Konfigurieren eines Web-Reverse-Proxy für Identity Bridging (Cert-to-Kerberos)

Konfigurieren Sie die Bridging-Funktion von Unified Access Gateway, um Single Sign-On (SSO) für veraltete, lokale Nicht-SAML-Anwendungen bereitzustellen, die eine Zertifikatvalidierung verwenden.

Voraussetzungen

Stellen Sie vor der Konfiguration sicher, dass Ihnen die folgenden Dateien und Zertifikate zur Verfügung stehen:

Keytab-Datei einer Back-End-Anwendung, z. B. Sharepoint oder JIRA
Root-CA-Zertifikat oder die gesamte Zertifikatskette mit Zwischenzertifikat für den Benutzer
Sie müssen in der Workspace ONE UEM-Konsole ein Zertifikat hinzugefügt und hochgeladen haben. Siehe Aktivieren der Workspace ONE UEM-Konsole für das Abrufen und Verwenden von Zertifizierungsstellenzertifikaten.

Sehen Sie sich die relevante Produktdokumentation an, um die Root- und Benutzerzertifikate und die Keytab-Datei für Nicht-SAML-Anwendungen zu generieren.

Stellen Sie sicher, dass TCP/UDP-Port 88 geöffnet ist, da Unified Access Gateway diesen Port für die Kerberos-Kommunikation mit Active Directory verwendet.

Prozedur

Klicken Sie auf Authentifizierungseinstellungen > X509-Zertifikat und rufen Sie Folgendes auf:
1. Klicken Sie bei Root- und Zwischen-CA-Zertifikat auf Auswählen und laden Sie die gesamte Zertifikatskette hoch.
2. Stellen Sie für Entziehen von Zertifikaten aktivieren die Umschaltfläche auf Ja.
3. Aktivieren Sie das Kontrollkästchen für OCSP-Rückruf aktivieren.
4. Geben Sie die OCSP-Antwort-URL im Textfeld OCSP-URL ein.
  
  Unified Access Gateway sendet die OCSP-Anforderung an die angegebene URL und erhält eine Antwort, ob das Zertifikat widerrufen wurde oder nicht.
5. Aktivieren Sie das Kontrollkästchen OCSP-URL des Zertifikats verwenden nur dann, wenn ein Anwendungsfall vorliegt, für den die OCSP-Anforderung an die OCSP-URL im Clientzertifikat gesendet werden soll. Wenn diese Option nicht aktiviert ist, wird standardmäßig der Wert im Textfeld „OCSP-URL“ verwendet.
Klicken Sie unter Erweiterte Einstellungen > Einstellungen für Identity Bridging > OSCP-Einstellungen auf Hinzufügen.
1. Klicken Sie auf Auswählen und laden Sie das OCSP-Signaturzertifikat hoch.
Wählen Sie das Zahnrad-Symbol Bereichseinstellungen aus und konfigurieren Sie die Einstellungen für den Bereich wie unter Konfigurieren der Bereichseinstellungenbeschrieben.
Wählen Sie unter Allgemeine Einstellungen > Edge-Dienst-Einstellungen das Zahnradsymbol Reverse-Proxy-Einstellungen aus.

Stellen Sie Identity Bridging-Einstellungen aktivieren auf JA ein, konfigurieren Sie die folgenden Identity Bridging-Einstellungen und klicken Sie dann auf Speichern.

Identity Bridging-Einstellungen für Cert-to-Kerberos aktivieren

Option	Beschreibung
Authentifizierungstypen	Wählen Sie ZERTIFIKAT aus dem Dropdown-Menü aus.
Keytab	Wählen Sie im Dropdown-Menü die für diesen Reverse-Proxy konfigurierte Keytab-Datei.
Name des Prinzipals des Zieldiensts	Geben Sie den Prinzipalnamen des Kerberos-Diensts ein. Jeder Prinzipal ist stets durch den Namen des Bereichs vollständig qualifiziert. Beispiel: `myco_hostname@MYCOMPANY`. Geben Sie den Bereichsnamen in Großbuchstaben ein. Wenn Sie keinen Namen in das Textfeld eingeben, wird der Name des Prinzipals aus dem Hostnamen der Proxy-Ziel-URL abgeleitet.
Name der Benutzer-Kopfzeile	Zur kopfzeilenbasierten Authentifizierung geben Sie den Namen der HTTP-Kopfzeile ein, die die aus der Assertion abgeleitete Benutzer-ID enthält, oder verwenden Sie die standardmäßige AccessPoint-Benutzer-ID.

Nächste Maßnahme

Wenn Sie den VMware Browser verwenden, um auf die Zielwebsite zuzugreifen, fungiert die Zielwebsite als Reverse-Proxy. Unified Access Gateway validiert das vorgelegte Zertifikat. Wenn das Zertifikat gültig ist, zeigt der Browser die Benutzeroberfläche für die Back-End-Anwendung an.

Informationen zu spezifischen Fehlermeldungen und zur Fehlerbehebung finden Sie unter Fehlerbehebung: Identity Bridging.