Configurar un proxy inverso de web para el puente de identidades (certificado a Kerberos)

Configure la función de puente de Unified Access Gateway para proporcionar Single Sign-On (SSO) a las aplicaciones locales que no son de SAML heredadas mediante la validación de certificados.

Requisitos previos

Antes de iniciar el proceso de configuración, asegúrese de tener disponibles los siguientes archivos y certificados:

El archivo keytab de una aplicación de back-end, como Sharepoint o JIRA
El certificado de entidad de certificación raíz o la cadena de certificados completa con un certificado intermedio para el usuario
Ha agregado y cargado un certificado en la consola de AirWatch. Consulte Habilitar la consola de AirWatch para recuperar y usar certificados de entidad de certificación (CA).

Consulte la documentación del producto correspondiente para generar los certificados raíz y de usuario y el archivo keytab para las aplicaciones que no sean SAML.

Procedimiento

Desde Configuración de autenticación > Certificado X509, vaya a:
1. En Certificado de CA intermedio y raíz, haga clic en Seleccionar y cargue la cadena de certificados completa.
2. En Habilitar revocación de certificados, mueva el interruptor a Sí.
3. Seleccione la casilla para Habilitar revocación de OCSP.
4. Introduzca la URL del respondedor OCSP en el cuadro de texto URL de OCSP.
  Unified Access Gateway envía la solicitud de OCSP a la dirección URL especificada y recibe una respuesta que contiene información que indica si se ha revocado, o no, el certificado.
5. Seleccione la casilla Usar URL de OCSP del certificado solo si hay un caso de uso para enviar la solicitud de OCSP a la URL de OCSP en el certificado de cliente. Si no se habilita, se usa el valor predeterminado en el campo URL de OCSP.
En Configuración avanzada > Configuración de puente de identidades > Configuración de OSCP, haga clic en Agregar.
1. Haga clic en Seleccionar y cargue el certificado de firma de OCSP.
Seleccione el icono del engranaje de Configuración de dominio Kerberos y configure la configuración del dominio Kerberos tal como se describe en Establecer la configuración de dominio kerberos.
En Configuración General > Configuración del servicio perimetral, seleccione el icono del engranaje de Configuración de proxy inverso.

Establezca Habilitar configuración del puente de identidades como SÍ, configure las siguientes opciones del puente de identidades y, a continuación, haga clic en Guardar.
Habilitar la configuración de puente de identidades para certificado a Kerberos

Habilitar la configuración de puente de identidades para certificado a Kerberos

Opción	Descripción
Tipos de autenticación	Seleccione CERTIFICADO en el menú desplegable.
Keytab	En el menú desplegable, seleccione el keytab configurado para este proxy inverso.
Nombre de entidad de seguridad de servicio de destino	Introduzca el nombre de entidad de seguridad de servicio Kerberos. Cada nombre principal siempre está plenamente calificado con el nombre del dominio Kerberos. Por ejemplo, `myco_hostname@MYCOMPANY`. Escriba el nombre del dominio Kerberos en mayúsculas. Si no agrega un nombre en el cuadro de texto, el nombre de entidad de seguridad de servicio se obtiene a partir del nombre del host de la URL de destino del proxy.
Nombre del encabezado de usuario	En el caso de la autenticación basada en encabezados, introduzca el nombre del encabezado HTTP que incluye el ID de usuario obtenido a partir de la aserción o utilice el ID de usuario de Access Point predeterminado.

Qué hacer a continuación

Cuando se utiliza VMware Browser para acceder al sitio web de destino, el sitio web de destino actúa como proxy inverso. Unified Access Gateway valida el certificado presentado. Si el certificado es válido, el navegador mostrará la página de la interfaz de usuario correspondiente a la aplicación de back-end.

Para obtener información sobre mensajes de error específicos y solución de problemas, consulte Solución de problemas de certificado a kerberos.