ID ブリッジを有効にし、サービスの外部ホスト名を設定し、Unified Access Gateway サービス プロバイダのメタデータ ファイルをダウンロードします。
このメタデータ ファイルは、VMware Workspace ONE Access サービスの Web アプリケーション構成ページにアップロードされます。
前提条件
- ID プロバイダに対して認証するユーザーが、UAG で構成された Kerberos レルムと比較して別の Active Directory ドメインの一部である場合は、値が
<username>@<domain> のカスタム SAML 属性「upn」を SAML 応答の一部として返すように ID プロバイダ構成を更新します。
ID プロバイダから予想される「upn」属性の SAML アサーションの例
<saml:AttributeStatement>
<saml:Attribute Name="upn" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
<saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">[email protected]</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
- Unified Access Gateway 管理コンソールで、以下の ID ブリッジ設定が行われている必要があります。[詳細設定] セクションには次の設定項目があります。
- Unified Access Gateway にアップロードされた ID プロバイダのメタデータ
- 構成された Kerberos プリンシパル名と Unified Access Gateway にアップロードされたキータブ ファイル
- レルム名とキー配布センターについての情報。
- Unified Access Gateway が Active Directory との Kerberos 通信にこのポートを使用しているので、TCP/UDP ポート 88 が開いていることを確認します。
手順
- 管理ユーザー インターフェイスの [手動構成] セクションで、[選択] をクリックします。
- の行で、[表示] をクリックします。
- [リバース プロキシの設定] のギア アイコンをクリックします。
- [リバース プロキシ設定] 画面で [追加] をクリックして、プロキシ設定を作成します。
- [リバース プロキシ設定を有効にする] を [はい] に設定し、次の Edge サービス設定を構成します。
| オプション |
説明 |
| 識別子 |
Edge サービスの識別子は Web リバース プロキシに設定されます。 |
| インスタンス ID |
Web リバース プロキシ インスタンスの一意の名前。 |
| プロキシ接続先の URL |
Web アプリケーションの内部 URI を指定します。Unified Access Gateway はこの URL を解決してアクセスできる必要があります。 |
| プロキシ接続先の URL サムプリント |
このプロキシ設定と一致する URI を入力します。サムプリントは、[alg=]xx:xx の形式になり、alg には sha1 などを指定でき、デフォルトは md5 となります。「xx」は、16 進数です。たとえば、sha=C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3 のようになります。 サムプリントを構成しない場合、サーバ証明書は信頼された認証局 (CA) によって発行される必要があります。 |
| プロキシ パターン |
宛先 URL に転送する一致する URI パスを入力します。たとえば、 (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)) のように入力します。 注:複数のリバース プロキシを設定するときに、プロキシ ホスト パターンにホスト名を指定します。 |
- その他の詳細設定を行うには、[詳細] をクリックします。
| オプション |
説明 |
| 認証方法 |
デフォルトでは、ユーザー名とパスワードのパススルー認証が使用されます。Unified Access Gateway で構成した認証方式は、ドロップダウン メニューに表示されます。RSA SecurID、RADIUS、および Device Certificate Auth メソッドがサポートされます。 |
| 健全性チェック URI パス |
Unified Access Gateway はこの URI パスに接続し、Web アプリケーションの健全性を確認します。 |
| SAML SP |
Unified Access Gateway を Workspace ONE Access の認証済みリバース プロキシとして構成する場合に必要です。View XML API ブローカの SAML サービス プロバイダの名前を入力します。この名前は、Unified Access Gateway を使用して構成したサービス プロバイダの名前と一致するか、DEMO という特別な値でなければなりません。Unified Access Gateway を使用して複数のサービス プロバイダが構成されている場合は、その名前は一意である必要があります。 |
| 外部 URL |
デフォルト値は、Unified Access Gateway のホスト URL のポート 443 です。別の外部 URL を入力することもできます。「https://<host:port>.」のように入力します。 |
| 安全ではないパターン |
既知の Workspace ONE Access リダイレクト パターンを入力します。例: (/|/catalog-portal(.*)|/|/SAAS/|/SAAS|/SAAS/API/1.0/GET/image(.*)|/SAAS/horizon/css(.*)|/SAAS/horizon/angular(.*)|/SAAS/horizon/js(.*)|/SAAS/horizon/js-lib(.*)|/SAAS/auth/login(.*)|/SAAS/jersey/manager/api/branding|/SAAS/horizon/images/(.*)|/SAAS/jersey/manager/api/images/(.*)|/hc/(.*)/authenticate/(.*)|/hc/static/(.*)|/SAAS/auth/saml/response|/SAAS/auth/authenticatedUserDispatcher|/web(.*)|/SAAS/apps/|/SAAS/horizon/portal/(.*)|/SAAS/horizon/fonts(.*)|/SAAS/API/1.0/POST/sso(.*)|/SAAS/API/1.0/REST/system/info(.*)|/SAAS/API/1.0/REST/auth/cert(.*)|/SAAS/API/1.0/REST/oauth2/activate(.*)|/SAAS/API/1.0/GET/user/devices/register(.*)|/SAAS/API/1.0/oauth2/token(.*)|/SAAS/API/1.0/REST/oauth2/session(.*)|/SAAS/API/1.0/REST/user/resources(.*)|/hc/t/(.*)/(.*)/authenticate(.*)|/SAAS/API/1.0/REST/auth/logout(.*)|/SAAS/auth/saml/response(.*)|/SAAS/(.*)/(.*)auth/login(.*)|/SAAS/API/1.0/GET/apps/launch(.*)|/SAAS/API/1.0/REST/user/applications(.*)|/SAAS/auth/federation/sso(.*)|/SAAS/auth/oauth2/authorize(.*)|/hc/prepareSaml/failure(.*)|/SAAS/auth/oauthtoken(.*)|/SAAS/API/1.0/GET/metadata/idp.xml|/SAAS/auth/saml/artifact/resolve(.*)|/hc/(.*)/authAdapter(.*)|/hc/authenticate/(.*)|/SAAS/auth/logout|/SAAS/common.js|/SAAS/auth/launchInput(.*)|/SAAS/launchUsersApplication.do(.*)|/hc/API/1.0/REST/thinapp/download(.*)|/hc/t/(.*)/(.*)/logout(.*)|/SAAS/auth/wsfed/services(.*)|/SAAS/auth/wsfed/active/logon(.*)) |
| 認証 Cookie |
認証 Cookie 名を入力します。例:HZN |
| ログイン リダイレクト URL |
ユーザーがポータルからログアウトした場合は、リダイレクト URL を入力して再度ログインします。例:/SAAS/auth/login?dest=%s |
| プロキシ ホスト パターン |
受信ホストをチェックし、インスタンスのパターンと一致するかを調べるために使用される外部ホスト名。Web リバース プロキシ インスタンスを構成する場合、ホスト パターンはオプションです。 |
| 信頼される証明書 |
|
| 応答セキュリティ ヘッダー |
ヘッダーを追加するには「+」記号をクリックします。セキュリティ ヘッダーの名前を入力します。値を入力します。ヘッダーを削除するには「-」記号をクリックします。既存のセキュリティ ヘッダーを編集して、ヘッダーの名前と値を更新します。
重要: ヘッダー名と値は、
[保存] をクリックした後にのみ保存されます。デフォルトでは、いくつかの標準セキュリティ ヘッダーが存在します。構成されたヘッダーは、対応するヘッダーが構成されたバックエンド サーバからの応答に存在しない場合にのみ、クライアントへの
Unified Access Gateway 応答に追加されます。
注: セキュリティ応答ヘッダーは慎重に変更してください。これらのパラメータを変更すると、
Unified Access Gateway の安全な機能が影響を受ける可能性があります。
|
| ホスト エントリ |
/Etc/hosts ファイルに追加する詳細情報を入力します。各エントリには、IP アドレス、ホスト名、オプションのホスト名エイリアスが順にスペース区切りで含まれています。たとえば、10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias のようになります。複数のホスト エントリを追加するには「+」記号をクリックします。
重要: ホスト エントリは、
[保存] をクリックした後にのみ保存されます。
|
- [ID ブリッジを有効にする] セクションで、[いいえ] を [はい] に変更します。
- 次の ID ブリッジ設定を行います。
| オプション |
説明 |
| 認証タイプ |
[SAML] を選択します。 |
| SAML 属性 |
要求ヘッダーとして渡される SAML 属性のリスト。このオプションは、[ID ブリッジを有効にする] が [はい] に設定され、[認証タイプ] が [SAML] に設定されている場合のみ表示されます。SAML 属性をヘッダーの一部として追加するには「+」記号をクリックします。 |
| SAML 対象者 |
SAML 認証タイプが選択されていることを確認します。
対象者 URL を入力します。
注: テキストボックスを空のままにすると、対象者は制限されません。
UAG が SAML 対象者をサポートする方法については、SAML 対象者 を参照してください。 |
| ID プロバイダ |
ドロップダウン メニューから、ID プロバイダを選択します。 |
| キータブ |
ドロップダウン メニューで、このリバース プロキシに対して設定されたキータブを選択します。 |
| ターゲット サービス プリンシパル名 |
Kerberos サービス プリンシパル名を入力します。各プリンシパルは常にレルム名で完全修飾されます。たとえば、myco_hostname@MYCOMPANY。レルム名を大文字で入力します。テキスト ボックスに名前を追加しない場合、サービス プリンシパル名はプロキシ接続先の URL のホスト名から派生します。 |
| サービス トップ ベージ |
アサーションが検証された後に、ユーザーが ID プロバイダでリダイレクトされるページを入力します。デフォルトの設定は / です。 |
| ユーザー ヘッダー名 |
ヘッダーベースの認証の場合、アサーションから派生したユーザー ID を含む HTTP ヘッダーの名前を入力します。 |
- [SP メタデータのダウンロード] セクションで、[ダウンロード] をクリックします。
サービス プロバイダのメタデータ ファイルを保存します。
- [保存] をクリックします。
次のタスク
Unified Access Gateway サービス プロバイダのメタデータ ファイルを、Workspace ONE Access サービスの Web アプリケーション構成ページに追加します。
