Lors de l'utilisation d'installations sur site de Workspace ONE UEM, le serveur API est généralement installé derrière un pare-feu sans accès Internet entrant. Pour utiliser de manière sécurisée les capacités d'automatisation de Workspace ONE Intelligence, vous pouvez configurer un service Edge de proxy inverse Web dans le dispositif Unified Access Gateway pour autoriser l'accès uniquement au service d'API, afin que des actions puissent être effectuées au niveau des périphériques, des utilisateurs et d'autres ressources.
Conditions préalables
- Le service API UEM doit avoir un nom de domaine complet (FQDN) comme nom d'hôte.
- Unified Access Gateway doit utiliser le DNS interne. Cela signifie que l'URL de destination du proxy doit utiliser un FQDN.
- La combinaison de modèle de proxy et de modèle d'hôte de proxy pour une instance du proxy inverse Web doit être unique s'il existe une configuration de proxys inverses multiples dans une instance d'Unified Access Gateway.
- Les noms d'hôte de tous les proxys inverses configurés doivent être résolus sur la même adresse IP de l'instance d'Unified Access Gateway.
- Pour plus d'informations sur les paramètres avancés des services Edge, consultez la section Paramètres avancés des services Edge.
Procédure
- Dans la section Configuration manuelle de l'interface utilisateur d'administration, cliquez sur Sélectionner.
- Dans Paramètres généraux, activez l'option Paramètres du service Edge.
- Cliquez sur l'icône d'engrenage Paramètres de proxy inverse.
- Sur la page Paramètre du proxy inverse, cliquez sur Ajouter
- Activez l'option Activer les paramètres du proxy inverse pour activer le proxy inverse.
- Configurez les paramètres de service Edge suivants.
Option Description Identifiant L'identifiant du service Edge est défini sur le proxy inverse Web. ID d'instance Nom unique pour identifier et différencier une instance du proxy inverse Web de toutes les autres instances du proxy inverse Web. URL de destination du proxy Entrez l'adresse de l'application Web, qui est généralement l'URL du serveur principal. Par exemple, pour le serveur API Workspace ONE UEM, il peut s'agir d'une URL ou d'une adresse IP différente de votre connexion à la console. Vous pouvez le vérifier en consultant les pages des paramètres UEM sous Paramètres > Système > Avancé > API > REST API > URL de REST API . Empreintes numériques de l'URL de destination du proxy Entrez une liste des empreintes numériques de certificat serveur SSL acceptables pour l'URL proxyDestination. Si vous spécifiez *, n'importe quel certificat sera accepté. Une empreinte numérique est au format [alg=]xx:xx. Les xx correspondent à des chiffres hexadécimaux. Le séparateur « : » peut également être un espace ou un caractère manquant. La casse est ignorée dans les empreintes numériques. Par exemple : sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:be:78:ed:ff:50:23:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db
Si vous ne configurez pas les empreintes numériques, les certificats de serveur doivent être émis par une autorité de certification approuvée.Modèle de proxy Entrez les chemins d'URI correspondants qui assurent la transmission à l'URL de destination. Pour l'API Workspace ONE UEM, utilisez : (/API(.*)|/api(.*)|/Api(.*)|)
.Note : Lorsque vous configurez plusieurs proxys inverses, fournissez le nom d'hôte dans le modèle d'hôte de proxy. - Pour configurer d'autres paramètres avancés, cliquez sur Autres.
Option Description Méthodes d'authentification La méthode par défaut est l'utilisation d'une authentification directe du nom d'utilisateur et du mot de passe. Les méthodes d'authentification que vous avez configurées dans Unified Access Gateway figurent dans les menus déroulants. Les méthodes d'authentification
SecurID
,RADIUS
,Passthrough
etX.509 Certificate
sont prises en charge.URL externe La valeur par défaut est l'URL de l'hôte Unified Access Gateway, le port 443. Vous pouvez entrer une autre URL externe. Utilisez le format https://<host:port>.
Note :Lors de l'utilisation d'Unified Access Gateway derrière un équilibrage de charge, entrez l'URL de l'équilibrage de charge dans ce champ.
Modèle d'hôte de proxy Nom d'hôte externe utilisé pour vérifier l'hôte entrant et voir s'il correspond au modèle de cette instance particulière. Le modèle d'hôte est facultatif lors de la configuration d'instances du proxy inverse Web. Certificats approuvés - Pour sélectionner un certificat au format PEM et l'ajouter au magasin d'approbations, cliquez sur le signe +.
- Pour fournir un nom différent, modifiez la zone de texte de l'alias.
Par défaut, le nom d'alias est le nom de fichier du certificat PEM.
- Pour supprimer un certificat du magasin d'approbations, cliquez sur le signe -.
Entrées de l'hôte Entrez les détails qui doivent être ajoutés au fichier /etc/hosts. Chaque entrée inclut une adresse IP, un nom d'hôte et un alias de nom d'hôte facultatif dans cet ordre, séparés par un espace. Par exemple, 10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias. pour ajouter plusieurs entrées de l'hôte, cliquez sur le signe « + ». Important : Les entrées de l'hôte sont enregistrées uniquement après avoir cliqué sur Enregistrer. - Cliquez sur Enregistrer.
Que faire ensuite
Pour configurer Workspace UEM API Connector à utiliser avec Workspace ONE Intelligence, reportez-vous à la rubrique Démarrage avec des automatisations de la documentation de Workspace ONE Intelligence. Utilisez l'URL externe configurée pour votre instance d'Unified Access Gateway au lieu de l'URL du serveur UEM REST API interne.