Aktivieren Sie Identity Bridging, konfigurieren Sie den externen Hostnamen für den Dienst und laden Sie die Unified Access Gateway-Dienstanbieter-Metadatendatei herunter.

Warum und wann dieser Vorgang ausgeführt wird

Diese Metadatendatei wird auf die Konfigurationsseite der Webanwendung im VMware Identity Manager-Dienst hochgeladen.

Voraussetzungen

Sie müssen die folgenden Identity Bridging-Einstellungen auf der Unified Access Gateway-Verwaltungskonsole konfiguriert haben. Sie können diese Einstellungen im Bereich Erweiterte Einstellungen finden.

  • Die Identitätsanbieter-Metadaten müssen auf Unified Access Gateway hochgeladen sein.

  • Der Kerberos-Prinzipalname muss konfiguriert und die Keytab-Datei muss auf Unified Access Gateway hochgeladen sein.

  • Der Bereichsname und die Key Distribution Center-Informationen.

Prozedur

  1. Klicken Sie auf der Admin-UI im Bereich Manuell konfigurieren auf Auswählen.
  2. Klicken Sie unter Allgemeine Einstellungen > Einstellungen für Edge-Dienst auf Anzeigen.
  3. Klicken Sie auf das Zahnradsymbol für die Reverse-Proxy-Einstellungen.
  4. Klicken Sie auf der Seite Reverse-Proxy-Einstellungen auf Hinzufügen, um eine neue Proxy-Einstellung zu erstellen.
  5. Legen Sie die Option Reverse-Proxy-Einstellungen aktivieren auf 'JA' fest, und konfigurieren Sie die folgenden Edge-Diensteinstellungen.

    Option

    Beschreibung

    Bezeichner

    Für den Bezeichner des Edgedienstes wird der Web-Reverse-Proxy festgelegt.

    Instanzen-ID

    Eindeutiger Name für die Instanz des Web-Reverse-Proxys.

    Proxy-Ziel-URL

    Geben Sie die interne URI für die Webanwendung an. Unified Access Gateway muss diese URL auflösen und auf sie zugreifen können.

    Fingerabdrücke für Proxy-Ziel-URL

    Geben Sie den entsprechenden URI für diese Proxy-Einstellung an. Ein Fingerabdruck hat das Format [alg=]xx:xx, wobei „alg“ der Standardwert „sha1“ oder „md5“ sein kann. „xx“ steht für Hexadezimalzahlen. Beispiel: sha = C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3

    Wenn Sie die Fingerabdrücke nicht konfigurieren, müssen die Serverzertifikate durch eine vertrauenswürdige Zertifizierungsstelle ausgestellt worden sein.

    Proxy-Muster

    (Optional) Geben Sie ein Host-Muster an. Das Host-Muster teilt Unified Access Gateway mit, wann Datenverkehr unter Verwendung dieser Proxy-Einstellung weitergeleitet werden muss, falls das Proxy-Muster nicht eindeutig ist. Dies wird anhand der URL entschieden, die vom Webbrowser des Clients verwendet wird. Beispiel: (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)).

  6. Ändern Sie im Bereich „Identity Bridging aktivieren“ den Wert NEIN zu JA.
  7. Konfigurieren Sie die folgenden Identity Bridging-Einstellungen.

    Option

    Beschreibung

    Authentifizierungstypen

    Wählen Sie die SAML aus.

    Identitätsanbieter

    Wählen Sie aus dem Dropdown-Menü den zu verwendenden Identitätsanbieter aus.

    Keytab

    Wählen Sie im Dropdown-Menü die für diesen Reverse-Proxy konfigurierte Keytab-Datei.

    Name des Prinzipals des Zieldiensts

    Geben Sie den Prinzipalnamen des Kerberos-Diensts ein. Jeder Prinzipal ist stets durch den Namen des Bereichs vollständig qualifiziert. Beispiel: myco_hostname@MYCOMPANY. Geben Sie den Bereichsnamen in Großbuchstaben ein. Wenn Sie keinen Namen in das Textfeld eingeben, wird der Name des Prinzipals aus dem Hostnamen der Proxy-Ziel-URL abgeleitet.

    Landingpage des Dienstes

    Geben Sie die Seite ein, auf die Benutzer nach Validierung der Assertion im Identitätsanbieter geleitet werden. Die Standardeinstellung lautet /.

    Name der Benutzer-Kopfzeile

    Zur kopfzeilenbasierten Authentifizierung geben Sie den Namen der HTTP-Kopfzeile ein, die die aus der Assertion abgeleitete Benutzer-ID enthält.

  8. Klicken Sie im Abschnitt „SP-Metadaten herunterladen“ auf Herunterladen.

    Speichern Sie die Dienstanbieter-Metadatendatei.

  9. Klicken Sie auf Speichern.

Nächste Maßnahme

Fügen Sie die Unified Access Gateway-Dienstanbieter-Metadatendatei auf der Konfigurationsseite der Webanwendung im VMware Identity Manager-Dienst hinzu.