Si desea configurar la alta disponibilidad para la autenticación Kerberos en Workspace ONE Access, se requiere un equilibrador de carga. Después de instalar y configurar las instancias del servicio de autenticación Kerberos, instale un equilibrador de carga en la red interna dentro del firewall y agréguele los hosts del servicio de autenticación Kerberos.

También debe establecer la relación de confianza SSL entre el equilibrador de carga y los hosts del servicio de autenticación Kerberos, y cambiar el valor del nombre de host de IdP en el IDP de Workspace para la autenticación Kerberos.

Configuración del equilibrador de carga

Configure estas opciones en el equilibrador de carga:

  • Tiempo de espera del equilibrador de carga

    Es posible que deba aumentar el valor predeterminado correspondiente al tiempo de espera para las solicitudes del equilibrador de carga. Este valor se expresa en minutos. Si el valor del tiempo de espera es demasiado bajo, es posible que aparezca el siguiente error.

    Error 502: El servicio no está disponible actualmente

Requisito de certificado para Connector

Cada instancia de Workspace ONE Access Connector en la que se instale el servicio de autenticación Kerberos debe tener un certificado SSL de confianza. Si bien se puede utilizar el certificado autofirmado generado por Workspace ONE Access Connector para fines de prueba, para la fase producción se recomienda usar certificados SSL de confianza firmados por una CA pública o interna.

Cargar el certificado raíz de Workspace ONE Access Connector en el equilibrador de carga

Para establecer la confianza entre el equilibrador de carga y el host del servicio de autenticación Kerberos, cargue el certificado de CA raíz del conector en el equilibrador de carga.

Si utiliza el certificado autofirmado generado por Workspace ONE Access Connector, puede obtener el certificado raíz, root_ca.per, de INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf.

Cargar el certificado raíz del equilibrador de carga en Workspace ONE Access Connector

Para establecer la confianza entre el equilibrador de carga y el host del servicio de autenticación Kerberos, cargue el certificado de CA raíz del equilibrador de carga en cada host del servicio de autenticación Kerberos.

Para cargar el certificado, ejecute el instalador de Workspace ONE Access Connector y agregue el certificado en la página Instalar certificados raíz de confianza.
Página Instalar certificados raíz de confianza en el Asistente de instalación

Actualizar la URL de autenticación

  1. Seleccione Integraciones > Proveedores de identidades.
  2. Seleccione el IDP de Workspace que tiene configurado el método de autenticación Kerberos.
  3. En el cuadro de texto Nombre de host de IdP, cambie el nombre de host del conector por el nombre de host del equilibrador de carga.

    Por ejemplo: mylb.example.com

    Nota: Si el equilibrador de carga no se está ejecutando en el puerto predeterminado, especifique el número de puerto. Por ejemplo, mylb.example.com:443.