Configurazione di un bilanciamento del carico per la disponibilità elevata del servizio di autenticazione Kerberos

Per configurare la disponibilità elevata per l'autenticazione Kerberos, è necessario un bilanciamento del carico. Dopo aver installato e configurato le istanze del servizio di autenticazione Kerberos, installare un bilanciamento del carico nella rete interna nel firewall e aggiungervi gli host del servizio di autenticazione Kerberos.

È inoltre necessario stabilire una relazione di attendibilità SSL tra il bilanciamento del carico e gli host del servizio di autenticazione Kerberos, nonché modificare il valore di Nome host IdP nel provider di identità di Workspace per l'autenticazione Kerberos.

Impostazioni del bilanciamento del carico

Configurare le impostazioni seguenti nel bilanciamento del carico:

Timeout del bilanciamento del carico
Potrebbe essere necessario aumentare il valore del timeout della richiesta del bilanciamento del carico rispetto al valore predefinito. Il valore è impostato in minuti. Se il valore impostato per il timeout è troppo basso, è possibile che venga visualizzato il messaggio di errore seguente:
```
Errore 502: Il servizio non è al momento disponibile.
```

Requisiti dei certificati

Ogni istanza di Workspace ONE Access Connector in cui è installato il servizio di autenticazione Kerberos deve disporre di un certificato SSL attendibile. È possibile utilizzare il certificato autofirmato generato da Workspace ONE Access Connector a scopo di testing, ma per l'utilizzo nella produzione è consigliabile usare certificati SSL attendibili firmati da un'autorità di certificazione pubblica o interna.

Caricamento del certificato root di Workspace ONE Access Connector nel bilanciamento del carico

Per stabilire una relazione di attendibilità tra il bilanciamento del carico e l'host del servizio di autenticazione Kerberos, caricare il certificato CA root del connettore nel bilanciamento del carico.

Se si utilizza il certificato autofirmato generato da Workspace ONE Access Connector, è possibile recuperare il certificato root denominato root_ca.per dalla cartella INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf.

Caricamento del certificato root del bilanciamento del carico in Workspace ONE Access Connector

Per stabilire una relazione di attendibilità tra il bilanciamento del carico e l'host del servizio di autenticazione Kerberos, caricare il certificato CA root del bilanciamento del carico in ciascun host del servizio di autenticazione Kerberos.

Per caricare il certificato, eseguire il programma di installazione di Workspace ONE Access Connector e aggiungere il certificato nella pagina di installazione dei certificati root attendibili.

Pagina di installazione dei certificati root attendibili nell'installazione guidata

Aggiornamento dell'URL di autenticazione

Nella console di Workspace ONE Access, passare alla pagina Gestione identità e accessi > Gestione > Provider di identità.
Selezionare l'IDP Workspace in cui è configurato il metodo di autenticazione Kerberos.
Nella casella di testo Nome host IdP sostituire il nome host del connettore con il nome host del bilanciamento del carico.
Ad esempio: mylb.example.com