您可以設定 Web Reverse Proxy 服務以搭配使用 Unified Access GatewayVMware Identity Manager

必要條件

請注意,使用 VMware Identity Manager 部署具有下列需求:

  • 分割 DNS。主機名稱在外部應該會解析為 Unified Access Gateway 的 IP 位址。在內部的 Unified Access Gateway 上,相同的主機名稱應該會透過內部 DNS 對應或 Unified Access Gateway 上的主機名稱項目以解析為實際的 Web 伺服器。
    備註: 如果您僅使用 Web Reverse Proxy 部署,則不需要設定身分識別橋接。
  • VMware Identity Manager 服務必須以完整網域名稱 (FQDN) 作為主機名稱。
  • Unified Access Gateway 必須使用內部 DNS。這表示 Proxy 目的地 URL 必須使用 FQDN。
  • 如果 Unified Access Gateway 執行個體中有多個 Reverse Proxy 設定,則 Web Reverse Proxy 執行個體的 Proxy 模式和 Proxy 主機模式的組合必須是唯一的。
  • 所有已設定 Reverse Proxy 的主機名稱應解析為 Unified Access Gateway 執行個體之 IP 位址相同的 IP 位址。
  • 如需進階 Edge Service 設定的相關資訊,請參閱進階 Edge Service 設定

程序

  1. 在管理員 UI 的 [手動設定] 區段中,按一下選取
  2. 一般設定 > Edge Service 設定中,按一下顯示
  3. 按一下Reverse Proxy 設定齒輪圖示。
  4. 在 [Reverse Proxy 設定] 頁面中,按一下新增
  5. 在 [啟用 Reverse Proxy 設定] 區段,將變更為以啟用 Reverse Proxy。
  6. 設定下列 Edge Service 設定。
    選項 說明
    識別碼 Edge Service 識別碼會設定為 Web Reverse Proxy。
    執行個體 ID 用來從所有其他 Web Reverse Proxy 執行個體中識別和區分某個 Web Reverse Proxy 執行個體的唯一名稱。
    Proxy 目的地 URL 輸入 Web 應用程式的位址,這通常是後端 URL。例如,對於 VMware Identity Manager,在用戶端電腦上新增 IP 位址、VMware Identity Manager 主機名稱和外部 DNS。在管理員 UI 中,新增 IP 位址、VMware Identity Manager 主機名稱和內部 DNS。
    Proxy 目的地 URL 指紋 針對 proxyDestination URL,輸入可接受 SSL 伺服器憑證指紋的清單。如果您指定 *,則系統會接受任何憑證。指紋的格式為 [alg=]xx:xx,其中 alg 可以是預設值 sha1md5xx 為十六進位數字。「:」分隔符號可以是空格,或不使用。系統會忽略指紋中的大小寫。例如:

    sha1=B6 77 DC 9C 19 94 2E F1 78 F0 AD 4B EC 85 D1 7A F8 8B DC 34

    sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:be:78:ed:ff:50:23:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db

    如果未設定指紋,則必須由受信任的 CA 核發伺服器憑證。

    Proxy 模式 輸入轉送至目的地 URL 的相符 URI 路徑。例如,您可以輸入 (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*))
    備註: 當您設定多個 Reverse Proxy 時,請在 Proxy 主機模式中提供主機名稱。
  7. 若要設定其他進階設定,請按一下較多
    選項 說明
    驗證方法

    預設會使用使用者名稱和密碼的傳遞驗證。您在 Unified Access Gateway 中設定的驗證方法會在下拉式功能表中列出。支援 RSA SecurID、RADIUS,以及裝置憑證驗證方法。

    健全狀況檢查 URI 路徑 Unified Access Gateway 會連線至此 URI 路徑,以檢查您 Web 應用程式的健全狀況。
    SAML SP

    當您將 Unified Access Gateway 設定為 VMware Identity Manager 的已驗證 Reverse Proxy 時需要使用此選項。輸入 View XML API 代理之 SAML 服務提供者的名稱。此名稱必須符合使用 Unified Access Gateway 設定之服務提供者的名稱,或為特殊值 DEMO。如果使用 Unified Access Gateway 設定多個服務提供者,則其名稱必須是唯一的。

    外部 URL 預設值為 Unified Access Gateway 主機 URL,連接埠 443。您可以輸入其他外部 URL。輸入為 https://<host:port>.
    未受保護的模式 輸入已知的 VMware Identity Manager 重新導向模式。例如: (/|/catalog-portal(.*)|/|/SAAS/|/SAAS|/SAAS/API/1.0/GET/image(.*)|/SAAS/horizon/css(.*)|/SAAS/horizon/angular(.*)|/SAAS/horizon/js(.*)|/SAAS/horizon/js-lib(.*)|/SAAS/auth/login(.*)|/SAAS/jersey/manager/api/branding|/SAAS/horizon/images/(.*)|/SAAS/jersey/manager/api/images/(.*)|/hc/(.*)/authenticate/(.*)|/hc/static/(.*)|/SAAS/auth/saml/response|/SAAS/auth/authenticatedUserDispatcher|/web(.*)|/SAAS/apps/|/SAAS/horizon/portal/(.*)|/SAAS/horizon/fonts(.*)|/SAAS/API/1.0/POST/sso(.*)|/SAAS/API/1.0/REST/system/info(.*)|/SAAS/API/1.0/REST/auth/cert(.*)|/SAAS/API/1.0/REST/oauth2/activate(.*)|/SAAS/API/1.0/GET/user/devices/register(.*)|/SAAS/API/1.0/oauth2/token(.*)|/SAAS/API/1.0/REST/oauth2/session(.*)|/SAAS/API/1.0/REST/user/resources(.*)|/hc/t/(.*)/(.*)/authenticate(.*)|/SAAS/API/1.0/REST/auth/logout(.*)|/SAAS/auth/saml/response(.*)|/SAAS/(.*)/(.*)auth/login(.*)|/SAAS/API/1.0/GET/apps/launch(.*)|/SAAS/API/1.0/REST/user/applications(.*)|/SAAS/auth/federation/sso(.*)|/SAAS/auth/oauth2/authorize(.*)|/hc/prepareSaml/failure(.*)|/SAAS/auth/oauthtoken(.*)|/SAAS/API/1.0/GET/metadata/idp.xml|/SAAS/auth/saml/artifact/resolve(.*)|/hc/(.*)/authAdapter(.*)|/hc/authenticate/(.*)|/SAAS/auth/logout|/SAAS/common.js|/SAAS/auth/launchInput(.*)|/SAAS/launchUsersApplication.do(.*)|/hc/API/1.0/REST/thinapp/download(.*)|/hc/t/(.*)/(.*)/logout(.*)|/SAAS/auth/wsfed/services(.*)|/SAAS/auth/wsfed/active/logon(.*)))
    驗證 Cookie 輸入驗證 Cookie 名稱。例如:HZN
    登入重新導向 URL 如果使用者從入口網站登出,請輸入重新導向 URL 以重新登入。例如:/SAAS/auth/login?dest=%s
    Proxy 主機模式 外部主機名稱,用來檢查傳入主機以查看它是否符合該特定執行個體的模式。設定 Web Reverse Proxy 執行個體時,主機模式為選用。
    受信任的憑證 將受信任的憑證新增到此 Edge Service。按一下「+」來選取 PEM 格式的憑證,然後新增至信任存放區。按一下「-」可從信任存放區移除憑證。依預設,別名名稱是 PEM 憑證的檔案名稱。編輯別名文字方塊以提供不同的名稱。
    主機項目 輸入要在 /etc/hosts 檔案中新增的詳細資料。每個項目依序應包括一個 IP、一個主機名稱和一個選用的主機名稱別名 (以空格區隔)。例如,10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias。按一下「+」符號可新增多個主機項目。
    重要: 只有在按一下 儲存後,才會儲存主機項目。
    備註: 僅在使用 VMware Identity Manager 時才適用 UnSecure PatternAuth CookieLogin Redirect URL 選項。此處提供的值也適用於 Access Point 2.8 Unified Access Gateway 2.9。
    備註: 「驗證 Cookie」和「未受保護的模式」內容對驗證 Reverse Proxy 而言無效。您必須使用 Auth Methods 內容來定義驗證方法。
  8. 按一下儲存

後續步驟

若要啟用身分識別橋接,請參閱設定身分識別橋接設定