Параметры прокси-сервера сертификата должны быть настроены в службе Workspace ONE Access для управления запросами единого входа для мобильных устройств Android.

Необходимые условия

Настройка прокси-сервера сертификата требуется только для локальных развертываний Workspace ONE Access для проверки подлинности с помощью единого входа на мобильных устройствах Android.

  • Подсистема балансировки нагрузки настроена надлежащим образом.
  • Сертификаты загружены в службу Workspace ONE Access.
  • На устройстве Workspace ONE Access запущена служба прокси-сервера сертификата.

Процедура

  1. Войдите в консоль Workspace ONE Access и перейдите на страницу Мониторинг > Устойчивость.
  2. Щелкните Конфигурация виртуального устройства на узле службы, который необходимо настроить с помощью прокси-сервера сертификата.
  3. Щелкните элемент Единый вход для мобильных устройств.
  4. Включите параметр Прокси-сервер сертификата и настройте параметры прокси-сервера сертификата для запросов единого входа на мобильных устройствах Android к службе Workspace ONE Access.
    Параметр Описание
    Принудительное назначение выполнено При выборе параметра Принудительное назначение выполнено в текстовом поле «Назначение» необходимо указать отдельное имя узла или IP-адрес. Все запросы единого входа для мобильных устройств Android отправляются в соответствии с этим назначением. Этим назначением будет либо подсистема балансировки нагрузки, либо локальный узел в зависимости от конфигурации Workspace ONE Access.
    Назначение Если включен параметр Принудительное назначение выполнено, введите имя узла или IP-адрес для использования.

    Если параметр «Принудительное назначение выполнено» не выбран, введите список разрешенных утвержденных назначений, которые могут получать запросы единого входа для мобильных устройств Android. Адреса в списке можно разделить запятой в формате CIDR, разделить пробелом в формате подсети или указать один IP-адрес.

    Источник удаленных IP-адресов

    В списке выберите источник, который используется для получения IP-адреса экземпляра прокси-сервера сертификата из HTTP-запроса.

    Если подсистема балансировки нагрузки находится между прокси-сервером сертификата и экземпляром Workspace ONE Access, используйте заголовок X-Forwarded-For или X-Real-IP.

    Если прокси-сервер сертификата обменивается данными непосредственно с Workspace ONE Access, используйте параметр Запросить удаленный адрес.

    Количество подсистем балансировки нагрузки Если значением параметра «Источник удаленных IP-адресов» является X-Forwarded-For, введите количество подсистем балансировки нагрузки, которые находятся между службой прокси-сервера сертификата и экземпляром Workspace ONE Access.
    Список разрешенных экземпляров прокси-сервера сертификата

    Настройте разрешенный список прокси-сервера сертификата с IP-адресами, которым разрешено принимать запросы на проверку подлинности.

    Введите IP-адреса экземпляров прокси-сервера сертификата, разделяя их запятой в формате CIDR или пробелом в формате подсети либо в виде одного IP-адреса. Если для назначения установлено значение «localhost», добавьте в список IP-адрес локального узла. Обычно это 127.0.0.1.

  5. Убедитесь, что хэш-значение для Ключа прокси-сервера сертификата и Ключа прокси-сервера сертификата (Identity Manager) совпадают. Проверьте файлы конфигурации cert-proxy.properties и runtime-config.properties.
    Эти два текстовые поля заполняются автоматически с помощью хэш-значения ключей сертификата службы прокси-сервера и службы Workspace ONE Access.
    Хэш-значения должны совпадать. Если хэш-значения не совпадают, скопируйте значение из одной службы в другую в файлах конфигурации.
  6. Настройте конфигурацию прокси-сервера сертификата для единого входа для мобильных устройств Android через службу Workspace ONE Access.
    Параметр Описание
    Порт Обычно для прокси-сервера сертификата настроены два порта.

    Порт 5262 получает внешний запрос от устройства Android.

    Порт 5263 получает внутренний запрос администратора из службы Workspace ONE Access.

    Порт администрирования

    Если номер порта, настроенный в текстовом поле «Порт», получает внутренний запрос из службы Workspace ONE Access для сертификата, включите Порт администрирования. Как правило, используется порт 5263.

    Если этот порт не используется для получения внутреннего запроса, не устанавливайте этот переключатель.

    Тип сертификата SSL Прокси-сервер сертификата единого входа для устройств Android — это отдельная служба на устройстве Workspace ONE Access. Выберите параметр Сквозная передача для повторного использования транзитного сертификата, подготовленного для Workspace ONE Access на странице «Параметры устройства» > «Установка сертификатов SSL». Если требуется другой сертификат, выберите параметр Настраиваемый и загрузите сертификат в текстовое поле Цепочка сертификатов SSL.
  7. Чтобы настроить другой порт, нажмите кнопку Добавить порт и настройте параметры, как описано в шаге 6.
  8. Чтобы сохранить конфигурацию порта, нажмите кнопку Сохранить.
  9. При внесении изменений, влияющих на сертификаты, на этой странице нажмите вверху кнопку Перезапустить службу прокси-сервера сертификата.
    При нажатии кнопки «Перезапустить службу прокси-сервера сертификата» может потребоваться перезапуск службы Workspace ONE Access.

Дальнейшие действия

Настройте службу прокси-сервера сертификата на каждом узле. Если служба прокси-сервера сертификата настроена на первом устройстве, при клонировании службы Workspace ONE Access на устройстве большинство параметров прокси-сервера будут настроены. Чтобы убедиться, что параметры прокси-сервера сертификата установлены правильно, проверьте файл runtime-config.properties.