Kerberos 認証の高可用性を構成するには、ロード バランサが必要です。Kerberos 認証サービス インスタンスをインストールして構成した後は、ファイアウォール内の内部ネットワークにロード バランサをインストールし、Kerberos 認証サービス ホストを追加します。

また、ロード バランサと Kerberos 認証サービス ホスト間で SSL の信頼を確立し、Workspace ID プロバイダの IdP ホスト名の値を Kerberos 認証用に変更する必要があります。

ロード バランサの設定

ロード バランサで次の設定を行います。

  • ロード バランサのタイムアウト

    ロード バランサの要求のタイムアウトをデフォルトの値から増やす必要がある場合があります。この値は、分単位で設定します。タイムアウト設定が短すぎると、「502 エラー:

    現在、サービスは使用できません。」というエラーが表示される場合があります。

証明書の要件

Kerberos 認証サービスがインストールされている各 Workspace ONE Access Connector には、信頼される SSL 証明書が必要です。Workspace ONE Access Connector によって生成された自己署名証明書はテスト目的で使用できますが、本番環境では、パブリックまたは内部 CA によって署名された信頼される SSL 証明書を使用することをお勧めします。

ロード バランサへの Workspace ONE Access Connector ルート証明書のアップロード

ロード バランサと Kerberos 認証サービス ホスト間の信頼を確立するには、コネクタのルート CA 証明書をロード バランサにアップロードします。

Workspace ONE Access Connector によって生成された自己署名証明書を使用している場合は、INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf からルート証明書 root_ca.per を取得できます。

Workspace ONE Access Connector へのロード バランサ ルート証明書のアップロード

ロード バランサと Kerberos 認証サービス ホスト間の信頼を確立するには、ロード バランサのルート CA 証明書を各 Kerberos 認証サービス ホストにアップロードします。

証明書をアップロードするには、Workspace ONE Access Connector インストーラを実行し、[信頼されるルート証明書のインストール] ページで証明書を追加します。
インストール ウィザードの [信頼されるルート証明書のインストール] ページ

認証 URL の更新

  1. Workspace ONE Access コンソールで、[ID とアクセス管理] > [管理] > [ID プロバイダ] ページに移動します。
  2. Kerberos 認証方法が構成されている Workspace ID プロバイダを選択します。
  3. [IdP ホスト名] テキスト ボックスで、ホスト名をコネクタのホスト名からロード バランサのホスト名に変更します。

    たとえば、mylb.example.com と入力します。