El modo de puente de identidades de Unified Access Gateway se puede configurar para trabajar con VMware Workspace® ONE® en la nube o en un entorno en las instalaciones.

Uso del puente de identidades de Unified Access Gateway con clientes Workspace ONE en la nube

El modo de puente de identidades se puede configurar de forma que trabaje con Workspace ONE en la nube para autenticar usuarios. Cuando un usuario solicita acceso a una aplicación web heredada, el proveedor de identidades aplica las directivas de autorización y de autenticación correspondientes.

Si se valida el usuario, el proveedor de identidades crea un token SAML y lo envía al usuario. El usuario envía el token SAML a Unified Access Gateway en la DMZ. Unified Access Gateway valida el token SAML y recupera el nombre principal de usuario del token.

Si la solicitud es para la autenticación Kerberos, se usa la delegación limitada de Kerberos para negociar con el servidor Active Directory. Para autenticarse con la aplicación, Unified Access Gateway suplanta al usuario para recuperar el token de Kerberos.

Si la solicitud es para una autenticación basada en encabezados, el nombre del encabezado del usuario se envía al servidor web para solicitar la autenticación con la aplicación.

La aplicación vuelve a enviar la respuesta a Unified Access Gateway. La respuesta se devuelve al usuario.

Figura 1. Puente de identidades de Unified Access Gateway con Workspace ONE en la nube
UAG implementado en modo de puente de identidades para proporcionar acceso seguro a las aplicaciones heredadas mediante la conversión de autenticación SAML moderna al formato Kerberos. La nube de WS1 proporciona la autenticación SAML.

Uso del puente de identidades en la versión local de los clientes Workspace ONE

Cuando el modo de puente de identidades está configurado para la autenticación de los usuarios con Workspace ONE en un entorno en las instalaciones, los usuarios introducen la URL para acceder a las aplicaciones web heredadas de la versión local mediante el proxy Unified Access Gateway. Unified Access Gateway redirecciona la solicitud al proveedor de identidades para la autenticación. El proveedor de identidades aplica las directivas de autenticación y de autorización a la solicitud. Si se valida el usuario, el proveedor de identidades crea un token SAML y lo envía al usuario.

El usuario envía el token SAML a Unified Access Gateway. Unified Access Gateway valida el token SAML y recupera el nombre principal de usuario del token.

Si la solicitud es para la autenticación Kerberos, se usa la delegación limitada de Kerberos para negociar con el servidor Active Directory. Para autenticarse con la aplicación, Unified Access Gateway suplanta al usuario para recuperar el token de Kerberos.

Si la solicitud es para una autenticación basada en encabezados, el nombre del encabezado del usuario se envía al servidor web para solicitar la autenticación con la aplicación.

La aplicación vuelve a enviar la respuesta a Unified Access Gateway. La respuesta se devuelve al usuario.

Figura 2. Versión local del puente de identidades de Unified Access Gateway

Uso del puente de identidades con el certificado a Kerberos

Puede configurar el puente de identidades para proporcionar Single Sign-On (SSO) a las aplicaciones locales que no son de SAML heredadas mediante la validación de certificados. Consulte Configurar un proxy inverso de web para el puente de identidades (certificado a Kerberos).

Usar SAML o certificado para la configuración de acceso directo

Puede configurar el proxy inverso para una aplicación web que no sea Kerberos y no sea SAML en modo SAML o Certificado a Acceso directo. Cualquier segunda capa de autenticación en la aplicación de back-end es transparente para Unified Access Gateway. Consulte Configurar escenarios de acceso directo a certificados/SAML.