在後端應用程式中設定了 Kerberos 時,若要在 Unified Access Gateway 中設定身分識別橋接,您需要上傳身分識別提供者中繼資料和 Keytab 檔案,並設定 KCD 領域設定。

備註: 此版本的身分識別橋接可用單一網域設定支援跨網域。這表示使用者和 SPN 帳戶可以位於不同的網域。

當身分識別橋接啟用了標頭式驗證時,則不需要 Keytab 設定和 KCD 領域設定。

設定身分識別橋接設定使用 Kerberos 驗證之前,請確定下列項目可供使用。

  • 已設定身分識別提供者,且已儲存身分識別提供者的 SAML 中繼資料。SAML 中繼資料檔案會上傳至 Unified Access Gateway (僅適用於 SAML 案例)。
  • 針對 Kerberos 驗證,一部已啟用 Kerberos 的伺服器,且包含用於識別所要使用金鑰發佈中心的領域名稱。
  • 針對 Kerberos 驗證,將 Kerberos Keytab 檔案上傳至 Unified Access Gateway。Keytab 檔案包括 Active Directory 服務帳戶的認證,該帳戶已設定來代表網域中的任何使用者針對指定的後端服務來取得 Kerberos 票證。
  • 確保已開啟下列連接埠:
    • 用於傳入 HTTP 要求的連接埠 443
    • 用於與 Active Directory 進行 Kerberos 通訊的 TCP/UDP 連接埠 88
    • Unified Access Gateway 使用 TCP 來與後端應用程式通訊。後端接聽所在的適當連接埠,例如 TCP 連接埠 8080。
備註:
  • 不支援為相同 Unified Access Gateway 執行個體上兩個不同 Reverse Proxy 執行個體同時進行身分識別橋接的 SAML 和對 Kerberos 的憑證設定。
  • 不支援在相同應用裝置上未啟用身分識別橋接,且具有憑證授權機構但無憑證式驗證的 Web Reverse Proxy 執行個體。