Sie können den Web-Reverse-Proxy-Dienst zur Verwendung von Unified Access Gateway mit VMware Identity Manager konfigurieren.
Voraussetzungen
Anforderungen für die Bereitstellung mit VMware Identity Manager.
- Aufgeteiltes DNS. Bei einem aufgeteilten DNS kann der Name auf verschiedene IP-Adressen aufgelöst werden – abhängig davon, ob es sich um eine interne oder externe IP handelt.
- Der VMware Identity Manager-Dienst muss einen vollqualifizierten Domänennamen (FQDN) als Hostnamen aufweisen.
- Unified Access Gateway muss das interne DNS verwenden. Die Proxy-Ziel-URL muss also FQDN verwenden.
Prozedur
- Klicken Sie auf der Verwaltungsoberfläche im Bereich „Manuell konfigurieren“ auf Auswählen.
- Klicken Sie unter „Allgemeine Einstellungen“ in der Zeile mit den Einstellungen des Edgedienstes auf Anzeigen.
- Klicken Sie auf das Zahnradsymbol für die Reverse-Proxy-Einstellungen.
- Klicken Sie auf der Seite „Reverse-Proxy-Einstellungen“ auf Hinzufügen.
- Ändern Sie im Abschnitt „Reverse-Proxy-Einstellungen aktivieren“ NEIN zu JA, um den Reverse-Proxy zu aktivieren.
- Konfigurieren Sie die folgenden Edgediensteinstellungen.
Option Beschreibung Bezeichner Für den Bezeichner des Edgedienstes wird der Web-Reverse-Proxy festgelegt. Instanzen-ID Der eindeutige Name, um eine Instanz des Web-Reverse-Proxy zu identifizieren und von allen anderen Instanzen des Web-Reverse-Proxy zu unterscheiden. Proxy-Ziel-URL Geben Sie die Adresse der Webanwendung ein. Fingerabdrücke für Proxy-Ziel-URL Geben Sie eine Liste annehmbarer Fingerabdrücke von SSL-Server-Zertifikaten für die proxyDestination-URL ein. Wenn Sie das Platzhalterzeichen * einfügen, werden alle Zertifikate zugelassen. Ein Fingerabdruck hat das Format [alg=]xx:xx, wobei „alg“ der Standardwert „sha1“ oder „md5“ sein kann. „xx“ steht für Hexadezimalzahlen. Das ':' Trennzeichen kann auch ein Leerzeichen sein oder fehlen. Der Fall in einem Fingerabdruck wird ignoriert. Beispiel: sha1=B6 77 DC 9C 19 94 2E F1 78 F0 AD 4B EC 85 D1 7A F8 8B DC 34,
sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:be:78:ed:ff:50:23:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db
Wenn Sie die Fingerabdrücke nicht konfigurieren, müssen die Serverzertifikate durch eine vertrauenswürdige Zertifizierungsstelle ausgestellt worden sein.
Proxy-Muster Geben Sie die entsprechenden URI-Pfade ein, die an die Ziel-URL weitergegeben werden. Beispiel: (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)). Hinweis: Wenn Sie mehrere Reverse-Proxys konfigurieren, geben Sie den Hostnamen im Proxy-Host-Muster an. - Klicken Sie auf Mehr, um erweiterte Einstellungen zu konfigurieren.
Option Beschreibung Authentifizierungsmethoden Standardmäßig wird die Passthrough-Authentifizierung des Benutzernamens und des Kennworts verwendet. In den Dropdown-Menüs sind die von Ihnen in Unified Access Gateway konfigurierten Authentifizierungsmethoden aufgeführt.
URI-Pfad für Integritätsprüfung Unified Access Gateway verbindet sich mit diesem URI-Pfad, um den Systemzustand Ihrer Webanwendung zu überprüfen. SAML SP Dieses Feld ist erforderlich, wenn UAG als authentifizierter Reverse-Proxy für VMware Identity Manager konfiguriert wird. Geben Sie den Namen des SAML-Dienstanbieters für den View XML API-Broker ein. Dieser Name muss entweder mit dem Namen eines mit Unified Access Gateway konfigurierten Dienstanbieters übereinstimmen oder der spezielle Wert DEMO sein. Wenn mehrere Dienstanbieter mit Unified Access Gateway konfiguriert wurden, müssen ihre Namen eindeutig sein.
Aktivierungscode Geben Sie den vom VMware Identity Manager-Dienst generierten und in Unified Access Gateway importierten Code ein, um eine Vertrauensbeziehung zwischen VMware Identity Manager und Unified Access Gateway aufzubauen. Beachten Sie, dass für lokale Bereitstellungen der Aktivierungscode nicht erforderlich ist. Ausführliche Informationen zur Generierung eines Aktivierungscodes finden Sie unter VMware Identity Manager-Cloud-Bereitstellung. Externe URL Standardmäßig ist die Unified Access Gateway-Host-URL, Port 443, angegeben. Sie können eine weitere externe URL eingeben. Geben Sie diese in folgender Form ein: https://<host:port>.
UnSecure-Muster Geben Sie das bekannte Muster der VMware Identity Manager-Umleitung ein. Beispiel: (/catalog-portal(.*)|/|/SAAS/|/SAAS|/SAAS/API/1.0/GET/image(.*)|/SAAS/horizon/css(.*)|/SAAS/horizon/angular(.*)|/SAAS/horizon/js(.*)|/SAAS/horizon/js-lib(.*)|/SAAS/auth/login(.*)|/SAAS/jersey/manager/api/branding|/SAAS/horizon/images/(.*)|/SAAS/jersey/manager/api/images/(.*)|/hc/(.*)/authenticate/(.*)|/hc/static/(.*)|/SAAS/auth/saml/response|/SAAS/auth/authenticatedUserDispatcher|/web(.*)|/SAAS/apps/|/SAAS/horizon/portal/(.*)|/SAAS/horizon/fonts(.*)|/SAAS/API/1.0/POST/sso(.*)|/SAAS/API/1.0/REST/system/info(.*)|/SAAS/API/1.0/REST/auth/cert(.*)|/SAAS/API/1.0/REST/oauth2/activate(.*)|/SAAS/API/1.0/GET/user/devices/register(.*)|/SAAS/API/1.0/oauth2/token(.*)|/SAAS/API/1.0/REST/oauth2/session(.*)|/SAAS/API/1.0/REST/user/resources(.*)|/hc/t/(.*)/(.*)/authenticate(.*)|/SAAS/API/1.0/REST/auth/logout(.*)|/SAAS/auth/saml/response(.*)|/SAAS/(.*)/(.*)auth/login(.*)|/SAAS/API/1.0/GET/apps/launch(.*)|/SAAS/API/1.0/REST/user/applications(.*)|/SAAS/auth/federation/sso(.*)|/SAAS/auth/oauth2/authorize(.*)|/hc/prepareSaml/failure(.*)|/SAAS/auth/oauthtoken(.*)|/SAAS/API/1.0/GET/metadata/idp.xml|/SAAS/auth/saml/artifact/resolve(.*)|/hc/(.*)/authAdapter(.*)|/hc/authenticate/(.*)|/SAAS/auth/logout|/SAAS/common.js|/SAAS/auth/launchInput(.*)|/SAAS/launchUsersApplication.do(.*)|/hc/API/1.0/REST/thinapp/download(.*)|/hc/t/(.*)/(.*)/logout(.*))
Authentifizierungs-Cookie Geben Sie den Namen des Authentifizierungs-Cookies ein. Beispiel: HZN URL für Anmeldungsumleitung Wenn der Benutzer sich beim Portal abmeldet, geben Sie die Umleitungs-URL für die erneute Anmeldung ein. Beispiel: /SAAS/auth/login?dest=%s Proxy-Host-Muster Externer Hostname, mit dem geprüft wird, ob der eingehende Host dem Muster für diese bestimmte Instanz entspricht. Beim Konfigurieren der Instanzen des Web-Reverse-Proxys ist das Host-Muster optional. Hosteinträge Geben Sie eine durch Komma getrennte Liste von Hostnamen ein, die der /etc/hosts-Datei hinzugefügt werden. Jeder Eintrag enthält eine IP, einen Hostnamen und einen optionalen Hostnamensalias (in dieser Reihenfolge), die durch ein Leerzeichen getrennt sind. Beispiel: 10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias. Hinweis: Die Optionen „UnSecure-Muster“, „Authentifizierungs-Cookie“ und „URL für Anmeldungsumleitung“ können nur mit VMware Identity Manager anwendet werden. Die hier bereitgestellten Werte gelten auch für Access Point 2.8 und Unified Access Gateway 2.9.Hinweis: Das Authentifizierungs-Cookie und die Eigenschaften für UnSecure-Muster gelten nicht für den Authentifizierungs-Reverse-Proxy. Sie müssen die Authentifizierungsmethode mit der Eigenschaft für Authentifizierungsmethoden definieren. - Klicken Sie auf Speichern.
Nächste Maßnahme
Informationen zum Aktivieren von Identity Bridging finden Sie unter Konfigurieren der Identity Bridging-Einstellungen.