백엔드 애플리케이션에 Kerberos가 구성되어 있는 경우 Unified Access Gateway에서 ID 브리징을 설정하려면 ID 제공자 메타데이터 및 keytab 파일을 업로드하고 KCD 영역 설정을 구성합니다.

참고: 이 ID 브리징 릴리스는 단일 도메인 설정과 함께 교차 도메인을 지원합니다. 즉, 사용자와 SPN 계정이 서로 다른 도메인에 있을 수 있습니다.

머리글 기반 인증에서 ID 브리징이 사용되도록 설정될 경우에는 keytab 설정 및 KCD 영역 설정이 필요하지 않습니다.

Kerberos 인증에 대한 ID 브리징 설정을 구성하기 전에 다음을 사용할 수 있는지 확인합니다.

  • ID 제공자가 구성되고 ID 제공자의 SAML 메타데이터가 저장되어 있습니다. SAML 메타데이터 파일은 Unified Access Gateway에 업로드됩니다(SAML 시나리오만 해당).
  • Kerberos 인증의 경우 키 배포 센터에서 사용할 영역 이름으로 사용하도록 설정된 Kerberos가 있는 서버가 식별됩니다.
  • Kerberos 인증의 경우 Kerberos keytab 파일을 Unified Access Gateway에 업로드합니다. keytab 파일에는 지정된 백엔드 서비스의 도메인에 있는 사용자 대신, Kerberos 티켓을 가져오도록 설정된 Active Directory 서비스 계정에 대한 자격 증명이 포함됩니다.
  • 다음 포트가 열려 있는지 확인합니다.
    • 수신 HTTP 요청을 위한 포트 443
    • Active Directory와의 Kerberos 통신을 위한 TCP/UDP 포트 88
    • Unified Access Gateway에서는 TCP를 사용하여 백엔드 애플리케이션과 통신합니다. 백엔드가 수신 대기 중인 해당 포트(예: TCP 포트 8080).
참고:
  • 동일한 Unified Access Gateway 인스턴스에서 2개의 다른 역방향 프록시 인스턴스에 대해 SAML 및 Kerberos 인증을 위한 ID 브리징을 구성하는 것은 지원되지 않습니다.
  • CA(인증 기관)가 있고 인증서 기반 인증이 없으며 동일한 장치에서 ID 브리징이 사용되도록 설정되지 않은 Web Reverse Proxy 인스턴스는 지원되지 않습니다.