Pour configurer la haute disponibilité pour l'authentification Kerberos, un équilibrage de charge est requis. Après avoir installé et configuré les instances du service d'authentification Kerberos, installez un équilibrage de charge dans votre réseau interne à l'intérieur du pare-feu et ajoutez-y les hôtes du service d'authentification Kerberos.

Vous devez également établir une relation d'approbation SSL entre l'équilibrage de charge et les hôtes du service d'authentification Kerberos, et modifier la valeur du nom d'hôte IdP dans le fournisseur d'identité Workspace pour l'authentification Kerberos.

Paramètres d'équilibrage de charge

Configurez les paramètres suivants sur l'équilibrage de charge :

  • Délai d'expiration de l'équilibreur de charge

    Vous pouvez avoir besoin d'augmenter la valeur par défaut du délai d'expiration des demandes d'équilibrage de charge. Cette valeur est définie en minutes. Si le paramètre du délai d'expiration est trop bas, l'erreur suivante peut se produire. 

    Erreur 502 : Le service est actuellement indisponible

Conditions requises pour les certificats

Chaque instance de Workspace ONE Access Connector sur lequel le service d'authentification Kerberos est installé doit disposer d'un certificat SSL approuvé. Bien que vous puissiez utiliser le certificat auto-signé généré par Workspace ONE Access Connector à des fins de test, il est recommandé d'utiliser des certificats SSL approuvés signés par une autorité de certification publique ou interne pour l'utilisation en production.

Charger le certificat racine de Workspace ONE Access Connector sur l'équilibrage de charge

Pour établir une relation de confiance entre l'équilibrage de charge et l'hôte du service d'authentification Kerberos, chargez le certificat d'autorité de certification racine du connecteur sur l'équilibrage de charge.

Si vous utilisez le certificat auto-signé généré par Workspace ONE Access Connector, vous pouvez obtenir le certificat racine, root_ca.per, depuis INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf.

Charger le certificat racine de l'équilibrage de charge sur Workspace ONE Access Connector

Pour établir une relation de confiance entre l'équilibrage de charge et l'hôte du service d'authentification Kerberos, chargez le certificat d'autorité de certification racine de l'équilibrage de charge sur chaque hôte du service d'authentification Kerberos.

Pour charger le certificat, exécutez le programme d'installation de Workspace ONE Access Connector et ajoutez le certificat sur la page Installer des certificats racines approuvés.
Page Installer le certificat racine approuvé de l'assistant d'installation

Mettre à jour l'URL d'authentification

  1. Dans la console Workspace ONE Access, accédez à la page Gestion d'identités et d'accès > Gérer > Fournisseurs d'identité.
  2. Sélectionnez l'IDP Workspace sur lequel la méthode d'authentification Kerberos est configurée.
  3. Dans la zone de texte Nom d’hôte IdP, remplacez le nom d’hôte du nom d’hôte du connecteur par le nom d’hôte d’équilibrage de charge.

    Par exemple : mylb.example.com