ID ブリッジを有効にし、サービスの外部ホスト名を設定し、Unified Access Gateway サービス プロバイダのメタデータ ファイルをダウンロードします。

このメタデータ ファイルは、VMware Workspace ONE Access サービスの Web アプリケーション構成ページにアップロードされます。

前提条件

  • ID プロバイダに対して認証するユーザーが、UAG で構成された Kerberos レルムと比較して別の Active Directory ドメインの一部である場合は、値が <username>@<domain> のカスタム SAML 属性「upn」を SAML 応答の一部として返すように ID プロバイダ構成を更新します。
    ID プロバイダから予想される「upn」属性の SAML アサーションの例
    <saml:AttributeStatement>
          <saml:Attribute Name="upn" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
                      <saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">[email protected]</saml:AttributeValue>
          </saml:Attribute>
    </saml:AttributeStatement>
  • Unified Access Gateway 管理コンソールで、以下の ID ブリッジ設定が行われている必要があります。[詳細設定] セクションには次の設定項目があります。
    • Unified Access Gateway にアップロードされた ID プロバイダのメタデータ
    • 構成された Kerberos プリンシパル名と Unified Access Gateway にアップロードされたキータブ ファイル
    • レルム名とキー配布センターについての情報。
  • Unified Access Gateway が Active Directory との Kerberos 通信にこのポートを使用しているので、TCP/UDP ポート 88 が開いていることを確認します。

手順

  1. 管理ユーザー インターフェイスの [手動構成] セクションで、[選択] をクリックします。
  2. [全般設定] > [Edge Service の設定] の行で、[表示] をクリックします。
  3. [リバース プロキシの設定] のギア アイコンをクリックします。
  4. [リバース プロキシ設定] 画面で [追加] をクリックして、プロキシ設定を作成します。
  5. [リバース プロキシ設定を有効にする] を [はい] に設定し、次の Edge サービス設定を構成します。
    オプション 説明
    識別子 Edge サービスの識別子は Web リバース プロキシに設定されます。
    インスタンス ID Web リバース プロキシ インスタンスの一意の名前。
    プロキシ接続先の URL Web アプリケーションの内部 URI を指定します。Unified Access Gateway はこの URL を解決してアクセスできる必要があります。
    プロキシ接続先の URL サムプリント このプロキシ設定と一致する URI を入力します。サムプリントは、[alg=]xx:xx の形式になり、alg には sha1 などを指定でき、デフォルトは md5 となります。「xx」は、16 進数です。たとえば、sha=C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3 のようになります。

    サムプリントを構成しない場合、サーバ証明書は信頼された認証局 (CA) によって発行される必要があります。

    プロキシ パターン 宛先 URL に転送する一致する URI パスを入力します。たとえば、 (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)) のように入力します。

    注:複数のリバース プロキシを設定するときに、プロキシ ホスト パターンにホスト名を指定します。

  6. その他の詳細設定を行うには、[詳細] をクリックします。
    オプション 説明
    認証方法

    デフォルトでは、ユーザー名とパスワードのパススルー認証が使用されます。Unified Access Gateway で構成した認証方式は、ドロップダウン メニューに表示されます。RSA SecurID、RADIUS、および Device Certificate Auth メソッドがサポートされます。

    健全性チェック URI パス Unified Access Gateway はこの URI パスに接続し、Web アプリケーションの健全性を確認します。
    SAML SP

    Unified Access GatewayWorkspace ONE Access の認証済みリバース プロキシとして構成する場合に必要です。View XML API ブローカの SAML サービス プロバイダの名前を入力します。この名前は、Unified Access Gateway を使用して構成したサービス プロバイダの名前と一致するか、DEMO という特別な値でなければなりません。Unified Access Gateway を使用して複数のサービス プロバイダが構成されている場合は、その名前は一意である必要があります。

    外部 URL デフォルト値は、Unified Access Gateway のホスト URL のポート 443 です。別の外部 URL を入力することもできます。「https://<host:port>.」のように入力します。
    安全ではないパターン 既知の Workspace ONE Access リダイレクト パターンを入力します。例: (/|/catalog-portal(.*)|/|/SAAS/|/SAAS|/SAAS/API/1.0/GET/image(.*)|/SAAS/horizon/css(.*)|/SAAS/horizon/angular(.*)|/SAAS/horizon/js(.*)|/SAAS/horizon/js-lib(.*)|/SAAS/auth/login(.*)|/SAAS/jersey/manager/api/branding|/SAAS/horizon/images/(.*)|/SAAS/jersey/manager/api/images/(.*)|/hc/(.*)/authenticate/(.*)|/hc/static/(.*)|/SAAS/auth/saml/response|/SAAS/auth/authenticatedUserDispatcher|/web(.*)|/SAAS/apps/|/SAAS/horizon/portal/(.*)|/SAAS/horizon/fonts(.*)|/SAAS/API/1.0/POST/sso(.*)|/SAAS/API/1.0/REST/system/info(.*)|/SAAS/API/1.0/REST/auth/cert(.*)|/SAAS/API/1.0/REST/oauth2/activate(.*)|/SAAS/API/1.0/GET/user/devices/register(.*)|/SAAS/API/1.0/oauth2/token(.*)|/SAAS/API/1.0/REST/oauth2/session(.*)|/SAAS/API/1.0/REST/user/resources(.*)|/hc/t/(.*)/(.*)/authenticate(.*)|/SAAS/API/1.0/REST/auth/logout(.*)|/SAAS/auth/saml/response(.*)|/SAAS/(.*)/(.*)auth/login(.*)|/SAAS/API/1.0/GET/apps/launch(.*)|/SAAS/API/1.0/REST/user/applications(.*)|/SAAS/auth/federation/sso(.*)|/SAAS/auth/oauth2/authorize(.*)|/hc/prepareSaml/failure(.*)|/SAAS/auth/oauthtoken(.*)|/SAAS/API/1.0/GET/metadata/idp.xml|/SAAS/auth/saml/artifact/resolve(.*)|/hc/(.*)/authAdapter(.*)|/hc/authenticate/(.*)|/SAAS/auth/logout|/SAAS/common.js|/SAAS/auth/launchInput(.*)|/SAAS/launchUsersApplication.do(.*)|/hc/API/1.0/REST/thinapp/download(.*)|/hc/t/(.*)/(.*)/logout(.*)|/SAAS/auth/wsfed/services(.*)|/SAAS/auth/wsfed/active/logon(.*))
    認証 Cookie 認証 Cookie 名を入力します。例:HZN
    ログイン リダイレクト URL ユーザーがポータルからログアウトした場合は、リダイレクト URL を入力して再度ログインします。例:/SAAS/auth/login?dest=%s
    プロキシ ホスト パターン 受信ホストをチェックし、インスタンスのパターンと一致するかを調べるために使用される外部ホスト名。Web リバース プロキシ インスタンスを構成する場合、ホスト パターンはオプションです。
    信頼される証明書
    • PEM 形式の証明書を選択してトラスト ストアに追加するには、[+] をクリックします。
    • 別の名前を指定するには、エイリアス テキスト ボックスを編集します。

      デフォルトでは、エイリアス名は PEM 証明書のファイル名です。

    • トラスト ストアから証明書を削除するには、[-] をクリックします。
    応答セキュリティ ヘッダー ヘッダーを追加するには「+」記号をクリックします。セキュリティ ヘッダーの名前を入力します。値を入力します。ヘッダーを削除するには「-」記号をクリックします。既存のセキュリティ ヘッダーを編集して、ヘッダーの名前と値を更新します。
    重要: ヘッダー名と値は、 [保存] をクリックした後にのみ保存されます。デフォルトでは、いくつかの標準セキュリティ ヘッダーが存在します。構成されたヘッダーは、対応するヘッダーが構成されたバックエンド サーバからの応答に存在しない場合にのみ、クライアントへの Unified Access Gateway 応答に追加されます。
    注: セキュリティ応答ヘッダーは慎重に変更してください。これらのパラメータを変更すると、 Unified Access Gateway の安全な機能が影響を受ける可能性があります。
    ホスト エントリ /Etc/hosts ファイルに追加する詳細情報を入力します。各エントリには、IP アドレス、ホスト名、オプションのホスト名エイリアスが順にスペース区切りで含まれています。たとえば、10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias のようになります。複数のホスト エントリを追加するには「+」記号をクリックします。
    重要: ホスト エントリは、 [保存] をクリックした後にのみ保存されます。
  7. [ID ブリッジを有効にする] セクションで、[いいえ][はい] に変更します。
  8. 次の ID ブリッジ設定を行います。
    オプション 説明
    認証タイプ [SAML] を選択します。
    SAML 属性 要求ヘッダーとして渡される SAML 属性のリスト。このオプションは、[ID ブリッジを有効にする][はい] に設定され、[認証タイプ][SAML] に設定されている場合のみ表示されます。SAML 属性をヘッダーの一部として追加するには「+」記号をクリックします。
    SAML 対象者

    SAML 認証タイプが選択されていることを確認します。

    対象者 URL を入力します。
    注: テキストボックスを空のままにすると、対象者は制限されません。

    UAG が SAML 対象者をサポートする方法については、SAML 対象者 を参照してください。

    ID プロバイダ ドロップダウン メニューから、ID プロバイダを選択します。
    キータブ ドロップダウン メニューで、このリバース プロキシに対して設定されたキータブを選択します。
    ターゲット サービス プリンシパル名 Kerberos サービス プリンシパル名を入力します。各プリンシパルは常にレルム名で完全修飾されます。たとえば、myco_hostname@MYCOMPANY。レルム名を大文字で入力します。テキスト ボックスに名前を追加しない場合、サービス プリンシパル名はプロキシ接続先の URL のホスト名から派生します。
    サービス トップ ベージ アサーションが検証された後に、ユーザーが ID プロバイダでリダイレクトされるページを入力します。デフォルトの設定は / です。
    ユーザー ヘッダー名 ヘッダーベースの認証の場合、アサーションから派生したユーザー ID を含む HTTP ヘッダーの名前を入力します。
  9. [SP メタデータのダウンロード] セクションで、[ダウンロード] をクリックします。
    サービス プロバイダのメタデータ ファイルを保存します。
  10. [保存] をクリックします。

次のタスク

Unified Access Gateway サービス プロバイダのメタデータ ファイルを、Workspace ONE Access サービスの Web アプリケーション構成ページに追加します。