Unified Access Gateway ブリッジ機能を設定して、証明書の検証を使用するオンプレミスのレガシーの非 SAML アプリケーションへのシングル サインオン (SSO) を提供します。

前提条件

構成プロセスを開始する前に、以下のファイルと証明書の準備ができていることを確認します。

非 SAML アプリケーションのルート証明書とユーザー証明書、およびキータブ ファイルを生成するには、関連製品のドキュメントを参照してください。

Unified Access Gateway が Active Directory との Kerberos 通信にこのポートを使用しているので、TCP/UDP ポート 88 が開いていることを確認します。

手順

  1. [認証設定] > [X509 証明書] を選択し、以下を実行します。
    1. [ルートおよび中間 CA 証明書] で、[選択] をクリックして証明書チェーン全体をアップロードします。
    2. [証明書の失効を有効にする] で、設定を [はい] に切り替えます。
    3. [OCSP の失効を有効にする] のチェック ボックスをオンにします。
    4. [OCSP URL] テキスト ボックスに、OCSP レスポンダの URL を入力します。
      Unified Access Gateway は、指定された URL に OCSP 要求を送信し、証明書が失効したかどうかを示す情報を含む応答を受信します。
    5. OCSP 要求をクライアント証明書の OCSP URL に送信するユースケースがある場合にのみ、[証明書の OCSP の URL を使用する] チェック ボックスをオンにします。これが有効でない場合は、デフォルトで [OCSP URL] テキスト ボックスの値になります。
      Cert-to-Kerberos - X509 証明書
  2. [詳細設定] > [ID ブリッジ設定] > [OSCP 設定] で、[追加] をクリックします。
    1. [選択] をクリックし、OCSP 署名証明書をアップロードします。
  3. [レルム設定] ギア アイコンをクリックし、レルム設定の構成の説明に従ってレルム設定を構成します。
  4. [全般設定] > [Edge サービス設定] で、[リバース プロキシ設定] ギア アイコンをクリックします。
  5. [ID ブリッジ設定を有効にする][はい] に設定し、以下の ID ブリッジ設定を行い、[保存] をクリックします。
    Cert-to-Kerberos の ID ブリッジ設定を有効にする
    オプション 説明
    認証タイプ ドロップダウン メニューから [証明書] を選択します。
    キータブ ドロップダウン メニューで、このリバース プロキシに対して設定されたキータブを選択します。
    ターゲット サービス プリンシパル名 Kerberos サービス プリンシパル名を入力します。各プリンシパルは常にレルム名で完全修飾されます。たとえば、myco_hostname@MYCOMPANY。レルム名を大文字で入力します。テキスト ボックスに名前を追加しない場合、サービス プリンシパル名はプロキシ接続先の URL のホスト名から派生します。
    ユーザー ヘッダー名 ヘッダーベースの認証の場合、アサーションから派生したユーザー ID を含む HTTP ヘッダーの名前を入力するか、デフォルトの AccessPoint-User-ID を使用します。

次のタスク

Workspace ONE Web を使用してターゲットの Web サイトにアクセスすると、ターゲットの Web サイトはリバース プロキシとして機能します。Unified Access Gateway は、提示された証明書を検証します。証明書が有効な場合は、ブラウザにバックエンド アプリケーションのユーザー インターフェイス ページが表示されます。

特定のエラー メッセージおよびトラブルシューティング情報については、問題のトラブルシューティング:ID ブリッジを参照してください。