啟用身分識別橋接,設定服務的外部主機名稱,並下載 Unified Access Gateway 服務提供者中繼資料檔案。
此中繼資料檔案會上傳至 VMware Workspace ONE Access 服務中的 Web 應用程式組態頁面。
必要條件
- 如果身分識別提供者驗證的使用者所屬 Active Directory 網域與 UAG 上設定的 Kerberos 領域不同,請更新身分識別提供者組態來傳回具有
<username>@<domain>
值的自訂 SAML 屬性「upn」,以作為 SAML 回應的一部分。
身分識別提供者預期之「upn」屬性的 SAML 判斷提示範例
<saml:AttributeStatement>
<saml:Attribute Name="upn" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
<saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">[email protected]</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
- 您必須已在 Unified Access Gateway 管理主控台上設定下列身分識別橋接設定。您可以在進階設定區段下找到這些設定。
- 身分識別提供者中繼資料已上傳至 Unified Access Gateway
- 已設定 Kerberos 主體名稱,並已將 Keytab 檔案上傳至 Unified Access Gateway
- 領域名稱和金鑰發佈中心資訊。
- 請確保 TCP/UDP 連接埠 88 已開啟,因為 Unified Access Gateway 使用此連接埠來與 Active Directory 進行 Kerberos 通訊。
程序
- 在管理員 UI 的手動設定區段中,按一下選取。
- 在行中,按一下顯示。
- 按一下反向 Proxy 設定齒輪圖示。
- 在 反向 Proxy 設定頁面中按一下新增,以建立 Proxy 設定。
- 開啟啟用反向 Proxy 設定切換,並設定以下 Edge 服務設定。
選項 |
說明 |
識別碼 |
Edge Service 識別碼會設定為 Web 反向 Proxy。 |
執行個體 ID |
Web 反向 Proxy 執行個體的唯一名稱。 |
Proxy 目的地 URL |
指定 Web 應用程式的內部 URI。Unified Access Gateway 必須可以解析和存取此 URL。 |
Proxy 目的地 URL 指紋 |
輸入 URI 以符合此 Proxy 設定。指紋的格式為 [alg=]xx:xx。「xx」為十六進位數字。 如果未設定指紋,則必須由受信任的 CA 核發伺服器憑證。 |
Proxy 模式 |
輸入轉送至目的地 URL 的相符 URI 路徑。例如,您可以輸入 (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*))。 注意:當您設定多個反向 Proxy 時,請在 Proxy 主機模式中提供主機名稱 |
- 若要設定其他進階設定,請按一下較多。
選項 |
說明 |
驗證方法 |
預設會使用使用者名稱和密碼的傳遞驗證。您在 Unified Access Gateway 中設定的驗證方法會在下拉式功能表中列出。支援 RSA SecurID、RADIUS,以及裝置憑證驗證方法。 |
健全狀況檢查 URI 路徑 |
Unified Access Gateway 會連線至此 URI 路徑,以檢查您 Web 應用程式的健全狀況。 |
SAML SP |
當您將 Unified Access Gateway 設定為 Workspace ONE Access 的已驗證反向 Proxy 時需要使用此選項。輸入 View XML API 代理之 SAML 服務提供者的名稱。此名稱必須符合使用 Unified Access Gateway 設定之服務提供者的名稱,或為特殊值 DEMO。如果使用 Unified Access Gateway 設定多個服務提供者,則其名稱必須是唯一的。 |
外部 URL |
預設值為 Unified Access Gateway 主機 URL,連接埠 443。您可以輸入其他外部 URL。輸入為 https://<host:port>. |
未受保護的模式 |
輸入已知的 Workspace ONE Access 重新導向模式。例如: (/|/catalog-portal(.*)|/|/SAAS/|/SAAS|/SAAS/API/1.0/GET/image(.*)|/SAAS/horizon/css(.*)|/SAAS/horizon/angular(.*)|/SAAS/horizon/js(.*)|/SAAS/horizon/js-lib(.*)|/SAAS/auth/login(.*)|/SAAS/jersey/manager/api/branding|/SAAS/horizon/images/(.*)|/SAAS/jersey/manager/api/images/(.*)|/hc/(.*)/authenticate/(.*)|/hc/static/(.*)|/SAAS/auth/saml/response|/SAAS/auth/authenticatedUserDispatcher|/web(.*)|/SAAS/apps/|/SAAS/horizon/portal/(.*)|/SAAS/horizon/fonts(.*)|/SAAS/API/1.0/POST/sso(.*)|/SAAS/API/1.0/REST/system/info(.*)|/SAAS/API/1.0/REST/auth/cert(.*)|/SAAS/API/1.0/REST/oauth2/activate(.*)|/SAAS/API/1.0/GET/user/devices/register(.*)|/SAAS/API/1.0/oauth2/token(.*)|/SAAS/API/1.0/REST/oauth2/session(.*)|/SAAS/API/1.0/REST/user/resources(.*)|/hc/t/(.*)/(.*)/authenticate(.*)|/SAAS/API/1.0/REST/auth/logout(.*)|/SAAS/auth/saml/response(.*)|/SAAS/(.*)/(.*)auth/login(.*)|/SAAS/API/1.0/GET/apps/launch(.*)|/SAAS/API/1.0/REST/user/applications(.*)|/SAAS/auth/federation/sso(.*)|/SAAS/auth/oauth2/authorize(.*)|/hc/prepareSaml/failure(.*)|/SAAS/auth/oauthtoken(.*)|/SAAS/API/1.0/GET/metadata/idp.xml|/SAAS/auth/saml/artifact/resolve(.*)|/hc/(.*)/authAdapter(.*)|/hc/authenticate/(.*)|/SAAS/auth/logout|/SAAS/common.js|/SAAS/auth/launchInput(.*)|/SAAS/launchUsersApplication.do(.*)|/hc/API/1.0/REST/thinapp/download(.*)|/hc/t/(.*)/(.*)/logout(.*)|/SAAS/auth/wsfed/services(.*)|/SAAS/auth/wsfed/active/logon(.*)) |
驗證 Cookie |
輸入驗證 Cookie 名稱。例如:HZN |
登入重新導向 URL |
如果使用者從入口網站登出,請輸入重新導向 URL 以重新登入。例如:/SAAS/auth/login?dest=%s |
Proxy 主機模式 |
外部主機名稱,用來檢查傳入主機以查看它是否符合該執行個體的模式。設定 Web 反向 Proxy 執行個體時,主機模式為選用。 |
受信任的憑證 |
- 若要選取 PEM 格式的憑證並新增至信任存放區,請按一下 +。
- 若要提供不同名稱,請編輯別名文字方塊。
依預設,別名名稱是 PEM 憑證的檔案名稱。
- 若要從信任存放區移除憑證,請按一下 -。
|
回應安全性標頭 |
按一下「+」可新增標頭。輸入安全性標頭的名稱。輸入值。按一下「-」可移除標頭。編輯現有的安全性標頭,以更新標頭的名稱和值。
重要: 在您按一下
儲存後,才會儲存標頭名稱和值。依預設會顯示部分標準安全性標頭。僅在已設定後端伺服器的回應中沒有對應的標頭存在時,才會將已設定標頭新增至用戶端的
Unified Access Gateway 回應。
備註: 請謹慎修改安全性回應標頭。修改這些參數可能會影響到
Unified Access Gateway 的安全運作。
|
主機項目 |
輸入要在 /etc/hosts 檔案中新增的詳細資料。每個項目依序應包括一個 IP、一個主機名稱和一個選用的主機名稱別名 (以空格區隔)。例如,10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias。按一下「+」符號可新增多個主機項目。
重要: 只有在按一下
儲存後,才會儲存主機項目。
|
- 開啟啟用身分識別橋接切換。
- 設定下列身分識別橋接設定。
選項 |
說明 |
驗證類型 |
選取 SAML。 |
SAML 屬性 |
傳遞作為要求標頭的 SAML 屬性清單。僅當開啟啟用身分識別橋接,並將驗證類型設定為 SAML 時,才能看見這個選項。按一下「+」可將 SAML 屬性新增為標頭的一部分。 |
SAML 對象 |
請確定已選擇 SAML 驗證類型。
輸入對象 URL。
備註: 如果文字方塊保持空白,則對象不受限。
若要了解 UAG 支援 SAML 對象的方式,請參閱 SAML 對象。 |
身分識別提供者 |
從下拉式功能表選取身分識別提供者。 |
Keytab |
在下拉式功能表中,選取針對此反向 Proxy 設定的 Keytab。 |
目標服務主體名稱 |
輸入 Kerberos 服務主體名稱。每個主體一律使用完整領域名稱。例如,myco_hostname@MYCOMPANY。以大寫字母輸入領域名稱。如果您不新增名稱至文字方塊,則服務主體名稱會衍生自 Proxy 目的地 URL 的主機名稱。 |
服務登陸頁面 |
輸入在驗證聲明後將使用者重新導向至身分識別提供者的頁面。預設設定為 / 。 |
使用者標頭名稱 |
針對標頭式驗證,輸入包含衍生自聲明之使用者 ID 的 HTTP 標頭名稱。 |
- 在 [下載 SP 中繼資料] 區段中,按一下下載。
儲存服務提供者中繼資料檔案。
- 按一下儲存。
下一步
將 Unified Access Gateway 服務提供者中繼資料檔案新增至 Workspace ONE Access 服務中的 Web 應用程式組態頁面。