Konfigurieren eines Web-Reverse-Proxy für Identity Bridging (Cert-to-Kerberos)

Konfigurieren Sie die Bridging-Funktion von Unified Access Gateway, um Single Sign-On (SSO) für veraltete, Nicht-SAML-Anwendungen vor Ort bereitzustellen, die eine Zertifikatvalidierung verwenden.

Voraussetzungen

Stellen Sie vor der Konfiguration sicher, dass Ihnen die folgenden Dateien und Zertifikate zur Verfügung stehen:

Keytab-Datei einer Back-End-Anwendung, z. B. Sharepoint oder JIRA
Root-CA-Zertifikat oder die gesamte Zertifikatskette mit Zwischenzertifikat für den Benutzer
Sie müssen in der AirWatch Konsole ein Zertifikat hinzugefügt und hochgeladen haben. Siehe Aktivieren der AirWatch Konsole für das Abrufen und Verwenden von Zertifizierungsstellenzertifikaten.

Sehen Sie sich die relevante Produktdokumentation an, um die Root- und Benutzerzertifikate und die Keytab-Datei für Nicht-SAML-Anwendungen zu generieren.

Prozedur

Klicken Sie auf Authentifizierungseinstellungen > X509-Zertifikat und rufen Sie Folgendes auf:
1. Klicken Sie bei Root- und Zwischen-CA-Zertifikat auf Auswählen und laden Sie die gesamte Zertifikatskette hoch.
2. Stellen Sie für Entziehen von Zertifikaten aktivieren die Umschaltfläche auf Ja.
3. Aktivieren Sie das Kontrollkästchen für OCSP-Rückruf aktivieren.
4. Geben Sie die OCSP-Antwort-URL im Textfeld OCSP-URL ein.
  
  Unified Access Gateway sendet die OCSP-Anforderung an die angegebene URL und erhält eine Antwort, ob das Zertifikat widerrufen wurde oder nicht.
5. Aktivieren Sie das Kontrollkästchen OCSP-URL des Zertifikats verwenden nur dann, wenn ein Anwendungsfall vorliegt, für den die OCSP-Anforderung an die OCSP-URL im Clientzertifikat gesendet werden soll. Wenn diese Option nicht aktiviert ist, wird standardmäßig der Wert im Feld „OCSP-URL“ verwendet.
Klicken Sie unter Erweiterte Einstellungen > Einstellungen für Identity Bridging > OSCP-Einstellungen auf Hinzufügen.
1. Klicken Sie auf Auswählen und laden Sie das OCSP-Signaturzertifikat hoch.
Wählen Sie das Zahnrad-Symbol Bereichseinstellungen aus und konfigurieren Sie die Einstellungen für den Bereich wie unter Konfigurieren der Bereichseinstellungenbeschrieben.
Wählen Sie unter Allgemeine Einstellungen > Edge-Dienst-Einstellungen das Zahnradsymbol Reverse-Proxy-Einstellungen aus.

Stellen Sie Identity Bridging-Einstellungen aktivieren auf JA ein, konfigurieren Sie die folgenden Identity Bridging-Einstellungen und klicken Sie dann auf Speichern.

Identity Bridging-Einstellungen für Cert-to-Kerberos aktivieren

Option	Beschreibung
Authentifizierungstypen	Wählen Sie ZERTIFIKAT aus dem Dropdown-Menü aus.
Keytab	Wählen Sie im Dropdown-Menü die für diesen Reverse-Proxy konfigurierte Keytab-Datei.
Name des Prinzipals des Zieldiensts	Geben Sie den Prinzipalnamen des Kerberos-Diensts ein. Jeder Prinzipal ist stets durch den Namen des Bereichs vollständig qualifiziert. Beispiel: `myco_hostname@MYCOMPANY`. Geben Sie den Bereichsnamen in Großbuchstaben ein. Wenn Sie keinen Namen in das Textfeld eingeben, wird der Name des Prinzipals aus dem Hostnamen der Proxy-Ziel-URL abgeleitet.
Name der Benutzer-Kopfzeile	Zur kopfzeilenbasierten Authentifizierung geben Sie den Namen der HTTP-Kopfzeile ein, die die aus der Assertion abgeleitete Benutzer-ID enthält, oder verwenden Sie die standardmäßige AccessPoint-Benutzer-ID.

Nächste Maßnahme

Wenn Sie den VMware Browser verwenden, um auf die Zielwebsite zuzugreifen, fungiert die Zielwebsite als Reverse-Proxy. Unified Access Gateway validiert das vorgelegte Zertifikat. Wenn das Zertifikat gültig ist, zeigt der Browser die Benutzeroberfläche für die Back-End-Anwendung an.

Informationen zu spezifischen Fehlermeldungen und zur Fehlerbehebung finden Sie unter Fehlerbehebung für Cert-to-Kerberos.