Konfigurieren Sie die Bridging-Funktion von Unified Access Gateway, um Single Sign-On (SSO) für veraltete, lokale Nicht-SAML-Anwendungen bereitzustellen, die eine Zertifikatvalidierung verwenden.

Voraussetzungen

Stellen Sie vor der Konfiguration sicher, dass Ihnen die folgenden Dateien und Zertifikate zur Verfügung stehen:

Sehen Sie sich die relevante Produktdokumentation an, um die Root- und Benutzerzertifikate und die Keytab-Datei für Nicht-SAML-Anwendungen zu generieren.

Stellen Sie sicher, dass TCP/UDP-Port 88 geöffnet ist, da Unified Access Gateway diesen Port für die Kerberos-Kommunikation mit Active Directory verwendet.

Prozedur

  1. Klicken Sie auf Authentifizierungseinstellungen > X509-Zertifikat und rufen Sie Folgendes auf:
    1. Klicken Sie bei Root- und Zwischen-CA-Zertifikat auf Auswählen und laden Sie die gesamte Zertifikatskette hoch.
    2. Stellen Sie für Entziehen von Zertifikaten aktivieren die Umschaltfläche auf Ja.
    3. Aktivieren Sie das Kontrollkästchen für OCSP-Rückruf aktivieren.
    4. Geben Sie die OCSP-Antwort-URL im Textfeld OCSP-URL ein.
      Unified Access Gateway sendet die OCSP-Anforderung an die angegebene URL und erhält eine Antwort, ob das Zertifikat widerrufen wurde oder nicht.
    5. Aktivieren Sie das Kontrollkästchen OCSP-URL des Zertifikats verwenden nur dann, wenn ein Anwendungsfall vorliegt, für den die OCSP-Anforderung an die OCSP-URL im Clientzertifikat gesendet werden soll. Wenn diese Option nicht aktiviert ist, wird standardmäßig der Wert im Textfeld „OCSP-URL“ verwendet.
      Cert-to-Kerberos – X509-Zertifikat
  2. Klicken Sie unter Erweiterte Einstellungen > Einstellungen für Identity Bridging > OSCP-Einstellungen auf Hinzufügen.
    1. Klicken Sie auf Auswählen und laden Sie das OCSP-Signaturzertifikat hoch.
  3. Wählen Sie das Zahnrad-Symbol Bereichseinstellungen aus und konfigurieren Sie die Einstellungen für den Bereich wie unter Konfigurieren der Bereichseinstellungenbeschrieben.
  4. Wählen Sie unter Allgemeine Einstellungen > Edge-Dienst-Einstellungen das Zahnradsymbol Reverse-Proxy-Einstellungen aus.
  5. Stellen Sie Identity Bridging-Einstellungen aktivieren auf JA ein, konfigurieren Sie die folgenden Identity Bridging-Einstellungen und klicken Sie dann auf Speichern.
    Identity Bridging-Einstellungen für Cert-to-Kerberos aktivieren
    Option Beschreibung
    Authentifizierungstypen Wählen Sie ZERTIFIKAT aus dem Dropdown-Menü aus.
    Keytab Wählen Sie im Dropdown-Menü die für diesen Reverse-Proxy konfigurierte Keytab-Datei.
    Name des Prinzipals des Zieldiensts Geben Sie den Prinzipalnamen des Kerberos-Diensts ein. Jeder Prinzipal ist stets durch den Namen des Bereichs vollständig qualifiziert. Beispiel: myco_hostname@MYCOMPANY. Geben Sie den Bereichsnamen in Großbuchstaben ein. Wenn Sie keinen Namen in das Textfeld eingeben, wird der Name des Prinzipals aus dem Hostnamen der Proxy-Ziel-URL abgeleitet.
    Name der Benutzer-Kopfzeile Zur kopfzeilenbasierten Authentifizierung geben Sie den Namen der HTTP-Kopfzeile ein, die die aus der Assertion abgeleitete Benutzer-ID enthält, oder verwenden Sie die standardmäßige AccessPoint-Benutzer-ID.

Nächste Maßnahme

Wenn Sie das Workspace ONE Web verwenden, um auf die Zielwebsite zuzugreifen, fungiert die Zielwebsite als Reverse-Proxy. Unified Access Gateway validiert das vorgelegte Zertifikat. Wenn das Zertifikat gültig ist, zeigt der Browser die Benutzeroberfläche für die Back-End-Anwendung an.

Informationen zu spezifischen Fehlermeldungen und zur Fehlerbehebung finden Sie unter Fehlerbehebung: Identity Bridging.