Habilite el puente de identidades, configure el nombre de host externo del servicio y descargue el archivo de metadatos del proveedor de servicios de Unified Access Gateway.

Este archivo de metadatos está cargado en la página de configuración de la aplicación web del servicio de VMware Workspace ONE Access.

Requisitos previos

  • Si el usuario que se autentica en el proveedor de identidad forma parte de un dominio de Active Directory diferente en comparación con el dominio de Kerberos configurado en UAG, actualice la configuración del proveedor de identidad para devolver un atributo de SAML personalizado "upn" con el valor <username>@<domain> como parte de la respuesta de SAML.
    Se esperaba un ejemplo de aserción SAML del proveedor de identidad para el atributo "upn"
    <saml:AttributeStatement>
          <saml:Attribute Name="upn" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
                      <saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">[email protected]</saml:AttributeValue>
          </saml:Attribute>
    </saml:AttributeStatement>
  • Debe tener configurados los siguientes ajustes del puente de identidades en la consola administrativa de Unified Access Gateway. Puede encontrar estos ajustes en la sección Configuración avanzada.
    • Los metadatos del proveedor de identidad cargados en Unified Access Gateway
    • El nombre principal de Kerberos configurado y el archivo keytab cargado en Unified Access Gateway
    • El nombre del dominio Kerberos y la información del centro de distribución de claves.
  • Asegúrese de que el puerto TCP/UDP 88 esté abierto, ya que Unified Access Gateway utiliza este puerto para la comunicación de Kerberos con Active Directory.

Procedimiento

  1. En la sección Configuración manual de la IU del administrador, haga clic en Seleccionar.
  2. En la línea Configuración general > Configuración de servicio perimetral, haga clic en Mostrar.
  3. Haga clic en el icono de engranaje de Configuración de proxy inverso.
  4. En la página Configuración del proxy inverso, haga clic en Agregar para crear un ajuste de proxy.
  5. Active la opción Habilitar la configuración del proxy inverso y configure las siguientes opciones del servicio perimetral.
    Opción Descripción
    Identificador El identificador del servicio perimetral está establecido en el proxy inverso de web.
    ID de instancia Nombre único para la instancia del proxy inverso de web.
    URL de destino del proxy Especifique la URI interna para la aplicación web. Unified Access Gateway debe ser capaz de resolver y acceder a esta URL.
    Huellas digitales de la URL de destino del proxy Introduzca el identificador URI correspondiente a esta opción de proxy. Una huella digital tiene el formato [alg=]xx:xx, donde alg puede ser sha1, el valor predeterminado o md5. 'xx' son dígitos hexadecimales. Por ejemplo, sha=C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3.

    Si no configura las huellas digitales, los certificados del servidor los deberá emitir una entidad de certificación de confianza.

    Patrón de proxy Introduzca las rutas de URI coincidentes que se reenvían a la URL de destino. Por ejemplo, introduzca (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)).

    Nota: Cuando configure varias instancias de proxy inverso, proporcione el nombre de host en el patrón de host de proxy.

  6. Para configurar otras opciones avanzadas, haga clic en Más.
    Opción Descripción
    Métodos de autenticación

    El método predeterminado es la autenticación pass-through del nombre de usuario y la contraseña. Los métodos de autenticación que configuró en Unified Access Gateway se muestran en los menús desplegables. Se admiten los métodos de autenticación de certificado de dispositivo, RADIUS y RSA SecurID.

    Ruta de acceso URI de comprobación de estado Unified Access Gateway se conecta a esta ruta de acceso URI para comprobar el estado de la aplicación web.
    SP de SAML

    Se requiere cuando configura Unified Access Gateway como proxy inverso autenticado para Workspace ONE Access. Introduzca el nombre del proveedor de servicios de SAML del agente XML API de View. Este nombre debe coincidir con el nombre de un proveedor de servicios configurado con Unified Access Gateway o tener un valor especial DEMO. Si hay varios proveedores de servicios configurados conUnified Access Gateway, sus nombres deben ser únicos.

    URL externa El valor predeterminado es la URL del host de Unified Access Gateway y el puerto 443. Puede introducir otra URL externa. Introdúzcala como https://<host:port>.
    Patrón de UnSecure Introduzca el patrón de redireccionamiento de Workspace ONE Access conocido. Por ejemplo: (/|/catalog-portal(.*)|/|/SAAS/|/SAAS|/SAAS/API/1.0/GET/image(.*)|/SAAS/horizon/css(.*)|/SAAS/horizon/angular(.*)|/SAAS/horizon/js(.*)|/SAAS/horizon/js-lib(.*)|/SAAS/auth/login(.*)|/SAAS/jersey/manager/api/branding|/SAAS/horizon/images/(.*)|/SAAS/jersey/manager/api/images/(.*)|/hc/(.*)/authenticate/(.*)|/hc/static/(.*)|/SAAS/auth/saml/response|/SAAS/auth/authenticatedUserDispatcher|/web(.*)|/SAAS/apps/|/SAAS/horizon/portal/(.*)|/SAAS/horizon/fonts(.*)|/SAAS/API/1.0/POST/sso(.*)|/SAAS/API/1.0/REST/system/info(.*)|/SAAS/API/1.0/REST/auth/cert(.*)|/SAAS/API/1.0/REST/oauth2/activate(.*)|/SAAS/API/1.0/GET/user/devices/register(.*)|/SAAS/API/1.0/oauth2/token(.*)|/SAAS/API/1.0/REST/oauth2/session(.*)|/SAAS/API/1.0/REST/user/resources(.*)|/hc/t/(.*)/(.*)/authenticate(.*)|/SAAS/API/1.0/REST/auth/logout(.*)|/SAAS/auth/saml/response(.*)|/SAAS/(.*)/(.*)auth/login(.*)|/SAAS/API/1.0/GET/apps/launch(.*)|/SAAS/API/1.0/REST/user/applications(.*)|/SAAS/auth/federation/sso(.*)|/SAAS/auth/oauth2/authorize(.*)|/hc/prepareSaml/failure(.*)|/SAAS/auth/oauthtoken(.*)|/SAAS/API/1.0/GET/metadata/idp.xml|/SAAS/auth/saml/artifact/resolve(.*)|/hc/(.*)/authAdapter(.*)|/hc/authenticate/(.*)|/SAAS/auth/logout|/SAAS/common.js|/SAAS/auth/launchInput(.*)|/SAAS/launchUsersApplication.do(.*)|/hc/API/1.0/REST/thinapp/download(.*)|/hc/t/(.*)/(.*)/logout(.*)|/SAAS/auth/wsfed/services(.*)|/SAAS/auth/wsfed/active/logon(.*))
    Cookie de autenticación Introduzca el nombre de la cookie de autenticación. Por ejemplo: HZN
    URL de redireccionamiento de inicio de sesión Si el usuario cierra sesión en el portal, introduzca la URL de redireccionamiento para volver a iniciar sesión. Por ejemplo: /SAAS/auth/login?dest=%s
    Patrón de host de proxy Nombre de host externo utilizado para comprobar el host entrante y determinar si coincide con el patrón de esa instancia. El patrón de host es opcional, cuando se configuran las instancias del proxy inverso de web.
    Certificados de confianza
    • Para seleccionar un certificado en formato PEM y agregarlo al almacén de confianza, haga clic en +.
    • Para proporcionar un nombre diferente, edite el cuadro de texto del alias.

      De forma predeterminada, el nombre de alias es el nombre de archivo del certificado PEM.

    • Para eliminar un certificado del almacén de confianza, haga clic en -.
    Encabezados de seguridad de respuesta Haga clic en '+' para agregar un encabezado. Introduzca el nombre del encabezado de seguridad. Introduzca el valor. Haga clic en '-' para quitar un encabezado. Editar un encabezado de seguridad existente para actualizar el nombre y el valor del encabezado.
    Importante: Los valores y los nombres de encabezado se guardan solo después de hacer clic en Guardar. Algunos encabezados de seguridad estándar existen de forma predeterminada. Los encabezados configurados se agregan a la respuesta al cliente de Unified Access Gateway solo si los encabezados correspondientes no están presentes en la respuesta del servidor back-end configurado.
    Nota: Modifique los encabezados de seguridad de respuesta con precaución. La modificación de estos parámetros puede afectar el funcionamiento seguro de Unified Access Gateway.
    Entradas de host Introduzca los detalles que se agregarán en el archivo /etc/hosts. Cada entrada debe incluir una IP, un nombre de host y un alias de nombre de host opcional en este orden y separados por un espacio. Por ejemplo, 10.192.168.1 ejemplo1.com, 10.192.168.2 ejemplo2.com ejemplo-alias. Haga clic en el signo "+" para agregar varias entradas de host.
    Importante: Las entradas de host solo se guardan después de hacer clic en Guardar.
  7. Active la opción Habilitar puente de identidades.
  8. Configure las siguientes opciones del puente de identidades.
    Opción Descripción
    Tipos de autenticación Seleccione SAML.
    Atributos de SAML Lista de atributos de SAML que se pasa como encabezados de solicitud. Esta opción solo está disponible cuando Habilitar puente de identidades está activado y Tipos de autenticación está establecido en SAML. Haga clic en '+' para un atributo de SAML como parte del encabezado.
    Destinatarios de SAML

    Asegúrese de seleccionar el tipo de autenticación SAML.

    Introduzca la URL de los destinatarios.
    Nota: Si el cuadro de texto se deja en blanco, no se restringirán los destinatarios de forma alguna.

    Para comprender cómo admite UAG los destinatarios de SAML, consulte Destinatarios de SAML.

    Proveedor de identidades En el menú desplegable, seleccione el proveedor de identidad.
    Keytab En el menú desplegable, seleccione el keytab configurado para este proxy inverso.
    Nombre de entidad de seguridad de servicio de destino Introduzca el nombre de entidad de seguridad de servicio Kerberos. Cada nombre principal siempre está plenamente calificado con el nombre del dominio Kerberos. Por ejemplo, myco_hostname@MYCOMPANY. Escriba el nombre del dominio Kerberos en mayúsculas. Si no agrega un nombre en el cuadro de texto, el nombre de entidad de seguridad de servicio se obtiene a partir del nombre del host de la URL de destino del proxy.
    Página de destino del servicio Introduzca la página a la que se redireccionará a los usuarios en el proveedor de identidades después de que se haya validado la aserción. La opción predeterminada es /.
    Nombre del encabezado de usuario En el caso de la autenticación basada en encabezados, introduzca el nombre del encabezado HTTP que incluye el ID de usuario obtenido a partir de la aserción.
  9. En la sección Descargar metadatos SP, haga clic en Descargar.
    Guarde el archivo de metadatos del proveedor de servicios.
  10. Haga clic en Guardar.

Qué hacer a continuación

Agregue el archivo de metadatos del proveedor de servicios de Unified Access Gateway a la página de configuración de la aplicación web en el servicio de Workspace ONE Access.