ID 브리징을 사용하도록 설정하고, 서비스에 대해 외부 호스트 이름을 구성하고, Unified Access Gateway 서비스 제공자 메타데이터 파일을 다운로드합니다.
이 메타데이터 파일은 VMware Workspace ONE Access서비스의 [웹 애플리케이션 구성] 페이지에 업로드됩니다.
사전 요구 사항
- ID 제공자에 인증하는 사용자가 UAG에 구성된 Kerberos 영역과 비교하여 다른 Active Directory 도메인에 속하는 경우 SAML 응답의 일부로 값이
<username>@<domain>
인 사용자 지정 SAML 특성 "upn"을 반환하도록 ID 제공자 구성을 업데이트합니다.
"upn" 특성에 대해 ID 제공자가 예상한 SAML 어설션의 예
<saml:AttributeStatement>
<saml:Attribute Name="upn" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
<saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">[email protected]</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
- Unified Access Gateway 관리 콘솔에 다음 ID 브리징 설정이 구성되어 있어야 합니다. 고급 설정 섹션에서 이러한 설정을 찾을 수 있습니다.
- Unified Access Gateway에 업로드된 ID 제공자 메타데이터
- 구성된 Kerberos 주체 이름 및 Unified Access Gateway에 업로드된 keytab 파일
- 영역 이름 및 키 배포 센터 정보.
- Unified Access Gateway에서는 Active Directory와의 Kerberos 통신에 TCP/UDP 포트 88을 사용하므로 이 포트가 열려 있는지 확인합니다.
프로시저
- 관리 UI 수동 구성 섹션에서 선택을 클릭합니다.
- 줄에서 표시를 클릭합니다.
- 역방향 프록시 설정 톱니 모양 아이콘을 클릭합니다.
- 역방향 프록시 설정 페이지에서 추가를 클릭하여 프록시 설정을 생성합니다.
- 역방향 프록시 설정 사용을 [예]로 설정하고 다음 Edge 서비스 설정을 구성합니다.
옵션 |
설명 |
식별자 |
Edge 서비스 식별자는 Web Reverse Proxy로 설정됩니다. |
인스턴스 ID |
Web Reverse Proxy 인스턴스의 고유한 이름입니다. |
프록시 대상 URL |
웹 애플리케이션의 내부 URI를 지정합니다. Unified Access Gateway는 이 URL을 확인하고 액세스할 수 있어야 합니다. |
프록시 대상 URL 지문 |
이 프록시 설정과 일치하는 URI를 입력합니다. 지문은 [alg=]xx:xx 형식입니다. 여기서 alg는 sha1, 기본값 또는 md5일 수 있습니다. 'xx'는 16진수입니다. 예를 들어 sha=C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3과 같습니다. 지문을 구성하지 않은 경우에는 신뢰할 수 있는 CA에서 서버 인증서를 발급해야 합니다. |
프록시 패턴 |
대상 URL로 전달되는 일치하는 URI 경로를 입력합니다. 예를 들어 (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*))로 입력합니다. 참고: 여러 역방향 프록시를 구성할 경우 프록시 호스트 패턴으로 호스트 이름을 제공하십시오. |
- 기타 고급 설정을 구성하려면 자세히를 클릭합니다.
옵션 |
설명 |
인증 방법 |
기본값은 사용자 이름 및 암호의 패스스루 인증을 사용하는 것입니다. Unified Access Gateway에서 구성한 인증 방법은 드롭다운 메뉴에 표시됩니다. RSA SecurID, RADIUS 및 디바이스 인증서 인증 방법이 지원됩니다. |
상태 점검 URI 경로 |
Unified Access Gateway에서는 이 URI 경로에 연결하여 웹 애플리케이션의 상태를 확인합니다. |
SAML SP |
Unified Access Gateway를 Workspace ONE Access의 인증된 역방향 프록시로 구성할 경우 필요합니다. View XML API 브로커에 대한 SAML 서비스 제공자의 이름을 입력합니다. 이 이름은 Unified Access Gateway로 구성한 서비스 제공자의 이름과 일치하거나 특수 값 DEMO여야 합니다. Unified Access Gateway로 구성된 서비스 제공자가 여러 개 있으면 해당 이름이 고유해야 합니다. |
외부 URL |
기본값은 Unified Access Gateway 호스트 URL, 포트 443입니다. 다른 외부 URL을 입력할 수 있습니다. https://<host:port>. 로 입력합니다. |
비보안 패턴 |
알려진 Workspace ONE Access 리디렉션 패턴을 입력합니다. 예: (/|/catalog-portal(.*)|/|/SAAS/|/SAAS|/SAAS/API/1.0/GET/image(.*)|/SAAS/horizon/css(.*)|/SAAS/horizon/angular(.*)|/SAAS/horizon/js(.*)|/SAAS/horizon/js-lib(.*)|/SAAS/auth/login(.*)|/SAAS/jersey/manager/api/branding|/SAAS/horizon/images/(.*)|/SAAS/jersey/manager/api/images/(.*)|/hc/(.*)/authenticate/(.*)|/hc/static/(.*)|/SAAS/auth/saml/response|/SAAS/auth/authenticatedUserDispatcher|/web(.*)|/SAAS/apps/|/SAAS/horizon/portal/(.*)|/SAAS/horizon/fonts(.*)|/SAAS/API/1.0/POST/sso(.*)|/SAAS/API/1.0/REST/system/info(.*)|/SAAS/API/1.0/REST/auth/cert(.*)|/SAAS/API/1.0/REST/oauth2/activate(.*)|/SAAS/API/1.0/GET/user/devices/register(.*)|/SAAS/API/1.0/oauth2/token(.*)|/SAAS/API/1.0/REST/oauth2/session(.*)|/SAAS/API/1.0/REST/user/resources(.*)|/hc/t/(.*)/(.*)/authenticate(.*)|/SAAS/API/1.0/REST/auth/logout(.*)|/SAAS/auth/saml/response(.*)|/SAAS/(.*)/(.*)auth/login(.*)|/SAAS/API/1.0/GET/apps/launch(.*)|/SAAS/API/1.0/REST/user/applications(.*)|/SAAS/auth/federation/sso(.*)|/SAAS/auth/oauth2/authorize(.*)|/hc/prepareSaml/failure(.*)|/SAAS/auth/oauthtoken(.*)|/SAAS/API/1.0/GET/metadata/idp.xml|/SAAS/auth/saml/artifact/resolve(.*)|/hc/(.*)/authAdapter(.*)|/hc/authenticate/(.*)|/SAAS/auth/logout|/SAAS/common.js|/SAAS/auth/launchInput(.*)|/SAAS/launchUsersApplication.do(.*)|/hc/API/1.0/REST/thinapp/download(.*)|/hc/t/(.*)/(.*)/logout(.*)|/SAAS/auth/wsfed/services(.*)|/SAAS/auth/wsfed/active/logon(.*)) |
인증 쿠키 |
인증 쿠키 이름을 입력합니다. 예: HZN |
로그인 리디렉션 URL |
사용자가 포털에서 로그아웃하면 다시 로그인될 리디렉션 URL을 입력합니다. 예: /SAAS/auth/login?dest=%s |
프록시 호스트 패턴 |
수신 호스트를 확인하여 해당 인스턴스의 패턴과 일치하는지를 확인하는 데 사용되는 외부 호스트 이름입니다. Web Reverse Proxy 인스턴스를 구성할 경우 호스트 패턴은 선택 사항입니다. |
신뢰할 수 있는 인증서 |
|
응답 보안 헤더 |
헤더를 추가하려면 '+'를 클릭합니다. 보안 헤더의 이름을 입력합니다. 값을 입력합니다. 헤더를 제거하려면 '-'를 클릭합니다. 헤더의 이름 및 값을 업데이트하려면 기존 보안 헤더를 편집합니다.
중요: 헤더 이름 및 값은
저장을 클릭해야만 저장됩니다. 일부 표준 보안 헤더는 기본적으로 제공됩니다. 구성된 헤더는 해당 헤더가 구성된 백엔드 서버의 응답에 없는 경우에만 클라이언트에 대한
Unified Access Gateway 응답에 추가됩니다.
참고: 보안 응답 헤더는 주의해서 수정합니다. 이러한 매개 변수를 수정하면
Unified Access Gateway의 보안 작동에 영향을 줄 수 있습니다.
|
호스트 항목 |
/etc/hosts 파일에 추가할 세부 정보를 입력합니다. 각 항목은 IP, 호스트 이름 및 선택적 호스트 이름 별칭을 이 순서대로 공백으로 구분하여 포함합니다. 예: 10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias. 여러 호스트 항목을 추가하려면 "+" 기호를 클릭합니다.
중요: 호스트 항목은
저장을 클릭한 후에만 저장됩니다.
|
- [ID 브리징 사용] 섹션에서 아니요를 예로 변경합니다.
- 다음 ID 브리징 설정을 구성합니다.
옵션 |
설명 |
인증 유형 |
SAML을 선택합니다. |
SAML 특성 |
요청 헤더로 전달되는 SAML 특성 목록입니다. 이 옵션은 ID 브리징 사용을 예로 설정하고 인증 유형을 SAML로 설정한 경우에만 표시됩니다. 헤더의 일부로 SAML 특성에 대해 '+'를 클릭합니다. |
SAML 대상 |
SAML 인증 유형이 선택되었는지 확인합니다.
대상 URL을 입력합니다.
참고: 이 텍스트 상자를 비워 두면 대상이 제한되지 않습니다.
UAG에서 SAML 대상을 지원하는 방법을 이해하려면 SAML 대상의 내용을 참조하십시오. |
ID 제공자 |
드롭다운 메뉴에서 ID 제공자를 선택합니다. |
Keytab |
드롭다운 메뉴에서 이 역방향 프록시에 대해 구성된 keytab을 선택합니다. |
대상 서비스 주체 이름 |
Kerberos 서비스 주체 이름을 입력합니다. 각 주체는 항상 영역 이름으로 정규화됩니다. 예: myco_hostname@MYCOMPANY. 영역 이름은 대문자로 입력합니다. 텍스트 상자에 이름을 추가하지 않으면 서비스 주체 이름은 프록시 대상 URL의 호스트 이름에서 파생됩니다. |
서비스 방문 페이지 |
어설션이 유효한지 검사된 후에 사용자가 ID 제공자에서 리디렉션되는 페이지를 입력합니다. 기본 설정은 / 입니다. |
사용자 머리글 이름 |
머리글 기반 인증의 경우 어설션에서 파생된 사용자 ID가 포함된 HTTP 머리글의 이름을 입력합니다. |
- [SP 메타데이터 다운로드] 섹션에서 다운로드를 클릭합니다.
서비스 제공자 메타데이터 파일을 저장합니다.
- 저장을 클릭합니다.
다음에 수행할 작업
Unified Access Gateway 서비스 제공자 메타데이터 파일을 Workspace ONE Access 서비스의 [웹 애플리케이션 구성] 페이지에 추가합니다.