Aktivieren Sie Identity Bridging, konfigurieren Sie den externen Hostnamen für den Dienst und laden Sie die Unified Access Gateway-Dienstanbieter-Metadatendatei herunter.

1. Klicken Sie auf der Admin-UI im Bereich Manuell konfigurieren auf Auswählen.
2. Klicken Sie unter Allgemeine Einstellungen > Einstellungen für Edge-Dienst auf Anzeigen.
3. Klicken Sie auf das Zahnradsymbol für die Reverse-Proxy-Einstellungen.
4. Klicken Sie auf der Seite Reverse-Proxy-Einstellungen auf Hinzufügen, um eine Proxy-Einstellung zu erstellen.
5. Legen Sie die Option Reverse-Proxy-Einstellungen aktivieren auf 'JA' fest, und konfigurieren Sie die folgenden Edge-Diensteinstellungen.

   Option	Beschreibung
   Bezeichner	Für den Bezeichner des Edge-Diensts wird der Web-Reverse-Proxy festgelegt.
   Instanzen-ID	Eindeutiger Name für die Instanz des Web-Reverse-Proxys.
   Proxy-Ziel-URL	Geben Sie die interne URI für die Webanwendung an. Unified Access Gateway muss diese URL auflösen und auf sie zugreifen können.
   Fingerabdrücke für Proxy-Ziel-URL	Geben Sie den entsprechenden URI für diese Proxy-Einstellung an. Ein Fingerabdruck hat das Format [alg=]xx:xx, wobei „alg“ der Standardwert „sha1“ oder „md5“ sein kann. „xx“ steht für Hexadezimalzahlen. Beispiel: sha=C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3. Wenn Sie die Fingerabdrücke nicht konfigurieren, müssen die Serverzertifikate durch eine vertrauenswürdige Zertifizierungsstelle ausgestellt worden sein.
   Proxy-Muster	Geben Sie die entsprechenden URI-Pfade ein, die an die Ziel-URL weitergegeben werden. Beispiel: (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)). Hinweis: Wenn Sie mehrere Reverse-Proxys konfigurieren, geben Sie den Hostnamen im Proxy-Host-Muster an.

6. Klicken Sie auf Mehr, um erweiterte Einstellungen zu konfigurieren.

   Option	Beschreibung
   Authentifizierungsmethoden	Standardmäßig wird die Passthrough-Authentifizierung des Benutzernamens und des Kennworts verwendet. In den Dropdown-Menüs sind die von Ihnen in Unified Access Gateway konfigurierten Authentifizierungsmethoden aufgeführt. RSA SecurID-, RADIUS- und Authentifizierungsmethoden für Gerätezertifikate werden unterstützt.
   URI-Pfad für Integritätsprüfung	Unified Access Gateway verbindet sich mit diesem URI-Pfad, um den Systemzustand Ihrer Webanwendung zu überprüfen.
   SAML SP	Erforderlich, wenn Sie Unified Access Gateway als authentifizierten Reverse-Proxy für VMware Identity Manager konfigurieren. Geben Sie den Namen des SAML-Dienstanbieters für den View XML API-Broker ein. Dieser Name muss entweder mit dem Namen eines mit Unified Access Gateway konfigurierten Dienstanbieters übereinstimmen oder der spezielle Wert DEMO sein. Wenn mehrere Dienstanbieter mit Unified Access Gateway konfiguriert wurden, müssen ihre Namen eindeutig sein.
   Externe URL	Standardmäßig ist die Unified Access Gateway-Host-URL, Port 443, angegeben. Sie können eine weitere externe URL eingeben. Geben Sie diese in folgender Form ein: https://<host:port>.
   UnSecure-Muster	Geben Sie das bekannte VMware Identity Manager-Umleitungsmuster ein. Beispiel: (/|/catalog-portal(.*)|/|/SAAS/|/SAAS|/SAAS/API/1.0/GET/image(.*)|/SAAS/horizon/css(.*)|/SAAS/horizon/angular(.*)|/SAAS/horizon/js(.*)|/SAAS/horizon/js-lib(.*)|/SAAS/auth/login(.*)|/SAAS/jersey/manager/api/branding|/SAAS/horizon/images/(.*)|/SAAS/jersey/manager/api/images/(.*)|/hc/(.*)/authenticate/(.*)|/hc/static/(.*)|/SAAS/auth/saml/response|/SAAS/auth/authenticatedUserDispatcher|/web(.*)|/SAAS/apps/|/SAAS/horizon/portal/(.*)|/SAAS/horizon/fonts(.*)|/SAAS/API/1.0/POST/sso(.*)|/SAAS/API/1.0/REST/system/info(.*)|/SAAS/API/1.0/REST/auth/cert(.*)|/SAAS/API/1.0/REST/oauth2/activate(.*)|/SAAS/API/1.0/GET/user/devices/register(.*)|/SAAS/API/1.0/oauth2/token(.*)|/SAAS/API/1.0/REST/oauth2/session(.*)|/SAAS/API/1.0/REST/user/resources(.*)|/hc/t/(.*)/(.*)/authenticate(.*)|/SAAS/API/1.0/REST/auth/logout(.*)|/SAAS/auth/saml/response(.*)|/SAAS/(.*)/(.*)auth/login(.*)|/SAAS/API/1.0/GET/apps/launch(.*)|/SAAS/API/1.0/REST/user/applications(.*)|/SAAS/auth/federation/sso(.*)|/SAAS/auth/oauth2/authorize(.*)|/hc/prepareSaml/failure(.*)|/SAAS/auth/oauthtoken(.*)|/SAAS/API/1.0/GET/metadata/idp.xml|/SAAS/auth/saml/artifact/resolve(.*)|/hc/(.*)/authAdapter(.*)|/hc/authenticate/(.*)|/SAAS/auth/logout|/SAAS/common.js|/SAAS/auth/launchInput(.*)|/SAAS/launchUsersApplication.do(.*)|/hc/API/1.0/REST/thinapp/download(.*)|/hc/t/(.*)/(.*)/logout(.*)|/SAAS/auth/wsfed/services(.*)|/SAAS/auth/wsfed/active/logon(.*)))
   Authentifizierungs-Cookie	Geben Sie den Namen des Authentifizierungs-Cookies ein. Beispiel: HZN
   URL für Anmeldungsumleitung	Wenn der Benutzer sich beim Portal abmeldet, geben Sie die Umleitungs-URL für die erneute Anmeldung ein. Beispiel: /SAAS/auth/login?dest=%s
   Proxy-Host-Muster	Externer Hostname, mit dem geprüft wird, ob der eingehende Host dem Muster für diese bestimmte Instanz entspricht. Beim Konfigurieren der Instanzen des Web-Reverse-Proxys ist das Host-Muster optional.
   Vertrauenswürdige Zertifikate	Fügen Sie diesem Edge-Dienst ein vertrauenswürdiges Zertifikat hinzu. Klicken Sie auf „+“, wählen Sie ein Zertifikat im PEM-Format und fügen Sie es zum Trust Store hinzu. Klicken Sie auf „-“, um ein Zertifikat aus dem Trust Store zu entfernen. Standardmäßig ist der Aliasname der Dateinamen des PEM-Zertifikats. Bearbeiten Sie das Textfeld „Alias“, um einen anderen Namen anzugeben.
   Sicherheitsheader der Antwort	Klicken Sie auf „+“, um eine Kopfzeile hinzuzufügen. Geben Sie den Namen der Sicherheitskopfzeile ein. Geben Sie den Wert ein. Klicken Sie auf „-“, um eine Kopfzeile zu entfernen. Bearbeiten Sie eine vorhandene Sicherheitskopfzeile, um den Namen und den Wert der Kopfzeile zu aktualisieren. Wichtig: Die Kopfzeilennamen und -werte werden erst gespeichert, nachdem Sie auf Speichern geklickt haben. Einige Sicherheitskopfzeilen sind standardmäßig vorhanden. Die konfigurierten Kopfzeilen werden der Unified Access Gateway-Antwort an den Client nur dann hinzugefügt, wenn die entsprechenden Kopfzeilen in der Antwort vom konfigurierten Backend-Server nicht vorhanden sind. Hinweis: Gehen Sie vorsichtig beim Ändern von Sicherheitsantwortkopfzeilen vor. Eine Änderung dieser Parameter kann die sichere Funktion von Unified Access Gateway beeinträchtigen.
   Hosteinträge	Geben Sie die Details ein, die der Datei /etc/hosts hinzugefügt werden sollen. Jeder Eintrag sollte eine IP, einen Hostnamen und einen optionalen Hostnamensalias (in dieser Reihenfolge) enthalten, die durch ein Leerzeichen voneinander getrennt sind. Beispiel: 10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias. Klicken Sie auf das Pluszeichen, um mehrere Hosteinträge hinzuzufügen. Wichtig: Die Hosteinträge werden erst gespeichert, nachdem Sie auf Speichern geklickt haben.

7. Ändern Sie im Bereich „Identity Bridging aktivieren“ den Wert NEIN zu JA.
8. Konfigurieren Sie die folgenden Identity Bridging-Einstellungen.

   Option	Beschreibung
   Authentifizierungstypen	Wählen Sie die SAML aus.
   SAML-Attribute	Liste der SAML-Attribute, die als Anforderungskopfzeile übergeben wird. Diese Option wird nur angezeigt, wenn Identity Bridging aktivieren auf Ja festgelegt ist und Authentifizierungstypen auf SAML. Klicken Sie auf „+“, um ein SAML-Attribut als Teil der Kopfzeile hinzuzufügen.
   Identitätsanbieter	Wählen Sie aus dem Dropdown-Menü den Identitätsanbieter aus.
   Keytab	Wählen Sie im Dropdown-Menü die für diesen Reverse-Proxy konfigurierte Keytab-Datei.
   Name des Prinzipals des Zieldiensts	Geben Sie den Prinzipalnamen des Kerberos-Diensts ein. Jeder Prinzipal ist stets durch den Namen des Bereichs vollständig qualifiziert. Beispiel: myco_hostname@MYCOMPANY. Geben Sie den Bereichsnamen in Großbuchstaben ein. Wenn Sie keinen Namen in das Textfeld eingeben, wird der Name des Prinzipals aus dem Hostnamen der Proxy-Ziel-URL abgeleitet.
   Landingpage des Dienstes	Geben Sie die Seite ein, auf die Benutzer nach Validierung der Assertion im Identitätsanbieter geleitet werden. Die Standardeinstellung lautet /.
   Name der Benutzer-Kopfzeile	Zur kopfzeilenbasierten Authentifizierung geben Sie den Namen der HTTP-Kopfzeile ein, die die aus der Assertion abgeleitete Benutzer-ID enthält.

9. Klicken Sie im Abschnitt „SP-Metadaten herunterladen“ auf Herunterladen.
   Speichern Sie die Dienstanbieter-Metadatendatei.
10. Klicken Sie auf Speichern.