Vous devez configurer les paramètres de proxy de certificat sur le service Workspace ONE Access pour gérer les demandes d'Android Mobile SSO.

Conditions préalables

La configuration du proxy de certificat est requise uniquement pour les déploiements sur site de Workspace ONE Access pour l'authentification Android Mobile SSO.

  • Équilibrage de charge correctement configuré.
  • Certificats chargés sur le service Workspace ONE Access.
  • Service de proxy de certificat en cours d'exécution dans le dispositif Workspace ONE Access.

Procédure

  1. Connectez-vous à la console Workspace ONE Access et accédez à la page Surveiller > Résilience.
  2. Cliquez sur Configuration VA sur le nœud de service à configurer avec le proxy de certificat.
  3. Cliquez sur SSO Mobile.
  4. Activez l'option Proxy de certificat et configurez les paramètres CertProxy pour les demandes Android Mobile SSO au service Workspace ONE Access.
    Option Description
    Destination forcée Lorsque l'option Destination forcée est sélectionnée, vous devez fournir un nom d'hôte ou une adresse IP unique dans la zone de texte Destination. Toutes les demandes d'Android SSO sont envoyées vers cette destination. Selon la configuration de Workspace ONE Access, cette destination est soit l'équilibreur de charge, soit l'hôte local.
    Destination Si l'option Destination forcée est activée, entrez le nom d'hôte ou l'adresse IP à utiliser.

    Sinon, entrez la liste autorisée des destinations approuvées pouvant recevoir des demandes d'Android SSO. Les adresses dans la liste peuvent être séparées par un point-virgule soit au format CIDR, format de sous-réseau délimité par un espace, soit une adresse IP unique.

    Source IP distante

    Dans la liste, sélectionnez la source utilisée pour obtenir l'adresse IP de l'instance de CertProxy à partir de la demande HTTP.

    Si un équilibreur de charge se trouve entre le proxy de certificat et l'instance de Workspace ONE Access, utilisez l'en-tête X-Forwarded-For ou X-Real-Ip.

    Si CertProxy communique directement avec Workspace ONE Access, utilisez Demander une adresse distante.
    Nombre d'équilibrages de charge Si la valeur de Source IP distante est X-Forwarded-For, entrez le nombre d'équilibreurs de charge se trouvant entre le service CertProxy et l'instance de Workspace ONE Access.
    Liste autorisée d'instances de proxy de certificat

    Configurez une liste autorisée CertProxy avec les adresses IP autorisées à recevoir des demandes d'authentification.

    Entrez les adresses IP des instances de CertProxy séparées par un point-virgule, au format CIDR, format de sous-réseau délimité par un espace ou en tant qu'adresse IP unique. Si la destination est définie sur localhost, ajoutez l'adresse IP de localhost à la liste. En général, il s'agit de 127.0.0.1.
  5. Vérifiez que la valeur de hachage de la Clé du proxy de certificat et la Clé du proxy de certificat (Identity Manager) sont identiques. Vérifiez les fichiers de configuration cert-proxy.properties et runtime-config.properties.
    Ces deux zones de texte sont pré-remplies avec la valeur de hachage des clés du service de proxy de certificat et du service Workspace ONE Access.
    Les hachages doivent correspondre. Si les hachages ne correspondent pas, copiez la valeur d'un service vers l'autre dans les fichiers de configuration.
  6. Définissez la configuration du proxy de certificat pour Android SSO via le service Workspace ONE Access.
    Option Description
    Port En général, deux ports sont configurés pour le proxy de certificat.

    Le port 5 262 reçoit la demande externe provenant du périphérique Android.

    Le port 5 263 reçoit la demande d'administration interne provenant du service Workspace ONE Access.

    Port d'administration

    Si le numéro de port configuré dans la zone de texte Port est le port qui reçoit la demande interne provenant du service Workspace ONE Access pour le certificat, activez l'option Port d'administration. En général, il s'agit du port 5 263.

    Si ce port n'est pas utilisé pour recevoir la demande interne, n'activez pas cette case d'option.

    Type de certificat SSL Le proxy de certificat Android SSO est un service distinct sur le dispositif Workspace ONE Access. Sélectionnez Relais pour réutiliser le certificat de relais provisionné pour Workspace ONE Access sur la page Paramètres du dispositif > Installer des certificats SSL. Si un certificat différent est requis, sélectionnez Personnalisé et téléchargez le certificat dans la zone de texte Chaîne de certificat SSL.
  7. Pour configurer un autre port, cliquez sur Ajouter un Port et configurez les paramètres, comme décrit à l'étape 6.
  8. Pour enregistrer la configuration du port, cliquez sur Enregistrer.
  9. Lorsque vous effectuez des modifications sur cette page qui affectent les certificats, cliquez sur Redémarrer le service de proxy de certificat en haut de la page.
    Cliquer sur Redémarrer le service de proxy de certificat peut nécessiter un redémarrage du service Workspace ONE Access.

Que faire ensuite

Configurez le service de proxy de certificat sur chaque nœud. Si le service de proxy de certificat est configuré sur le premier dispositif, la plupart des paramètres du proxy sont configurés lorsque vous clonez le service Workspace ONE Access sur le dispositif. Pour vérifier que les paramètres du proxy de certificat sont correctement définis, vous pouvez vérifier le fichier runtime-config.properties.