Wenn die Workspace ONE UEM-Konsole und VMware Identity Manager-Konsole für Android Mobile SSO-Authentifizierung konfiguriert wurden, haben Sie die Regeln des Netzwerkdatenverkehrs so konfiguriert, dass die mobile Anwendung VMware Tunnel Datenverkehr an 5262 weiterleitet. Wenn Benutzer ihre Android-Geräte zum Starten einer SAML-App verwenden, die Single Sign-On benötigt, fängt die Tunnel-App die Anforderung ab und richtet basierend auf den Datenverkehrsregeln des Geräts einen Proxy-Tunnel zu dem Cert-Proxy-Port 5262 ein.

Das folgende Diagramm zeigt den Verlauf der Authentifizierungsgenehmigung, wenn die Cert-Proxy-Dienste mit Port 5262 und Port 5263 konfiguriert sind.

Abbildung 1. Verlauf der Authentifizierungsgenehmigung für Android Mobile Single Sign-On konfiguriert mit Port 5262 und Port 5263

Der Authentifizierungsverlauf mit Port 5262 und Port 5263 konfiguriert für Cert Proxy.

  1. Benutzer startet eine SAML-App von einem mobilen Android-Gerät.

  2. Die SAML-App fordert eine Authentifizierung an.

  3. Die Authentifizierung mit Identity Manager auf Port 443 erfordert die Anmeldung in der App.

  4. Die Regeln zum Netzwerkdatenverkehr werden so konfiguriert, dass die VMware Tunnel-App Datenverkehr an 5262 weiterleitet. Die Tunnel-App fängt die Anforderung ab und richtet basierend auf den Datenverkehrsregeln des Geräts einen Proxy-Tunnel zu dem Cert-Proxy-Port 5262 ein.

  5. Der Lastausgleichsdienst ist mit SSL-Passthrough auf Port 5262 konfiguriert und der Lastausgleichsdienst leitet die Anforderung an den Cert-Proxy-Port 5262 auf einem der Knoten in dem Cluster.

  6. Der Cert-Proxy-Dienst empfängt die Anforderung, extrahiert das Benutzerzertifikat und speichert es als eine lokale Datei unter Verwendung der Quell-Port-Nummer für die Anforderung, z. B. Port 55563, als Referenzschlüssel.

  7. Der Cert-Proxy-Dienst leitet die Anforderung an VMware Identity Manager zur Authentifizierung auf Port 443 am Lastausgleichsdienst weiter. Der sendende Knoten, Knoten 2 in diesem Beispiel, enthält die IP-Adresse in der „X-Forwarded-For“-Kopfzeile und die Informationen zur Quell-Port-Nummer der ursprünglichen Anforderung (Port 55563) in der RemotePort-Kopfzeile.

  8. Der Lastausgleichsdienst sendet eine Anforderung an Port 443 auf einen der Knoten auf Grundlage der Lastausgleichsdienst-Regeln, in diesem Beispiel auf Knoten 1. Diese Anforderung enthält die Kopfzeile „X-Forwarded-For“ und die RemotePort-Kopfzeile.

  9. Der Horizon-Dienst-Port 443 auf Knoten 1 kommuniziert mit dem Cert-Proxy-Dienst auf Knoten 2 Port 5263, der den Dienst zu /some/path/55563 zum Abruf des Benutzerzertifikats und zur Durchführung der Authentifizierung leitet.

  10. Das Zertifikat wird abgerufen und der Benutzer ist authentifiziert.