Le impostazioni del proxy certificato devono essere configurate nel servizio Workspace ONE Access per gestire le richieste di SSO mobile per Android.

Prerequisiti

La configurazione del proxy certificato è necessaria solo per le distribuzioni locali di Workspace ONE Access per l'autenticazione SSO mobile di Android.

  • Bilanciamento del carico configurato correttamente.
  • Certificati caricati nel servizio Workspace ONE Access.
  • Servizio proxy certificato in esecuzione nell'appliance di Workspace ONE Access.

Procedura

  1. Accedere alla console di Workspace ONE Access e passare alla pagina Monitora > Resilienza.
  2. Fare clic su Configurazione VA nel nodo del servizio da configurare con il proxy certificato.
  3. Fare clic su SSO mobile.
  4. Abilitare Proxy certificato e configurare le impostazioni di CertProxy per le richieste SSO mobile di Android al servizio Workspace ONE Access.
    Opzione Descrizione
    Destinazione forzata Quando è selezionata l'opzione Destinazione forzata, nella casella di testo Destinazione è necessario specificare un singolo nome host o indirizzo IP. Tutte le richieste SSO di Android vengono inviate a tale destinazione. Questa destinazione è il bilanciamento del carico o l'host locale in base alla configurazione di Workspace ONE Access.
    Destinazione Se è abilitata l'opzione Destinazione forzata, immettere il nome host o l'indirizzo IP da utilizzare.

    Se l'opzione Destinazione forzata non è selezionata, immettere l'elenco di destinazioni approvate che possono ricevere richieste SSO di Android. Gli indirizzi nell'elenco possono essere separati da punto e virgola in formato CIDR, in formato subnet separandoli con uno spazio o come singolo indirizzo IP.

    Origine IP remoto

    Nell'elenco selezionare l'origine utilizzata per ottenere l'IP dell'istanza di CertProxy dalla richiesta HTTP.

    Se tra il proxy certificato e l'istanza di Workspace ONE Access è presente un bilanciamento del carico, utilizzare l'intestazione X-Forwarded-For o l'intestazione X-Real-Ip.

    Se CertProxy comunica direttamente con Workspace ONE Access, utilizzare Richiedi indirizzo remoto.
    Numero di bilanciamenti del carico Se il valore di Origine IP remoto è X-Forwarded-For, immettere il numero di bilanciamenti del carico presenti tra il servizio CertProxy e l'istanza di Workspace ONE Access.
    Elenco di istanze consentite del proxy del certificato

    Configurare un elenco di indirizzi consentiti di CertProxy che includa gli indirizzi IP autorizzati a ricevere le richieste di autenticazione.

    Immettere gli indirizzi IP delle istanze di CertProxy separati da punto e virgola in formato CIDR, in formato subnet separati da uno spazio o come singolo indirizzo IP. Se la destinazione è impostata su localhost, aggiungere l'indirizzo IP di localhost all'elenco. In genere è 127.0.0.1.
  5. Verificare che il valore hash per Chiave proxy certificato e quello per Chiave proxy certificato (Identity Manager) siano uguali. Controllare i file di configurazione cert-proxy.properties e runtime-config.properties.
    Queste due caselle di testo vengono prepopolate con il valore hash delle chiavi del certificato del servizio proxy certificato e del servizio Workspace ONE Access.
    Gli hash devono corrispondere. Se gli hash non corrispondono, copiare il valore di un servizio nell'altro nei file di configurazione.
  6. Impostare la configurazione del proxy certificato per SSO Android tramite il servizio Workspace ONE Access.
    Opzione Descrizione
    Porta Per il proxy certificato vengono in genere configurate due porte.

    La porta 5262 riceve la richiesta esterna dal dispositivo Android.

    La porta 5263 riceve la richiesta amministrativa interna dal servizio Workspace ONE Access.

    Porta di amministrazione

    Se il numero di porta configurato nella casella di testo Porta è quello della porta che riceve la richiesta interna dal servizio Workspace ONE Access per il certificato, abilitare Porta di amministrazione. La porta è in genere la 5263.

    Se la porta non viene utilizzata per ricevere la richiesta interna, non abilitare questo pulsante di opzione.

    Tipo di certificato SSL Il proxy certificato SSO di Android è un servizio distinto nell'appliance di Workspace ONE Access. Selezionare PassThrough per riutilizzare il certificato PassThrough di cui è stato eseguito il provisioning per Workspace ONE Access in Impostazioni appliance > pagina Installa certificati SSL. Se è necessario un certificato diverso, selezionare Personalizzato e caricare il certificato nella casella di testo Catena di certificati SSL.
  7. Per configurare un'altra porta, fare clic su Aggiungi porta e configurare le impostazioni come descritto nel passaggio 6.
  8. Per salvare la configurazione della porta, fare clic su Salva.
  9. Quando in questa pagina si apportano modifiche che influiscono sui certificati, fare clic su Riavvia servizio proxy certificato nella parte superiore della pagina.
    Quando si fa clic su Riavvia proxy certificato potrebbe essere necessario riavviare il servizio Workspace ONE Access.

Operazioni successive

Configurare il servizio proxy certificato in ciascun nodo. Se il servizio proxy certificato è configurato nella prima appliance, quando si clona il servizio Workspace ONE Access nell'appliance, viene configurata la maggior parte delle impostazioni del proxy. Per verificare che le impostazioni del proxy certificato siano impostate correttamente, è possibile controllare il file runtime-config.properties.