie die Details ein, die der Datei /etc/hosts hinzugefügt werden sollen. Jeder Eintrag sollte eine IP, einen Hostnamen und einen optionalen Hostnamensalias (in dieser Reihenfolge) enthalten, die durch ein Leerzeichen voneinander getrennt sind. Beispiel: 10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias. Klicken Sie auf das Pluszeichen, um mehrere Hosteinträge hinzuzufügen. Wichtig: Die Hosteinträge werden erst gespeichert, nachdem Sie auf Speichern geklickt haben. - Klicken Sie auf Speichern.
Nächste Maßnahme
Informationen zum Konfigurieren des Workspace UEM-API-Connectors zur Verwendung mit Workspace ONE Intelligence finden Sie im Thema Erste Schritte mit Automatisierungen in der Dokumentation zu Workspace ONE Intelligence. Verwenden Sie die für Ihr Unified Access Gateway konfigurierte externe URL statt der internen Server-URL der UEM-REST-API.