Configure la función de puente de Unified Access Gateway para proporcionar Single Sign-On (SSO) a aplicaciones heredadas de versión local que no sean SAML mediante la validación del certificado.

Requisitos previos

Antes de iniciar el proceso de configuración, asegúrese de tener disponibles los siguientes archivos y certificados:

Consulte la documentación del producto correspondiente para generar los certificados raíz y de usuario y el archivo keytab para las aplicaciones que no sean SAML.

Asegúrese de que el puerto TCP/UDP 88 esté abierto, ya que Unified Access Gateway utiliza este puerto para la comunicación de Kerberos con Active Directory.

Procedimiento

  1. Desde Configuración de autenticación > Certificado X509, vaya a:
    1. En Certificado de CA intermedio y raíz, haga clic en Seleccionar y cargue la cadena de certificados completa.
    2. En Habilitar revocación de certificados, mueva el interruptor a .
    3. Seleccione la casilla para Habilitar revocación de OCSP.
    4. Introduzca la URL del respondedor OCSP en el cuadro de texto URL de OCSP.
      Unified Access Gateway envía la solicitud de OCSP a la dirección URL especificada y recibe una respuesta que contiene información que indica si se ha revocado, o no, el certificado.
    5. Seleccione la casilla Usar URL de OCSP del certificado solo si hay un caso de uso para enviar la solicitud de OCSP a la URL de OCSP en el certificado de cliente. Si no se habilita, se usa el valor predeterminado en el cuadro de texto URL de OCSP.
      Certificado a Kerberos: certificado X509
  2. En Configuración avanzada > Configuración de puente de identidades > Configuración de OSCP, haga clic en Agregar.
    1. Haga clic en Seleccionar y cargue el certificado de firma de OCSP.
  3. Seleccione el icono del engranaje de Configuración de dominio Kerberos y configure la configuración del dominio Kerberos tal como se describe en Establecer la configuración de dominio kerberos.
  4. En Configuración General > Configuración del servicio perimetral, seleccione el icono del engranaje de Configuración de proxy inverso.
  5. Establezca Habilitar configuración del puente de identidades como , configure las siguientes opciones del puente de identidades y, a continuación, haga clic en Guardar.
    Habilitar la configuración de puente de identidades para certificado a Kerberos
    Opción Descripción
    Tipos de autenticación Seleccione CERTIFICADO en el menú desplegable.
    Keytab En el menú desplegable, seleccione el keytab configurado para este proxy inverso.
    Nombre de entidad de seguridad de servicio de destino Introduzca el nombre de entidad de seguridad de servicio Kerberos. Cada nombre principal siempre está plenamente calificado con el nombre del dominio Kerberos. Por ejemplo, myco_hostname@MYCOMPANY. Escriba el nombre del dominio Kerberos en mayúsculas. Si no agrega un nombre en el cuadro de texto, el nombre de entidad de seguridad de servicio se obtiene a partir del nombre del host de la URL de destino del proxy.
    Nombre del encabezado de usuario En el caso de la autenticación basada en encabezados, introduzca el nombre del encabezado HTTP que incluye el ID de usuario obtenido a partir de la aserción o utilice el ID de usuario de Access Point predeterminado.

Qué hacer a continuación

Cuando se utiliza Workspace ONE Web para acceder al sitio web de destino, el sitio web de destino actúa como proxy inverso. Unified Access Gateway valida el certificado presentado. Si el certificado es válido, el navegador mostrará la página de la interfaz de usuario correspondiente a la aplicación de back-end.

Para obtener información sobre mensajes de error específicos y solución de problemas, consulte Solucionar errores: puente de identidades.