設定 Unified Access Gateway 橋接功能,以便為使用憑證驗證的內部部署舊版非 SAML 應用程式提供單一登入 (SSO)。

必要條件

開始進行組態程序之前,請確定您可以使用下列檔案和憑證:

請參閱相關產品說明文件,以產生非 SAML 應用程式的根憑證和使用者憑證以及 Keytab 檔案。

請確保 TCP/UDP 連接埠 88 已開啟,因為 Unified Access Gateway 使用此連接埠來與 Active Directory 進行 Kerberos 通訊。

程序

  1. 驗證設定 > X509 憑證移至:
    1. 根憑證和中繼 CA 憑證中,按一下選取並上傳整個憑證鏈結。
    2. 啟用憑證撤銷中,將設定切換為
    3. 選取啟用 OCSP 撤銷的核取方塊。
    4. OCSP URL 文字方塊中,輸入 OCSP 回應者 URL。
      Unified Access Gateway 會將 OCSP 要求傳送至指定的 URL,並接收包含指出憑證是否已撤銷之相關資訊的回應。
    5. 僅在需要將 OCSP 要求傳送至用戶端憑證中的 OCSP URL 時,才應選取使用來自憑證的 OCSP URL 核取方塊。如果未啟用此設定,則預設為 OCSP URL 文字方塊中的值。
      Cert-to-Kerberos - X509 憑證
  2. 進階設定 > 身分識別橋接設定 > OSCP 設定中,按一下新增
    1. 按一下選取並上傳 OCSP 簽署憑證。
  3. 選取領域設定齒輪圖示並依照設定領域設定中所述設定領域設定。
  4. 一般設定 > Edge Service 設定,選取 Reverse Proxy 設定齒輪圖示。
  5. 啟用身分識別橋接設定設為,接著設定下列身分識別橋接設定,然後按一下儲存
    為 Cert-to-Kerberos 啟用身分識別橋接設定
    選項 說明
    驗證類型 從下拉式功能表中選取 CERTIFICATE。
    Keytab 在下拉式功能表中,選取針對此 Reverse Proxy 設定的 Keytab。
    目標服務主體名稱 輸入 Kerberos 服務主體名稱。每個主體一律使用完整領域名稱。例如,myco_hostname@MYCOMPANY。以大寫字母輸入領域名稱。如果您不新增名稱至文字方塊,則服務主體名稱會衍生自 Proxy 目的地 URL 的主機名稱。
    使用者標頭名稱 針對標頭式驗證,輸入包含衍生自判斷提示之使用者 ID 的 HTTP 標頭名稱,或使用預設值 AccessPoint-User-ID。

下一步

當您使用 Workspace ONE Web 存取目標網站時,目標網站將會作為 Reverse Proxy。Unified Access Gateway 會驗證提供的憑證。如果憑證有效,則瀏覽器會顯示後端應用程式的使用者介面頁面。

如需特定的錯誤訊息和疑難排解資訊,請參閱疑難排解錯誤:身分識別橋接