您可以設定 Web Reverse Proxy 服務以搭配使用 Unified Access Gateway 和 VMware Identity Manager。
先決條件
搭配 VMware Identity Manager 部署的需求。
分割 DNS。取決於 IP 是內部或外部,分割 DNS 可用來將名稱解析為不同的 IP 位址。
VMware Identity Manager 服務必須以完整網域名稱 (FQDN) 作為主機名稱。
Unified Access Gateway 必須使用內部 DNS。這表示 Proxy 目的地 URL 必須使用 FQDN。
程序
- 在管理員 UI 的 [手動設定] 區段中,按一下選取。
- 在 [一般設定] > [Edge Service 設定] 行中,按一下顯示。
- 按一下Reverse Proxy 設定齒輪圖示。
- 在 [Reverse Proxy 設定] 頁面中,按一下新增。
- 在 [啟用 Reverse Proxy 設定] 區段,將 [否] 變更為是以啟用 Reverse Proxy。
- 設定下列 Edge Service 設定。
選項
說明
識別碼
Edge Service 識別碼會設定為 Web Reverse Proxy。
執行個體 ID
用來從所有其他 Web Reverse Proxy 執行個體中識別和區分某個 Web Reverse Proxy 執行個體的唯一名稱。
Proxy 目的地 URL
輸入 Web 應用程式的位址。
Proxy 目的地 URL 指紋
針對 proxyDestination URL,輸入可接受 SSL 伺服器憑證指紋的清單。如果您納入萬用字元 *,則允許使用任何憑證。指紋的格式為 [alg=]xx:xx,其中 alg 可以是 sha1 (預設值) 或 md5。「xx」為十六進位數字。「:」分隔符號可以是空格,或不使用。系統會忽略指紋中的大小寫。例如:
sha1=B6 77 DC 9C 19 94 2E F1 78 F0 AD 4B EC 85 D1 7A F8 8B DC 34,
sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:be:78:ed:ff:50:23:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db
如果未設定指紋,則必須由受信任的 CA 核發伺服器憑證。
Proxy 模式
輸入轉送至目的地 URL 的相符 URI 路徑。例如,您可以輸入 (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*))。
備註︰當您設定多個 Reverse Proxy 時,請在 Proxy 主機模式中提供主機名稱。
- 若要設定其他進階設定,請按一下較多。
選項
說明
驗證方法
預設會使用使用者名稱和密碼的傳遞驗證。您在 Unified Access Gateway 中設定的驗證方法會在下拉式功能表中列出。
健全狀況檢查 URI 路徑
Unified Access Gateway 會連線至此 URI 路徑,以檢查您 Web 應用程式的健全狀況。
SAML SP
將 UAG 設定為用於 VMware Identity Manager 的驗證 Reverse Proxy 時需要此欄位。輸入 View XML API 代理之 SAML 服務提供者的名稱。此名稱必須符合使用 Unified Access Gateway 設定之服務提供者的名稱,或為特殊值 DEMO。如果使用 Unified Access Gateway 設定多個服務提供者,則其名稱必須是唯一的。
啟用代碼
輸入 VMware Identity Manager 服務所產生並匯入 Unified Access Gateway 以設定 VMware Identity Manager 與 Unified Access Gateway 之間信任的代碼。請注意,內部部署不需要啟用代碼。如需有關如何產生啟用代碼的詳細資料,請參閱《VMware Identity Manager 雲端部署》。
外部 URL
預設值為 Unified Access Gateway 主機 URL,連接埠 443。您可以輸入其他外部 URL。輸入為
https://<host:port>.
未受保護的模式
輸入已知的 VMware Identity Manager 重新導向模式。例如:
(/catalog-portal(.*)|/|/SAAS/|/SAAS|/SAAS/API/1.0/GET/image(.*)|/SAAS/horizon/css(.*)|/SAAS/horizon/angular(.*)|/SAAS/horizon/js(.*)|/SAAS/horizon/js-lib(.*)|/SAAS/auth/login(.*)|/SAAS/jersey/manager/api/branding|/SAAS/horizon/images/(.*)|/SAAS/jersey/manager/api/images/(.*)|/hc/(.*)/authenticate/(.*)|/hc/static/(.*)|/SAAS/auth/saml/response|/SAAS/auth/authenticatedUserDispatcher|/web(.*)|/SAAS/apps/|/SAAS/horizon/portal/(.*)|/SAAS/horizon/fonts(.*)|/SAAS/API/1.0/POST/sso(.*)|/SAAS/API/1.0/REST/system/info(.*)|/SAAS/API/1.0/REST/auth/cert(.*)|/SAAS/API/1.0/REST/oauth2/activate(.*)|/SAAS/API/1.0/GET/user/devices/register(.*)|/SAAS/API/1.0/oauth2/token(.*)|/SAAS/API/1.0/REST/oauth2/session(.*)|/SAAS/API/1.0/REST/user/resources(.*)|/hc/t/(.*)/(.*)/authenticate(.*)|/SAAS/API/1.0/REST/auth/logout(.*)|/SAAS/auth/saml/response(.*)|/SAAS/(.*)/(.*)auth/login(.*)|/SAAS/API/1.0/GET/apps/launch(.*)|/SAAS/API/1.0/REST/user/applications(.*)|/SAAS/auth/federation/sso(.*)|/SAAS/auth/oauth2/authorize(.*)|/hc/prepareSaml/failure(.*)|/SAAS/auth/oauthtoken(.*)|/SAAS/API/1.0/GET/metadata/idp.xml|/SAAS/auth/saml/artifact/resolve(.*)|/hc/(.*)/authAdapter(.*)|/hc/authenticate/(.*)|/SAAS/auth/logout|/SAAS/common.js|/SAAS/auth/launchInput(.*)|/SAAS/launchUsersApplication.do(.*)|/hc/API/1.0/REST/thinapp/download(.*)|/hc/t/(.*)/(.*)/logout(.*))
驗證 Cookie
輸入驗證 Cookie 名稱。例如:HZN
登入重新導向 URL
如果使用者從入口網站登出,請輸入重新導向 URL 以重新登入。例如:/SAAS/auth/login?dest=%s
Proxy 主機模式
外部主機名稱,用來檢查傳入主機以查看它是否符合該特定執行個體的模式。設定 Web Reverse Proxy 執行個體時,主機模式為選用。
主機項目
輸入要在 /etc/hosts 檔案中新增且以逗號區隔的主機項目清單。每個項目依序包括一個 IP、一個主機名稱和選用的主機名稱別名 (以空格區隔)。例如,10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias。
備註︰[未受保護的模式]、[驗證 Cookie] 和 [登入重新導向 URL] 選項僅在使用 VMware Identity Manager 時適用。此處提供的值也適用 Access Point 2.8 和 Unified Access Gateway 2.9。
備註︰「驗證 Cookie」和「未受保護的模式」內容對驗證 Reverse Proxy 而言無效。您必須使用「驗證方法」內容來定義驗證方法。
- 按一下儲存。
下一步
若要啟用身分識別橋接,請參閱設定身分識別橋接設定。