ID ブリッジを有効にし、サービスの外部ホスト名を設定し、Unified Access Gateway サービス プロバイダのメタデータ ファイルをダウンロードします。

このメタデータ ファイルは、VMware Identity Manager サービスの Web アプリケーション構成ページにアップロードされます。

前提条件

Unified Access Gateway 管理コンソールで、以下の ID ブリッジ設定が行われている必要があります。[詳細設定] セクションには次の設定項目があります。

  • Unified Access Gateway にアップロードされた ID プロバイダのメタデータ。
  • 設定された Kerberos プリンシパル名と Unified Access Gateway にアップロードされたキータブ ファイル。
  • レルム名とキー配布センターについての情報。

Unified Access Gateway が Active Directory との Kerberos 通信にこのポートを使用しているので、TCP/UDP ポート 88 が開いていることを確認します。

手順

  1. 管理ユーザー インターフェイスの [手動設定] セクションで、[選択] をクリックします。
  2. [全般設定] > [Edge Service の設定] の行で、[表示] をクリックします。
  3. [リバース プロキシの設定] のギア アイコンをクリックします。
  4. [リバース プロキシ設定] 画面で [追加] をクリックして、プロキシ設定を作成します。
  5. [リバース プロキシ設定を有効にする] を [はい] に設定し、次の Edge サービス設定を構成します。
    オプション 説明
    識別子 Edge サービスの識別子は Web リバース プロキシに設定されます。
    インスタンス ID Web リバース プロキシ インスタンスの一意の名前。
    プロキシ接続先の URL Web アプリケーションの内部 URI を指定します。Unified Access Gateway はこの URL を解決してアクセスできる必要があります。
    プロキシ接続先の URL サムプリント このプロキシ設定と一致する URI を入力します。サムプリントは、[alg=]xx:xx の形式になり、alg には sha1 などを指定でき、デフォルトは md5 となります。「xx」は、16 進数です。たとえば、sha=C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3 のようになります。

    サムプリントを構成しない場合、サーバ証明書は信頼された認証局 (CA) によって発行される必要があります。

    プロキシ パターン 宛先 URL に転送する一致する URI パスを入力します。たとえば、 (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)) のように入力します。

    注:複数のリバース プロキシを設定するときに、プロキシ ホスト パターンにホスト名を指定します。

  6. その他の詳細設定を行うには、[詳細] をクリックします。
    オプション 説明
    認証方法

    デフォルトでは、ユーザー名とパスワードのパススルー認証が使用されます。Unified Access Gateway で構成した認証方式は、ドロップダウン メニューに表示されます。RSA SecurID、RADIUS、および Device Certificate Auth メソッドがサポートされます。

    健全性チェック URI パス Unified Access Gateway はこの URI パスに接続し、Web アプリケーションの健全性を確認します。
    SAML SP

    Unified Access GatewayVMware Identity Manager の認証済みリバース プロキシとして構成する場合に必要です。View XML API ブローカの SAML サービス プロバイダの名前を入力します。この名前は、Unified Access Gateway を使用して構成したサービス プロバイダの名前と一致するか、DEMO という特別な値でなければなりません。Unified Access Gateway を使用して複数のサービス プロバイダが構成されている場合は、その名前は一意である必要があります。

    外部 URL デフォルト値は、Unified Access Gateway のホスト URL のポート 443 です。別の外部 URL を入力することもできます。「https://<host:port>.」のように入力します。
    安全ではないパターン 既知の VMware Identity Manager リダイレクト パターンを入力します。例: (/|/catalog-portal(.*)|/|/SAAS/|/SAAS|/SAAS/API/1.0/GET/image(.*)|/SAAS/horizon/css(.*)|/SAAS/horizon/angular(.*)|/SAAS/horizon/js(.*)|/SAAS/horizon/js-lib(.*)|/SAAS/auth/login(.*)|/SAAS/jersey/manager/api/branding|/SAAS/horizon/images/(.*)|/SAAS/jersey/manager/api/images/(.*)|/hc/(.*)/authenticate/(.*)|/hc/static/(.*)|/SAAS/auth/saml/response|/SAAS/auth/authenticatedUserDispatcher|/web(.*)|/SAAS/apps/|/SAAS/horizon/portal/(.*)|/SAAS/horizon/fonts(.*)|/SAAS/API/1.0/POST/sso(.*)|/SAAS/API/1.0/REST/system/info(.*)|/SAAS/API/1.0/REST/auth/cert(.*)|/SAAS/API/1.0/REST/oauth2/activate(.*)|/SAAS/API/1.0/GET/user/devices/register(.*)|/SAAS/API/1.0/oauth2/token(.*)|/SAAS/API/1.0/REST/oauth2/session(.*)|/SAAS/API/1.0/REST/user/resources(.*)|/hc/t/(.*)/(.*)/authenticate(.*)|/SAAS/API/1.0/REST/auth/logout(.*)|/SAAS/auth/saml/response(.*)|/SAAS/(.*)/(.*)auth/login(.*)|/SAAS/API/1.0/GET/apps/launch(.*)|/SAAS/API/1.0/REST/user/applications(.*)|/SAAS/auth/federation/sso(.*)|/SAAS/auth/oauth2/authorize(.*)|/hc/prepareSaml/failure(.*)|/SAAS/auth/oauthtoken(.*)|/SAAS/API/1.0/GET/metadata/idp.xml|/SAAS/auth/saml/artifact/resolve(.*)|/hc/(.*)/authAdapter(.*)|/hc/authenticate/(.*)|/SAAS/auth/logout|/SAAS/common.js|/SAAS/auth/launchInput(.*)|/SAAS/launchUsersApplication.do(.*)|/hc/API/1.0/REST/thinapp/download(.*)|/hc/t/(.*)/(.*)/logout(.*)|/SAAS/auth/wsfed/services(.*)|/SAAS/auth/wsfed/active/logon(.*))
    認証 Cookie 認証 Cookie 名を入力します。例:HZN
    ログイン リダイレクト URL ユーザーがポータルからログアウトした場合は、リダイレクト URL を入力して再度ログインします。例:/SAAS/auth/login?dest=%s
    プロキシ ホスト パターン 受信ホストをチェックし、特定のインスタンスのパターンと一致するかを調べるために使用される外部ホスト名。Web リバース プロキシ インスタンスを構成する場合、ホスト パターンはオプションです。
    信頼される証明書 この Edge サービスに信頼されている証明書を追加します。PEM 形式の証明書を選択し、トラスト ストアに追加するには「+」記号をクリックします。トラスト ストアから証明書を削除するには「-」記号をクリックします。デフォルトでは、エイリアス名は PEM 証明書のファイル名です。別の名前を入力するには、エイリアスのテキスト ボックスを編集します。
    応答セキュリティ ヘッダー ヘッダーを追加するには「+」記号をクリックします。セキュリティ ヘッダーの名前を入力します。値を入力します。ヘッダーを削除するには「-」記号をクリックします。既存のセキュリティ ヘッダーを編集して、ヘッダーの名前と値を更新します。
    重要: ヘッダー名と値は、 [保存] をクリックした後にのみ保存されます。 []デフォルトでは、いくつかの標準セキュリティ ヘッダーが存在します。構成されたヘッダーは、対応するヘッダーが構成されたバックエンド サーバからの応答に存在しない場合にのみ、クライアントへの Unified Access Gateway 応答に追加されます。
    注: セキュリティ応答ヘッダーは慎重に変更してください。これらのパラメータを変更すると、 Unified Access Gateway の安全な機能が影響を受ける可能性があります。
    ホスト エントリ /Etc/hosts ファイルに追加する詳細情報を入力します。各エントリには、IP アドレス、ホスト名、オプションのホスト名エイリアスが順にスペース区切りで含まれています。たとえば、10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias のようになります。複数のホスト エントリを追加するには「+」記号をクリックします。
    重要: ホスト エントリは、 [保存] をクリックした後にのみ保存されます。
  7. [ID ブリッジを有効にする] セクションで、[いいえ][はい] に変更します。
  8. 次の ID ブリッジ設定を行います。
    オプション 説明
    認証タイプ [SAML] を選択します。
    SAML 属性 要求ヘッダーとして渡される SAML 属性のリスト。このオプションは、[ID ブリッジを有効にする][はい] に設定され、[認証タイプ][SAML] に設定されている場合のみ表示されます。SAML 属性をヘッダーの一部として追加するには「+」記号をクリックします。
    ID プロバイダ ドロップダウン メニューから、ID プロバイダを選択します。
    キータブ ドロップダウン メニューで、このリバース プロキシに対して設定されたキータブを選択します。
    ターゲット サービス プリンシパル名 Kerberos サービス プリンシパル名を入力します。各プリンシパルは常にレルム名で完全修飾されます。たとえば、myco_hostname@MYCOMPANY。レルム名を大文字で入力します。テキスト ボックスに名前を追加しない場合、サービス プリンシパル名はプロキシ接続先の URL のホスト名から派生します。
    サービス トップ ベージ アサーションが検証された後に、ユーザーが ID プロバイダでリダイレクトされるページを入力します。デフォルトの設定は / です。
    ユーザー ヘッダー名 ヘッダーベースの認証の場合、アサーションから派生したユーザー ID を含む HTTP ヘッダーの名前を入力します。
  9. [SP メタデータのダウンロード] セクションで、[ダウンロード] をクリックします。
    サービス プロバイダのメタデータ ファイルを保存します。
  10. [保存] をクリックします。

次のタスク

Unified Access Gateway サービス プロバイダのメタデータ ファイルを、VMware Identity Manager サービスの Web アプリケーション構成ページに追加します。