Per configurare la disponibilità elevata per l'autenticazione Kerberos in Workspace ONE Access, è necessario un bilanciamento del carico. Dopo aver installato e configurato le istanze del servizio di autenticazione Kerberos, installare un bilanciamento del carico nella rete interna nel firewall e aggiungervi gli host del servizio di autenticazione Kerberos.

È inoltre necessario stabilire una relazione di attendibilità SSL tra il bilanciamento del carico e gli host del servizio di autenticazione Kerberos, nonché modificare il valore di Nome host IdP nel provider di identità di Workspace per l'autenticazione Kerberos.

Impostazioni del bilanciamento del carico

Configurare le impostazioni seguenti nel bilanciamento del carico:

  • Timeout del bilanciamento del carico

    Potrebbe essere necessario aumentare il valore del timeout della richiesta del bilanciamento del carico rispetto al valore predefinito. Il valore è impostato in minuti. Se il valore impostato per il timeout è troppo basso, è possibile che venga visualizzato il messaggio di errore seguente:

    Errore 502: Il servizio non è al momento disponibile.

Requisiti del certificato per il connettore

Ogni istanza di Workspace ONE Access Connector in cui è installato il servizio di autenticazione Kerberos deve disporre di un certificato SSL attendibile. È possibile utilizzare il certificato autofirmato generato da Workspace ONE Access Connector a scopo di testing; tuttavia, per l'utilizzo nella produzione è consigliabile usare certificati SSL attendibili firmati da un'autorità di certificazione pubblica o interna.

Caricare il certificato radice di Workspace ONE Access Connector nel bilanciamento del carico

Per stabilire una relazione di attendibilità tra il bilanciamento del carico e l'host del servizio di autenticazione Kerberos, caricare il certificato CA radice del connettore nel bilanciamento del carico.

Se si utilizza il certificato autofirmato generato da Workspace ONE Access Connector, è possibile recuperare il certificato root root_ca.per dalla cartella INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf.

Caricare il certificato radice del bilanciamento del carico in Workspace ONE Access Connector

Per stabilire una relazione di attendibilità tra il bilanciamento del carico e l'host del servizio di autenticazione Kerberos, caricare il certificato CA radice del bilanciamento del carico in ciascun host del servizio di autenticazione Kerberos.

Per caricare il certificato, eseguire il programma di installazione di Workspace ONE Access Connector e aggiungere il certificato nella pagina di installazione dei certificati radice attendibili.
Pagina di installazione dei certificati radice attendibili nell'installazione guidata

Aggiornamento dell'URL di autenticazione

  1. Selezionare Integrazioni > Provider di identità.
  2. Selezionare l'IDP Workspace in cui è configurato il metodo di autenticazione Kerberos.
  3. Nella casella di testo Nome host IdP sostituire il nome host del connettore con il nome host del bilanciamento del carico.

    Ad esempio: mylb.example.com

    Nota: Se il bilanciamento del carico non è in esecuzione nella porta predefinita, specificare il numero della porta. Ad esempio, mylb.example.com:443.