Vous pouvez configurer le service de proxy inverse Web pour utiliser Unified Access Gateway avec Workspace ONE Access.

Conditions préalables

Notez les exigences suivantes pour le déploiement avec Workspace ONE Access :

  • DNS fractionné. En externe, le nom d'hôte doit être résolu sur l'adresse IP d'Unified Access Gateway. En interne, sur Unified Access Gateway, le même nom d'hôte doit être résolu sur le serveur Web réel par le biais d'un mappage DNS interne ou d'une entrée de nom d'hôte sur Unified Access Gateway.
    Note : Si vous déployez uniquement avec le proxy inverse Web, il n'est pas nécessaire de configurer le pontage d'identité.
  • Le service Workspace ONE Access doit avoir un nom de domaine complet (FQDN) comme nom d'hôte.
  • Unified Access Gateway doit utiliser un DNS interne. Cela signifie que l'URL de destination du proxy doit utiliser un FQDN.
  • La combinaison de modèle de proxy et de modèle d'hôte de proxy pour une instance du proxy inverse Web doit être unique s'il existe une configuration de proxys inverses multiples dans une instance de Unified Access Gateway.
  • Les noms d'hôte de tous les proxys inverses configurés doivent être résolus sur la même adresse IP de l'instance de Unified Access Gateway.
  • Reportez-vous à la section Paramètres avancés des services Edge pour plus d'informations sur les paramètres avancés des services Edge.

Procédure

  1. Dans la section Configurer manuellement de l'interface utilisateur d'administration, cliquez sur Sélectionner.
  2. Dans Paramètres généraux > Paramètres du service Edge, cliquez sur Afficher.
  3. Cliquez sur l'icône d'engrenage Paramètres de proxy inverse.
  4. Sur la page Paramètre du proxy inverse, cliquez sur Ajouter.
  5. Dans la section Activer les paramètres du proxy inverse, remplacez NON par OUI pour activer le proxy inverse.
  6. Configurez les paramètres de service Edge suivants.
    Option Description
    Identifiant L'identifiant du service Edge est défini sur le proxy inverse Web.
    ID d'instance Nom unique pour identifier et différencier une instance du proxy inverse Web de toutes les autres instances du proxy inverse Web.
    URL de destination du proxy Entrez l'adresse de l'application Web, qui est généralement l'URL du serveur principal. Par exemple, pour Workspace ONE Access, ajoutez l'adresse IP, le nom d'hôte Workspace ONE Access et le DNS externe sur la machine cliente. Dans l'interface utilisateur d'administration, ajoutez l'adresse IP, le nom d'hôte Workspace ONE Access et le DNS interne.
    Empreintes numériques de l'URL de destination du proxy Entrez une liste des empreintes numériques de certificat serveur SSL acceptables pour l'URL proxyDestination. Si vous spécifiez *, n'importe quel certificat sera accepté. Une empreinte numérique est au format [alg=]xx:xx, où alg peut correspondre à sha1, la valeur par défaut, ou à md5. Les xx correspondent à des chiffres hexadécimaux. Le séparateur « : » peut également être un espace ou un caractère manquant. La casse est ignorée dans les empreintes numériques. Par exemple :

    sha1=B6 77 DC 9C 19 94 2E F1 78 F0 AD 4B EC 85 D1 7A F8 8B DC 34

    sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:be:78:ed:ff:50:23:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db

    Si vous ne configurez pas les empreintes numériques, les certificats de serveur doivent être émis par une autorité de certification approuvée.

    Modèle de proxy Entrez les chemins d'URI correspondants qui assurent la transmission à l'URL de destination. Par exemple, entrez (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)).
    Note : Lorsque vous configurez plusieurs proxys inverses, fournissez le nom d'hôte dans le modèle d'hôte de proxy.
  7. Pour configurer d'autres paramètres avancés, cliquez sur Autres.
    Option Description
    Méthodes d'authentification

    La méthode par défaut est l'utilisation d'une authentification directe du nom d'utilisateur et du mot de passe. Les méthodes d'authentification que vous avez configurées dans Unified Access Gateway figurent dans les menus déroulants. Les méthodes d'authentification par certificat de périphérique, RSA SecurID et RADIUS sont prises en charge.

    Chemin d'accès à l'URI de contrôle de santé Unified Access Gateway se connecte à ce chemin d'accès à l'URI pour vérifier la santé de votre application Web.
    SP SAML

    Requis lorsque vous configurez Unified Access Gateway en tant que proxy inverse authentifié pour Workspace ONE Access. Entrez le nom du fournisseur de services SAML pour le broker API XML View. Ce nom doit correspondre à celui du fournisseur de services configuré avec Unified Access Gateway ou à la valeur spéciale DEMO. S'il existe plusieurs fournisseurs de services configurés avec Unified Access Gateway, leurs noms doivent être uniques.

    URL externe La valeur par défaut est l'URL de l'hôte Unified Access Gateway, le port 443. Vous pouvez entrer une autre URL externe. Utilisez le format https://<host:port>.
    Modèle non sécurisé Entrez le modèle de redirection Workspace ONE Access connu. Par exemple : (/|/catalog-portal(.*)|/|/SAAS/|/SAAS|/SAAS/API/1.0/GET/image(.*)|/SAAS/horizon/css(.*)|/SAAS/horizon/angular(.*)|/SAAS/horizon/js(.*)|/SAAS/horizon/js-lib(.*)|/SAAS/auth/login(.*)|/SAAS/jersey/manager/api/branding|/SAAS/horizon/images/(.*)|/SAAS/jersey/manager/api/images/(.*)|/hc/(.*)/authenticate/(.*)|/hc/static/(.*)|/SAAS/auth/saml/response|/SAAS/auth/authenticatedUserDispatcher|/web(.*)|/SAAS/apps/|/SAAS/horizon/portal/(.*)|/SAAS/horizon/fonts(.*)|/SAAS/API/1.0/POST/sso(.*)|/SAAS/API/1.0/REST/system/info(.*)|/SAAS/API/1.0/REST/auth/cert(.*)|/SAAS/API/1.0/REST/oauth2/activate(.*)|/SAAS/API/1.0/GET/user/devices/register(.*)|/SAAS/API/1.0/oauth2/token(.*)|/SAAS/API/1.0/REST/oauth2/session(.*)|/SAAS/API/1.0/REST/user/resources(.*)|/hc/t/(.*)/(.*)/authenticate(.*)|/SAAS/API/1.0/REST/auth/logout(.*)|/SAAS/auth/saml/response(.*)|/SAAS/(.*)/(.*)auth/login(.*)|/SAAS/API/1.0/GET/apps/launch(.*)|/SAAS/API/1.0/REST/user/applications(.*)|/SAAS/auth/federation/sso(.*)|/SAAS/auth/oauth2/authorize(.*)|/hc/prepareSaml/failure(.*)|/SAAS/auth/oauthtoken(.*)|/SAAS/API/1.0/GET/metadata/idp.xml|/SAAS/auth/saml/artifact/resolve(.*)|/hc/(.*)/authAdapter(.*)|/hc/authenticate/(.*)|/SAAS/auth/logout|/SAAS/common.js|/SAAS/auth/launchInput(.*)|/SAAS/launchUsersApplication.do(.*)|/hc/API/1.0/REST/thinapp/download(.*)|/hc/t/(.*)/(.*)/logout(.*)|/SAAS/auth/wsfed/services(.*)|/SAAS/auth/wsfed/active/logon(.*))
    Cookie d'authentification Entrez le nom du cookie d'authentification. Par exemple : HZN
    URL de redirection de connexion Si l'utilisateur se déconnecte du portail, entrez l'URL de redirection pour la reconnexion. Par exemple : /SAAS/auth/login?dest=%s
    Modèle d'hôte de proxy Nom d'hôte externe utilisé pour vérifier l'hôte entrant afin de déterminer s'il correspond au modèle de cette instance. Le modèle d'hôte est facultatif lors de la configuration d'instances du proxy inverse Web.
    Certificats approuvés
    • Pour sélectionner un certificat au format PEM et l'ajouter au magasin d'approbations, cliquez sur le signe +.
    • Pour fournir un nom différent, modifiez la zone de texte de l'alias.

      Par défaut, le nom d'alias est le nom de fichier du certificat PEM.

    • Pour supprimer un certificat du magasin d'approbations, cliquez sur le signe -.
    En-têtes de sécurité de réponse Cliquez sur « + » pour ajouter un en-tête. Entrez le nom de l'en-tête de sécurité. Entrez la valeur. Cliquez sur « - » pour supprimer un en-tête. Modifiez un en-tête de sécurité existant pour mettre à jour le nom et la valeur de l'en-tête.
    Important : Les noms et valeurs d'en-têtes ne sont enregistrés qu'après avoir cliqué sur Enregistrer. Certains en-têtes de sécurité standard sont présents par défaut. Les en-têtes configurés sont ajoutés à la réponse d' Unified Access Gateway au client uniquement si les en-têtes correspondants sont absents dans la réponse du serveur principal configuré.
    Note : Modifiez les en-têtes de réponse de sécurité avec précaution. La modification de ces paramètres risque d'affecter le fonctionnement sécurisé d' Unified Access Gateway.
    Entrées de l'hôte Entrez les détails qui doivent être ajoutés au fichier /etc/hosts. Chaque entrée inclut une adresse IP, un nom d'hôte et un alias de nom d'hôte facultatif dans cet ordre, séparés par un espace. Par exemple, 10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias. pour ajouter plusieurs entrées de l’hôte, cliquez sur le signe « + ».
    Important : Les entrées de l'hôte sont enregistrées uniquement après avoir cliqué sur Enregistrer.
    Note : Les options UnSecure Pattern, Auth Cookie et Login Redirect URL sont applicables uniquement avec Workspace ONE Access. Les valeurs fournies ici s'appliquent également à Access Point 2.8 et Unified Access Gateway 2.9.
    Note : Les propriétés Cookie d'authentification et Modèle non sécurisé ne sont pas valides pour le proxy inverse authn. Vous devez utiliser la propriété Auth Methods pour définir la méthode d'authentification.
  8. Cliquez sur Enregistrer.

Que faire ensuite

Pour activer le pontage d'identité, consultez Configuration des paramètres du pontage d'identité.