인증서 유효성 검사를 사용하여 온-프레미스 레거시 비 SAML 애플리케이션에 싱글 사인온(SSO)을 제공하도록 Unified Access Gateway 브리징 기능을 구성합니다.

사전 요구 사항

구성 프로세스를 시작하기 전에 다음 파일 및 인증서를 사용할 수 있는지 확인합니다.

비 SAML 애플리케이션에 대한 루트 및 사용자 인증서와 keytab 파일을 생성하려면 관련 제품 설명서를 참조하십시오.

Unified Access Gateway에서는 Active Directory와의 Kerberos 통신에 TCP/UDP 포트 88을 사용하므로 이 포트가 열려 있는지 확인합니다.

프로시저

  1. 인증 설정 > X509 인증서에서 다음으로 이동하십시오.
    1. 루트 및 중간 CA 인증서에서 선택을 클릭하고 전체 인증서 체인을 업로드합니다.
    2. 인증서 해지 사용에서 토글을 로 설정합니다.
    3. OCSP 해지 사용 확인란을 선택합니다.
    4. OCSP URL 텍스트 상자에 OCSP 응답자 URL을 입력합니다.

      Unified Access Gateway는 지정된 URL로 OCSP 요청을 전송하고 인증서 해지 여부를 나타내는 정보를 포함하는 응답을 수신합니다.

    5. OCSP 요청을 클라이언트 인증서의 OCSP URL로 보낼 사용 사례가 있는 경우에만 인증서의 OCSP URL 사용 확인란을 선택합니다. 이 옵션을 사용하지 않는 경우 OCSP URL 입력란의 값이 기본값으로 사용됩니다.

      Cert-to-Kerberos - X509 인증서

  2. 고급 설정 > ID 브리징 설정 > OSCP 설정에서 추가를 클릭합니다.
    1. 선택을 클릭하고 OCSP 서명 인증서를 업로드합니다.
  3. 영역 설정의 톱니 모양 아이콘을 선택하고 영역 설정 구성에 설명된 대로 영역 설정을 구성합니다.
  4. 일반 설정 > Edge 서비스 설정에서 역방향 프록시 설정 톱니 모양 아이콘을 선택합니다.
  5. ID 브리징 설정 사용로 설정하고 ID 브리징 설정을 구성한 다음 저장을 클릭합니다.

    Cert-to-Kerberos에 대한 ID 브리징 설정 사용

    옵션

    설명

    인증 유형

    드롭다운 메뉴에서 인증서를 선택합니다.

    Keytab

    드롭다운 메뉴에서 이 역방향 프록시에 대해 구성된 keytab을 선택합니다.

    대상 서비스 주체 이름

    Kerberos 서비스 주체 이름을 입력합니다. 각 주체는 항상 영역 이름으로 정규화됩니다. 예: myco_hostname@MYCOMPANY. 영역 이름은 대문자로 입력합니다. 텍스트 상자에 이름을 추가하지 않으면 서비스 주체 이름은 프록시 대상 URL의 호스트 이름에서 파생됩니다.

    사용자 머리글 이름

    머리글 기반 인증의 경우 어설션에서 파생된 사용자 ID가 포함된 HTTP 머리글의 이름을 입력하거나 기본값인 AccessPoint-User-ID를 사용합니다.

다음에 수행할 작업

VMware Browser를 사용하여 대상 웹 사이트에 액세스하는 경우 대상 웹 사이트가 역방향 프록시로 작동합니다. Unified Access Gateway은(는) 제시된 인증서의 유효성을 검사합니다. 인증서가 유효하면 브라우저는 백엔드 애플리케이션에 대한 사용자 인터페이스 페이지를 표시합니다.

특정 오류 메시지 및 문제 해결 정보를 보려면 오류 해결: ID 브리징을 참조하십시오.