Workspace ONE Access とともに Unified Access Gateway を使用するように Web リバース プロキシ サービスを構成できます。

前提条件

Workspace ONE Access によるデプロイでは次の要件に注意してください。

  • スプリット DNS。外部では、ホスト名は Unified Access Gateway の IP アドレスに解決される必要があります。内部では、Unified Access Gateway 上で、同じホスト名が内部 DNS マッピングまたは Unified Access Gateway でのホスト名入力のどちらかを介して実際の Web サーバに解決される必要があります。
    注: Web リバース プロキシのみを使用してデプロイする場合は、ID ブリッジを構成する必要はありません。
  • Workspace ONE Access サービスには、ホスト名として完全修飾ドメイン名 (FQDN) が必要です。
  • Unified Access Gateway は内部 DNS を使用する必要あります。つまり、プロキシ接続先の URL で FQDN を使用する必要があります。
  • Unified Access Gateway インスタンスに複数のリバース プロキシが設定されている場合は、Web リバース プロキシ インスタンスのプロキシ パターンとプロキシ ホスト パターンの組み合わせは一意である必要があります。
  • すべての構成されたリバース プロキシのホスト名は、Unified Access Gateway インスタンスの IP アドレスと同じ IP アドレスに解決される必要があります。
  • Edge サービスの詳細設定については、Edge サービスの詳細設定を参照してください。

手順

  1. 管理ユーザー インターフェイスの [手動構成] セクションで、[選択] をクリックします。
  2. [全般設定] > [Edge サービスの設定] で、[表示] をクリックします。
  3. [リバース プロキシの設定] のギア アイコンをクリックします。
  4. [リバース プロキシの設定] 画面で、[追加] をクリックします。
  5. [リバース プロキシ設定を有効にする] トグルをオンにしてリバース プロキシを有効にします。
  6. 次の Edge サービス設定を行います。
    オプション 説明
    識別子 Edge サービスの識別子は Web リバース プロキシに設定されます。
    インスタンス ID Web リバース プロキシのインスタンスを識別し、他のすべての Web リバース プロキシのインスタンスと区別するための一意の名前。
    プロキシ接続先の URL Web アプリケーションのアドレスを入力します。これは通常はバックエンド URL です。たとえば、Workspace ONE Access の場合、クライアント マシンの IP アドレス、Workspace ONE Access ホスト名、および外部 DNS を追加します。管理ユーザー インターフェイスで、IP アドレス、Workspace ONE Access ホスト名および内部 DNS を追加します。
    プロキシ接続先の URL サムプリント proxyDestination URL に使用できる SSL サーバ証明書のサムプリントのリストを入力します。* を指定した場合、すべての証明書が受け入れられます。サムプリントは、[alg=]xx:xx の形式になり、alg にはデフォルトの sha1 または [md5] を指定できます。xx は、16 進数です。「:」区切り文字の代わりにスペースを使用することも、省略することもできます。サムプリントの大文字と小文字の違いは無視されます。例:

    sha1=B6 77 DC 9C 19 94 2E F1 78 F0 AD 4B EC 85 D1 7A F8 8B DC 34

    sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:be:78:ed:ff:50:23:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db

    サムプリントを構成しない場合、サーバ証明書は信頼された認証局 (CA) によって発行される必要があります。

    プロキシ パターン 宛先 URL に転送する一致する URI パスを入力します。たとえば、(/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)) のように入力します。
    注: 複数のリバース プロキシを構成するときに、プロキシ ホスト パターンにホスト名を指定します。
  7. その他の詳細設定を行うには、[詳細] をクリックします。
    オプション 説明
    認証方法

    デフォルトでは、ユーザー名とパスワードのパススルー認証が使用されます。Unified Access Gateway で構成した認証方式は、ドロップダウン メニューに表示されます。RSA SecurID、RADIUS、および Device Certificate Auth メソッドがサポートされます。

    健全性チェック URI パス Unified Access Gateway はこの URI パスに接続し、Web アプリケーションの健全性を確認します。
    SAML SP

    Unified Access GatewayWorkspace ONE Access の認証済みリバース プロキシとして構成する場合に必要です。View XML API ブローカの SAML サービス プロバイダの名前を入力します。この名前は、Unified Access Gateway を使用して構成したサービス プロバイダの名前と一致するか、DEMO という特別な値でなければなりません。Unified Access Gateway を使用して複数のサービス プロバイダが構成されている場合は、その名前は一意である必要があります。

    外部 URL デフォルト値は、Unified Access Gateway のホスト URL のポート 443 です。別の外部 URL を入力することもできます。「https://<host:port>.」のように入力します。
    安全ではないパターン 既知の Workspace ONE Access リダイレクト パターンを入力します。例: (/|/catalog-portal(.*)|/|/SAAS/|/SAAS|/SAAS/API/1.0/GET/image(.*)|/SAAS/horizon/css(.*)|/SAAS/horizon/angular(.*)|/SAAS/horizon/js(.*)|/SAAS/horizon/js-lib(.*)|/SAAS/auth/login(.*)|/SAAS/jersey/manager/api/branding|/SAAS/horizon/images/(.*)|/SAAS/jersey/manager/api/images/(.*)|/hc/(.*)/authenticate/(.*)|/hc/static/(.*)|/SAAS/auth/saml/response|/SAAS/auth/authenticatedUserDispatcher|/web(.*)|/SAAS/apps/|/SAAS/horizon/portal/(.*)|/SAAS/horizon/fonts(.*)|/SAAS/API/1.0/POST/sso(.*)|/SAAS/API/1.0/REST/system/info(.*)|/SAAS/API/1.0/REST/auth/cert(.*)|/SAAS/API/1.0/REST/oauth2/activate(.*)|/SAAS/API/1.0/GET/user/devices/register(.*)|/SAAS/API/1.0/oauth2/token(.*)|/SAAS/API/1.0/REST/oauth2/session(.*)|/SAAS/API/1.0/REST/user/resources(.*)|/hc/t/(.*)/(.*)/authenticate(.*)|/SAAS/API/1.0/REST/auth/logout(.*)|/SAAS/auth/saml/response(.*)|/SAAS/(.*)/(.*)auth/login(.*)|/SAAS/API/1.0/GET/apps/launch(.*)|/SAAS/API/1.0/REST/user/applications(.*)|/SAAS/auth/federation/sso(.*)|/SAAS/auth/oauth2/authorize(.*)|/hc/prepareSaml/failure(.*)|/SAAS/auth/oauthtoken(.*)|/SAAS/API/1.0/GET/metadata/idp.xml|/SAAS/auth/saml/artifact/resolve(.*)|/hc/(.*)/authAdapter(.*)|/hc/authenticate/(.*)|/SAAS/auth/logout|/SAAS/common.js|/SAAS/auth/launchInput(.*)|/SAAS/launchUsersApplication.do(.*)|/hc/API/1.0/REST/thinapp/download(.*)|/hc/t/(.*)/(.*)/logout(.*)|/SAAS/auth/wsfed/services(.*)|/SAAS/auth/wsfed/active/logon(.*))
    認証 Cookie 認証 Cookie 名を入力します。例:HZN
    ログイン リダイレクト URL ユーザーがポータルからログアウトした場合は、リダイレクト URL を入力して再度ログインします。例:/SAAS/auth/login?dest=%s
    プロキシ ホスト パターン 受信ホストをチェックし、インスタンスのパターンと一致するかを調べるために使用される外部ホスト名。Web リバース プロキシ インスタンスを構成する場合、ホスト パターンはオプションです。
    信頼される証明書
    • PEM 形式の証明書を選択してトラスト ストアに追加するには、[+] をクリックします。
    • 別の名前を指定するには、エイリアス テキスト ボックスを編集します。

      デフォルトでは、エイリアス名は PEM 証明書のファイル名です。

    • トラスト ストアから証明書を削除するには、[-] をクリックします。
    応答セキュリティ ヘッダー ヘッダーを追加するには「+」記号をクリックします。セキュリティ ヘッダーの名前を入力します。値を入力します。ヘッダーを削除するには「-」記号をクリックします。既存のセキュリティ ヘッダーを編集して、ヘッダーの名前と値を更新します。
    重要: ヘッダー名と値は、 [保存] をクリックした後にのみ保存されます。デフォルトでは、いくつかの標準セキュリティ ヘッダーが存在します。構成されたヘッダーは、対応するヘッダーが構成されたバックエンド サーバからの応答に存在しない場合にのみ、クライアントへの Unified Access Gateway 応答に追加されます。
    注: セキュリティ応答ヘッダーは慎重に変更してください。これらのパラメータを変更すると、 Unified Access Gateway の安全な機能が影響を受ける可能性があります。
    ホスト エントリ /Etc/hosts ファイルに追加する詳細情報を入力します。各エントリには、IP アドレス、ホスト名、オプションのホスト名エイリアスが順にスペース区切りで含まれています。たとえば、10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias のようになります。複数のホスト エントリを追加するには「+」記号をクリックします。
    重要: ホスト エントリは、 [保存] をクリックした後にのみ保存されます。
    注: UnSecure PatternAuth Cookie、および Login Redirect URL オプションは Workspace ONE Access にのみ適用されます。
    注: authn リバース プロキシの場合、Auth Cookie と UnSecure Pattern プロパティは有効ではありません。認証方法を定義するには Auth Methods プロパティを使用する必要があります。
  8. [保存] をクリックします。

次のタスク

ID ブリッジを有効にする方法については、ID ブリッジ設定の構成を参照してください。