Lorsque Kerberos est configuré dans l'application principale, pour configurer le pontage d'identité dans Unified Access Gateway, téléchargez les métadonnées du fournisseur d'identité, ainsi que le fichier keytab et configurez les paramètres de domaine KCD.
Note : Cette version de pontage d'identité prend en charge la fonction inter-domaines avec une configuration de domaine unique. Ainsi, l’utilisateur et le compte SPN peuvent utiliser différents domaines.
Lorsque le pontage d'identité est activé avec l'authentification basée sur l'en-tête, les paramètres du fichier keytab et les paramètres de domaine KCD ne sont pas requis.
Avant de configurer les paramètres du pontage d'identité pour l'authentification Kerberos, assurez-vous que les éléments suivants sont disponibles.
- Un fournisseur d'identité est configuré et les métadonnées SAML du fournisseur d'identité sont enregistrées. Le fichier de métadonnées SAML est téléchargé vers Unified Access Gateway (scénarios SAML uniquement).
- Pour l'authentification Kerberos, un serveur sur lequel Kerberos est activé avec les noms de domaine des centres de distribution de clés à utiliser identifiés.
- Pour l'authentification Kerberos, téléchargez le fichier keytab Kerberos sur Unified Access Gateway. Le fichier keytab inclut les informations d'identification du compte de service Active Directory qui est configuré pour obtenir le ticket Kerberos au nom d'un utilisateur du domaine pour un service principal donné.
- Assurez-vous que les ports suivants sont ouverts :
- Le port 443 pour les demandes HTTP entrantes
- Le port TCP/UDP 88 pour la communication Kerberos avec Active Directory
- Unified Access Gateway utilise TCP pour communiquer avec les applications principales. Le port approprié sur lequel le serveur principal est à l'écoute, par exemple, le port TCP 8080.
Note :
- La configuration du pontage d'identité pour SAML et Certificat sur Kerberos pour deux instances différentes de proxys inverses sur la même instance d'Unified Access Gateway n'est pas prise en charge.
- Les instances de proxys inverses Web avec autorité de certification et sans authentification basée sur le certificat, dont le pontage d'identité n'est pas activé sur le même dispositif, ne sont pas prises en charge.