Configurer un proxy inverse Web pour le pontage d'identité (certificat sur Kerberos)

Configurez la fonctionnalité de pontage Unified Access Gateway pour fournir l'authentification unique aux applications non-SAML héritées sur site à l'aide de la validation du certificat.

Conditions préalables

Avant de commencer le processus de configuration, vérifiez que vous disposez des fichiers et certificats suivants :

Fichier keytab d'une application principale, comme Sharepoint ou JIRA
Certificat d'autorité de certification racine ou chaîne de certificats complète avec le certificat intermédiaire pour l'utilisateur
Vous devez avoir ajouté et téléchargé un certificat dans la console Workspace ONE UEM. Reportez-vous à la section Autoriser la console Workspace ONE UEM à extraire et utiliser des certificats d'autorité de certification.

Reportez-vous à la documentation produit pertinente pour générer les certificats racine et utilisateur, ainsi que le fichier keytab pour les applications non-SAML.

Assurez-vous que le port TCP/UDP 88 est ouvert car Unified Access Gateway s'en sert pour les communications Kerberos avec Active Directory.

Procédure

À partir de Paramètres d'authentification > Certificat X509, accédez à :
1. Dans Certificat d'autorité de certification intermédiaire et racine, cliquez sur Sélectionner et téléchargez toute la chaîne de certificats.
2. Activez l'option Activer la révocation de certificat.
3. Cochez la case Activer la révocation OCSP.
4. Dans la zone de texte URL d'OCSP, entrez l'URL du répondeur OCSP.
  Unified Access Gateway envoie la demande OCSP à l'URL spécifiée et reçoit une réponse qui contient des informations indiquant si le certificat est révoqué.
5. Cochez la case Utiliser l'URL OCSP du certificat uniquement s'il existe un cas d'utilisation pour envoyer la demande OCSP à l'URL d'OCSP dans le certificat client. Si cette option n'est pas activée, elle est définie par défaut sur la valeur de la zone de texte URL d'OCSP.
Dans Paramètres avancés > Paramètres du pontage d'identité > Paramètres OSCP, cliquez sur Ajouter.
1. Cliquez sur Sélectionner et téléchargez le certificat de signature OCSP.
Cliquez sur l'icône d'engrenage Paramètres du domaine et configurez les paramètres du domaine comme décrit dans la section Configurer des paramètres de domaine.
Dans Paramètres généraux > Paramètres du service Edge, cliquez sur l'icône d'engrenage Paramètres du proxy inverse.

Activez l'option Activer les paramètres de pontage d'identité, configurez les paramètres de pontage d'identité suivants, puis cliquez sur Enregistrer.

Option	Description
Types d'authentification	Sélectionnez CERTIFICAT dans le menu déroulant.
Keytab	Dans le menu déroulant, sélectionnez le fichier keytab configuré pour ce proxy inverse.
Nom du principal de service cible	Entrez le nom du principal de service Kerberos. Chaque principal est toujours complété du nom du domaine. Par exemple, `myco_hostname@MYCOMPANY`. Tapez le nom du domaine en majuscules. Si vous n'ajoutez pas de nom dans la zone de texte, le nom du principal de service est dérivé du nom d'hôte de l'URL de destination du proxy.
Nom d'en-tête de l'utilisateur	Pour l'authentification basée sur l'en-tête, entrez le nom de l'en-tête HTTP qui inclut l'ID d'utilisateur dérivé de l'assertion ou utilisez la valeur par défaut, AccessPoint-User-ID.

Que faire ensuite

Lorsque vous utilisez Workspace ONE Web pour accéder au site Web cible, ce dernier agit comme le proxy inverse. Unified Access Gateway valide le certificat présenté. Si le certificat est valide, le navigateur affiche la page d'interface utilisateur de l'application principale.

Pour prendre connaissance des messages d'erreur spécifiques et des informations de dépannage, reportez-vous à la section Dépannage des erreurs : pontage d'identité.