Workspace ONE Access の証明書プロキシの設定(オンプレミスのみ)

Android 版モバイル SSO リクエストを管理するには、Workspace ONE Access サービスで証明書プロキシを構成する必要があります。

前提条件

証明書プロキシの設定は、Android モバイル SSO 認証用の Workspace ONE Access のオンプレミス展開でのみ必要です。

ロードバランサが正しく構成されている。
Workspace ONE Access サービスにアップロードされた証明書。
Workspace ONE Access アプライアンスで実行されている証明書プロキシサービス。

手順

Workspace ONE Access コンソールにログインし、[監視] > [回復性] ページに移動します。
証明書プロキシを構成するサービスノードで [仮想アプライアンス構成] をクリックします。
[モバイル SSO] をクリックします。

[証明書プロキシ] を有効にし、Workspace ONE Access サービスへの Android モバイル SSO 要求の CertProxy 設定を構成します。

オプション	説明
ターゲットの強制	[ターゲットの強制] を選択した場合は、[ターゲット] テキストボックスに 1 台のホスト名または IP アドレスを指定します。すべての Android SSO リクエストがそのターゲットに送信されます。このターゲットは、Workspace ONE Access の構成に応じてロードバランサまたはローカルホストのいずれかになります。
ターゲット	[ターゲットの強制] が有効になっている場合は、使用するホスト名または IP アドレスを入力します。 [ターゲットの強制] が選択されていない場合は、Android SSO リクエストを受信できる承認済みターゲットの許可リストを入力します。リスト内のアドレスはセミコロンで区切ることができ、CIDR 形式、スペース区切りのサブネット形式、または単一の IP のいずれかを指定できます。
リモート IP アドレスの送信元	HTTP 要求から CertProxy インスタンス IP アドレスを取得するために使用する送信元をリストから選択します。ロードバランサが証明書プロキシと Workspace ONE Access インスタンス間にある場合は、[X-forwarded-For] ヘッダーまたは [X-Real-Ip] ヘッダーを使用します。 CertProxy が Workspace ONE Access と直接通信している場合は、[リモートアドレスを要求] を使用します。
ロードバランサの数	[リモート IP アドレスの送信元] の値が [X-Forwarded-For] の場合は、CertProxy サービスと Workspace ONE Access インスタンス間のロードバランサの数を入力します。
証明書プロキシインスタンスの許可リスト	受信した認証要求に対して許可される IP アドレスを使用して、CertProxy 許可リストを設定します。 CIDR 形式、スペースで区切られたサブネット形式、または単一の IP アドレスとなる、セミコロンで区切られた CertProxy インスタンスの IP アドレスを入力します。宛先が localhost に設定されている場合は、localhost IP アドレスをリストに追加します。これは、通常 127.0.0.1 です。

[証明書のプロキシキー] と [証明書のプロキシキー (Identity Manager)] のハッシュ値が同じであることを検証します。構成ファイル cert-proxy.properties と runtime-config.properties を確認します。
これらの 2 つのテキストボックスには、証明書プロキシサービスと Workspace ONE Access サービスの証明書キーのハッシュ値があらかじめ入力されています。

ハッシュは一致する必要があります。ハッシュが一致しない場合は、1 つのサービスの値を構成ファイル内の他のサービスにコピーします。

Workspace ONE Access サービスを使用して、Android SSO の証明書プロキシ設定を行います。

オプション	説明
ポート	通常、証明書プロキシには 2 つのポートが構成されています。ポート 5262 は Android デバイスから外部リクエストを受信します。ポート 5263 は Workspace ONE Access サービスから内部管理リクエストを受信します。
管理ポート	[ポート] テキストボックスに構成されているポート番号が、証明書のための Workspace ONE Access サービスから内部要求を受信するポートである場合は、[管理ポート] を有効にします。ポートは、通常 5263 です。このポートを使用して内部リクエストを受信しない場合は、このラジオボタンを有効にしないでください。
SSL 証明書のタイプ	Android SSO 証明書プロキシは、Workspace ONE Access アプライアンス上の個別のサービスです。Workspace ONE Access に対してプロビジョニングされたパススルー証明書を再利用するには、[アプライアンス設定] > [SSL 証明書のインストール] ページで [パススルー] を選択します。別の証明書が必要な場合は、[カスタム] を選択し、[SSL 証明書チェーン] テキストボックスに証明書をアップロードします。

オプション

説明

ポート

通常、証明書プロキシには 2 つのポートが構成されています。

ポート 5262 は Android デバイスから外部リクエストを受信します。

ポート 5263 は Workspace ONE Access サービスから内部管理リクエストを受信します。

管理ポート

[ポート] テキストボックスに構成されているポート番号が、証明書のための Workspace ONE Access サービスから内部要求を受信するポートである場合は、[管理ポート] を有効にします。ポートは、通常 5263 です。

このポートを使用して内部リクエストを受信しない場合は、このラジオボタンを有効にしないでください。

SSL 証明書のタイプ

Android SSO 証明書プロキシは、Workspace ONE Access アプライアンス上の個別のサービスです。Workspace ONE Access に対してプロビジョニングされたパススルー証明書を再利用するには、[アプライアンス設定] > [SSL 証明書のインストール] ページで [パススルー] を選択します。別の証明書が必要な場合は、[カスタム] を選択し、[SSL 証明書チェーン] テキストボックスに証明書をアップロードします。

別のポートを構成するには、[ポートの追加] をクリックし、手順 6 に従って設定を構成します。
ポートの構成を保存するには、[保存] をクリックします。
このページの変更が証明書に影響を与える場合は、ページ上部の [証明書プロキシサービスを再起動します ] をクリックします。
[証明書プロキシサービスを再起動します] をクリックする場合、 Workspace ONE Access サービスの再起動が必要になることがあります。

次のタスク

各ノードで証明書プロキシサービスを設定します。最初のアプライアンスで証明書プロキシサービスが設定されている場合、アプライアンスで Workspace ONE Access サービスのクローンを作成するときに、ほとんどのプロキシ設定が構成されます。証明書プロキシが正しく設定されていることを確認するには、runtime-config.properties ファイルを確認します。