Activez le pontage d'identité, configurez le nom d'hôte externe pour le service et téléchargez le fichier de métadonnées de fournisseur de services d'Unified Access Gateway.
Ce fichier de métadonnées est téléchargé sur la page de configuration de l'application Web dans le service VMware Workspace ONE Access.
Conditions préalables
- Si l'utilisateur s'authentifiant auprès du fournisseur d'identité fait partie d'un domaine Active Directory différent par rapport au domaine Kerberos configuré sur UAG, mettez à jour la configuration du fournisseur d'identité pour renvoyer un attribut SAML personnalisé « upn » avec la valeur
<username>@<domain>
dans le cadre de la réponse SAML.
Exemple d'assertion SAML attendue du fournisseur d'identité pour l'attribut « upn »
<saml:AttributeStatement>
<saml:Attribute Name="upn" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
<saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">[email protected]</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
- Vous devez avoir configuré les paramètres du pontage d'identité suivants sur la console d'administration d'Unified Access Gateway. Vous trouvez ces paramètres dans la section Paramètres avancés.
- Métadonnées de fournisseur d'identité téléchargées sur Unified Access Gateway
- Nom du principal Kerberos configuré et fichier keytab téléchargé sur Unified Access Gateway
- Nom de domaine et informations sur le centre de distribution de clés.
- Assurez-vous que le port TCP/UDP 88 est ouvert car Unified Access Gateway l'utilise pour la communication Kerberos avec Active Directory.
Procédure
- Dans la section Configurer manuellement de l'interface utilisateur d'administration, cliquez sur Sélectionner.
- Dans la ligne , cliquez sur Afficher.
- Cliquez sur l'icône d'engrenage Paramètres de proxy inverse.
- Sur la page Paramètres du proxy inverse, cliquez sur Ajouter pour créer un paramètre du proxy.
- Activez l'option Activer les paramètres du proxy inverse et configurez les paramètres suivants du service Edge.
Option |
Description |
Identifiant |
L'identifiant du service Edge est défini sur le proxy inverse Web. |
ID d'instance |
Nom unique de l'instance du proxy inverse Web. |
URL de destination du proxy |
Spécifiez l'URI interne de l'application Web. Unified Access Gateway doit pouvoir résoudre et accéder à cette URL. |
Empreintes numériques de l'URL de destination du proxy |
Entrez l'URI pour correspondre à ce paramètre du proxy. Une empreinte numérique est au format [alg=]xx:xx. Les « xx » correspondent à des chiffres hexadécimaux. Si vous ne configurez pas les empreintes numériques, les certificats de serveur doivent être émis par une autorité de certification approuvée. |
Modèle de proxy |
Entrez les chemins d'URI correspondants qui assurent la transmission à l'URL de destination. Par exemple, entrez (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)). Remarque : lorsque vous configurez plusieurs proxys inverses, fournissez le nom d'hôte dans le modèle d'hôte de proxy. |
- Pour configurer d'autres paramètres avancés, cliquez sur Autres.
Option |
Description |
Méthodes d'authentification |
La méthode par défaut est l'utilisation d'une authentification directe du nom d'utilisateur et du mot de passe. Les méthodes d'authentification que vous avez configurées dans Unified Access Gateway figurent dans les menus déroulants. Les méthodes d'authentification par certificat de périphérique, RSA SecurID et RADIUS sont prises en charge. |
Chemin d'accès à l'URI de contrôle de santé |
Unified Access Gateway se connecte à ce chemin d'accès à l'URI pour vérifier la santé de votre application Web. |
SP SAML |
Requis lorsque vous configurez Unified Access Gateway en tant que proxy inverse authentifié pour Workspace ONE Access. Entrez le nom du fournisseur de services SAML pour le broker API XML View. Ce nom doit correspondre à celui du fournisseur de services configuré avec Unified Access Gateway ou à la valeur spéciale DEMO. S'il existe plusieurs fournisseurs de services configurés avec Unified Access Gateway, leurs noms doivent être uniques. |
URL externe |
La valeur par défaut est l'URL de l'hôte Unified Access Gateway, le port 443. Vous pouvez entrer une autre URL externe. Utilisez le format https://<host:port>. |
Modèle non sécurisé |
Entrez le modèle de redirection Workspace ONE Access connu. Par exemple : (/|/catalog-portal(.*)|/|/SAAS/|/SAAS|/SAAS/API/1.0/GET/image(.*)|/SAAS/horizon/css(.*)|/SAAS/horizon/angular(.*)|/SAAS/horizon/js(.*)|/SAAS/horizon/js-lib(.*)|/SAAS/auth/login(.*)|/SAAS/jersey/manager/api/branding|/SAAS/horizon/images/(.*)|/SAAS/jersey/manager/api/images/(.*)|/hc/(.*)/authenticate/(.*)|/hc/static/(.*)|/SAAS/auth/saml/response|/SAAS/auth/authenticatedUserDispatcher|/web(.*)|/SAAS/apps/|/SAAS/horizon/portal/(.*)|/SAAS/horizon/fonts(.*)|/SAAS/API/1.0/POST/sso(.*)|/SAAS/API/1.0/REST/system/info(.*)|/SAAS/API/1.0/REST/auth/cert(.*)|/SAAS/API/1.0/REST/oauth2/activate(.*)|/SAAS/API/1.0/GET/user/devices/register(.*)|/SAAS/API/1.0/oauth2/token(.*)|/SAAS/API/1.0/REST/oauth2/session(.*)|/SAAS/API/1.0/REST/user/resources(.*)|/hc/t/(.*)/(.*)/authenticate(.*)|/SAAS/API/1.0/REST/auth/logout(.*)|/SAAS/auth/saml/response(.*)|/SAAS/(.*)/(.*)auth/login(.*)|/SAAS/API/1.0/GET/apps/launch(.*)|/SAAS/API/1.0/REST/user/applications(.*)|/SAAS/auth/federation/sso(.*)|/SAAS/auth/oauth2/authorize(.*)|/hc/prepareSaml/failure(.*)|/SAAS/auth/oauthtoken(.*)|/SAAS/API/1.0/GET/metadata/idp.xml|/SAAS/auth/saml/artifact/resolve(.*)|/hc/(.*)/authAdapter(.*)|/hc/authenticate/(.*)|/SAAS/auth/logout|/SAAS/common.js|/SAAS/auth/launchInput(.*)|/SAAS/launchUsersApplication.do(.*)|/hc/API/1.0/REST/thinapp/download(.*)|/hc/t/(.*)/(.*)/logout(.*)|/SAAS/auth/wsfed/services(.*)|/SAAS/auth/wsfed/active/logon(.*)) |
Cookie d'authentification |
Entrez le nom du cookie d'authentification. Par exemple : HZN |
URL de redirection de connexion |
Si l'utilisateur se déconnecte du portail, entrez l'URL de redirection pour la reconnexion. Par exemple : /SAAS/auth/login?dest=%s |
Modèle d'hôte de proxy |
Nom d'hôte externe utilisé pour vérifier l'hôte entrant afin de déterminer s'il correspond au modèle de cette instance. Le modèle d'hôte est facultatif lors de la configuration d'instances du proxy inverse Web. |
Certificats approuvés |
|
En-têtes de sécurité de réponse |
Cliquez sur « + » pour ajouter un en-tête. Entrez le nom de l'en-tête de sécurité. Entrez la valeur. Cliquez sur « - » pour supprimer un en-tête. Modifiez un en-tête de sécurité existant pour mettre à jour le nom et la valeur de l'en-tête.
Important : Les noms et valeurs d'en-têtes ne sont enregistrés qu'après avoir cliqué sur
Enregistrer. Certains en-têtes de sécurité standard sont présents par défaut. Les en-têtes configurés sont ajoutés à la réponse d'
Unified Access Gateway au client uniquement si les en-têtes correspondants sont absents dans la réponse du serveur principal configuré.
Note : Modifiez les en-têtes de réponse de sécurité avec précaution. La modification de ces paramètres risque d'affecter le fonctionnement sécurisé d'
Unified Access Gateway.
|
Entrées de l'hôte |
Entrez les détails qui doivent être ajoutés au fichier /etc/hosts. Chaque entrée inclut une adresse IP, un nom d'hôte et un alias de nom d'hôte facultatif dans cet ordre, séparés par un espace. Par exemple, 10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias. pour ajouter plusieurs entrées de l'hôte, cliquez sur le signe « + ».
Important : Les entrées de l'hôte sont enregistrées uniquement après avoir cliqué sur
Enregistrer.
|
- Activez l'option Activer le pontage d'identité.
- Configurez les paramètres de pontage d'identité suivants.
Option |
Description |
Types d'authentification |
Sélectionnez SAML. |
Attributs SAML |
Liste d'attributs SAML qui est transmise en tant qu'en-têtes de demandes. Cette option n'est visible que lorsque l'option Activer le pontage d'identité est activée et que l'option Types d'authentification est définie sur SAML. Cliquez sur « + » en regard d'un attribut SAML dans le cadre de l'en-tête. |
Publics SAML |
Assurez-vous que le type d'authentification SAML est choisi.
Entrez l'URL du public.
Note : Si la zone de texte reste vide, les publics ne sont pas restreints.
Pour comprendre comment UAG prend en charge les publics SAML, consultez la section Publics SAML. |
Fournisseur d'identité |
Dans le menu déroulant, sélectionnez le fournisseur d'identité. |
Keytab |
Dans le menu déroulant, sélectionnez le fichier keytab configuré pour ce proxy inverse. |
Nom du principal de service cible |
Entrez le nom du principal de service Kerberos. Chaque principal est toujours complété du nom du domaine. Par exemple, myco_hostname@MYCOMPANY. Tapez le nom du domaine en majuscules. Si vous n'ajoutez pas de nom dans la zone de texte, le nom du principal de service est dérivé du nom d'hôte de l'URL de destination du proxy. |
Page d'accueil du service |
Entrez la page vers laquelle les utilisateurs sont redirigés dans le fournisseur d'identité après la validation de l'assertion. Le paramètre par défaut est / . |
Nom d'en-tête de l'utilisateur |
Pour l'authentification basée sur l'en-tête, entrez le nom de l'en-tête HTTP qui inclut l'ID d'utilisateur dérivé de l'assertion. |
- Dans la section Télécharger des métadonnées SP, cliquez sur Télécharger.
Enregistrez le fichier de métadonnées de fournisseur de services.
- Cliquez sur Enregistrer.
Que faire ensuite
Ajoutez le fichier de métadonnées de fournisseur de services d'Unified Access Gateway sur la page de configuration de l'application Web dans le service Workspace ONE Access.