Per configurare la disponibilità elevata per l'autenticazione Kerberos in Workspace ONE Access, è necessario un bilanciamento del carico. Dopo aver installato e configurato le istanze del servizio di autenticazione Kerberos, installare un bilanciamento del carico nella rete interna nel firewall e aggiungervi gli host del servizio di autenticazione Kerberos.
È inoltre necessario stabilire una relazione di attendibilità SSL tra il bilanciamento del carico e gli host del servizio di autenticazione Kerberos, nonché modificare il valore di Nome host IdP nel provider di identità di Workspace per l'autenticazione Kerberos.
Impostazioni del bilanciamento del carico
Configurare le impostazioni seguenti nel bilanciamento del carico:
- Timeout del bilanciamento del carico
Potrebbe essere necessario aumentare il valore del timeout della richiesta del bilanciamento del carico rispetto al valore predefinito. Il valore è impostato in minuti. Se il valore impostato per il timeout è troppo basso, è possibile che venga visualizzato il messaggio di errore seguente:
Errore 502: Il servizio non è al momento disponibile.
Requisiti del certificato per il connettore
Ogni istanza di Workspace ONE Access Connector in cui è installato il servizio di autenticazione Kerberos deve disporre di un certificato SSL attendibile. È possibile utilizzare il certificato autofirmato generato da Workspace ONE Access Connector a scopo di testing; tuttavia, per l'utilizzo nella produzione è consigliabile usare certificati SSL attendibili firmati da un'autorità di certificazione pubblica o interna.
Caricare il certificato radice di Workspace ONE Access Connector nel bilanciamento del carico
Per stabilire una relazione di attendibilità tra il bilanciamento del carico e l'host del servizio di autenticazione Kerberos, caricare il certificato CA radice del connettore nel bilanciamento del carico.
Se si utilizza il certificato autofirmato generato da Workspace ONE Access Connector, è possibile recuperare il certificato root root_ca.per dalla cartella INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf.
Caricare il certificato radice del bilanciamento del carico in Workspace ONE Access Connector
Per stabilire una relazione di attendibilità tra il bilanciamento del carico e l'host del servizio di autenticazione Kerberos, caricare il certificato CA radice del bilanciamento del carico in ciascun host del servizio di autenticazione Kerberos.
Aggiornamento dell'URL di autenticazione
- Selezionare .
- Selezionare l'IDP Workspace in cui è configurato il metodo di autenticazione Kerberos.
- Nella casella di testo Nome host IdP sostituire il nome host del connettore con il nome host del bilanciamento del carico.
Ad esempio: mylb.example.com
Nota: Se il bilanciamento del carico non è in esecuzione nella porta predefinita, specificare il numero della porta. Ad esempio, mylb.example.com:443.