バックエンド アプリケーションで Kerberos が構成されている場合、Unified Access Gateway で ID ブリッジを設定するには、ID プロバイダのメタデータとキータブ ファイルをアップロードし、KCD レルム設定を構成します。

注: このリリースの ID ブリッジは、単一のドメイン セットアップとともにクロスドメインをサポートします。つまり、ユーザーと SPN アカウントが異なるドメインにあることができます。

ヘッダーベースの認証で ID ブリッジを有効にした場合は、キータブ設定と KCD レルムの設定は不要です。

Kerberos 認証の ID ブリッジ設定を構成する前には、以下の状態であることを確認します。

  • ID プロバイダが構成され、ID プロバイダの SAML メタデータが保存されている。SAML メタデータ ファイルは Unified Access Gateway にアップロードされます (SAML シナリオの場合のみ)。
  • Kerberos 認証の場合、使用するキー配布センターのレルム名を持つ Kerberos を有効にしたサーバが識別されている。
  • Kerberos 認証の場合、Kerberos キータブ ファイルを Unified Access Gateway にアップロードする。キータブ ファイルには、特定のバックエンド サービスのドメイン内のユーザーのために Kerberos チケットを取得するように設定された Active Directory サービス アカウントの認証情報が含まれています。
  • 次のポートが開いていることを確認します。
    • 受信 HTTP 要求のためのポート 443
    • Active Directory との Kerberos 通信用の TCP/UDP ポート 88
    • Unified Access Gateway は TCP を使用してバックエンド アプリケーションと通信します。バックエンドが待機している適切なポート(たとえば TCP ポート 8080)。
注:
  • 同じ Unified Access Gateway インスタンス上の 2 つの異なるリバース プロキシ インスタンスの Kerberos に対する SAML と証明書の両方に ID ブリッジを構成することはできません。
  • 認証局を持ち、証明書ベースの認証を使用しない、同じアプライアンス上で ID ブリッジが有効でない Web リバース プロキシ インスタンスはサポートされていません。