De certificaatproxyinstellingen moeten worden geconfigureerd in de Workspace ONE Access-service om de Mobiele SSO voor Android-aanvragen te ontvangen.

Voorwaarden

Het instellen van de certificaatproxy is alleen vereist voor implementaties op locatie van Workspace ONE Access voor de verificatiemethode Mobiele SSO voor Android.

  • Load balancer correct geconfigureerd.
  • Certificaten worden naar de Workspace ONE Access-service geüpload.
  • De certificaatproxyservice die in de Workspace ONE Access-appliance wordt uitgevoerd.

Procedure

  1. Meld u aan bij de Workspace ONE Access-console en navigeer naar de pagina Bewaken > Herstellingsvermogen.
  2. Klik op VA-configuratie op het knooppunt van de service dat moet worden geconfigureerd met een certificaatproxy.
  3. Klik op Mobiele SSO.
  4. Schakel Certificaatproxy in en configureer de CertProxy-instellingen voor aanvragen van Mobiele SSO voor Android voor de Workspace ONE Access-service.
    Optie Beschrijving
    Bestemming afgedwongen Wanneer Bestemming afgedwongen is geselecteerd, moet één hostnaam of IP-adres in het tekstvak Bestemming worden opgegeven. Alle Android SSO-aanvragen worden naar die bestemming verzonden. Deze bestemming is de load balancer of de lokale host, afhankelijk van de Workspace ONE Access-configuratie.
    Bestemming Als Bestemming afgedwongen is ingeschakeld, voert u de hostnaam of het IP-adres in om te gebruiken.

    Als Bestemming afgedwongen niet is geselecteerd, voert u de toestemmingslijst met goedgekeurde bestemmingen in die aanvragen van Android SSO kunnen ontvangen. De adressen in de lijst kunnen worden gescheiden door een puntkomma in CIDR-indeling, door een spatie in de subnetindeling of kan uit één IP bestaan.

    Externe IP-bron

    Selecteer in de lijst de bron die wordt gebruikt om het IP-adres van de CertProxy-instantie van de HTTP-aanvraag te verkrijgen.

    Als een load balancer zich tussen de certificaatproxy en de Workspace ONE Access-instantie bevindt, gebruikt u de header X-forwarded-For of X-Real-Ip.

    Als CertProxy direct communiceert met Workspace ONE Access, gebruikt u Extern adres aanvragen.
    Aantal load balancers Als X-Forwarded-For de waarde voor Externe IP-bron is, voert u het aantal load balancers in tussen de CertProxy-service en de Workspace ONE Access-instantie.
    Toestemmingslijst voor certificaatproxyinstantie

    Stel een toestemmingslijst voor CertProxy in met de IP-adressen die zijn geautoriseerd voor ontvangen verificatieaanvragen.

    Voer IP-adressen van CertProxy-instanties in, gescheiden door een puntkomma, in CIDR-indeling, subnetindeling met spatie als scheidingsteken, of als één IP. Als de bestemming is ingesteld op localhost, voegt u het IP-adres van de lokale host toe aan de lijst. Dit is doorgaans 127.0.0.1.
  5. Controleer of de hashwaarden voor Sleutel van certificaatproxy en Sleutel voor certificaatproxy (Identity Manager) dezelfde zijn. Controleer de configuratiebestanden cert-proxy.properties en runtime-config.properties.
    Deze twee tekstvakken worden vooraf ingevuld met de hashwaarde van de certificaatsleutels van de certificaatproxyservice en de Workspace ONE Access-service.
    De hashes moeten overeenkomen. Als de hashes niet overeenkomen, kopieert u de waarde van één service naar de andere in de configuratiebestanden.
  6. Configureer de certificaatproxy voor Android SSO via de Workspace ONE Access-service.
    Optie Beschrijving
    Poort Doorgaans worden twee poorten voor de certificaatproxy geconfigureerd.

    Poort 5262 ontvangt de externe aanvraag van het Android-apparaat.

    Poort 5263 ontvangt de interne beheeraanvraag van de Workspace ONE Access-service.

    Beheerpoort

    Als het poortnummer dat in het tekstvak Poort is geconfigureerd, de poort is die de interne aanvraag van de Workspace ONE Access-service voor het certificaat ontvangt, selecteert u Beheerpoort. De poort is doorgaans 5263.

    Als deze poort niet wordt gebruikt om de interne aanvraag te ontvangen, selecteert u dit keuzerondje niet.

    Type SSL-certificaat Certificaatproxy voor Android SSO is een aparte service op de Workspace ONE Access-appliance. Selecteer Passthrough om het passthrough-certificaat opnieuw te gebruiken dat voor Workspace ONE Access is ingericht op de pagina Appliance-instellingen > SSL-certificaten installeren. Als een ander certificaat is vereist, selecteert u Aangepast en uploadt u het certificaat in het tekstvak SSL-certificaatketen.
  7. Als u een andere poort wilt configureren, klikt u op Poort toevoegen en configureert u de instellingen zoals beschreven in stap 6.
  8. Klik op Opslaan om de poortconfiguratie op te slaan.
  9. Wanneer u op deze pagina wijzigingen aanbrengt die van invloed zijn op certificaten, klikt u op Certificaatproxyservice opnieuw starten bovenaan de pagina.
    Als u op Certificaatproxyservice opnieuw starten klikt, moet de Workspace ONE Access-service mogelijk opnieuw worden gestart.

Volgende stappen

Stel de certificaatproxyservice op elk knooppunt opnieuw in. Als de certificaatproxyservice is ingesteld op de eerste appliance en u de Workspace ONE Access-service op de appliance kloont, worden de meeste proxyinstellingen geconfigureerd. Als u wilt nagaan of de certificaatproxyinstellingen correct zijn ingesteld, bekijkt u het bestand runtime-config.properties.