Sie können den Web-Reverse-Proxy-Dienst zur Verwendung von Unified Access Gateway mit VMware Identity Manager konfigurieren.

Voraussetzungen

Beachten Sie die folgenden Voraussetzungen für die Bereitstellung mit VMware Identity Manager:

  • Aufgeteiltes DNS. Bei einem aufgeteilten DNS kann der Name auf verschiedene IP-Adressen aufgelöst werden – abhängig davon, ob es sich um eine interne oder externe IP handelt.

  • Der VMware Identity Manager-Dienst muss einen vollqualifizierten Domänennamen (FQDN) als Hostnamen aufweisen.

  • Unified Access Gateway muss das interne DNS verwenden. Die Proxy-Ziel-URL muss also FQDN verwenden.

  • Die Kombination aus Proxy-Muster und Proxy-Host-Muster für eine Web-Reverse-Proxy-Instanz muss eindeutig sein, wenn mehrere Reverse-Proxys in einer Unified Access Gateway-Instanz eingerichtet sind.

  • Die Hostnamen aller konfigurierten Reverse-Proxys sollten auf die gleiche IP-Adresse aufgelöst werden, die die IP-Adresse der Unified Access Gateway-Instanz ist.

  • Weitere Informationen zu den erweiterten Edge-Dienst-Einstellungen finden Sie unter Erweiterte Einstellungen für Edge-Dienst.

Prozedur

  1. Klicken Sie auf der Verwaltungsoberfläche im Bereich „Manuell konfigurieren“ auf Auswählen.
  2. Klicken Sie unter Allgemeine Einstellungen > Edge-Dienst-Einstellungen auf Anzeigen.
  3. Klicken Sie auf das Zahnradsymbol für die Reverse-Proxy-Einstellungen.
  4. Klicken Sie auf der Seite „Reverse-Proxy-Einstellungen“ auf Hinzufügen.
  5. Ändern Sie im Abschnitt „Reverse-Proxy-Einstellungen aktivieren“ NEIN zu JA, um den Reverse-Proxy zu aktivieren.
  6. Konfigurieren Sie die folgenden Edgediensteinstellungen.

    Option

    Beschreibung

    Bezeichner

    Für den Bezeichner des Edgedienstes wird der Web-Reverse-Proxy festgelegt.

    Instanzen-ID

    Der eindeutige Name, um eine Instanz des Web-Reverse-Proxy zu identifizieren und von allen anderen Instanzen des Web-Reverse-Proxy zu unterscheiden.

    Proxy-Ziel-URL

    Geben Sie die Adresse der Webanwendung ein.

    Fingerabdrücke für Proxy-Ziel-URL

    Geben Sie eine Liste annehmbarer Fingerabdrücke von SSL-Server-Zertifikaten für die proxyDestination-URL ein. Wenn Sie * angeben, wird jedes Zertifikat akzeptiert. Ein Fingerabdruck hat das Format [alg=]xx:xx, wobei alg der Standardwert sha1 oder md5 sein kann. xx steht für Hexadezimalzahlen. Das ':' Trennzeichen kann auch ein Leerzeichen sein oder fehlen. Der Fall in einem Fingerabdruck wird ignoriert. Beispiel:

    sha1=B6 77 DC 9C 19 94 2E F1 78 F0 AD 4B EC 85 D1 7A F8 8B DC 34

    sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:be:78:ed:ff:50:23:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db

    Wenn Sie die Fingerabdrücke nicht konfigurieren, müssen die Serverzertifikate durch eine vertrauenswürdige Zertifizierungsstelle ausgestellt worden sein.

    Proxy-Muster

    Geben Sie die entsprechenden URI-Pfade ein, die an die Ziel-URL weitergegeben werden. Beispiel: (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)).

    Anmerkung:

    Wenn Sie mehrere Reverse-Proxys konfigurieren, geben Sie den Hostnamen im Proxy-Host-Muster an.

  7. Klicken Sie auf Mehr, um erweiterte Einstellungen zu konfigurieren.

    Option

    Beschreibung

    Authentifizierungsmethoden

    Standardmäßig wird die Passthrough-Authentifizierung des Benutzernamens und des Kennworts verwendet. In den Dropdown-Menüs sind die von Ihnen in Unified Access Gateway konfigurierten Authentifizierungsmethoden aufgeführt.

    URI-Pfad für Integritätsprüfung

    Unified Access Gateway verbindet sich mit diesem URI-Pfad, um den Systemzustand Ihrer Webanwendung zu überprüfen.

    SAML SP

    Erforderlich, wenn Sie Unified Access Gateway als authentifizierten Reverse-Proxy für VMware Identity Manager konfigurieren. Geben Sie den Namen des SAML-Dienstanbieters für den View XML API-Broker ein. Dieser Name muss entweder mit dem Namen eines mit Unified Access Gateway konfigurierten Dienstanbieters übereinstimmen oder der spezielle Wert DEMO sein. Wenn mehrere Dienstanbieter mit Unified Access Gateway konfiguriert wurden, müssen ihre Namen eindeutig sein.

    Aktivierungscode

    Geben Sie den vom VMware Identity Manager-Dienst generierten und in Unified Access Gateway importierten Code ein, um eine Vertrauensbeziehung zwischen VMware Identity Manager und Unified Access Gateway aufzubauen. Beachten Sie, dass für lokale Bereitstellungen der Aktivierungscode nicht erforderlich ist. Ausführliche Informationen zur Generierung eines Aktivierungscodes finden Sie unter VMware Identity Manager-Cloud-Bereitstellung.

    Externe URL

    Standardmäßig ist die Unified Access Gateway-Host-URL, Port 443, angegeben. Sie können eine weitere externe URL eingeben. Geben Sie diese in folgender Form ein: https://<host:port>.

    UnSecure-Muster

    Geben Sie das bekannte Muster der VMware Identity Manager-Umleitung ein. Beispiel: (/catalog-portal(.*)|/|/SAAS/|/SAAS|/SAAS/API/1.0/GET/image(.*)|/SAAS/horizon/css(.*)|/SAAS/horizon/angular(.*)|/SAAS/horizon/js(.*)|/SAAS/horizon/js-lib(.*)|/SAAS/auth/login(.*)|/SAAS/jersey/manager/api/branding|/SAAS/horizon/images/(.*)|/SAAS/jersey/manager/api/images/(.*)|/hc/(.*)/authenticate/(.*)|/hc/static/(.*)|/SAAS/auth/saml/response|/SAAS/auth/authenticatedUserDispatcher|/web(.*)|/SAAS/apps/|/SAAS/horizon/portal/(.*)|/SAAS/horizon/fonts(.*)|/SAAS/API/1.0/POST/sso(.*)|/SAAS/API/1.0/REST/system/info(.*)|/SAAS/API/1.0/REST/auth/cert(.*)|/SAAS/API/1.0/REST/oauth2/activate(.*)|/SAAS/API/1.0/GET/user/devices/register(.*)|/SAAS/API/1.0/oauth2/token(.*)|/SAAS/API/1.0/REST/oauth2/session(.*)|/SAAS/API/1.0/REST/user/resources(.*)|/hc/t/(.*)/(.*)/authenticate(.*)|/SAAS/API/1.0/REST/auth/logout(.*)|/SAAS/auth/saml/response(.*)|/SAAS/(.*)/(.*)auth/login(.*)|/SAAS/API/1.0/GET/apps/launch(.*)|/SAAS/API/1.0/REST/user/applications(.*)|/SAAS/auth/federation/sso(.*)|/SAAS/auth/oauth2/authorize(.*)|/hc/prepareSaml/failure(.*)|/SAAS/auth/oauthtoken(.*)|/SAAS/API/1.0/GET/metadata/idp.xml|/SAAS/auth/saml/artifact/resolve(.*)|/hc/(.*)/authAdapter(.*)|/hc/authenticate/(.*)|/SAAS/auth/logout|/SAAS/common.js|/SAAS/auth/launchInput(.*)|/SAAS/launchUsersApplication.do(.*)|/hc/API/1.0/REST/thinapp/download(.*)|/hc/t/(.*)/(.*)/logout(.*))

    Authentifizierungs-Cookie

    Geben Sie den Namen des Authentifizierungs-Cookies ein. Beispiel: HZN

    URL für Anmeldungsumleitung

    Wenn der Benutzer sich beim Portal abmeldet, geben Sie die Umleitungs-URL für die erneute Anmeldung ein. Beispiel: /SAAS/auth/login?dest=%s

    Proxy-Host-Muster

    Externer Hostname, mit dem geprüft wird, ob der eingehende Host dem Muster für diese bestimmte Instanz entspricht. Beim Konfigurieren der Instanzen des Web-Reverse-Proxys ist das Host-Muster optional.

    Hosteinträge

    Geben Sie die Details ein, die der Datei /etc/hosts hinzugefügt werden sollen. Jeder Eintrag sollte eine IP, einen Hostnamen und einen optionalen Hostnamensalias (in dieser Reihenfolge) enthalten, die durch ein Leerzeichen voneinander getrennt sind. Beispiel: 10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias. Klicken Sie auf das Pluszeichen, um mehrere Hosteinträge hinzuzufügen.

    Wichtig:

    Die Hosteinträge werden erst gespeichert, nachdem Sie auf Speichern geklickt haben.

    Anmerkung:

    Die Optionen UnSecure Pattern, Auth Cookie und Login Redirect URL sind nur bei VMware Identity Manager anwendbar. Die hier bereitgestellten Werte gelten auch für Access Point 2.8 und Unified Access Gateway 2.9.

    Anmerkung:

    Das Authentifizierungs-Cookie und die Eigenschaften für UnSecure-Muster gelten nicht für den Authentifizierungs-Reverse-Proxy. Sie müssen die Authentifizierungsmethode mit der Eigenschaft Auth Methods definieren.

  8. Klicken Sie auf Speichern.

Nächste Maßnahme

Informationen zum Aktivieren von Identity Bridging finden Sie unter Konfigurieren der Identity Bridging-Einstellungen.