Sie können den Web-Reverse-Proxy-Dienst zur Verwendung von Unified Access Gateway mit Workspace ONE Access konfigurieren.

Voraussetzungen

Beachten Sie die folgenden Voraussetzungen für die Bereitstellung mit Workspace ONE Access:

  • Aufgeteiltes DNS. Extern muss der Name des Hosts laut der IP-Adresse des Unified Access Gateway aufgelöst werden. Intern auf Unified Access Gateway muss derselbe Hostname laut des tatsächlichen Webservers entweder über interne DNS-Zuordnung oder über einen Hostnamenseintrag auf Unified Access Gateway aufgelöst werden.
    Hinweis: Wenn Sie nur mit Web-Reverse-Proxy bereitstellen, muss Identity Bridging nicht konfiguriert werden.
  • Der Workspace ONE Access-Dienst muss einen vollqualifizierten Domänennamen (FQDN) als Hostnamen aufweisen.
  • Unified Access Gateway muss das interne DNS verwenden. Die Proxy-Ziel-URL muss also FQDN verwenden.
  • Die Kombination aus Proxy-Muster und Proxy-Host-Muster für eine Web-Reverse-Proxy-Instanz muss eindeutig sein, wenn mehrere Reverse-Proxys in einer Unified Access Gateway-Instanz eingerichtet sind.
  • Die Hostnamen aller konfigurierten Reverse-Proxys müssen auf die gleiche IP-Adresse aufgelöst werden, die die IP-Adresse der Unified Access Gateway-Instanz ist.
  • Weitere Informationen zu den erweiterten Edge-Dienst-Einstellungen finden Sie unter Erweiterte Einstellungen für Edge-Dienst.

Prozedur

  1. Klicken Sie auf der Admin-Benutzeroberfläche im Bereich Manuell konfigurieren auf Auswählen.
  2. Klicken Sie unter Allgemeine Einstellungen > Edge-Dienst-Einstellungen auf Anzeigen.
  3. Klicken Sie auf das Zahnradsymbol für die Reverse-Proxy-Einstellungen.
  4. Klicken Sie auf der Seite Reverse-Proxy-Einstellungen auf Hinzufügen.
  5. Schalten Sie die Umschaltoption Reverse-Proxy-Einstellungen aktivieren ein, um den Reverse-Proxy zu aktivieren.
  6. Konfigurieren Sie die folgenden Edgediensteinstellungen.
    Option Beschreibung
    Bezeichner Für den Bezeichner des Edgedienstes wird der Web-Reverse-Proxy festgelegt.
    Instanzen-ID Der eindeutige Name, um eine Instanz des Web-Reverse-Proxy zu identifizieren und von allen anderen Instanzen des Web-Reverse-Proxy zu unterscheiden.
    Proxy-Ziel-URL Geben Sie die Adresse der Webanwendung ein, bei der es sich in der Regel um die Back-End-URL handelt. Fügen Sie z. B. für Workspace ONE Access die IP-Adresse, den Workspace ONE Access-Hostnamen und die externe DNS auf dem Client Computer hinzu. Fügen Sie in der Verwaltungsoberfläche die IP-Adresse, den Workspace ONE Access-Hostnamen und das interne DNS hinzu.
    Fingerabdrücke für Proxy-Ziel-URL Geben Sie eine Liste annehmbarer Fingerabdrücke von SSL-Server-Zertifikaten für die proxyDestination-URL ein. Wenn Sie * angeben, wird jedes Zertifikat akzeptiert. Ein Fingerabdruck hat das Format [alg=]xx:xx, wobei alg der Standardwert sha1 oder md5 sein kann. xx steht für Hexadezimalzahlen. Das ':' Trennzeichen kann auch ein Leerzeichen sein oder fehlen. Der Fall in einem Fingerabdruck wird ignoriert. Beispiel:

    sha1=B6 77 DC 9C 19 94 2E F1 78 F0 AD 4B EC 85 D1 7A F8 8B DC 34

    sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:be:78:ed:ff:50:23:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db

    Wenn Sie die Fingerabdrücke nicht konfigurieren, müssen die Serverzertifikate durch eine vertrauenswürdige Zertifizierungsstelle ausgestellt worden sein.

    Proxy-Muster Geben Sie die entsprechenden URI-Pfade ein, die an die Ziel-URL weitergegeben werden. Beispiel: (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)).
    Hinweis: Wenn Sie mehrere Reverse-Proxys konfigurieren, geben Sie den Hostnamen im Proxy-Host-Muster an.
  7. Klicken Sie auf Mehr, um erweiterte Einstellungen zu konfigurieren.
    Option Beschreibung
    Authentifizierungsmethoden

    Standardmäßig wird die Passthrough-Authentifizierung des Benutzernamens und des Kennworts verwendet. In den Dropdown-Menüs sind die von Ihnen in Unified Access Gateway konfigurierten Authentifizierungsmethoden aufgeführt. RSA SecurID-, RADIUS- und Authentifizierungsmethoden für Gerätezertifikate werden unterstützt.

    URI-Pfad für Integritätsprüfung Unified Access Gateway verbindet sich mit diesem URI-Pfad, um den Systemzustand Ihrer Webanwendung zu überprüfen.
    SAML SP

    Erforderlich, wenn Sie Unified Access Gateway als authentifizierten Reverse-Proxy für Workspace ONE Access konfigurieren. Geben Sie den Namen des SAML-Dienstanbieters für den View XML API-Broker ein. Dieser Name muss entweder mit dem Namen eines mit Unified Access Gateway konfigurierten Dienstanbieters übereinstimmen oder der spezielle Wert DEMO sein. Wenn mehrere Dienstanbieter mit Unified Access Gateway konfiguriert wurden, müssen ihre Namen eindeutig sein.

    Externe URL Standardmäßig ist die Unified Access Gateway-Host-URL, Port 443, angegeben. Sie können eine weitere externe URL eingeben. Geben Sie diese in folgender Form ein: https://<host:port>.
    UnSecure-Muster Geben Sie das bekannte Workspace ONE Access-Umleitungsmuster ein. Beispiel: (/|/catalog-portal(.*)|/|/SAAS/|/SAAS|/SAAS/API/1.0/GET/image(.*)|/SAAS/horizon/css(.*)|/SAAS/horizon/angular(.*)|/SAAS/horizon/js(.*)|/SAAS/horizon/js-lib(.*)|/SAAS/auth/login(.*)|/SAAS/jersey/manager/api/branding|/SAAS/horizon/images/(.*)|/SAAS/jersey/manager/api/images/(.*)|/hc/(.*)/authenticate/(.*)|/hc/static/(.*)|/SAAS/auth/saml/response|/SAAS/auth/authenticatedUserDispatcher|/web(.*)|/SAAS/apps/|/SAAS/horizon/portal/(.*)|/SAAS/horizon/fonts(.*)|/SAAS/API/1.0/POST/sso(.*)|/SAAS/API/1.0/REST/system/info(.*)|/SAAS/API/1.0/REST/auth/cert(.*)|/SAAS/API/1.0/REST/oauth2/activate(.*)|/SAAS/API/1.0/GET/user/devices/register(.*)|/SAAS/API/1.0/oauth2/token(.*)|/SAAS/API/1.0/REST/oauth2/session(.*)|/SAAS/API/1.0/REST/user/resources(.*)|/hc/t/(.*)/(.*)/authenticate(.*)|/SAAS/API/1.0/REST/auth/logout(.*)|/SAAS/auth/saml/response(.*)|/SAAS/(.*)/(.*)auth/login(.*)|/SAAS/API/1.0/GET/apps/launch(.*)|/SAAS/API/1.0/REST/user/applications(.*)|/SAAS/auth/federation/sso(.*)|/SAAS/auth/oauth2/authorize(.*)|/hc/prepareSaml/failure(.*)|/SAAS/auth/oauthtoken(.*)|/SAAS/API/1.0/GET/metadata/idp.xml|/SAAS/auth/saml/artifact/resolve(.*)|/hc/(.*)/authAdapter(.*)|/hc/authenticate/(.*)|/SAAS/auth/logout|/SAAS/common.js|/SAAS/auth/launchInput(.*)|/SAAS/launchUsersApplication.do(.*)|/hc/API/1.0/REST/thinapp/download(.*)|/hc/t/(.*)/(.*)/logout(.*)|/SAAS/auth/wsfed/services(.*)|/SAAS/auth/wsfed/active/logon(.*))
    Authentifizierungs-Cookie Geben Sie den Namen des Authentifizierungs-Cookies ein. Beispiel: HZN
    URL für Anmeldungsumleitung Wenn der Benutzer sich beim Portal abmeldet, geben Sie die Umleitungs-URL für die erneute Anmeldung ein. Beispiel: /SAAS/auth/login?dest=%s
    Proxy-Host-Muster Externer Hostname, mit dem geprüft wird, ob der eingehende Host dem Muster für diese Instanz entspricht. Beim Konfigurieren der Instanzen des Web-Reverse-Proxy ist das Host-Muster optional.
    Vertrauenswürdige Zertifikate
    • Klicken Sie auf +, um ein Zertifikat im PEM-Format auszuwählen und es dem Trust Store hinzuzufügen.
    • Um einen anderen Namen anzugeben, bearbeiten Sie das Textfeld „Alias“.

      Standardmäßig ist der Aliasname der Dateiname des PEM-Zertifikats.

    • Klicken Sie auf -, um ein Zertifikat aus dem Trust Store zu entfernen.
    Sicherheitsheader der Antwort Klicken Sie auf „+“, um eine Kopfzeile hinzuzufügen. Geben Sie den Namen der Sicherheitskopfzeile ein. Geben Sie den Wert ein. Klicken Sie auf „-“, um eine Kopfzeile zu entfernen. Bearbeiten Sie eine vorhandene Sicherheitskopfzeile, um den Namen und den Wert der Kopfzeile zu aktualisieren.
    Wichtig: Die Kopfzeilennamen und -werte werden erst gespeichert, nachdem Sie auf Speichern geklickt haben. Einige Sicherheitskopfzeilen sind standardmäßig vorhanden. Die konfigurierten Kopfzeilen werden der Unified Access Gateway-Antwort an den Client nur dann hinzugefügt, wenn die entsprechenden Kopfzeilen in der Antwort vom konfigurierten Backend-Server nicht vorhanden sind.
    Hinweis: Gehen Sie vorsichtig beim Ändern von Sicherheitsantwortkopfzeilen vor. Eine Änderung dieser Parameter kann die sichere Funktion von Unified Access Gateway beeinträchtigen.
    Hosteinträge Geben Sie die Details ein, die der Datei /etc/hosts hinzugefügt werden sollen. Jeder Eintrag sollte eine IP, einen Hostnamen und einen optionalen Hostnamensalias (in dieser Reihenfolge) enthalten, die durch ein Leerzeichen voneinander getrennt sind. Beispiel: 10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias. Klicken Sie auf das Pluszeichen, um mehrere Hosteinträge hinzuzufügen.
    Wichtig: Die Hosteinträge werden erst gespeichert, nachdem Sie auf Speichern geklickt haben.
    Hinweis: Die Optionen UnSecure Pattern, Auth Cookie und Login Redirect URL sind nur bei Workspace ONE Access anwendbar.
    Hinweis: Das Authentifizierungs-Cookie und die Eigenschaften für UnSecure-Muster gelten nicht für den Authentifizierungs-Reverse-Proxy. Sie müssen die Authentifizierungsmethode mit der Eigenschaft Auth Methods definieren.
  8. Klicken Sie auf Speichern.

Nächste Maßnahme

Informationen zum Aktivieren von Identity Bridging finden Sie unter Konfigurieren der Identity Bridging-Einstellungen.