Los ajustes de proxy de certificado deben configurarse en el servicio de Workspace ONE Access para administrar las solicitudes de SSO móvil para Android.

Requisitos previos

La configuración del proxy de certificado solo es necesaria para las implementaciones locales de Workspace ONE Access para la autenticación de SSO móvil para Android.

  • Equilibrador de carga configurado correctamente.
  • Certificados cargados en el servicio de Workspace ONE Access.
  • El servicio de proxy de certificado que se ejecuta en el dispositivo de Workspace ONE Access.

Procedimiento

  1. Inicie sesión en la consola de Workspace ONE Access y vaya a la página Supervisar > Resiliencia.
  2. Haga clic en Configuración del dispositivo virtual en el nodo de servicio que se configurará con el proxy de certificado.
  3. Haga clic en SSO móvil.
  4. Habilite Proxy de CERT y configure los ajustes de CertProxy para las solicitudes de SSO móvil de Android al servicio de Workspace ONE Access.
    Opción Descripción
    Destino forzado Cuando se selecciona la opción Destino forzado, debe proporcionarse un solo nombre de host o una dirección IP en el cuadro de texto Destino. Todas las solicitudes de SSO para Android se envían a dicho destino. Este destino es el equilibrador de carga o el host local, según la configuración de Workspace ONE Access.
    Destino Si la opción Destino forzado está habilitada, introduzca el nombre de host o la dirección IP que se va a usar.

    Si Destino forzado no está seleccionado, introduzca la lista de permitidos de destinos aprobados que pueden recibir solicitudes de SSO para Android. Las direcciones de la lista se pueden separar mediante un punto y coma, ya sea en formato CIDR, formato de subred delimitado por un espacio o una dirección IP única.

    Origen de IP remota

    En la lista, seleccione el origen que se utiliza para obtener la dirección IP de la instancia de CertProxy de la solicitud HTTP.

    Si hay un equilibrador de carga entre el proxy de certificado y la instancia de Workspace ONE Access, utilice el encabezado X-forwarded-For o el encabezado X-Real-Ip.

    Si CertProxy se comunica directamente con Workspace ONE Access, utilice Solicitar dirección remota.
    Número de equilibradores de carga Si el valor de Origen de IP remoto es X-Forwarded-For, introduzca el número de equilibradores de carga que se encuentran entre el servicio de CertProxy y la instancia de Workspace ONE Access.
    Lista de permitidos de instancias de proxy de certificado

    Configure una lista de permitidos de CertProxy con las direcciones IP que están autorizadas para recibir solicitudes de autenticación.

    Introduzca las direcciones IP de las instancias de CertProxy separadas mediante un punto y coma, ya sea en formato CIDR, formato de subred delimitado por un espacio o una dirección IP única. Si el destino está establecido en localhost, agregue la dirección IP de localhost a la lista. Normalmente es 127.0.0.1.
  5. Verifique que el valor hash para las opciones Clave de proxy de certificado y Clave de proxy de certificado (Identity Manager) sea el mismo. Revise los archivos de configuración cert-proxy.properties y runtime-config.properties.
    Estos dos cuadros de texto se rellenan previamente con el valor hash de las claves de certificado del servicio de proxy de certificado y el servicio de Workspace ONE Access.
    Los valores hash deben coincidir. Si los hashes no coinciden, copie el valor de un servicio en el otro en los archivos de configuración.
  6. Establezca la configuración de proxy de certificado de SSO para Android a través del servicio de Workspace ONE Access.
    Opción Descripción
    Puerto Por lo general, se configuran dos puertos para el proxy de certificado.

    El puerto 5262 recibe la solicitud externa desde el dispositivo Android.

    El puerto 5263 recibe la solicitud de administración interna desde el servicio de Workspace ONE Access.

    Puerto de administrador

    Si el número de puerto configurado en el cuadro de texto Puerto es el puerto que recibirá la solicitud interna desde el servicio de Workspace ONE Access para el certificado, habilite el Puerto de administrador. El puerto suele ser el 5263.

    Si no se utiliza este puerto para recibir la solicitud interna, no habilite este botón de opción.

    Tipo de certificado SSL El proxy de certificado de SSO para Android es un servicio independiente en el equipo de Workspace ONE Access. Seleccione Acceso directo para volver a utilizar el certificado de acceso directo aprovisionado para Workspace ONE Access en la página Ajustes del dispositivo > Instalar certificados de SSL. Si se requiere un certificado diferente, seleccione Personalizado y cárguelo en el cuadro de texto Cadena de certificados de SSL.
  7. Para configurar otro puerto, haga clic en Agregar puerto y configure los ajustes tal como se describe en el paso 6.
  8. Para guardar la configuración del puerto, haga clic en Guardar.
  9. Cuando en la página se realicen cambios que afecten a los certificados, haga clic en Reiniciar el servicio de Proxy de CERT en la parte superior de la página.
    Es posible que al hacer clic en Reiniciar el servicio de Proxy de CERT se necesite reiniciar el servicio de Workspace ONE Access.

Qué hacer a continuación

Configure el servicio de proxy de certificado en cada nodo. Si el servicio de proxy de certificado está configurado en el primer dispositivo, al clonar el servicio de Workspace ONE Access en el dispositivo, se configuran la mayoría de los ajustes de proxy. Para verificar que los ajustes de proxy de certificado se hayan establecido correctamente, puede comprobar el archivo runtime-config.properties.