バックエンド アプリケーションで Kerberos が設定されている場合、Unified Access Gateway で ID ブリッジを設定するには、ID プロバイダのメタデータとキータブ ファイルをアップロードし、KCD レルム設定を構成します。
注: このリリースの ID ブリッジは、単一のドメイン セットアップとともにクロスドメインをサポートします。つまり、ユーザーと SPN アカウントが異なるドメインにあることができます。
ヘッダーベースの認証で ID ブリッジを有効にした場合は、キータブ設定と KCD レルムの設定は不要です。
Kerberos 認証の ID ブリッジ設定を構成する前には、以下の状態であることを確認します。
- ID プロバイダが構成され、ID プロバイダの SAML メタデータが保存されている。SAML メタデータ ファイルは Unified Access Gateway にアップロードされます (SAML シナリオの場合のみ)。
- Kerberos 認証の場合、使用するキー配布センターのレルム名を持つ Kerberos を有効にしたサーバが識別されている。
- Kerberos 認証の場合、Kerberos キータブ ファイルを Unified Access Gateway にアップロードする。キータブ ファイルには、特定のバックエンド サービスのドメイン内のユーザーのために Kerberos チケットを取得するように設定された Active Directory サービス アカウントの認証情報が含まれています。
- 次のポートが開いていることを確認します。
- 受信 HTTP 要求のためのポート 443
- Active Directory との Kerberos 通信用の TCP/UDP ポート 88
- Unified Access Gateway は TCP を使用してバックエンド アプリケーションと通信します。バックエンドが待機している適切なポート(たとえば TCP ポート 8080)。
注:
- 同じ Unified Access Gateway インスタンス上の 2 つの異なるリバース プロキシ インスタンスの Kerberos に対する SAML と証明書の両方に ID ブリッジを構成することはできません。
- 認証局を持ち、証明書ベースの認証を使用しない、同じアプライアンス上で ID ブリッジが有効でない Web リバース プロキシ インスタンスはサポートされていません。