Cuando se utilizan instalaciones locales de Workspace ONE UEM, el servidor de API suele instalarse detrás de un firewall sin acceso de entrada a Internet. Para utilizar de forma segura las capacidades de automatización de Workspace ONE Intelligence, puede configurar un servicio perimetral de proxy web inverso dentro de Unified Access Gateway para permitir el acceso únicamente al servicio de API, de manera que se puedan realizar acciones en dispositivos, usuarios y otros recursos.

Requisitos previos

  • El servicio de API de UEM debe tener un nombre de dominio completo (FQDN) como nombre de host.
  • Unified Access Gateway debe utilizar un DNS interno. Esto significa que la URL de destino del proxy debe utilizar un FQDN.
  • La combinación de patrón de proxy y patrón de host de proxy para una instancia de proxy inverso de web debe ser única si en una instancia de Unified Access Gateway hay varias instancias de proxy inverso configuradas.
  • Los nombres de host de todas las instancias de proxy inverso configuradas deben resolverse en la misma dirección IP, que es la dirección IP de la instancia de Unified Access Gateway.
  • Para obtener más información sobre la configuración avanzada del servicio perimetral, consulte Configuración avanzada del servicio perimetral.

Procedimiento

  1. En la sección de configuración manual de la IU del administrador, haga clic en Seleccionar.
  2. En Configuración general, active la opción Configuración del servicio perimetral.
  3. Haga clic en el icono de engranaje de Configuración de proxy inverso.
  4. En la página de configuración del proxy inverso, haga clic en Agregar.
  5. Active la opción Habilitar la configuración del proxy inverso para habilitar el proxy inverso.
  6. Configure las siguientes opciones del servicio perimetral.
    Opción Descripción
    Identificador El identificador del servicio perimetral está establecido en el proxy inverso de web.
    ID de instancia Nombre único para identificar y diferenciar una instancia del proxy inverso de web del resto de instancias del proxy inverso de web.
    URL de destino del proxy Introduzca la dirección de la aplicación web, que suele ser la URL de back-end. Por ejemplo, para el servidor de API de Workspace ONE UEM, puede ser una dirección URL/IP diferente a la del inicio de sesión de la consola. Para verificarlo, compruebe en las páginas de configuración de UEM bajo Configuración > Configuración del sistema > Avanzada > API > REST API > URL de REST API.
    Huellas digitales de la URL de destino del proxy Introduzca una lista de las huellas digitales que se pueden aceptar del certificado de servidor SSL para la URL de proxyDestination. Si especifica .*, se acepta cualquier certificado. Una huella digital tiene el formato [alg=]xx:xx, donde alg puede ser el valor predeterminado, sha1 o md5. Las xx son dígitos hexadecimales. El separador ':’ también puede ser un espacio o no estar presente. En la huella digital no hay distinción entre mayúsculas y minúsculas. Por ejemplo:

    sha1=B6 77 DC 9C 19 94 2E F1 78 F0 AD 4B EC 85 D1 7A F8 8B DC 34

    sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:be:78:ed:ff:50:23:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db

    Si no configura las huellas digitales, los certificados del servidor los deberá emitir una entidad de certificación de confianza.
    Patrón de proxy Introduzca las rutas de URI coincidentes que se reenvían a la URL de destino. Para la API de Workspace ONE UEM, use: (/API(.*)|/api(.*)|/Api(.*)|).
    Nota: Cuando configure varias instancias de proxy inverso, proporcione el nombre de host en el patrón de host de proxy.
  7. Para configurar otras opciones avanzadas, haga clic en Más.
    Opción Descripción
    Métodos de autenticación

    El método predeterminado es la autenticación pass-through del nombre de usuario y la contraseña. Los métodos de autenticación que configuró en Unified Access Gateway se muestran en los menús desplegables. Se admiten los métodos de autenticación SecurID, RADIUS, Passthrough y X.509 Certificate.

    URL externa El valor predeterminado es la URL del host de Unified Access Gateway y el puerto 443. Puede introducir otra URL externa. Introdúzcala como https://<host:port>.
    Nota:

    Mientras utiliza Unified Access Gateway detrás de un equilibrador de carga, introduzca la URL del equilibrador de carga en este campo.
    Patrón de host de proxy Nombre de host externo utilizado para comprobar el host de entrada y detectar si coincide con el patrón para la instancia particular. El patrón de host es opcional, cuando se configuran las instancias del proxy inverso de web.
    Certificados de confianza
    • Para seleccionar un certificado en formato PEM y agregarlo al almacén de confianza, haga clic en +.
    • Para proporcionar un nombre diferente, edite el cuadro de texto del alias.

      De forma predeterminada, el nombre de alias es el nombre de archivo del certificado PEM.

    • Para eliminar un certificado del almacén de confianza, haga clic en -.
    Entradas de host Introduzca los detalles que se agregarán en el archivo /etc/hosts. Cada entrada debe incluir una IP, un nombre de host y un alias de nombre de host opcional en este orden y separados por un espacio. Por ejemplo, 10.192.168.1 ejemplo1.com, 10.192.168.2 ejemplo2.com ejemplo-alias. Haga clic en el signo "+" para agregar varias entradas de host.
    Importante: Las entradas de host solo se guardan después de hacer clic en Guardar.
  8. Haga clic en Guardar.

Qué hacer a continuación

Para configurar Workspace UEM API Connector para su uso con Workspace ONE Intelligence, consulte el tema Introducción a la automatización de la documentación de Workspace ONE Intelligence. Utilice la URL externa configurada para Unified Access Gateway en lugar de la URL del servidor interno de REST API de UEM.