可以設定 Unified Access Gateway 身分識別橋接模式以在雲端或內部部署環境中與 VMware Workspace® ONE® 搭配使用。

在雲端中使用 Unified Access Gateway 身分識別橋接搭配 Workspace ONE 用戶端

可以設定身分識別橋接模式,以在雲端中與 Workspace ONE 搭配使用來驗證使用者。當使用者要求存取舊版 Web 應用程式時,身分識別提供者會套用適當的驗證和授權原則。

如果使用者通過驗證,則身分識別提供者會建立 SAML Token,並將它傳送給使用者。使用者會將 SAML Token 傳遞至 DMZ 中的 Unified Access GatewayUnified Access Gateway 會驗證 SAML Token,並從 Token 擷取使用者主體名稱。

如果要求是針對 Kerberos 驗證,則會使用 Kerberos 限制委派來與 Active Directory 伺服器交涉。Unified Access Gateway 會模擬使用者來擷取 Kerberos Token 以使用應用程式進行驗證。

如果要求是針對標頭式驗證,則會將使用者標頭名稱傳送至網頁伺服器以要求使用應用程式進行驗證。

應用程式會將回應傳送回 Unified Access Gateway。回應會傳回給使用者。

圖 1. 雲端中的 Unified Access Gateway 身分識別橋接搭配 Workspace ONE
在 [身分識別橋接] 模式下部署的 UAG,可將現代 SAML 驗證轉換為 Kerberos 格式,以對舊版應用程式進行安全存取。WS1 雲端會提供 SAML 驗證。

在內部部署使用身分識別橋接搭配 Workspace ONE 用戶端

將身分識別橋接模式設定為在內部部署環境中使用 Workspace ONE 驗證使用者時,使用者會輸入用來透過 Unified Access Gateway Proxy 存取內部部署舊版 Web 應用程式的 URL。Unified Access Gateway 會將要求重新導向至身分識別提供者以進行驗證。身分識別提供者會對要求套用驗證和授權原則。如果使用者通過驗證,則身分識別提供者會建立 SAML Token,並將 Token 傳送給使用者。

使用者會將 SAML Token 傳遞至 Unified Access GatewayUnified Access Gateway 會驗證 SAML Token,並從 Token 擷取使用者主體名稱。

如果要求是針對 Kerberos 驗證,則會使用 Kerberos 限制委派來與 Active Directory 伺服器交涉。Unified Access Gateway 會模擬使用者來擷取 Kerberos Token 以使用應用程式進行驗證。

如果要求是針對標頭式驗證,則會將使用者標頭名稱傳送至網頁伺服器以要求使用應用程式進行驗證。

應用程式會將回應傳送回 Unified Access Gateway。回應會傳回給使用者。

圖 2. Unified Access Gateway 身分識別橋接內部部署

搭配使用身分識別橋接與對 Kerberos 的憑證

您可以設定身分識別橋接,以便為使用憑證驗證的內部部署舊版非 SAML 應用程式提供單一登入 (SSO)。請參閱針對身分識別橋接設定 Web 反向 Proxy (對 Kerberos 的憑證)