啟用身分識別橋接,設定服務的外部主機名稱,並下載 Unified Access Gateway 服務提供者中繼資料檔案。
此中繼資料檔案會上傳至 VMware Identity Manager 服務中的 Web 應用程式組態頁面。
必要條件
您必須已在 Unified Access Gateway 管理主控台上設定下列身分識別橋接設定。您可以在進階設定區段下找到這些設定。
- 身分識別提供者中繼資料已上傳至 Unified Access Gateway。
- 已設定 Kerberos 主體名稱,並已將 Keytab 檔案上傳至 Unified Access Gateway。
- 領域名稱和金鑰發佈中心資訊。
請確保 TCP/UDP 連接埠 88 已開啟,因為 Unified Access Gateway 使用此連接埠來與 Active Directory 進行 Kerberos 通訊。
程序
- 在管理員 UI 的手動設定區段中,按一下選取。
- 在一般設定 > Edge Service 設定行中,按一下顯示。
- 按一下Reverse Proxy 設定齒輪圖示。
- 在 Reverse Proxy 設定頁面中按一下新增,以建立 Proxy 設定。
- 將啟用 Reverse Proxy 設定設為 [是],並設定下列 Edge Service 設定。
選項 說明 識別碼 Edge Service 識別碼會設定為 Web Reverse Proxy。 執行個體 ID Web Reverse Proxy 執行個體的唯一名稱。 Proxy 目的地 URL 指定 Web 應用程式的內部 URI。Unified Access Gateway 必須可以解析和存取此 URL。 Proxy 目的地 URL 指紋 輸入 URI 以符合此 Proxy 設定。指紋的格式為 [alg=]xx:xx,其中 alg 可以是 sha1 (預設值) 或 md5。「xx」為十六進位數字。例如,sha=C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3。 如果未設定指紋,則必須由受信任的 CA 核發伺服器憑證。
Proxy 模式 輸入轉送至目的地 URL 的相符 URI 路徑。例如,您可以輸入 (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*))。 注意:當您設定多個 Reverse Proxy 時,請在 Proxy 主機模式中提供主機名稱
- 若要設定其他進階設定,請按一下較多。
選項 說明 驗證方法 預設會使用使用者名稱和密碼的傳遞驗證。您在 Unified Access Gateway 中設定的驗證方法會在下拉式功能表中列出。支援 RSA SecurID、RADIUS,以及裝置憑證驗證方法。
健全狀況檢查 URI 路徑 Unified Access Gateway 會連線至此 URI 路徑,以檢查您 Web 應用程式的健全狀況。 SAML SP 當您將 Unified Access Gateway 設定為 VMware Identity Manager 的已驗證 Reverse Proxy 時需要使用此選項。輸入 View XML API 代理之 SAML 服務提供者的名稱。此名稱必須符合使用 Unified Access Gateway 設定之服務提供者的名稱,或為特殊值 DEMO。如果使用 Unified Access Gateway 設定多個服務提供者,則其名稱必須是唯一的。
外部 URL 預設值為 Unified Access Gateway 主機 URL,連接埠 443。您可以輸入其他外部 URL。輸入為 https://<host:port>.
未受保護的模式 輸入已知的 VMware Identity Manager 重新導向模式。例如: (/|/catalog-portal(.*)|/|/SAAS/|/SAAS|/SAAS/API/1.0/GET/image(.*)|/SAAS/horizon/css(.*)|/SAAS/horizon/angular(.*)|/SAAS/horizon/js(.*)|/SAAS/horizon/js-lib(.*)|/SAAS/auth/login(.*)|/SAAS/jersey/manager/api/branding|/SAAS/horizon/images/(.*)|/SAAS/jersey/manager/api/images/(.*)|/hc/(.*)/authenticate/(.*)|/hc/static/(.*)|/SAAS/auth/saml/response|/SAAS/auth/authenticatedUserDispatcher|/web(.*)|/SAAS/apps/|/SAAS/horizon/portal/(.*)|/SAAS/horizon/fonts(.*)|/SAAS/API/1.0/POST/sso(.*)|/SAAS/API/1.0/REST/system/info(.*)|/SAAS/API/1.0/REST/auth/cert(.*)|/SAAS/API/1.0/REST/oauth2/activate(.*)|/SAAS/API/1.0/GET/user/devices/register(.*)|/SAAS/API/1.0/oauth2/token(.*)|/SAAS/API/1.0/REST/oauth2/session(.*)|/SAAS/API/1.0/REST/user/resources(.*)|/hc/t/(.*)/(.*)/authenticate(.*)|/SAAS/API/1.0/REST/auth/logout(.*)|/SAAS/auth/saml/response(.*)|/SAAS/(.*)/(.*)auth/login(.*)|/SAAS/API/1.0/GET/apps/launch(.*)|/SAAS/API/1.0/REST/user/applications(.*)|/SAAS/auth/federation/sso(.*)|/SAAS/auth/oauth2/authorize(.*)|/hc/prepareSaml/failure(.*)|/SAAS/auth/oauthtoken(.*)|/SAAS/API/1.0/GET/metadata/idp.xml|/SAAS/auth/saml/artifact/resolve(.*)|/hc/(.*)/authAdapter(.*)|/hc/authenticate/(.*)|/SAAS/auth/logout|/SAAS/common.js|/SAAS/auth/launchInput(.*)|/SAAS/launchUsersApplication.do(.*)|/hc/API/1.0/REST/thinapp/download(.*)|/hc/t/(.*)/(.*)/logout(.*)|/SAAS/auth/wsfed/services(.*)|/SAAS/auth/wsfed/active/logon(.*)))
驗證 Cookie 輸入驗證 Cookie 名稱。例如:HZN 登入重新導向 URL 如果使用者從入口網站登出,請輸入重新導向 URL 以重新登入。例如:/SAAS/auth/login?dest=%s Proxy 主機模式 外部主機名稱,用來檢查傳入主機以查看它是否符合該特定執行個體的模式。設定 Web Reverse Proxy 執行個體時,主機模式為選用。 受信任的憑證 將受信任的憑證新增到此 Edge Service。按一下「+」來選取 PEM 格式的憑證,然後新增至信任存放區。按一下「-」可從信任存放區移除憑證。依預設,別名名稱是 PEM 憑證的檔案名稱。編輯別名文字方塊以提供不同的名稱。 回應安全性標頭 按一下「+」可新增標頭。輸入安全性標頭的名稱。輸入值。按一下「-」可移除標頭。編輯現有的安全性標頭,以更新標頭的名稱和值。 重要: 在您按一下 儲存後,才會儲存標頭名稱和值。 依預設會顯示部分標準安全性標頭。僅在已設定後端伺服器的回應中沒有對應的標頭存在時,才會將已設定標頭新增至用戶端的 Unified Access Gateway 回應。備註: 請謹慎修改安全性回應標頭。修改這些參數可能會影響到 Unified Access Gateway 的安全運作。主機項目 輸入要在 /etc/hosts 檔案中新增的詳細資料。每個項目依序應包括一個 IP、一個主機名稱和一個選用的主機名稱別名 (以空格區隔)。例如,10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias。按一下「+」符號可新增多個主機項目。 重要: 只有在按一下 儲存後,才會儲存主機項目。 - 在 [啟用身分識別橋接] 區段中,將否變更為是。
- 設定下列身分識別橋接設定。
選項 說明 驗證類型 選取 SAML。 SAML 屬性 傳遞作為要求標頭的 SAML 屬性清單。僅在啟用身分識別橋接設定為是,且驗證類型設定為 SAML 時,才會顯示此選項。按一下「+」可將 SAML 屬性新增為標頭的一部分。 身分識別提供者 從下拉式功能表選取身分識別提供者。 Keytab 在下拉式功能表中,選取針對此 Reverse Proxy 設定的 Keytab。 目標服務主體名稱 輸入 Kerberos 服務主體名稱。每個主體一律使用完整領域名稱。例如,myco_hostname@MYCOMPANY。以大寫字母輸入領域名稱。如果您不新增名稱至文字方塊,則服務主體名稱會衍生自 Proxy 目的地 URL 的主機名稱。 服務登陸頁面 輸入在驗證聲明後將使用者重新導向至身分識別提供者的頁面。預設設定為 /
。使用者標頭名稱 針對標頭式驗證,輸入包含衍生自聲明之使用者 ID 的 HTTP 標頭名稱。 - 在 [下載 SP 中繼資料] 區段中,按一下下載。
儲存服務提供者中繼資料檔案。
- 按一下儲存。
後續步驟
將 Unified Access Gateway 服務提供者中繼資料檔案新增至 VMware Identity Manager 服務中的 Web 應用程式組態頁面。