VMware Identity Manager とともに Unified Access Gateway を使用するように Web リバース プロキシ サービスを構成できます。

前提条件

VMware Identity Manager によるデプロイでは次の要件に注意してください。

  • スプリット DNS。外部では、ホスト名は Unified Access Gateway の IP アドレスに解決されます。内部では、Unified Access Gateway 上で、同じホスト名が内部 DNS マッピングまたは Unified Access Gateway でのホスト名入力のどちらかを介して実際の Web サーバに解決されます。

    注:

    Web リバース プロキシのみを使用してデプロイする場合は、ID ブリッジを構成する必要はありません。

  • VMware Identity Manager サービスには、ホスト名として完全修飾ドメイン名 (FQDN) が必要です。

  • Unified Access Gateway は内部 DNS を使用する必要あります。つまり、プロキシ接続先の URL で FQDN を使用する必要があります。

  • Unified Access Gateway インスタンスに複数のリバース プロキシが設定されている場合は、Web リバース プロキシ インスタンスのプロキシ パターンとプロキシ ホスト パターンの組み合わせは一意である必要があります。

  • すべての構成されたリバース プロキシのホスト名は、Unified Access Gateway インスタンスの IP アドレスと同じ IP アドレスに解決される必要があります。

  • Edge Service の詳細設定については、Edge Service の詳細設定を参照してください。

手順

  1. 管理ユーザー インターフェイスの [手動設定] セクションで、[選択] をクリックします。
  2. [全般設定] > [Edge サービス設定] で、[表示] をクリックします。
  3. [リバース プロキシの設定] のギア アイコンをクリックします。
  4. [リバース プロキシの設定] 画面で、[追加] をクリックします。
  5. [リバース プロキシ設定を有効にする] セクションで、[いいえ][はい] に変更して、リバース プロキシを有効にします。
  6. 次の Edge サービス設定を行います。

    オプション

    説明

    識別子

    Edge サービスの識別子は Web リバース プロキシに設定されます。

    インスタンス ID

    Web リバース プロキシのインスタンスを識別し、他のすべての Web リバース プロキシのインスタンスと区別するための一意の名前。

    プロキシ接続先の URL

    Web アプリケーションのアドレスを入力します。これは通常はバックエンド URL です。たとえば、VMware Identity Manager の場合、クライアント マシンの IP アドレス、VMware Identity Manager ホスト名、および外部 DNS を追加します。管理ユーザー インターフェイスで、IP アドレス、VMware Identity Manager ホスト名および内部 DNS を追加します。

    プロキシ接続先の URL サムプリント

    proxyDestination URL に使用できる SSL サーバ証明書のサムプリントのリストを入力します。* を指定した場合、すべての証明書が受け入れられます。サムプリントは、[alg=]xx:xx の形式になり、alg にはデフォルトの sha1 または [md5] を指定できます。xx は、16 進数です。「:」区切り文字の代わりにスペースを使用することも、省略することもできます。サムプリントの大文字と小文字の違いは無視されます。例:

    sha1=B6 77 DC 9C 19 94 2E F1 78 F0 AD 4B EC 85 D1 7A F8 8B DC 34

    sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:be:78:ed:ff:50:23:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db

    サムプリントを構成しない場合、サーバ証明書は信頼された認証局 (CA) によって発行される必要があります。

    プロキシ パターン

    宛先 URL に転送する一致する URI パスを入力します。たとえば、 (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)) のように入力します。

    注:

    複数のリバース プロキシを構成するときに、プロキシ ホスト パターンにホスト名を指定します。

  7. その他の詳細設定を行うには、[詳細] をクリックします。

    オプション

    説明

    認証方法

    デフォルトでは、ユーザー名とパスワードのパススルー認証が使用されます。Unified Access Gateway で構成した認証方式は、ドロップダウン メニューに表示されます。RSA SecurID、RADIUS、および Device Certificate Auth メソッドがサポートされます。

    健全性チェック URI パス

    Unified Access Gateway はこの URI パスに接続し、Web アプリケーションの健全性を確認します。

    SAML SP

    Unified Access GatewayVMware Identity Manager の認証済みリバース プロキシとして構成する場合に必要です。View XML API ブローカの SAML サービス プロバイダの名前を入力します。この名前は、Unified Access Gateway を使用して構成したサービス プロバイダの名前と一致するか、DEMO という特別な値でなければなりません。Unified Access Gateway を使用して複数のサービス プロバイダが構成されている場合は、その名前は一意である必要があります。

    外部 URL

    デフォルト値は、Unified Access Gateway のホスト URL のポート 443 です。別の外部 URL を入力することもできます。「https://<host:port>.」のように入力します。

    安全ではないパターン

    既知の VMware Identity Manager リダイレクト パターンを入力します。例: (/|/catalog-portal(.*)|/|/SAAS/|/SAAS|/SAAS/API/1.0/GET/image(.*)|/SAAS/horizon/css(.*)|/SAAS/horizon/angular(.*)|/SAAS/horizon/js(.*)|/SAAS/horizon/js-lib(.*)|/SAAS/auth/login(.*)|/SAAS/jersey/manager/api/branding|/SAAS/horizon/images/(.*)|/SAAS/jersey/manager/api/images/(.*)|/hc/(.*)/authenticate/(.*)|/hc/static/(.*)|/SAAS/auth/saml/response|/SAAS/auth/authenticatedUserDispatcher|/web(.*)|/SAAS/apps/|/SAAS/horizon/portal/(.*)|/SAAS/horizon/fonts(.*)|/SAAS/API/1.0/POST/sso(.*)|/SAAS/API/1.0/REST/system/info(.*)|/SAAS/API/1.0/REST/auth/cert(.*)|/SAAS/API/1.0/REST/oauth2/activate(.*)|/SAAS/API/1.0/GET/user/devices/register(.*)|/SAAS/API/1.0/oauth2/token(.*)|/SAAS/API/1.0/REST/oauth2/session(.*)|/SAAS/API/1.0/REST/user/resources(.*)|/hc/t/(.*)/(.*)/authenticate(.*)|/SAAS/API/1.0/REST/auth/logout(.*)|/SAAS/auth/saml/response(.*)|/SAAS/(.*)/(.*)auth/login(.*)|/SAAS/API/1.0/GET/apps/launch(.*)|/SAAS/API/1.0/REST/user/applications(.*)|/SAAS/auth/federation/sso(.*)|/SAAS/auth/oauth2/authorize(.*)|/hc/prepareSaml/failure(.*)|/SAAS/auth/oauthtoken(.*)|/SAAS/API/1.0/GET/metadata/idp.xml|/SAAS/auth/saml/artifact/resolve(.*)|/hc/(.*)/authAdapter(.*)|/hc/authenticate/(.*)|/SAAS/auth/logout|/SAAS/common.js|/SAAS/auth/launchInput(.*)|/SAAS/launchUsersApplication.do(.*)|/hc/API/1.0/REST/thinapp/download(.*)|/hc/t/(.*)/(.*)/logout(.*)|/SAAS/auth/wsfed/services(.*)|/SAAS/auth/wsfed/active/logon(.*))

    認証 Cookie

    認証 Cookie 名を入力します。例:HZN

    ログイン リダイレクト URL

    ユーザーがポータルからログアウトした場合は、リダイレクト URL を入力して再度ログインします。例:/SAAS/auth/login?dest=%s

    プロキシ ホスト パターン

    受信ホストをチェックし、特定のインスタンスのパターンと一致するかを調べるために使用される外部ホスト名。Web リバース プロキシ インスタンスを構成する場合、ホスト パターンはオプションです。

    信頼される証明書

    この Edge サービスに信頼されている証明書を追加します。PEM 形式の証明書を選択し、トラスト ストアに追加するには「+」記号をクリックします。トラスト ストアから証明書を削除するには「-」記号をクリックします。デフォルトでは、エイリアス名は PEM 証明書のファイル名です。別の名前を入力するには、エイリアスのテキスト ボックスを編集します。

    応答セキュリティ ヘッダー

    ヘッダーを追加するには「+」記号をクリックします。セキュリティ ヘッダーの名前を入力します。値を入力します。ヘッダーを削除するには「-」記号をクリックします。既存のセキュリティ ヘッダーを編集して、ヘッダーの名前と値を更新します。

    重要:

    ヘッダー名と値は、[保存] をクリックした後にのみ保存されます。[]デフォルトでは、いくつかの標準セキュリティ ヘッダーが存在します。構成されたヘッダーは、対応するヘッダーが構成されたバックエンド サーバからの応答に存在しない場合にのみ、クライアントへの Unified Access Gateway 応答に追加されます。

    注:

    セキュリティ応答ヘッダーは慎重に変更してください。これらのパラメータを変更すると、Unified Access Gateway の安全な機能が影響を受ける可能性があります。

    ホスト エントリ

    /Etc/hosts ファイルに追加する詳細情報を入力します。各エントリには、IP アドレス、ホスト名、オプションのホスト名エイリアスが順にスペース区切りで含まれています。たとえば、10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias のようになります。複数のホスト エントリを追加するには「+」記号をクリックします。

    重要:

    ホスト エントリは、[保存] をクリックした後にのみ保存されます。

    注:

    UnSecure PatternAuth Cookie、および Login Redirect URL オプションは VMware Identity Manager にのみ適用されます。ここで指定する値は、Access Point 2.8 Unified Access Gateway 2.9 にも適用されます。

    注:

    authn リバース プロキシの場合、Auth Cookie と UnSecure Pattern プロパティは有効ではありません。認証方法を定義するには Auth Methods プロパティを使用する必要があります。

  8. [保存] をクリックします。

次のタスク

ID ブリッジを有効にする方法については、ID ブリッジ設定の構成を参照してください。