Habilite el puente de identidades, configure el nombre de host externo del servicio y descargue el archivo de metadatos del proveedor de servicios de Unified Access Gateway.
Este archivo de metadatos está cargado en la página de configuración de la aplicación web del servicio de VMware Workspace ONE Access.
Requisitos previos
- Si el usuario que se autentica en el proveedor de identidad forma parte de un dominio de Active Directory diferente en comparación con el dominio de Kerberos configurado en UAG, actualice la configuración del proveedor de identidad para devolver un atributo de SAML personalizado "upn" con el valor
<username>@<domain>
como parte de la respuesta de SAML.
Se esperaba un ejemplo de aserción SAML del proveedor de identidad para el atributo "upn"
<saml:AttributeStatement>
<saml:Attribute Name="upn" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
<saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">[email protected]</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
- Debe tener configurados los siguientes ajustes del puente de identidades en la consola administrativa de Unified Access Gateway. Puede encontrar estos ajustes en la sección Configuración avanzada.
- Los metadatos del proveedor de identidad cargados en Unified Access Gateway
- El nombre principal de Kerberos configurado y el archivo keytab cargado en Unified Access Gateway
- El nombre del dominio Kerberos y la información del centro de distribución de claves.
- Asegúrese de que el puerto TCP/UDP 88 esté abierto, ya que Unified Access Gateway utiliza este puerto para la comunicación de Kerberos con Active Directory.
Procedimiento
- En la sección Configuración manual de la IU del administrador, haga clic en Seleccionar.
- En la línea , haga clic en Mostrar.
- Haga clic en el icono de engranaje de Configuración de proxy inverso.
- En la página Configuración del proxy inverso, haga clic en Agregar para crear un ajuste de proxy.
- Establezca Habilitar la configuración del proxy inverso en Sí y configure las siguientes opciones del servicio perimetral.
Opción |
Descripción |
Identificador |
El identificador del servicio perimetral está establecido en el proxy inverso de web. |
ID de instancia |
Nombre único para la instancia del proxy inverso de web. |
URL de destino del proxy |
Especifique la URI interna para la aplicación web. Unified Access Gateway debe ser capaz de resolver y acceder a esta URL. |
Huellas digitales de la URL de destino del proxy |
Introduzca el identificador URI correspondiente a esta opción de proxy. Una huella digital tiene el formato [alg=]xx:xx, donde alg puede ser sha1, el valor predeterminado o md5. 'xx' son dígitos hexadecimales. Por ejemplo, sha=C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3. Si no configura las huellas digitales, los certificados del servidor los deberá emitir una entidad de certificación de confianza. |
Patrón de proxy |
Introduzca las rutas de URI coincidentes que se reenvían a la URL de destino. Por ejemplo, introduzca (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)). Nota: Cuando configure varias instancias de proxy inverso, proporcione el nombre de host en el patrón de host de proxy. |
- Para configurar otras opciones avanzadas, haga clic en Más.
Opción |
Descripción |
Métodos de autenticación |
El método predeterminado es la autenticación pass-through del nombre de usuario y la contraseña. Los métodos de autenticación que configuró en Unified Access Gateway se muestran en los menús desplegables. Se admiten los métodos de autenticación de certificado de dispositivo, RADIUS y RSA SecurID. |
Ruta de acceso URI de comprobación de estado |
Unified Access Gateway se conecta a esta ruta de acceso URI para comprobar el estado de la aplicación web. |
SP de SAML |
Se requiere cuando configura Unified Access Gateway como proxy inverso autenticado para Workspace ONE Access. Introduzca el nombre del proveedor de servicios de SAML del agente XML API de View. Este nombre debe coincidir con el nombre de un proveedor de servicios configurado con Unified Access Gateway o tener un valor especial DEMO. Si hay varios proveedores de servicios configurados conUnified Access Gateway, sus nombres deben ser únicos. |
URL externa |
El valor predeterminado es la URL del host de Unified Access Gateway y el puerto 443. Puede introducir otra URL externa. Introdúzcala como https://<host:port>. |
Patrón de UnSecure |
Introduzca el patrón de redireccionamiento de Workspace ONE Access conocido. Por ejemplo: (/|/catalog-portal(.*)|/|/SAAS/|/SAAS|/SAAS/API/1.0/GET/image(.*)|/SAAS/horizon/css(.*)|/SAAS/horizon/angular(.*)|/SAAS/horizon/js(.*)|/SAAS/horizon/js-lib(.*)|/SAAS/auth/login(.*)|/SAAS/jersey/manager/api/branding|/SAAS/horizon/images/(.*)|/SAAS/jersey/manager/api/images/(.*)|/hc/(.*)/authenticate/(.*)|/hc/static/(.*)|/SAAS/auth/saml/response|/SAAS/auth/authenticatedUserDispatcher|/web(.*)|/SAAS/apps/|/SAAS/horizon/portal/(.*)|/SAAS/horizon/fonts(.*)|/SAAS/API/1.0/POST/sso(.*)|/SAAS/API/1.0/REST/system/info(.*)|/SAAS/API/1.0/REST/auth/cert(.*)|/SAAS/API/1.0/REST/oauth2/activate(.*)|/SAAS/API/1.0/GET/user/devices/register(.*)|/SAAS/API/1.0/oauth2/token(.*)|/SAAS/API/1.0/REST/oauth2/session(.*)|/SAAS/API/1.0/REST/user/resources(.*)|/hc/t/(.*)/(.*)/authenticate(.*)|/SAAS/API/1.0/REST/auth/logout(.*)|/SAAS/auth/saml/response(.*)|/SAAS/(.*)/(.*)auth/login(.*)|/SAAS/API/1.0/GET/apps/launch(.*)|/SAAS/API/1.0/REST/user/applications(.*)|/SAAS/auth/federation/sso(.*)|/SAAS/auth/oauth2/authorize(.*)|/hc/prepareSaml/failure(.*)|/SAAS/auth/oauthtoken(.*)|/SAAS/API/1.0/GET/metadata/idp.xml|/SAAS/auth/saml/artifact/resolve(.*)|/hc/(.*)/authAdapter(.*)|/hc/authenticate/(.*)|/SAAS/auth/logout|/SAAS/common.js|/SAAS/auth/launchInput(.*)|/SAAS/launchUsersApplication.do(.*)|/hc/API/1.0/REST/thinapp/download(.*)|/hc/t/(.*)/(.*)/logout(.*)|/SAAS/auth/wsfed/services(.*)|/SAAS/auth/wsfed/active/logon(.*)) |
Cookie de autenticación |
Introduzca el nombre de la cookie de autenticación. Por ejemplo: HZN |
URL de redireccionamiento de inicio de sesión |
Si el usuario cierra sesión en el portal, introduzca la URL de redireccionamiento para volver a iniciar sesión. Por ejemplo: /SAAS/auth/login?dest=%s |
Patrón de host de proxy |
Nombre de host externo utilizado para comprobar el host entrante y determinar si coincide con el patrón de esa instancia. El patrón de host es opcional, cuando se configuran las instancias del proxy inverso de web. |
Certificados de confianza |
|
Encabezados de seguridad de respuesta |
Haga clic en '+' para agregar un encabezado. Introduzca el nombre del encabezado de seguridad. Introduzca el valor. Haga clic en '-' para quitar un encabezado. Editar un encabezado de seguridad existente para actualizar el nombre y el valor del encabezado.
Importante: Los valores y los nombres de encabezado se guardan solo después de hacer clic en
Guardar. Algunos encabezados de seguridad estándar existen de forma predeterminada. Los encabezados configurados se agregan a la respuesta al cliente de
Unified Access Gateway solo si los encabezados correspondientes no están presentes en la respuesta del servidor back-end configurado.
Nota: Modifique los encabezados de seguridad de respuesta con precaución. La modificación de estos parámetros puede afectar el funcionamiento seguro de
Unified Access Gateway.
|
Entradas de host |
Introduzca los detalles que se agregarán en el archivo /etc/hosts. Cada entrada debe incluir una IP, un nombre de host y un alias de nombre de host opcional en este orden y separados por un espacio. Por ejemplo, 10.192.168.1 ejemplo1.com, 10.192.168.2 ejemplo2.com ejemplo-alias. Haga clic en el signo "+" para agregar varias entradas de host.
Importante: Las entradas de host solo se guardan después de hacer clic en
Guardar.
|
- En la sección Habilitar puente de identidades, cambie NO a SÍ.
- Configure las siguientes opciones del puente de identidades.
Opción |
Descripción |
Tipos de autenticación |
Seleccione SAML. |
Atributos de SAML |
Lista de atributos de SAML que se pasa como encabezados de solicitud. Esta opción está disponible solo cuando Habilitar puente de identidades está establecido en Sí y Tipos de autenticación está establecido en SAML. Haga clic en '+' para un atributo de SAML como parte del encabezado. |
Destinatarios de SAML |
Asegúrese de seleccionar el tipo de autenticación SAML.
Introduzca la URL de los destinatarios.
Nota: Si el cuadro de texto se deja en blanco, no se restringirán los destinatarios de forma alguna.
Para comprender cómo admite UAG los destinatarios de SAML, consulte Destinatarios de SAML. |
Proveedor de identidades |
En el menú desplegable, seleccione el proveedor de identidad. |
Keytab |
En el menú desplegable, seleccione el keytab configurado para este proxy inverso. |
Nombre de entidad de seguridad de servicio de destino |
Introduzca el nombre de entidad de seguridad de servicio Kerberos. Cada nombre principal siempre está plenamente calificado con el nombre del dominio Kerberos. Por ejemplo, myco_hostname@MYCOMPANY. Escriba el nombre del dominio Kerberos en mayúsculas. Si no agrega un nombre en el cuadro de texto, el nombre de entidad de seguridad de servicio se obtiene a partir del nombre del host de la URL de destino del proxy. |
Página de destino del servicio |
Introduzca la página a la que se redireccionará a los usuarios en el proveedor de identidades después de que se haya validado la aserción. La opción predeterminada es / . |
Nombre del encabezado de usuario |
En el caso de la autenticación basada en encabezados, introduzca el nombre del encabezado HTTP que incluye el ID de usuario obtenido a partir de la aserción. |
- En la sección Descargar metadatos SP, haga clic en Descargar.
Guarde el archivo de metadatos del proveedor de servicios.
- Haga clic en Guardar.
Qué hacer a continuación
Agregue el archivo de metadatos del proveedor de servicios de Unified Access Gateway a la página de configuración de la aplicación web en el servicio de Workspace ONE Access.