VMware Identity Manager の証明書プロキシの設定

Android 版モバイル SSO リクエストを管理するには、VMware Identity Manager サービスで証明書プロキシ設定を構成する必要があります。

前提条件

ロードバランサが正しく構成されている。
VMware Identity Manager サービスに証明書をアップロードする。
VMware Identity Manager for Linux の場合、証明書プロキシサービスが実行している。

手順

VMware Identity Manager コンソールにログインし、[アプライアンス設定] タブを選択します。
[モバイル SSO] をクリックします。

VMware Identity Manager サービスへの Android モバイル SSO リクエストの証明書プロキシ設定を構成します。

オプション	説明
ターゲットの強制	[ターゲットの強制] を選択した場合は、[ターゲット] テキストボックスに 1 台のホスト名または IP アドレスを指定します。すべての Android SSO リクエストがそのターゲットに送信されます。このターゲットは、VMware Identity Manager の構成に応じてロードバランサまたはローカルホストのいずれかになります。
ターゲット	[ターゲットの強制] が有効になっている場合は、使用するホスト名または IP アドレスを入力します。 [ターゲットの強制] が選択されていない場合は、Android SSO リクエストを受信できる承認済みターゲットのホワイトリストを入力します。リスト内のアドレスはセミコロンで区切ることができ、CIDR 形式、スペース区切りのサブネット形式、または単一の IP のいずれかを指定できます。
すべての RemotePort ヘッダー	ロードバランサからの RemotePort ヘッダーの使用を有効にします。プロキシから Identity Manager サービスへのリクエストのソースポート番号がヘッダーに追加されます。受信ノードに対して証明書を取得するために何を呼び出すかを伝えるため、接続には RemotePort ヘッダーが必要です。
RemotePort の受け入れ	RemotePort ヘッダーを含むことができる承認済みアドレスのホワイトリストを入力します。リスト内のアドレスはセミコロンで区切ることができ、CIDR 形式、スペース区切りのサブネット形式、または単一の IP のいずれかを指定できます。

[証明書のプロキシキー] と [証明書のプロキシキー (Identity Manager)] のハッシュ値が同じであることを検証します。構成ファイル cert-proxy.properties と runtime-config.properties を確認します。

これらの 2 つのテキストボックスには、証明書プロキシサービスと VMware Identity Manager サービスの証明書キーのハッシュ値があらかじめ入力されています。

ハッシュは一致する必要があります。ハッシュが一致しない場合は、サービスの値を別のサービスの値にコピーして、構成ファイルの問題を解決する必要があります。

VMware Identity Manager サービスを使用して、Android SSO の証明書プロキシ設定を構成します。

オプション	説明
ポート	通常、証明書プロキシには 2 つのポートが構成されています。ポート 5262 は Android デバイスから外部リクエストを受信します。ポート 5263 は VMware Identity Manager サービスから内部管理リクエストを受信します。
管理ポート	[ポート] テキストボックスに設定されているポート番号が、証明書のための VMware Identity Manager サービスから内部リクエストを受信するポートである場合は、[管理ポート] を有効にします。ポートは、通常 5263 です。このポートを使用して内部リクエストを受信しない場合は、このラジオボタンを有効にしないでください。
SSL 証明書のタイプ	Android SSO 証明書プロキシは、Identity Manager マシン上の個別のサービスです。VMware Identity Manager に対してプロビジョニングされたパススルー証明書を再利用するには、[アプライアンス設定] > [SSL 証明書のインストール] ページで [パススルー] を選択します。別の証明書が必要な場合は、[カスタム] を選択し、[SSL 証明書チェーン] テキストボックスに証明書をアップロードします。

オプション

説明

ポート

通常、証明書プロキシには 2 つのポートが構成されています。

ポート 5262 は Android デバイスから外部リクエストを受信します。

ポート 5263 は VMware Identity Manager サービスから内部管理リクエストを受信します。

管理ポート

[ポート] テキストボックスに設定されているポート番号が、証明書のための VMware Identity Manager サービスから内部リクエストを受信するポートである場合は、[管理ポート] を有効にします。ポートは、通常 5263 です。

このポートを使用して内部リクエストを受信しない場合は、このラジオボタンを有効にしないでください。

SSL 証明書のタイプ

Android SSO 証明書プロキシは、Identity Manager マシン上の個別のサービスです。VMware Identity Manager に対してプロビジョニングされたパススルー証明書を再利用するには、[アプライアンス設定] > [SSL 証明書のインストール] ページで [パススルー] を選択します。別の証明書が必要な場合は、[カスタム] を選択し、[SSL 証明書チェーン] テキストボックスに証明書をアップロードします。

別のポートを構成するには、[ポートの追加] をクリックし、手順 5 に従って設定を構成します。
ポートの構成を保存するには、[保存] をクリックします。
このページの変更が証明書に影響を与える場合は、ページ上部の [証明書プロキシサービスを再起動します ] をクリックします。

[証明書プロキシサービスを再起動します] をクリックする場合、VMware Identity Manager サービスの再起動が必要になることがあります。

次のタスク

各ノードで証明書プロキシサービスを設定します。最初のマシンで証明書プロキシサービスが設定されている場合、アプライアンスで Identity Manager サービスのクローンを作成したり、Windows マシンでファイルをコピーしたりすると、ほとんどのプロキシ設定が構成されます。証明書プロキシが正しく設定されていることを確認するには、runtime-config.properties ファイルを確認します。