在後端應用程式中設定了 Kerberos 時,若要在 Unified Access Gateway 中設定身分識別橋接,您需要上傳身分識別提供者中繼資料和 Keytab 檔案,並設定 KCD 領域設定。
備註: 此版本的身分識別橋接可支援跨網域以及單一網域設定。這表示使用者和 SPN 帳戶可以位於不同的網域。
當身分識別橋接啟用了標頭式驗證時,則不需要 Keytab 設定和 KCD 領域設定。
設定身分識別橋接設定使用 Kerberos 驗證之前,請確定下列項目可供使用。
- 已設定身分識別提供者,且已儲存身分識別提供者的 SAML 中繼資料。SAML 中繼資料檔案會上傳至 Unified Access Gateway (僅適用於 SAML 案例)。
- 針對 Kerberos 驗證,一部已啟用 Kerberos 的伺服器,且包含用於識別所要使用金鑰發佈中心的領域名稱。
- 針對 Kerberos 驗證,將 Kerberos Keytab 檔案上傳至 Unified Access Gateway。Keytab 檔案包括 Active Directory 服務帳戶的認證,該帳戶已設定來代表網域中的任何使用者針對指定的後端服務來取得 Kerberos 票證。