Unified Access Gateway ブリッジ機能を設定して、証明書の検証を使用するオンプレミスのレガシーの非 SAML アプリケーションへのシングル サインオン (SSO) を提供します。
前提条件
構成プロセスを開始する前に、以下のファイルと証明書の準備ができていることを確認します。
- Sharepoint や JIRA などのバックエンド アプリケーションのキータブ ファイル
- ルート CA 証明書、またはユーザーの中間証明書を含む証明書チェーン全体
- Workspace ONE UEM コンソールに証明書が追加され、アップロードされている必要があります。Workspace ONE UEM コンソールで CA 証明書を取得および使用できるようにするを参照してください。
非 SAML アプリケーションのルート証明書とユーザー証明書、およびキータブ ファイルを生成するには、関連製品のドキュメントを参照してください。
Unified Access Gateway が Active Directory との Kerberos 通信にこのポートを使用しているので、TCP/UDP ポート 88 が開いていることを確認します。
手順
-
を選択し、以下を実行します。
- [ルートおよび中間 CA 証明書] で、[選択] をクリックして証明書チェーン全体をアップロードします。
- [証明書の失効を有効にする] で、設定を [はい] に切り替えます。
- [OCSP の失効を有効にする] のチェック ボックスをオンにします。
- [OCSP URL] テキスト ボックスに、OCSP レスポンダの URL を入力します。
Unified Access Gateway は、指定された URL に OCSP 要求を送信し、証明書が失効したかどうかを示す情報を含む応答を受信します。
- OCSP 要求をクライアント証明書の OCSP URL に送信するユースケースがある場合にのみ、[証明書の OCSP の URL を使用する] チェック ボックスをオンにします。これが有効でない場合は、デフォルトで [OCSP URL] テキスト ボックスの値になります。
- [追加] をクリックします。
で、
- [選択] をクリックし、OCSP 署名証明書をアップロードします。
- [レルム設定] ギア アイコンをクリックし、レルム設定の構成の説明に従ってレルム設定を構成します。
- [全般設定] > [Edge サービス設定] で、[リバース プロキシ設定] ギア アイコンをクリックします。
- [ID ブリッジ設定を有効にする] を [はい] に設定し、以下の ID ブリッジ設定を行い、[保存] をクリックします。
オプション 説明 認証タイプ ドロップダウン メニューから [証明書] を選択します。 キータブ ドロップダウン メニューで、このリバース プロキシに対して設定されたキータブを選択します。 ターゲット サービス プリンシパル名 Kerberos サービス プリンシパル名を入力します。各プリンシパルは常にレルム名で完全修飾されます。たとえば、myco_hostname@MYCOMPANY。レルム名を大文字で入力します。テキスト ボックスに名前を追加しない場合、サービス プリンシパル名はプロキシ接続先の URL のホスト名から派生します。 ユーザー ヘッダー名 ヘッダーベースの認証の場合、アサーションから派生したユーザー ID を含む HTTP ヘッダーの名前を入力するか、デフォルトの AccessPoint-User-ID を使用します。
次のタスク
Workspace ONE Web を使用してターゲットの Web サイトにアクセスすると、ターゲットの Web サイトはリバース プロキシとして機能します。Unified Access Gateway は、提示された証明書を検証します。証明書が有効な場合は、ブラウザにバックエンド アプリケーションのユーザー インターフェイス ページが表示されます。
特定のエラー メッセージおよびトラブルシューティング情報については、問題のトラブルシューティング:ID ブリッジを参照してください。