您可以設定 Web 反向 Proxy 服務以搭配使用 Unified Access Gateway 和 Workspace ONE Access。
必要條件
請注意,使用 Workspace ONE Access 部署具有下列需求:
程序
- 在管理員 UI 的手動設定區段中,按一下選取。
- 在中,按一下顯示。
- 按一下反向 Proxy 設定齒輪圖示。
- 在反向 Proxy 設定頁面中,按一下新增。
- 開啟啟用反向 Proxy 設定切換,以啟用反向 Proxy。
- 設定下列 Edge 服務設定。
| 選項 |
說明 |
| 識別碼 |
Edge 服務識別碼會設定為 Web 反向 Proxy。 |
| 執行個體 ID |
用來從所有其他 Web 反向 Proxy 執行個體中識別和區分某個 Web 反向 Proxy 執行個體的唯一名稱。 |
| Proxy 目的地 URL |
輸入 Web 應用程式的位址,這通常是後端 URL。例如,對於 Workspace ONE Access,在用戶端機器上新增 IP 位址、Workspace ONE Access 主機名稱和外部 DNS。在管理員 UI 中,新增 IP 位址、Workspace ONE Access 主機名稱和內部 DNS。 |
| Proxy 目的地 URL 指紋 |
針對 proxyDestination URL,輸入可接受 SSL 伺服器憑證指紋的清單。如果您指定 *,則系統會接受任何憑證。指紋的格式為 [alg=]xx:xx。xx 為十六進位數字。「:」分隔符號可以是空格,或不使用。系統會忽略指紋中的大小寫。例如: sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:be:78:ed:ff:50:23:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db 如果未設定指紋,則必須由受信任的 CA 核發伺服器憑證。 |
| Proxy 模式 |
輸入轉送至目的地 URL 的相符 URI 路徑。例如,您可以輸入 (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*))。
備註: 當您設定多個反向 Proxy 時,請在 Proxy 主機模式中提供主機名稱。
|
- 若要設定其他進階設定,請按一下較多。
| 選項 |
說明 |
| 驗證方法 |
預設會使用使用者名稱和密碼的傳遞驗證。您在 Unified Access Gateway 中設定的驗證方法會在下拉式功能表中列出。支援 RSA SecurID、RADIUS,以及裝置憑證驗證方法。 |
| 健全狀況檢查 URI 路徑 |
Unified Access Gateway 會連線至此 URI 路徑,以檢查您 Web 應用程式的健全狀況。 |
| SAML SP |
當您將 Unified Access Gateway 設定為 Workspace ONE Access 的已驗證反向 Proxy 時需要使用此選項。輸入 View XML API 代理之 SAML 服務提供者的名稱。此名稱必須符合使用 Unified Access Gateway 設定之服務提供者的名稱,或為特殊值 DEMO。如果使用 Unified Access Gateway 設定多個服務提供者,則其名稱必須是唯一的。 |
| 外部 URL |
預設值為 Unified Access Gateway 主機 URL,連接埠 443。您可以輸入其他外部 URL。輸入為 https://<host:port>. |
| 未受保護的模式 |
輸入已知的 Workspace ONE Access 重新導向模式。例如: (/|/catalog-portal(.*)|/|/SAAS/|/SAAS|/SAAS/API/1.0/GET/image(.*)|/SAAS/horizon/css(.*)|/SAAS/horizon/angular(.*)|/SAAS/horizon/js(.*)|/SAAS/horizon/js-lib(.*)|/SAAS/auth/login(.*)|/SAAS/jersey/manager/api/branding|/SAAS/horizon/images/(.*)|/SAAS/jersey/manager/api/images/(.*)|/hc/(.*)/authenticate/(.*)|/hc/static/(.*)|/SAAS/auth/saml/response|/SAAS/auth/authenticatedUserDispatcher|/web(.*)|/SAAS/apps/|/SAAS/horizon/portal/(.*)|/SAAS/horizon/fonts(.*)|/SAAS/API/1.0/POST/sso(.*)|/SAAS/API/1.0/REST/system/info(.*)|/SAAS/API/1.0/REST/auth/cert(.*)|/SAAS/API/1.0/REST/oauth2/activate(.*)|/SAAS/API/1.0/GET/user/devices/register(.*)|/SAAS/API/1.0/oauth2/token(.*)|/SAAS/API/1.0/REST/oauth2/session(.*)|/SAAS/API/1.0/REST/user/resources(.*)|/hc/t/(.*)/(.*)/authenticate(.*)|/SAAS/API/1.0/REST/auth/logout(.*)|/SAAS/auth/saml/response(.*)|/SAAS/(.*)/(.*)auth/login(.*)|/SAAS/API/1.0/GET/apps/launch(.*)|/SAAS/API/1.0/REST/user/applications(.*)|/SAAS/auth/federation/sso(.*)|/SAAS/auth/oauth2/authorize(.*)|/hc/prepareSaml/failure(.*)|/SAAS/auth/oauthtoken(.*)|/SAAS/API/1.0/GET/metadata/idp.xml|/SAAS/auth/saml/artifact/resolve(.*)|/hc/(.*)/authAdapter(.*)|/hc/authenticate/(.*)|/SAAS/auth/logout|/SAAS/common.js|/SAAS/auth/launchInput(.*)|/SAAS/launchUsersApplication.do(.*)|/hc/API/1.0/REST/thinapp/download(.*)|/hc/t/(.*)/(.*)/logout(.*)|/SAAS/auth/wsfed/services(.*)|/SAAS/auth/wsfed/active/logon(.*)) |
| 驗證 Cookie |
輸入驗證 Cookie 名稱。例如:HZN |
| 登入重新導向 URL |
如果使用者從入口網站登出,請輸入重新導向 URL 以重新登入。例如:/SAAS/auth/login?dest=%s |
| Proxy 主機模式 |
外部主機名稱,用來檢查傳入主機以查看它是否符合該執行個體的模式。設定 Web 反向 Proxy 執行個體時,主機模式為選用。 |
| 受信任的憑證 |
- 若要選取 PEM 格式的憑證並新增至信任存放區,請按一下 +。
- 若要提供不同名稱,請編輯別名文字方塊。
依預設,別名名稱是 PEM 憑證的檔案名稱。
- 若要從信任存放區移除憑證,請按一下 -。
|
| 回應安全性標頭 |
按一下「+」可新增標頭。輸入安全性標頭的名稱。輸入值。按一下「-」可移除標頭。編輯現有的安全性標頭,以更新標頭的名稱和值。
重要: 在您按一下
儲存後,才會儲存標頭名稱和值。依預設會顯示部分標準安全性標頭。僅在已設定後端伺服器的回應中沒有對應的標頭存在時,才會將已設定標頭新增至用戶端的
Unified Access Gateway 回應。
備註: 請謹慎修改安全性回應標頭。修改這些參數可能會影響到
Unified Access Gateway 的安全運作。
|
| 主機項目 |
輸入要在 /etc/hosts 檔案中新增的詳細資料。每個項目依序應包括一個 IP、一個主機名稱和一個選用的主機名稱別名 (以空格區隔)。例如,10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias。按一下「+」符號可新增多個主機項目。
重要: 只有在按一下
儲存後,才會儲存主機項目。
|
備註: 僅在使用
Workspace ONE Access 時才適用
UnSecure Pattern、
Auth Cookie 和
Login Redirect URL 選項。
備註: 「驗證 Cookie」和「未受保護的模式」內容對驗證反向 Proxy 而言無效。您必須使用
Auth Methods 內容來定義驗證方法。
- 按一下儲存。
下一步
若要啟用身分識別橋接,請參閱設定身分識別橋接設定。
