Workspace ONE Access 에서 역방향 프록시 구성

Web Reverse Proxy 서비스에서 Unified Access Gateway를 Workspace ONE Access와 함께 사용하도록 구성할 수 있습니다.

사전 요구 사항

Workspace ONE Access로 구축할 경우 다음 요구 사항을 참고하십시오.

분할 DNS. 외부적으로 호스트 이름이 Unified Access Gateway의 IP 주소로 확인되어야 합니다. 내부적으로 Unified Access Gateway에서 내부 DNS 매핑 또는 Unified Access Gateway의 호스트 이름 항목을 통해 동일한 호스트 이름이 실제 웹 서버로 확인되어야 합니다.
참고: Web Reverse Proxy만 사용하여 배포할 경우 ID 브리징을 구성할 필요가 없습니다.
Workspace ONE Access 서비스는 호스트 이름으로 FQDN(정규화된 도메인 이름)을 갖고 있어야 합니다.
Unified Access Gateway는 내부 DNS를 사용해야 합니다. 즉, 프록시 대상 URL이 FQDN을 사용해야 합니다.
Unified Access Gateway에 여러 역방향 프록시 설정이 있는 경우, 프록시 패턴의 조합과 Web Reverse Proxy 인스턴스의 프록시 호스트 패턴이 고유해야 합니다.
구성된 모든 역방향 프록시의 호스트 이름은 Unified Access Gateway 인스턴스의 IP 주소와 동일한 IP 주소로 해석되어야 합니다.
고급 Edge 서비스 설정에 대한 내용은 고급 Edge 서비스 설정을 참조하십시오.

프로시저

관리 UI 수동 구성 섹션에서 선택을 클릭합니다.
일반 설정 > Edge 서비스 설정에서 표시를 클릭합니다.
역방향 프록시 설정 톱니 모양 아이콘을 클릭합니다.
역방향 프록시 설정 페이지에서 추가를 클릭합니다.
역방향 프록시를 사용하도록 설정하려면 역방향 프록시 설정 섹션에서 아니요를 예로 변경합니다.

다음 Edge 서비스 설정을 구성합니다.

옵션	설명
식별자	Edge 서비스 식별자는 Web Reverse Proxy로 설정됩니다.
인스턴스 ID	Web Reverse Proxy 인스턴스를 식별하고 다른 모든 Web Reverse Proxy 인스턴스와 구분하기 위한 고유한 이름입니다.
프록시 대상 URL	일반적으로 백엔드 URL인 웹 애플리케이션의 주소를 입력합니다. 예를 들어 Workspace ONE Access의 경우 클라이언트 시스템에서 IP 주소, Workspace ONE Access 호스트 이름 및 외부 DNS를 추가합니다. 관리 UI에서 IP 주소, Workspace ONE Access 호스트 이름 및 내부 DNS를 추가합니다.
프록시 대상 URL 지문	proxyDestination URL에 대해 허용 가능한 SSL 서버 인증서 지문 목록을 입력합니다. `*`를 지정할 경우, 모든 인증서가 승인됩니다. 지문은 `[alg=]xx:xx` 형식입니다. 여기서 `alg`는 기본값, sha1 또는 md5일 수 있습니다. `xx`는 16진수입니다. ‘:' 구분 기호는 공백일 수도 있고 사용하지 않을 수도 있습니다. 지문에서 대/소문자는 무시됩니다. 예: `sha1=B6 77 DC 9C 19 94 2E F1 78 F0 AD 4B EC 85 D1 7A F8 8B DC 34` `sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:be:78:ed:ff:50:23:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db` 지문을 구성하지 않은 경우에는 신뢰할 수 있는 CA에서 서버 인증서를 발급해야 합니다.
프록시 패턴	대상 URL로 전달되는 일치하는 URI 경로를 입력합니다. 예를 들어 `(/\|/SAAS(.)\|/hc(.)\|/web(.)\|/catalog-portal(.))`로 입력합니다. 참고: 여러 역방향 프록시를 구성할 경우 프록시 호스트 패턴으로 호스트 이름을 제공하십시오.

기타 고급 설정을 구성하려면 자세히를 클릭합니다.

옵션	설명
인증 방법	기본값은 사용자 이름 및 암호의 패스스루 인증을 사용하는 것입니다. Unified Access Gateway에서 구성한 인증 방법은 드롭다운 메뉴에 표시됩니다. RSA SecurID, RADIUS 및 디바이스 인증서 인증 방법이 지원됩니다.
상태 점검 URI 경로	Unified Access Gateway에서는 이 URI 경로에 연결하여 웹 애플리케이션의 상태를 확인합니다.
SAML SP	Unified Access Gateway를 Workspace ONE Access의 인증된 역방향 프록시로 구성할 경우 필요합니다. View XML API 브로커에 대한 SAML 서비스 제공자의 이름을 입력합니다. 이 이름은 Unified Access Gateway로 구성한 서비스 제공자의 이름과 일치하거나 특수 값 `DEMO`여야 합니다. Unified Access Gateway로 구성된 서비스 제공자가 여러 개 있으면 해당 이름이 고유해야 합니다.
외부 URL	기본값은 Unified Access Gateway 호스트 URL, 포트 443입니다. 다른 외부 URL을 입력할 수 있습니다. `https://<host:port>.`로 입력합니다.
비보안 패턴	알려진 Workspace ONE Access 리디렉션 패턴을 입력합니다. 예: (/\|/catalog-portal(.)\|/\|/SAAS/\|/SAAS\|/SAAS/API/1.0/GET/image(.)\|/SAAS/horizon/css(.)\|/SAAS/horizon/angular(.)\|/SAAS/horizon/js(.)\|/SAAS/horizon/js-lib(.)\|/SAAS/auth/login(.)\|/SAAS/jersey/manager/api/branding\|/SAAS/horizon/images/(.)\|/SAAS/jersey/manager/api/images/(.)\|/hc/(.)/authenticate/(.)\|/hc/static/(.)\|/SAAS/auth/saml/response\|/SAAS/auth/authenticatedUserDispatcher\|/web(.)\|/SAAS/apps/\|/SAAS/horizon/portal/(.)\|/SAAS/horizon/fonts(.)\|/SAAS/API/1.0/POST/sso(.)\|/SAAS/API/1.0/REST/system/info(.)\|/SAAS/API/1.0/REST/auth/cert(.)\|/SAAS/API/1.0/REST/oauth2/activate(.)\|/SAAS/API/1.0/GET/user/devices/register(.)\|/SAAS/API/1.0/oauth2/token(.)\|/SAAS/API/1.0/REST/oauth2/session(.)\|/SAAS/API/1.0/REST/user/resources(.)\|/hc/t/(.)/(.)/authenticate(.)\|/SAAS/API/1.0/REST/auth/logout(.)\|/SAAS/auth/saml/response(.)\|/SAAS/(.)/(.)auth/login(.)\|/SAAS/API/1.0/GET/apps/launch(.)\|/SAAS/API/1.0/REST/user/applications(.)\|/SAAS/auth/federation/sso(.)\|/SAAS/auth/oauth2/authorize(.)\|/hc/prepareSaml/failure(.)\|/SAAS/auth/oauthtoken(.)\|/SAAS/API/1.0/GET/metadata/idp.xml\|/SAAS/auth/saml/artifact/resolve(.)\|/hc/(.)/authAdapter(.)\|/hc/authenticate/(.)\|/SAAS/auth/logout\|/SAAS/common.js\|/SAAS/auth/launchInput(.)\|/SAAS/launchUsersApplication.do(.)\|/hc/API/1.0/REST/thinapp/download(.)\|/hc/t/(.)/(.)/logout(.)\|/SAAS/auth/wsfed/services(.)\|/SAAS/auth/wsfed/active/logon(.*))
인증 쿠키	인증 쿠키 이름을 입력합니다. 예: `HZN`
로그인 리디렉션 URL	사용자가 포털에서 로그아웃하면 다시 로그인될 리디렉션 URL을 입력합니다. 예: `/SAAS/auth/login?dest=%s`
프록시 호스트 패턴	수신 호스트를 확인하여 해당 인스턴스의 패턴과 일치하는지를 확인하는 데 사용되는 외부 호스트 이름입니다. Web Reverse Proxy 인스턴스를 구성할 경우 호스트 패턴은 선택 사항입니다.
신뢰할 수 있는 인증서	PEM 형식의 인증서를 선택하고 신뢰 저장소에 추가하려면 +를 클릭합니다. 다른 이름을 제공하려면 별칭 텍스트 상자를 편집합니다. 기본적으로 별칭 이름은 PEM 인증서의 파일 이름입니다. 신뢰 저장소에서 인증서를 제거하려면 -를 클릭합니다.
응답 보안 헤더	헤더를 추가하려면 '+'를 클릭합니다. 보안 헤더의 이름을 입력합니다. 값을 입력합니다. 헤더를 제거하려면 '-'를 클릭합니다. 헤더의 이름 및 값을 업데이트하려면 기존 보안 헤더를 편집합니다. 중요: 헤더 이름 및 값은 저장을 클릭해야만 저장됩니다. 일부 표준 보안 헤더는 기본적으로 제공됩니다. 구성된 헤더는 해당 헤더가 구성된 백엔드 서버의 응답에 없는 경우에만 클라이언트에 대한 Unified Access Gateway 응답에 추가됩니다. 참고: 보안 응답 헤더는 주의해서 수정합니다. 이러한 매개 변수를 수정하면 Unified Access Gateway의 보안 작동에 영향을 줄 수 있습니다.
호스트 항목	/etc/hosts 파일에 추가할 세부 정보를 입력합니다. 각 항목은 IP, 호스트 이름 및 선택적 호스트 이름 별칭을 이 순서대로 공백으로 구분하여 포함합니다. 예: `10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias`. 여러 호스트 항목을 추가하려면 "+" 기호를 클릭합니다. 중요: 호스트 항목은 저장을 클릭한 후에만 저장됩니다.

참고: UnSecure Pattern, Auth Cookie, Login Redirect URL 옵션은 Workspace ONE Access에만 적용됩니다. 여기에 제공된 값은 Access Point 2.8 및 Unified Access Gateway 2.9에도 적용됩니다.

참고: [인증 쿠키] 및 [비보안 패턴] 속성은 인증 역방향 프록시에 유효하지 않습니다. Auth Methods 속성을 사용하여 인증 방법을 정의해야 합니다.

저장을 클릭합니다.

다음에 수행할 작업

ID 브리징을 사용하도록 설정하려면 ID 브리징 설정 구성을 참조하십시오.