Puede configurar el servicio de proxy inverso de web para utilizar Unified Access Gateway con VMware Identity Manager.

Requisitos previos

Tenga en cuenta los siguientes requisitos para la implementación con VMware Identity Manager:

  • DNS dividido. El DNS dividido se puede utilizar para resolver el nombre de diferentes direcciones IP en función de si la IP es interna o externa.
  • El servicio de VMware Identity Manager debe tener un nombre de dominio plenamente cualificado (FQDN) como nombre de host.
  • Unified Access Gateway debe utilizar el DNS interno. Esto significa que la URL de destino del proxy debe utilizar un FQDN.
  • La combinación de patrón de proxy y patrón de host de proxy para una instancia de proxy inverso de web debe ser única si en una instancia de Unified Access Gateway hay varias instancias de proxy inverso configuradas.
  • Los nombres de host de todos las instancias de proxy inverso configuradas deben resolverse en la misma dirección IP, que es la dirección IP de la instancia de Unified Access Gateway.
  • Consulte Configuración avanzada del servicio perimetral para obtener información sobre la configuración avanzada del servicio perimetral.

Procedimiento

  1. En la sección de configuración manual de la IU del administrador, haga clic en Seleccionar.
  2. En Configuración general > Configuración del servicio perimetral, haga clic en Mostrar.
  3. Haga clic en el icono de engranaje de Configuración de proxy inverso.
  4. En la página de configuración del proxy inverso, haga clic en Agregar.
  5. En la sección Habilitar la configuración del proxy inverso, cambie de NO a para habilitar el proxy inverso.
  6. Configure las siguientes opciones del servicio perimetral.
    Opción Descripción
    Identificador El identificador del servicio perimetral está establecido en el proxy inverso de web.
    ID de instancia Nombre único para identificar y diferenciar una instancia del proxy inverso de web del resto de instancias del proxy inverso de web.
    URL de destino del proxy Introduzca la dirección de la aplicación web.
    Huellas digitales de la URL de destino del proxy Introduzca una lista de las huellas digitales que se pueden aceptar del certificado de servidor SSL para la URL de proxyDestination. Si especifica .*, se acepta cualquier certificado. Una huella digital tiene el formato [alg=]xx:xx, donde alg puede ser el valor predeterminado, sha1 o md5. Las xx son dígitos hexadecimales. El separador ':’ también puede ser un espacio o no estar presente. En la huella digital no hay distinción entre mayúsculas y minúsculas. Por ejemplo:

    sha1=B6 77 DC 9C 19 94 2E F1 78 F0 AD 4B EC 85 D1 7A F8 8B DC 34

    sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:be:78:ed:ff:50:23:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db

    Si no configura las huellas digitales, los certificados del servidor los deberá emitir una entidad de certificación de confianza.

    Patrón de proxy Introduzca las rutas de URI coincidentes que se reenvían a la URL de destino. Por ejemplo, introduzca (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)).
    Nota: Cuando configure varias instancias de proxy inverso, proporcione el nombre de host en el patrón de host de proxy.
  7. Para configurar otras opciones avanzadas, haga clic en Más.
    Opción Descripción
    Métodos de autenticación

    El método predeterminado es la autenticación pass-through del nombre de usuario y la contraseña. Los métodos de autenticación que configuró en Unified Access Gateway se muestran en los menús desplegables.

    Ruta de acceso URI de comprobación de estado Unified Access Gateway se conecta a esta ruta de acceso URI para comprobar el estado de la aplicación web.
    SP de SAML

    Se requiere cuando configura Unified Access Gateway como proxy inverso autenticado para VMware Identity Manager. Introduzca el nombre del proveedor de servicios de SAML del agente XML API de View. Este nombre debe coincidir con el nombre de un proveedor de servicios configurado con Unified Access Gateway o tener un valor especial DEMO. Si hay varios proveedores de servicios configurados conUnified Access Gateway, sus nombres deben ser únicos.

    Código de activación Introduzca el código de activación generado por el servicio de VMware Identity Manager y que se importó a Unified Access Gateway para establecer la confianza entre VMware Identity Manager y Unified Access Gateway. Tenga en cuenta que el código de activación no es obligatorio para las implementaciones en las instalaciones. Consulte la sección sobre la implementación de VMware Identity Manager en la nube para obtener información necesaria para generar un código de activación.
    URL externa El valor predeterminado es la URL del host de Unified Access Gateway y el puerto 443. Puede introducir otra URL externa. Introdúzcala como https://<host:port>.
    Patrón de UnSecure Introduzca el patrón de redireccionamiento conocido de VMware Identity Manager. Por ejemplo: (/catalog-portal(.*)|/|/SAAS/|/SAAS|/SAAS/API/1.0/GET/image(.*)|/SAAS/horizon/css(.*)|/SAAS/horizon/angular(.*)|/SAAS/horizon/js(.*)|/SAAS/horizon/js-lib(.*)|/SAAS/auth/login(.*)|/SAAS/jersey/manager/api/branding|/SAAS/horizon/images/(.*)|/SAAS/jersey/manager/api/images/(.*)|/hc/(.*)/authenticate/(.*)|/hc/static/(.*)|/SAAS/auth/saml/response|/SAAS/auth/authenticatedUserDispatcher|/web(.*)|/SAAS/apps/|/SAAS/horizon/portal/(.*)|/SAAS/horizon/fonts(.*)|/SAAS/API/1.0/POST/sso(.*)|/SAAS/API/1.0/REST/system/info(.*)|/SAAS/API/1.0/REST/auth/cert(.*)|/SAAS/API/1.0/REST/oauth2/activate(.*)|/SAAS/API/1.0/GET/user/devices/register(.*)|/SAAS/API/1.0/oauth2/token(.*)|/SAAS/API/1.0/REST/oauth2/session(.*)|/SAAS/API/1.0/REST/user/resources(.*)|/hc/t/(.*)/(.*)/authenticate(.*)|/SAAS/API/1.0/REST/auth/logout(.*)|/SAAS/auth/saml/response(.*)|/SAAS/(.*)/(.*)auth/login(.*)|/SAAS/API/1.0/GET/apps/launch(.*)|/SAAS/API/1.0/REST/user/applications(.*)|/SAAS/auth/federation/sso(.*)|/SAAS/auth/oauth2/authorize(.*)|/hc/prepareSaml/failure(.*)|/SAAS/auth/oauthtoken(.*)|/SAAS/API/1.0/GET/metadata/idp.xml|/SAAS/auth/saml/artifact/resolve(.*)|/hc/(.*)/authAdapter(.*)|/hc/authenticate/(.*)|/SAAS/auth/logout|/SAAS/common.js|/SAAS/auth/launchInput(.*)|/SAAS/launchUsersApplication.do(.*)|/hc/API/1.0/REST/thinapp/download(.*)|/hc/t/(.*)/(.*)/logout(.*))
    Cookie de autenticación Introduzca el nombre de la cookie de autenticación. Por ejemplo: HZN
    URL de redireccionamiento de inicio de sesión Si el usuario cierra sesión en el portal, introduzca la URL de redireccionamiento para volver a iniciar sesión. Por ejemplo: /SAAS/auth/login?dest=%s
    Patrón de host de proxy Nombre de host externo utilizado para comprobar el host de entrada y detectar si coincide con el patrón para la instancia particular. El patrón de host es opcional, cuando se configura las instancias del proxy inverso de web.
    Entradas de host Introduzca los detalles que se agregarán en el archivo /etc/hosts. Cada entrada debe incluir una IP, un nombre de host y un alias de nombre de host opcional en este orden y separados por un espacio. Por ejemplo, 10.192.168.1 ejemplo1.com, 10.192.168.2 ejemplo2.com ejemplo-alias. Haga clic en el signo "+" para agregar varias entradas de host.
    Importante: Las entradas de host solo se guardan después de hacer clic en Guardar.
    Nota: Las opciones UnSecure Pattern, Auth Cookie y Login Redirect URL son aplicables solo con VMware Identity Manager. Los valores proporcionados aquí también se aplican a Access Point 2.8 y a Unified Access Gateway 2.9.
    Nota: Las propiedades Patrón de UnSecure y Cookie de autenticación no son válidas para el proxy inverso de autenticación. Debe utilizar la propiedad Auth Methods para definir el método de autenticación.
  8. Haga clic en Guardar.

Qué hacer a continuación

Para habilitar el puente de identidades, consulte Configurar las opciones del puente de identidades.