Die Cert-Proxy-Einstellungen müssen auf den Workspace ONE Access-Dienst konfiguriert werden, um die Mobile SSO-Anforderungen für Android zu verwalten.

Voraussetzungen

Das Einrichten des Cert-Proxys ist nur für lokale Bereitstellungen von Workspace ONE Access für die Mobile SSO-Authentifizierung von Android erforderlich.

  • Lastausgleichsdienst korrekt konfiguriert.
  • Auf den Workspace ONE Access-Dienst hochgeladene Zertifikate.
  • Der Cert-Proxy-Dienst, der in der Workspace ONE Access-Appliance ausgeführt wird.

Prozedur

  1. Melden Sie sich bei der Workspace ONE Access-Konsole an und navigieren Sie zur Seite Überwachen > Resilienz.
  2. Klicken Sie auf VA-Konfiguration auf dem Dienstknoten, der mit Cert-Proxy konfiguriert werden soll.
  3. Klicken Sie auf Mobile SSO.
  4. Aktivieren Sie Cert-Proxy und konfigurieren Sie die CertProxy-Einstellungen für mobile Android-SSO-Anforderungen an den Workspace ONE Access-Dienst.
    Option Beschreibung
    Ziel erzwungen Wenn Ziel erzwungen ausgewählt ist, muss ein einzelner Hostname oder eine IP-Adresse im Textfeld „Ziel“ angegeben werden. Alle Android-SSO-Anforderungen werden an dieses Ziel gesendet. Dieses Ziel ist je nach Workspace ONE Access-Konfiguration entweder der Lastausgleichsdienst oder der lokale Host.
    Ziel Wenn Ziel erzwungen aktiviert ist, geben Sie den Hostnamen oder die zu verwendende IP-Adresse ein.

    Wenn „Ziel erzwungen“ nicht ausgewählt ist, geben Sie die Positivliste der zugelassenen Ziele ein, die Android-SSO-Anforderungen erhalten können. Die Adressen in der Liste können durch ein Semikolon entweder im CIDR-Format oder im Subnetz-Format durch ein Leerzeichen getrennt werden oder eine einzelne IP sein.

    Remote-IP-Quelle

    Wählen Sie in der Liste die Quelle aus, die zum Abrufen der CertProxy-Instanz-IP aus der HTTP-Anforderung verwendet wird.

    Wenn sich ein Lastausgleichsdienst zwischen dem Cert-Proxy und der Workspace ONE Access-Instanz befindet, verwenden Sie die Kopfzeile X-Forwarded-For oder die Kopfzeile X-Real-Ip.

    Wenn CertProxy direkt mit Workspace ONE Access kommuniziert, verwenden Sie Remoteadresse anfordern.
    Anzahl Lastausgleichsdienste Wenn der Wert für Remote-IP-Quelle X-Forwarded-For lautet, geben Sie die Anzahl der Lastausgleichsdienste ein, die sich zwischen dem CertProxy-Dienst und der Workspace ONE Access-Instanz befinden.
    Positivliste der Cert-Proxy-Instanz

    Richten Sie eine CertProxy-Positivliste mit den IP-Adressen ein, die für empfangene Authentifizierungsanforderungen autorisiert sind.

    Geben Sie die IP-Adressen der CertProxy-Instanzen durch ein Semikolon getrennt ein, entweder im CIDR-Format, im durch ein Leerzeichen getrennten Subnetzformat oder als einzelne IP. Wenn das Ziel auf localhost festgelegt ist, fügen Sie die localhost-IP-Adresse zur Liste hinzu. Dies ist normalerweise 127.0.0.1.
  5. Überprüfen Sie, ob die Hash-Werte für Zertifikatproxy-Schlüssel und Zertifikatproxy-Schlüssel (Identity Manager) identisch sind. Überprüfen Sie die Konfigurationsdateien cert-proxy.properties und runtime-config.properties.
    Diese beiden Textfelder enthalten bereits den Hash-Wert der Zertifikatsschlüssel des Cert-Proxy-Diensts und des Workspace ONE Access-Diensts.
    Die Hashes müssen übereinstimmen. Wenn die Hashes nicht übereinstimmen, kopieren Sie in den Konfigurationsdateien den Wert des einen Diensts in den des anderen.
  6. Konfigurieren Sie die Cert-Proxy-Konfiguration für Android-SSO über den Workspace ONE Access-Dienst.
    Option Beschreibung
    Port In der Regel sind zwei Ports für Cert-Proxy konfiguriert.

    Port 5262 empfängt die externe Anforderung von dem Android-Gerät.

    Port 5263 empfängt die interne Admin-Anforderung vom Workspace ONE Access-Dienst.

    Administratorport

    Wenn es sich bei der im Port-Textfeld konfigurierten Portnummer um den Port handelt, der die interne Anforderung vom Workspace ONE Access-Dienst für das Zertifikat empfängt, aktivieren Sie Administratorport. Dies ist normalerweise Port 5263.

    Wenn dieser Port nicht verwendet wird, um die interne Anforderung zu empfangen, aktivieren Sie dieses Optionsfeld nicht.

    SSL-Zertifikatstyp Bei Cert-Proxy für Android-SSO handelt es sich um einen separaten Dienst auf der Workspace ONE Access-Appliance. Wählen Sie Passthrough zur Wiederverwendung des Passthrough-Zertifikats, das für Workspace ONE Access auf der Seite „Appliance-Einstellungen“ > „SSL-Zertifikate installieren“ bereitgestellt wurde. Wenn ein anderes Zertifikat erforderlich ist, wählen Sie Benutzerdefiniert aus und laden Sie das Zertifikat in dem Textfeld SSL-Zertifikatskette hoch.
  7. Um einen anderen Port zu konfigurieren, klicken Sie auf Port hinzufügen und konfigurieren Sie die Einstellungen wie in Schritt 6 beschrieben.
  8. Um die Portkonfiguration zu speichern, klicken Sie auf Speichern.
  9. Wenn Sie Änderungen auf dieser Seite vornehmen, die sich auf die Zertifikate auswirken, klicken Sie im oberen Bereich der Seite auf Cert-Proxy-Dienst neu starten.
    Das Klicken auf „Cert-Proxy-Dienst neu starten“ erfordert möglicherweise einen Neustart des Workspace ONE Access-Dienstes.

Nächste Maßnahme

Richten Sie den Cert-Proxy-Dienst auf jedem Knoten ein. Wenn der Cert-Proxy-Dienst auf der ersten Appliance eingerichtet ist und Sie den Workspace ONE Access-Dienst auf der Appliance klonen, werden die meisten Proxy-Einstellungen konfiguriert. Um sicherzustellen, dass die Cert-Proxy-Einstellungen richtig eingestellt sind, können Sie die Datei runtime-config.properties überprüfen.