啟用身分識別橋接,設定服務的外部主機名稱,並下載 Unified Access Gateway 服務提供者中繼資料檔案。

執行這項作業的原因和時機

此中繼資料檔案會上傳至 VMware Identity Manager 服務中的 Web 應用程式組態頁面。

先決條件

您必須已在 Unified Access Gateway 管理主控台上設定下列身分識別橋接設定。您可以在進階設定區段下找到這些設定。

  • 身分識別提供者中繼資料已上傳至 Unified Access Gateway

  • 已設定 Kerberos 主體名稱,並已將 Keytab 檔案上傳至 Unified Access Gateway

  • 領域名稱和金鑰發佈中心資訊。

程序

  1. 在管理員 UI 的手動設定區段中,按一下選取
  2. 一般設定 > Edge Service 設定行中,按一下顯示
  3. 按一下Reverse Proxy 設定齒輪圖示。
  4. Reverse Proxy 設定頁面中按一下新增,以建立新的 Proxy 設定。
  5. 啟用 Reverse Proxy 設定設為 [是],並設定下列 Edge Service 設定。

    選項

    說明

    識別碼

    Edge Service 識別碼會設定為 Web Reverse Proxy。

    執行個體 ID

    Web Reverse Proxy 執行個體的唯一名稱。

    Proxy 目的地 URL

    指定 Web 應用程式的內部 URI。Unified Access Gateway 必須可以解析和存取此 URL。

    Proxy 目的地 URL 指紋

    輸入 URI 以符合此 Proxy 設定。指紋的格式為 [alg=]xx:xx,其中 alg 可以是 sha1 (預設值) 或 md5。「xx」為十六進位數字。例如,sha=C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3

    如果未設定指紋,則必須由受信任的 CA 核發伺服器憑證。

    Proxy 模式

    (選用) 指定主機模式。若 Proxy 模式不是唯一的,則主機模式會告訴 Unified Access Gateway 使用此 Proxy 設定來轉送流量的時機。這取決於使用用戶端之網頁瀏覽器所使用的 URL。例如,您可以輸入 (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*))

  6. 在 [啟用身分識別橋接] 區段中,將變更為
  7. 設定下列身分識別橋接設定。

    選項

    說明

    驗證類型

    選取 SAML。

    身分識別提供者

    從下拉式功能表中選取要使用的身分識別提供者。

    Keytab

    在下拉式功能表中,選取針對此 Reverse Proxy 設定的 Keytab。

    目標服務主體名稱

    輸入 Kerberos 服務主體名稱。每個主體一律使用完整領域名稱。例如,myco_hostname@MYCOMPANY。以大寫字母輸入領域名稱。如果您不新增名稱至文字方塊,則服務主體名稱會衍生自 Proxy 目的地 URL 的主機名稱。

    服務登陸頁面

    輸入在驗證聲明後將使用者重新導向至身分識別提供者的頁面。預設設定為 /

    使用者標頭名稱

    針對標頭式驗證,輸入包含衍生自聲明之使用者 ID 的 HTTP 標頭名稱。

  8. 在 [下載 SP 中繼資料] 區段中,按一下下載

    儲存服務提供者中繼資料檔案。

  9. 按一下儲存

下一步

Unified Access Gateway 服務提供者中繼資料檔案新增至 VMware Identity Manager 服務中的 Web 應用程式組態頁面。