Aktivieren Sie Identity Bridging, konfigurieren Sie den externen Hostnamen für den Dienst und laden Sie die Unified Access Gateway-Dienstanbieter-Metadatendatei herunter.
Diese Metadatendatei wird auf die Konfigurationsseite der Webanwendung im VMware Workspace ONE Access-Dienst hochgeladen.
Voraussetzungen
- Wenn der Benutzer, der sich beim Identitätsanbieter authentifiziert, zu einer anderen Active Directory-Domäne gehört als der im UAG konfigurierte Kerberos-Bereich, muss die Konfiguration des Identitätsanbieters aktualisiert werden, um ein benutzerdefiniertes SAML-Attribut „upn“ mit dem Wert
<username>@<domain>
als Teil der SAML-Antwort zurückzugeben.
Beispiel einer SAML-Assertion, die vom Identitätsanbieter für das Attribut „upn“ erwartet wird
<saml:AttributeStatement>
<saml:Attribute Name="upn" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
<saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">[email protected]</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
- Sie müssen die folgenden Identity Bridging-Einstellungen auf der Unified Access Gateway-Verwaltungskonsole konfiguriert haben. Sie können diese Einstellungen im Bereich Erweiterte Einstellungen finden.
- Die Identitätsanbieter-Metadaten müssen auf Unified Access Gateway hochgeladen sein
- Der Kerberos-Prinzipalname muss konfiguriert und die Keytab-Datei muss auf Unified Access Gateway hochgeladen sein
- Der Bereichsname und die Key Distribution Center-Informationen.
- Stellen Sie sicher, dass TCP/UDP-Port 88 geöffnet ist, da Unified Access Gateway diesen Port für die Kerberos-Kommunikation mit Active Directory verwendet.
Prozedur
- Klicken Sie auf der Admin-UI im Bereich Manuell konfigurieren auf Auswählen.
- Klicken Sie unter auf Anzeigen.
- Klicken Sie auf das Zahnradsymbol für die Reverse-Proxy-Einstellungen.
- Klicken Sie auf der Seite Reverse-Proxy-Einstellungen auf Hinzufügen, um eine Proxy-Einstellung zu erstellen.
- Aktivieren Sie die Umschaltoption Reverse-Proxy-Einstellungen aktivieren und konfigurieren Sie die folgenden Edge-Dienst-Einstellungen.
Option |
Beschreibung |
Bezeichner |
Für den Bezeichner des Edge-Diensts wird der Web-Reverse-Proxy festgelegt. |
Instanzen-ID |
Eindeutiger Name für die Instanz des Web-Reverse-Proxy. |
Proxy-Ziel-URL |
Geben Sie die interne URI für die Webanwendung an. Unified Access Gateway muss diese URL auflösen und auf sie zugreifen können. |
Fingerabdrücke für Proxy-Ziel-URL |
Geben Sie den entsprechenden URI für diese Proxy-Einstellung an. Ein Fingerabdruck weist das Format [alg=]xx:xx auf. „xx“ steht für Hexadezimalzahlen. Wenn Sie die Fingerabdrücke nicht konfigurieren, müssen die Serverzertifikate durch eine vertrauenswürdige Zertifizierungsstelle ausgestellt worden sein. |
Proxy-Muster |
Geben Sie die entsprechenden URI-Pfade ein, die an die Ziel-URL weitergegeben werden. Beispiel: (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)). Hinweis: Wenn Sie mehrere Reverse-Proxys konfigurieren, geben Sie den Hostnamen im Proxy-Host-Muster an. |
- Klicken Sie auf Mehr, um erweiterte Einstellungen zu konfigurieren.
Option |
Beschreibung |
Authentifizierungsmethoden |
Standardmäßig wird die Passthrough-Authentifizierung des Benutzernamens und des Kennworts verwendet. In den Dropdown-Menüs sind die von Ihnen in Unified Access Gateway konfigurierten Authentifizierungsmethoden aufgeführt. RSA SecurID-, RADIUS- und Authentifizierungsmethoden für Gerätezertifikate werden unterstützt. |
URI-Pfad für Integritätsprüfung |
Unified Access Gateway verbindet sich mit diesem URI-Pfad, um den Systemzustand Ihrer Webanwendung zu überprüfen. |
SAML SP |
Erforderlich, wenn Sie Unified Access Gateway als authentifizierten Reverse-Proxy für Workspace ONE Access konfigurieren. Geben Sie den Namen des SAML-Dienstanbieters für den View XML API-Broker ein. Dieser Name muss entweder mit dem Namen eines mit Unified Access Gateway konfigurierten Dienstanbieters übereinstimmen oder der spezielle Wert DEMO sein. Wenn mehrere Dienstanbieter mit Unified Access Gateway konfiguriert wurden, müssen ihre Namen eindeutig sein. |
Externe URL |
Standardmäßig ist die Unified Access Gateway-Host-URL, Port 443, angegeben. Sie können eine weitere externe URL eingeben. Geben Sie diese in folgender Form ein: https://<host:port>. |
UnSecure-Muster |
Geben Sie das bekannte Workspace ONE Access-Umleitungsmuster ein. Beispiel: (/|/catalog-portal(.*)|/|/SAAS/|/SAAS|/SAAS/API/1.0/GET/image(.*)|/SAAS/horizon/css(.*)|/SAAS/horizon/angular(.*)|/SAAS/horizon/js(.*)|/SAAS/horizon/js-lib(.*)|/SAAS/auth/login(.*)|/SAAS/jersey/manager/api/branding|/SAAS/horizon/images/(.*)|/SAAS/jersey/manager/api/images/(.*)|/hc/(.*)/authenticate/(.*)|/hc/static/(.*)|/SAAS/auth/saml/response|/SAAS/auth/authenticatedUserDispatcher|/web(.*)|/SAAS/apps/|/SAAS/horizon/portal/(.*)|/SAAS/horizon/fonts(.*)|/SAAS/API/1.0/POST/sso(.*)|/SAAS/API/1.0/REST/system/info(.*)|/SAAS/API/1.0/REST/auth/cert(.*)|/SAAS/API/1.0/REST/oauth2/activate(.*)|/SAAS/API/1.0/GET/user/devices/register(.*)|/SAAS/API/1.0/oauth2/token(.*)|/SAAS/API/1.0/REST/oauth2/session(.*)|/SAAS/API/1.0/REST/user/resources(.*)|/hc/t/(.*)/(.*)/authenticate(.*)|/SAAS/API/1.0/REST/auth/logout(.*)|/SAAS/auth/saml/response(.*)|/SAAS/(.*)/(.*)auth/login(.*)|/SAAS/API/1.0/GET/apps/launch(.*)|/SAAS/API/1.0/REST/user/applications(.*)|/SAAS/auth/federation/sso(.*)|/SAAS/auth/oauth2/authorize(.*)|/hc/prepareSaml/failure(.*)|/SAAS/auth/oauthtoken(.*)|/SAAS/API/1.0/GET/metadata/idp.xml|/SAAS/auth/saml/artifact/resolve(.*)|/hc/(.*)/authAdapter(.*)|/hc/authenticate/(.*)|/SAAS/auth/logout|/SAAS/common.js|/SAAS/auth/launchInput(.*)|/SAAS/launchUsersApplication.do(.*)|/hc/API/1.0/REST/thinapp/download(.*)|/hc/t/(.*)/(.*)/logout(.*)|/SAAS/auth/wsfed/services(.*)|/SAAS/auth/wsfed/active/logon(.*)) |
Authentifizierungs-Cookie |
Geben Sie den Namen des Authentifizierungs-Cookies ein. Beispiel: HZN |
URL für Anmeldungsumleitung |
Wenn der Benutzer sich beim Portal abmeldet, geben Sie die Umleitungs-URL für die erneute Anmeldung ein. Beispiel: /SAAS/auth/login?dest=%s |
Proxy-Host-Muster |
Externer Hostname, mit dem geprüft wird, ob der eingehende Host dem Muster für diese Instanz entspricht. Beim Konfigurieren der Instanzen des Web-Reverse-Proxy ist das Host-Muster optional. |
Vertrauenswürdige Zertifikate |
|
Sicherheitsheader der Antwort |
Klicken Sie auf „+“, um eine Kopfzeile hinzuzufügen. Geben Sie den Namen der Sicherheitskopfzeile ein. Geben Sie den Wert ein. Klicken Sie auf „-“, um eine Kopfzeile zu entfernen. Bearbeiten Sie eine vorhandene Sicherheitskopfzeile, um den Namen und den Wert der Kopfzeile zu aktualisieren.
Wichtig: Die Kopfzeilennamen und -werte werden erst gespeichert, nachdem Sie auf
Speichern geklickt haben. Einige Sicherheitskopfzeilen sind standardmäßig vorhanden. Die konfigurierten Kopfzeilen werden der
Unified Access Gateway-Antwort an den Client nur dann hinzugefügt, wenn die entsprechenden Kopfzeilen in der Antwort vom konfigurierten Backend-Server nicht vorhanden sind.
Hinweis: Gehen Sie vorsichtig beim Ändern von Sicherheitsantwortkopfzeilen vor. Eine Änderung dieser Parameter kann die sichere Funktion von
Unified Access Gateway beeinträchtigen.
|
Hosteinträge |
Geben Sie die Details ein, die der Datei /etc/hosts hinzugefügt werden sollen. Jeder Eintrag sollte eine IP, einen Hostnamen und einen optionalen Hostnamensalias (in dieser Reihenfolge) enthalten, die durch ein Leerzeichen voneinander getrennt sind. Beispiel: 10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias. Klicken Sie auf das Pluszeichen, um mehrere Hosteinträge hinzuzufügen.
Wichtig: Die Hosteinträge werden erst gespeichert, nachdem Sie auf
Speichern geklickt haben.
|
- Aktivieren Sie die Umschaltoption Identity Bridging aktivieren.
- Konfigurieren Sie die folgenden Identity Bridging-Einstellungen.
Option |
Beschreibung |
Authentifizierungstypen |
Wählen Sie die SAML aus. |
SAML-Attribute |
Liste der SAML-Attribute, die als Anforderungskopfzeile übergeben wird. Diese Option wird nur angezeigt, wenn Identity Bridging aktivieren aktiviert ist und Authentifizierungstypen auf SAML festgelegt ist. Klicken Sie auf „+“, um ein SAML-Attribut als Teil der Kopfzeile hinzuzufügen. |
SAML-Zielgruppen |
Stellen Sie sicher, dass der SAML-Authentifizierungstyp ausgewählt ist.
Geben Sie die Zielgruppen-URL ein.
Hinweis: Wenn das Textfeld leer bleibt, sind die Zielgruppen nicht eingeschränkt.
Informationen zur UAG-Unterstützung bei SAML-Zielgruppen finden Sie unter SAML-Zielgruppen. |
Identitätsanbieter |
Wählen Sie aus dem Dropdown-Menü den Identitätsanbieter aus. |
Keytab |
Wählen Sie im Dropdown-Menü die für diesen Reverse-Proxy konfigurierte Keytab-Datei. |
Name des Prinzipals des Zieldiensts |
Geben Sie den Prinzipalnamen des Kerberos-Diensts ein. Jeder Prinzipal ist stets durch den Namen des Bereichs vollständig qualifiziert. Beispiel: myco_hostname@MYCOMPANY. Geben Sie den Bereichsnamen in Großbuchstaben ein. Wenn Sie keinen Namen in das Textfeld eingeben, wird der Name des Prinzipals aus dem Hostnamen der Proxy-Ziel-URL abgeleitet. |
Landingpage des Dienstes |
Geben Sie die Seite ein, auf die Benutzer nach Validierung der Assertion im Identitätsanbieter geleitet werden. Die Standardeinstellung lautet / . |
Name der Benutzer-Kopfzeile |
Zur kopfzeilenbasierten Authentifizierung geben Sie den Namen der HTTP-Kopfzeile ein, die die aus der Assertion abgeleitete Benutzer-ID enthält. |
- Klicken Sie im Abschnitt „SP-Metadaten herunterladen“ auf Herunterladen.
Speichern Sie die Dienstanbieter-Metadatendatei.
- Klicken Sie auf Speichern.
Nächste Maßnahme
Fügen Sie die Unified Access Gateway-Dienstanbieter-Metadatendatei auf der Konfigurationsseite der Webanwendung im Workspace ONE Access-Dienst hinzu.