啟用身分識別橋接,設定服務的外部主機名稱,並下載 Unified Access Gateway 服務提供者中繼資料檔案。
此中繼資料檔案隨即上傳至 VMware Identity Manager 服務中的 Web 應用程式組態頁面。
必要條件
[身分識別橋接設定] 會在 Unified Access Gateway 管理員 UI 的 [進階設定] 區段中進行設定。必須設定以下設定。
- 身分識別提供者中繼資料已上傳至 Unified Access Gateway。
- 已設定 Kerberos 主體名稱,並已將 Keytab 檔案上傳至 Unified Access Gateway。
- 領域名稱和金鑰發佈中心資訊。
程序
- 在管理員 UI 的 [手動設定] 區段中,按一下選取。
- 在 [一般設定] > [Edge Service 設定] 行中,按一下顯示。
- 按一下Reverse Proxy 設定齒輪圖示。
- 在 [Reverse Proxy 設定] 頁面中,按一下新增以建立新的 Proxy 設定。
- 設定下列 Edge Service 設定。
選項 |
說明 |
識別碼 |
Edge Service 識別碼會設定為 Web Reverse Proxy。 |
執行個體 ID |
Web Reverse Proxy 執行個體的唯一名稱。 |
Proxy 目的地 URL |
指定 Web 應用程式的內部 URI。Unified Access Gateway 必須可以解析和存取此 URL。 |
Proxy 目的地 URL 指紋 |
輸入 URI 以符合此 Proxy 設定。指紋的格式為 [alg=]xx:xx,其中 alg 可以是 sha1 (預設值) 或 md5。「xx」為十六進位數字。例如,sha=C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3 如果未設定指紋,則必須由受信任的 CA 核發伺服器憑證。 |
Proxy 模式 |
(選用) 指定主機模式。若 Proxy 模式不是唯一的,則主機模式會告訴 Unified Access Gateway 使用此 Proxy 設定來轉送流量的時機。這取決於使用用戶端之網頁瀏覽器所使用的 URL。例如,您可以輸入 (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*))。 |
- 在 [啟用身分識別橋接] 區段中,將 [否] 變更為是。
- 設定下列身分識別橋接設定。
選項 |
說明 |
身分識別提供者 |
在下拉式功能表中,選取要使用的身分識別提供者。 |
Keytab |
在下拉式功能表中,選取針對此 Reverse Proxy 設定的 Keytab。 |
目標服務主體名稱 |
輸入 Kerberos 服務主體名稱。每個主體一律使用完整領域名稱。例如,myco_hostname@MYCOMPANY。以大寫字母輸入領域名稱。如果您不新增名稱至文字方塊,則服務主體名稱會衍生自 Proxy 目的地 URL 的主機名稱。 |
服務登陸頁面 |
輸入在驗證聲明後將使用者重新導向至身分識別提供者的頁面。預設設定為 / 。 |
使用者標頭名稱 |
針對標頭式驗證,輸入包含衍生自聲明之使用者 ID 的 HTTP 標頭名稱。 |
- 在 [下載 SP 中繼資料] 區段中,按一下下載。
儲存服務提供者中繼資料檔案。
- 按一下儲存。
後續步驟
將 Unified Access Gateway 服務提供者中繼資料檔案新增至 VMware Identity Manager 服務中的 Web 應用程式組態頁面。