必須在 VMware Identity Manager 服務上設定憑證 Proxy 設定才能管理 Android 行動 SSO 要求。

先決條件

  • 已正確設定負載平衡器。

  • 已將憑證上傳至 VMware Identity Manager 服務。

  • 正在執行憑證 Proxy 服務的 Linux 版 VMware Identity Manager

程序

  1. 登入 VMware Identity Manager 主控台,然後選取應用裝置設定索引標籤。
  2. 按一下行動 SSO
  3. 設定 VMware Identity Manager 服務 Android 行動 SSO 要求的憑證 Proxy 設定。

    選項

    說明

    強制目的地

    選取強制目的地後,必須在 [目的地] 文字方塊中提供單一主機名稱或 IP 位址。系統會將所有 Android SSO 要求傳送至該目的地。此目的地為負載平衡器或 localhost,視 VMware Identity Manager 組態而定。

    目的地

    如果已啟用 [強制目的地],請輸入要使用的主機名稱或 IP 位址。

    如果未選取 [強制目的地],請輸入可接收 Android SSO 要求之已核准目的地的白名單。您可以使用 CIDR 格式的分號、以空格分隔的子網路格式或單一 IP 來分隔清單中的位址。

    所有 RemotePort 標頭

    啟用從負載平衡器使用 RemotePort 標頭。從 Proxy 到 Identity Manager 服務之要求的來源連接埠號碼已新增至標頭。

    連線中需要 RemotePort 標頭才能告知接收節點呼叫位置以取得憑證。

    接受 RemotePort 來源

    輸入可包含 RemotePort 標頭之已核准位址的白名單。

    您可以使用 CIDR 格式的分號、以空格分隔的子網路格式或單一 IP 來分隔清單中的位址。

  4. 確認憑證 Proxy 金鑰憑證 Proxy 金鑰 (Identity Manager) 的雜湊值是否相同。檢查組態檔 cert-proxy.properties 和 runtime-config.properties。

    這兩個文字方塊會預先填入憑證 Proxy 服務和 VMware Identity Manager 服務的憑證金鑰雜湊值。

    雜湊必須相符。如果雜湊不相符,則必須將其中一個服務的值複製到另一個服務,以解決組態檔中的問題。

  5. 透過 VMware Identity Manager 服務設定 Android SSO 的憑證 Proxy 組態。

    選項

    說明

    連接埠

    針對憑證 Proxy 通常會設定兩個連接埠。

    連接埠 5262 用於接收來自 Android 裝置的外部要求。

    連接埠 5263 用於接收來自 VMware Identity Manager 服務的內部管理員要求。

    管理連接埠

    如果 [連接埠] 文字方塊中設定的連接埠號碼即為針對憑證從 VMware Identity Manager 服務接收內部要求的連接埠,請啟用管理連接埠。連接埠通常為 5263。

    如果此連接埠並非用於接收內部要求,請勿啟用此選項按鈕。

    SSL 憑證類型

    Android SSO 憑證 Proxy 是 Identity Manager 機器上的獨立服務。選取傳遞以重複使用在 [應用裝置設定] > [安裝 SSL 憑證] 頁面中針對 VMware Identity Manager 佈建的傳遞憑證。如果需要不同的憑證,請選取自訂並在 SSL 憑證鏈結文字方塊中上傳憑證。

  6. 若要設定其他連接埠,請按一下新增連接埠,然後如步驟 5 中所述進行設定。
  7. 若要儲存連接埠組態,請按一下儲存
  8. 在此頁面上進行影響憑證的變更時,請按一下頁面頂部的重新啟動憑證 Proxy 服務

    按一下 [重新啟動憑證 Proxy 服務] 後,可能需要重新啟動 VMware Identity Manager 服務。

下一步

在每個節點上設定憑證 Proxy 服務。如果在第一個機器上設定憑證 Proxy 服務,則當您複製應用裝置上的 Identity Manager 服務或複製 Windows 機器上的檔案時,將一併設定多數的 Proxy 設定。若要確認是否正確設定憑證 Proxy 設定,您可以檢查 runtime-config.properties 檔案