Créez une passerelle d'application dans IAM, ajoutez des hôtes et associez chaque hôte aux applications d'entreprise, que la passerelle d'application protège.
Une partie de la configuration de la passerelle d'application consiste à enregistrer la passerelle d'application dans IAM avec les actions suivantes :
- définition des codes d'hôte; Chaque identificateur d'hôte représente un nom de domaine et un numéro de port que la passerelle d'application utilise pour mandataire l'application d'entreprise.
- Association d'une application d'entreprise existante à un identificateur d'hôte.
Vous utilisez l'ID client et la clé secrète client à partir de la passerelle d'application que vous créez lorsque vous configurez le serveur de passerelle d'application. Voir Configuration de la passerelle d'application.
Vous devez être doté du rôle Administrateur de domaine d'identité ou Administrateur de la sécurité.
-
Dans la page de liste Passerelles d'application, sélectionnez Créer une recette cible. Si vous avez besoin d'aide pour trouver la page Passerelles d'application, voir Liste des passerelles d'application.
Le panneau Créer une recette cible s'ouvre.
-
Entrez un nom pour la passerelle d'application et une description facultative.
-
Sélectionnez Ajouter une passerelle d'application.
-
Dans la page Ajouter des hôtes, sélectionnez Ajouter un hôte.
-
Pour Identificateur d'hôte, entrez un nom.
-
Entrez les valeurs d'hôte et de port que le serveur de la passerelle d'application utilise pour répondre aux demandes HTTP.
-
Pour que la passerelle d'application écoute les demandes HTTP en mode sécurisé (HTTPS), sélectionnez SSL activé.
Pour que la passerelle d'application écoute uniquement les demandes HTTP non sécurisées, laissez la case vide.
-
Si vous sélectionnez SSL Enabled (SSL activé), vous pouvez éventuellement ajouter d'autres propriétés pour spécifier la paire de clés de certificat utilisée par le serveur de passerelle d'application, ainsi que des protocoles et des chiffrements pour SSL, tels que les exemples suivants :
ssl_certificate /usr/local/example.com.rsa.crt;
ssl_certificate_key /usr/local/example.com.rsa.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!aNULL:!MD5;
-
Sélectionnez Ajouter un hôte.
-
Sélectionnez Suivant.
-
Sélectionnez Ajouter des applications.
L'image suivante présente les mappages que vous configurez entre la passerelle d'application et votre application d'entreprise :
-
Application : Sélectionnez l'application d'entreprise que vous voulez protéger avec cette passerelle d'application.
Note
L'application d'entreprise doit avoir le statut Actif.
-
Sélectionner un hôte : Sélectionnez l'identificateur d'hôte sur lequel la passerelle d'application mandate l'application d'entreprise.
-
Préfixe de ressource : Entrez le préfixe d'URL utilisé par la passerelle d'application pour mandater l'application d'entreprise. Par exemple, pour que chaque demande après le chemin d'accès racine soit transférée vers l'application d'entreprise, utilisez
/ .
Vous pouvez affecter de nombreuses applications d'entreprise à la même passerelle d'application.
Assurez-vous que la valeur du préfixe de ressource est différente pour chaque application. Par exemple, si vous avez http://myapp.internal.example.com:3266/myapp1/page.jsp et http://myapp.internal.example.com:6355/myapp2/page.jsp, tous deux accessibles au moyen de l'URL de la passerelle d'application http://myappgateway.example.com:4443/, entrez /myapp1 comme préfixe de ressource lorsque vous enregistrez l'application 1 et /myapp2 comme préfixe de ressource lorsque vous enregistrez l'application 2.
-
Serveur d'origine : Il s'agit de l'URL de base où l'application est hébergée. Si l'application n'est pas directement accessible mais accessible au moyen d'un mandataire Web, entrez l'URL du mandataire Web.
-
Propriétés supplémentaires : Ajoutez d'autres propriétés pour fournir une configuration supplémentaire à l'application. Les valeurs spécifiées dans le champ sont les directives NGINX ou les énoncés qui font partie du bloc d'emplacement dans
nginx.conf. Exemples :
- Si les applications protégées doivent effectuer d'autres réacheminements ou accéder aux ressources après une authentification réussie auprès de la passerelle d'application, vous pouvez utiliser ce champ pour alimenter l'en-tête de l'hôte avec une valeur correcte et le transmettre à l'application.
Par exemple, si un utilisateur accède à l'application à l'aide de https://myappgateway.example.com:4443/home, le navigateur transmet l'en-tête de l'hôte à la passerelle d'application avec la valeur réglée à Host: myappgateway.example.com:4443. Cette valeur est transmise par la passerelle d'application à l'application en aval. Pour ce faire, ajoutez l'une des valeurs suivantes en tant que propriétés supplémentaires :
proxy_set_header host "myappgateway.example.com:4443";
ou
proxy_set_header host $http_host;
$http_host est une variable et sa valeur est alimentée avec l'en-tête d'hôte que la passerelle d'application reçoit du navigateur ou d'un client.
Note
Si des équilibreurs de charge se trouvent derrière la passerelle d'application, c'est à l'équilibreur de charge de transférer l'en-tête d'hôte réel à la passerelle d'application afin que $http_host soit alimenté avec la valeur correcte et que la passerelle d'application puisse la transmettre à l'application.
-
Si l'application est accessible via un proxy Web, utilisez la commande suivante :
proxy_set_header host "myapp.internal.example.com";
"myapp.internal.example.com" est le nom du domaine où l'application est hébergée, également appelé serveur d'origine.
Dans ce cas, la passerelle d'application ne peut pas transmettre l'en-tête d'hôte reçu à partir du navigateur ou d'un autre client et les applications ne peuvent pas réorienter davantage à l'aide de la passerelle d'application.
-
Sélectionnez Ajouter une application.
-
Sélectionnez Fermer.
-
Dans la page des détails de la passerelle d'application, notez la valeur de l'ID client et de la clé secrète client, que vous utilisez lorsque vous configurez le serveur de passerelle d'application.