設定 Unified Access Gateway 橋接功能,以便為使用憑證驗證的內部部署舊版非 SAML 應用程式提供單一登入 (SSO)。

必要條件

開始進行組態程序之前,請確定您可以使用下列檔案和憑證:

請參閱相關產品說明文件,以產生非 SAML 應用程式的根憑證和使用者憑證以及 Keytab 檔案。

請確保 TCP/UDP 連接埠 88 已開啟,因為 Unified Access Gateway 使用此連接埠來與 Active Directory 進行 Kerberos 通訊。

程序

  1. 驗證設定 > X509 憑證移至:
    1. 根憑證和中繼 CA 憑證中,按一下選取並上傳整個憑證鏈結。
    2. 開啟啟用憑證撤銷切換。
    3. 選取啟用 OCSP 撤銷的核取方塊。
    4. OCSP URL 文字方塊中,輸入 OCSP 回應者 URL。
      Unified Access Gateway 會將 OCSP 要求傳送至指定的 URL,且會收到回應,其中含有指出憑證是否已撤銷的資訊。
    5. 僅在需要將 OCSP 要求傳送至用戶端憑證中的 OCSP URL 時,才應選取使用來自憑證的 OCSP URL 核取方塊。如果未啟用此設定,則預設為 OCSP URL 文字方塊中的值。
  2. 進階設定 > 身分識別橋接設定 > OSCP 設定中,按一下新增
    1. 按一下選取並上傳 OCSP 簽署憑證。
  3. 選取領域設定齒輪圖示並依照設定領域設定中所述設定領域設定。
  4. 一般設定 > Edge 服務設定,選取反向 Proxy 設定齒輪圖示。
  5. 開啟啟用身分識別橋接設定切換,設定下列身分識別橋接設定,然後按一下儲存
    選項 說明
    驗證類型 從下拉式功能表中選取 CERTIFICATE。
    Keytab 在下拉式功能表中,選取針對此反向 Proxy 設定的 Keytab。
    目標服務主體名稱 輸入 Kerberos 服務主體名稱。每個主體一律使用完整領域名稱。例如,myco_hostname@MYCOMPANY。以大寫字母輸入領域名稱。如果您不新增名稱至文字方塊,則服務主體名稱會衍生自 Proxy 目的地 URL 的主機名稱。
    使用者標頭名稱 針對標頭式驗證,輸入包含衍生自判斷提示之使用者 ID 的 HTTP 標頭名稱,或使用預設值 AccessPoint-User-ID。

下一步

當您使用 Workspace ONE Web 存取目標網站時,目標網站將會作為反向 Proxy。Unified Access Gateway 會驗證提供的憑證。如果憑證有效,則瀏覽器會顯示後端應用程式的使用者介面頁面。

如需特定的錯誤訊息和疑難排解資訊,請參閱疑難排解錯誤:身分識別橋接