為 Workspace ONE Access 設定憑證 Proxy (僅限內部部署)

必須在 Workspace ONE Access 服務上設定憑證 Proxy 設定才能管理 Android 行動 SSO 要求。

必要條件

只有用於 Android 行動 SSO 驗證的 Workspace ONE Access 內部部署，才需要設定憑證 Proxy。

已正確設定負載平衡器。
已將憑證上傳至 Workspace ONE Access 服務。
憑證 Proxy 服務正在 Workspace ONE Access 應用裝置中執行。

程序

登入 Workspace ONE Access 主控台，然後導覽至監控 > 復原能力頁面。
在要設定憑證 Proxy 的服務節點上，按一下 VA 組態。
按一下行動 SSO。

啟用憑證 Proxy，並設定 CertProxy 設定，以將 Android 行動 SSO 要求導向至 Workspace ONE Access 服務。

選項	說明
強制目的地	選取強制目的地後，必須在 [目的地] 文字方塊中提供單一主機名稱或 IP 位址。系統會將所有 Android SSO 要求傳送至該目的地。此目的地為負載平衡器或本機主機，此視 Workspace ONE Access 組態而定。
目的地	如果已啟用強制目的地，請輸入要使用的主機名稱或 IP 位址。如果未選取 [強制目的地]，請輸入可接收 Android SSO 要求之已核准目的地的允許清單。您可以使用 CIDR 格式的分號、以空格分隔的子網路格式或單一 IP 來分隔清單中的位址。
遠端 IP 來源	從清單中，選取用來從 HTTP 要求取得 CertProxy 執行個體 IP 的來源。如果負載平衡器位於憑證 Proxy 和 Workspace ONE Access 執行個體之間，請使用 X-forwarded-For 標頭或 X-Real-Ip 標頭。如果 CertProxy 會直接與 Workspace ONE Access 通訊，請使用要求遠端位址。
負載平衡器數目	如果 [遠端 IP 來源] 值為 X-Forwarded-For，請輸入 CertProxy 服務與 Workspace ONE Access 執行個體之間的負載平衡器數目。
憑證 Proxy 執行個體允許清單	設定 CertProxy 允許清單，以包含有權接收驗證要求的 IP 位址。輸入 CertProxy 執行個體的 IP 位址 (以分號分隔)，可以採用 CIDR 格式、以空格分隔的子網路格式，或是單一 IP。如果將目的地設定為本機主機，請將本機主機 IP 位址新增至清單。這通常是 127.0.0.1。

確認憑證 Proxy 金鑰和憑證 Proxy 金鑰 (Identity Manager) 的雜湊值是否相同。檢查組態檔 cert-proxy.properties 和 runtime-config.properties。
這兩個文字方塊會預先填入憑證 Proxy 服務和 Workspace ONE Access 服務的憑證金鑰雜湊值。

雜湊必須相符。如果雜湊不相符，請將組態檔其中一個服務的值，複製到其他服務。

透過 Workspace ONE Access 服務設定 Android SSO 的憑證 Proxy 組態。

選項	說明
連接埠	針對憑證 Proxy 通常會設定兩個連接埠。連接埠 5262 用於接收來自 Android 裝置的外部要求。連接埠 5263 用於接收來自 Workspace ONE Access 服務的內部管理員要求。
管理連接埠	如果 [連接埠] 文字方塊中設定的連接埠號碼即為針對憑證從 Workspace ONE Access 服務接收內部要求的連接埠，請啟用管理連接埠。連接埠通常為 5263。如果此連接埠並非用於接收內部要求，請勿啟用此選項按鈕。
SSL 憑證類型	Android SSO 憑證 Proxy 是 Workspace ONE Access 應用裝置上的一項獨立服務。選取傳遞以重複使用在 [應用裝置設定] > [安裝 SSL 憑證] 頁面中針對 Workspace ONE Access 佈建的傳遞憑證。如果需要不同的憑證，請選取自訂並在 SSL 憑證鏈結文字方塊中上傳憑證。

選項

說明

連接埠

針對憑證 Proxy 通常會設定兩個連接埠。

連接埠 5262 用於接收來自 Android 裝置的外部要求。

連接埠 5263 用於接收來自 Workspace ONE Access 服務的內部管理員要求。

管理連接埠

如果 [連接埠] 文字方塊中設定的連接埠號碼即為針對憑證從 Workspace ONE Access 服務接收內部要求的連接埠，請啟用管理連接埠。連接埠通常為 5263。

如果此連接埠並非用於接收內部要求，請勿啟用此選項按鈕。

SSL 憑證類型

Android SSO 憑證 Proxy 是 Workspace ONE Access 應用裝置上的一項獨立服務。選取傳遞以重複使用在 [應用裝置設定] > [安裝 SSL 憑證] 頁面中針對 Workspace ONE Access 佈建的傳遞憑證。如果需要不同的憑證，請選取自訂並在 SSL 憑證鏈結文字方塊中上傳憑證。

若要設定其他連接埠，請按一下新增連接埠，然後如步驟 6 中所述進行設定。
若要儲存連接埠組態，請按一下儲存。
在此頁面上進行影響憑證的變更時，請按一下頁面頂部的重新啟動憑證 Proxy 服務。
按一下 [重新啟動憑證 Proxy 服務] 後，可能需要重新啟動 Workspace ONE Access 服務。

下一步

在每個節點上設定憑證 Proxy 服務。如果已在第一個應用裝置上設定了憑證 Proxy 服務，當您在應用裝置上複製 Workspace ONE Access 服務時，大多數 Proxy 設定均已設定妥當。若要確認是否正確設定憑證 Proxy 設定，您可以檢查 runtime-config.properties 檔案。