Puede configurar el servicio de proxy inverso de web para utilizar Unified Access Gateway con Workspace ONE Access.

Requisitos previos

Tenga en cuenta los siguientes requisitos para la implementación con Workspace ONE Access:

  • DNS dividido. Externamente, el nombre de host debe resolverse en la dirección IP de Unified Access Gateway. Internamente, en Unified Access Gateway, el mismo nombre de host debe resolverse en el servidor web real, a través de una asignación de DNS interna o a través de una entrada de nombre de host en Unified Access Gateway.
    Nota: Si va a realizar la implementación únicamente con el proxy inverso de web, no es necesario configurar el puente de identidades.
  • El servicio de Workspace ONE Access debe tener un nombre de dominio completo (FQDN) como nombre de host.
  • Unified Access Gateway debe utilizar el DNS interno. Esto significa que la URL de destino del proxy debe utilizar un FQDN.
  • La combinación de patrón de proxy y patrón de host de proxy para una instancia de proxy inverso de web debe ser única si en una instancia de Unified Access Gateway hay varias instancias de proxy inverso configuradas.
  • Los nombres de host de todas las instancias de proxy inverso configuradas deben resolverse en la misma dirección IP, que es la dirección IP de la instancia de Unified Access Gateway.
  • Consulte Configuración avanzada del servicio perimetral para obtener información sobre la configuración avanzada del servicio perimetral.

Procedimiento

  1. En la sección Configuración manual de la interfaz de usuario del administrador, haga clic en Seleccionar.
  2. En Configuración general > Configuración del servicio perimetral, haga clic en Mostrar.
  3. Haga clic en el icono de engranaje de Configuración de proxy inverso.
  4. En la página de Configuración del proxy inverso, haga clic en Agregar.
  5. Active la opción Habilitar la configuración del proxy inverso para habilitar el proxy inverso.
  6. Configure las siguientes opciones del servicio perimetral.
    Opción Descripción
    Identificador El identificador del servicio perimetral está establecido en el proxy inverso de web.
    ID de instancia Nombre único para identificar y diferenciar una instancia del proxy inverso de web del resto de instancias del proxy inverso de web.
    URL de destino del proxy Introduzca la dirección de la aplicación web, que suele ser la URL de back-end. Por ejemplo, para Workspace ONE Access, agregue la dirección IP, el nombre de host de Workspace ONE Access y el DNS externo en la máquina cliente. En la interfaz del usuario administrador, agregue la dirección IP, el nombre de host de Workspace ONE Access y el DNS interno.
    Huellas digitales de la URL de destino del proxy Introduzca una lista de las huellas digitales que se pueden aceptar del certificado de servidor SSL para la URL de proxyDestination. Si especifica .*, se acepta cualquier certificado. Una huella digital tiene el formato [alg=]xx:xx, donde alg puede ser el valor predeterminado, sha1 o md5. Las xx son dígitos hexadecimales. El separador ':’ también puede ser un espacio o no estar presente. En la huella digital no hay distinción entre mayúsculas y minúsculas. Por ejemplo:

    sha1=B6 77 DC 9C 19 94 2E F1 78 F0 AD 4B EC 85 D1 7A F8 8B DC 34

    sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:be:78:ed:ff:50:23:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db

    Si no configura las huellas digitales, los certificados del servidor los deberá emitir una entidad de certificación de confianza.

    Patrón de proxy Introduzca las rutas de URI coincidentes que se reenvían a la URL de destino. Por ejemplo, introduzca (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)).
    Nota: Cuando configure varias instancias de proxy inverso, proporcione el nombre de host en el patrón de host de proxy.
  7. Para configurar otras opciones avanzadas, haga clic en Más.
    Opción Descripción
    Métodos de autenticación

    El método predeterminado es la autenticación pass-through del nombre de usuario y la contraseña. Los métodos de autenticación que configuró en Unified Access Gateway se muestran en los menús desplegables. Se admiten los métodos de autenticación de certificado de dispositivo, RADIUS y RSA SecurID.

    Ruta de acceso URI de comprobación de estado Unified Access Gateway se conecta a esta ruta de acceso URI para comprobar el estado de la aplicación web.
    SP de SAML

    Se requiere cuando configura Unified Access Gateway como proxy inverso autenticado para Workspace ONE Access. Introduzca el nombre del proveedor de servicios de SAML del agente XML API de View. Este nombre debe coincidir con el nombre de un proveedor de servicios configurado con Unified Access Gateway o tener un valor especial DEMO. Si hay varios proveedores de servicios configurados conUnified Access Gateway, sus nombres deben ser únicos.

    URL externa El valor predeterminado es la URL del host de Unified Access Gateway y el puerto 443. Puede introducir otra URL externa. Introdúzcala como https://<host:port>.
    Patrón de UnSecure Introduzca el patrón de redireccionamiento de Workspace ONE Access conocido. Por ejemplo: (/|/catalog-portal(.*)|/|/SAAS/|/SAAS|/SAAS/API/1.0/GET/image(.*)|/SAAS/horizon/css(.*)|/SAAS/horizon/angular(.*)|/SAAS/horizon/js(.*)|/SAAS/horizon/js-lib(.*)|/SAAS/auth/login(.*)|/SAAS/jersey/manager/api/branding|/SAAS/horizon/images/(.*)|/SAAS/jersey/manager/api/images/(.*)|/hc/(.*)/authenticate/(.*)|/hc/static/(.*)|/SAAS/auth/saml/response|/SAAS/auth/authenticatedUserDispatcher|/web(.*)|/SAAS/apps/|/SAAS/horizon/portal/(.*)|/SAAS/horizon/fonts(.*)|/SAAS/API/1.0/POST/sso(.*)|/SAAS/API/1.0/REST/system/info(.*)|/SAAS/API/1.0/REST/auth/cert(.*)|/SAAS/API/1.0/REST/oauth2/activate(.*)|/SAAS/API/1.0/GET/user/devices/register(.*)|/SAAS/API/1.0/oauth2/token(.*)|/SAAS/API/1.0/REST/oauth2/session(.*)|/SAAS/API/1.0/REST/user/resources(.*)|/hc/t/(.*)/(.*)/authenticate(.*)|/SAAS/API/1.0/REST/auth/logout(.*)|/SAAS/auth/saml/response(.*)|/SAAS/(.*)/(.*)auth/login(.*)|/SAAS/API/1.0/GET/apps/launch(.*)|/SAAS/API/1.0/REST/user/applications(.*)|/SAAS/auth/federation/sso(.*)|/SAAS/auth/oauth2/authorize(.*)|/hc/prepareSaml/failure(.*)|/SAAS/auth/oauthtoken(.*)|/SAAS/API/1.0/GET/metadata/idp.xml|/SAAS/auth/saml/artifact/resolve(.*)|/hc/(.*)/authAdapter(.*)|/hc/authenticate/(.*)|/SAAS/auth/logout|/SAAS/common.js|/SAAS/auth/launchInput(.*)|/SAAS/launchUsersApplication.do(.*)|/hc/API/1.0/REST/thinapp/download(.*)|/hc/t/(.*)/(.*)/logout(.*)|/SAAS/auth/wsfed/services(.*)|/SAAS/auth/wsfed/active/logon(.*))
    Cookie de autenticación Introduzca el nombre de la cookie de autenticación. Por ejemplo: HZN
    URL de redireccionamiento de inicio de sesión Si el usuario cierra sesión en el portal, introduzca la URL de redireccionamiento para volver a iniciar sesión. Por ejemplo: /SAAS/auth/login?dest=%s
    Patrón de host de proxy Nombre de host externo utilizado para comprobar el host entrante y determinar si coincide con el patrón de esa instancia. El patrón de host es opcional, cuando se configuran las instancias del proxy inverso de web.
    Certificados de confianza
    • Para seleccionar un certificado en formato PEM y agregarlo al almacén de confianza, haga clic en +.
    • Para proporcionar un nombre diferente, edite el cuadro de texto del alias.

      De forma predeterminada, el nombre de alias es el nombre de archivo del certificado PEM.

    • Para eliminar un certificado del almacén de confianza, haga clic en -.
    Encabezados de seguridad de respuesta Haga clic en '+' para agregar un encabezado. Introduzca el nombre del encabezado de seguridad. Introduzca el valor. Haga clic en '-' para quitar un encabezado. Editar un encabezado de seguridad existente para actualizar el nombre y el valor del encabezado.
    Importante: Los valores y los nombres de encabezado se guardan solo después de hacer clic en Guardar. Algunos encabezados de seguridad estándar existen de forma predeterminada. Los encabezados configurados se agregan a la respuesta al cliente de Unified Access Gateway solo si los encabezados correspondientes no están presentes en la respuesta del servidor back-end configurado.
    Nota: Modifique los encabezados de seguridad de respuesta con precaución. La modificación de estos parámetros puede afectar el funcionamiento seguro de Unified Access Gateway.
    Entradas de host Introduzca los detalles que se agregarán en el archivo /etc/hosts. Cada entrada debe incluir una IP, un nombre de host y un alias de nombre de host opcional en este orden y separados por un espacio. Por ejemplo, 10.192.168.1 ejemplo1.com, 10.192.168.2 ejemplo2.com ejemplo-alias. Haga clic en el signo "+" para agregar varias entradas de host.
    Importante: Las entradas de host solo se guardan después de hacer clic en Guardar.
    Nota: Las opciones UnSecure Pattern, Auth Cookie y Login Redirect URL son aplicables solo con Workspace ONE Access.
    Nota: Las propiedades Patrón de UnSecure y Cookie de autenticación no son válidas para el proxy inverso de autenticación. Debe utilizar la propiedad Auth Methods para definir el método de autenticación.
  8. Haga clic en Guardar.

Qué hacer a continuación

Para habilitar el puente de identidades, consulte Configurar las opciones del puente de identidades.