Créez une passerelle d'application dans IAM, ajoutez des hôtes et associez-les à des applications d'entreprise que la passerelle d'application protège.
Une partie de la configuration de la passerelle d'application consiste à inscrire la passerelle d'application dans IAM avec les actions suivantes :
- Définition des identificateurs d'hôte. Chaque identificateur d'hôte représente un nom de domaine et un numéro de port que la passerelle d'application utilise comme proxy pour l'application d'entreprise.
- Associer une application d'entreprise existante à un identificateur d'hôte.
Vous utilisez l'ID client et la clé secrète client de la passerelle d'application que vous créez lorsque vous configurez le serveur de passerelle d'application. Reportez-vous à Configuration de la passerelle d'application.
Vous devez disposer du rôle d'administrateur de domaine d'identité ou d'administrateur de sécurité.
-
Sur la page de liste Passerelles d'application, sélectionnez Créer une recette cible. Si vous avez besoin d'aide pour trouver la page Passerelles d'application, reportez-vous à Liste des passerelles d'application.
Le panneau Créer une recette cible s'ouvre.
-
Entrez le nom de la passerelle d'application et, éventuellement, une description.
-
Sélectionnez Ajouter une passerelle d'application.
-
Sur la page Ajouter des hôtes, sélectionnez Ajouter un hôte.
-
Dans Identificateur d'hôte, entrez un nom.
-
Entrez les valeurs Hôte et Port que le serveur de passerelle d'application utilise pour répondre aux demandes HTTP.
-
Pour que la passerelle d'application écoute les demandes HTTP en mode sécurisé (HTTPS), sélectionnez SSL activé.
Pour que la passerelle d'application écoute uniquement les demandes HTTP non sécurisées, ne cochez pas la case.
-
Si vous sélectionnez SSL activé, vous pouvez éventuellement ajouter d'autres propriétés pour spécifier la paire de clés de certificat utilisée par le serveur de passerelle d'application, ainsi que les protocoles et les chiffrements pour SSL, tels que les exemples suivants :
ssl_certificate /usr/local/example.com.rsa.crt;
ssl_certificate_key /usr/local/example.com.rsa.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!aNULL:!MD5;
-
Sélectionnez Ajouter un hôte.
-
Sélectionnez Suivant.
-
Sélectionnez Ajouter des applications.
L'image suivante présente les correspondances que vous pouvez configurer entre la passerelle d'application et l'application d'entreprise :
-
Application : sélectionnez l'application d'entreprise à protéger avec cette passerelle d'application.
Remarque
Le statut de l'application d'entreprise doit être Actif.
-
Sélectionner un hôte : sélectionnez l'identificateur d'hôte que la passerelle d'application utilise comme proxy pour l'application d'entreprise.
-
Préfixe de ressource : entrez le préfixe d'URL utilisé par la passerelle d'application comme proxy pour l'application d'entreprise. Par exemple, pour que chaque demande après le chemin racine soit transmise à l'application d'entreprise, utilisez
/ .
Vous pouvez affecter de nombreuses applications d'entreprise à la même passerelle d'application.
Assurez-vous que la valeur du préfixe de ressource est différente pour chaque application. Par exemple, si http://myapp.internal.example.com:3266/myapp1/page.jsp et http://myapp.internal.example.com:6355/myapp2/page.jsp sont accessibles via l'URL de passerelle d'application http://myappgateway.example.com:4443/, entrez /myapp1 en tant que préfixe de ressource lors de l'inscription de l'application 1 et /myapp2 en tant que préfixe de ressource lors de l'inscription de l'application 2.
-
Serveur d'origine : URL de base à laquelle l'application est hébergée. Si l'application n'est pas accessible directement via un proxy Web, entrez l'URL du proxy Web.
-
Propriétés supplémentaires : ajoutez d'autres propriétés pour fournir plus de configuration pour l'application. Les valeurs indiquées dans le champ sont des instructions ou des directives NGINX qui font partie du bloc d'emplacement dans
nginx.conf. Par exemple :
- Si les applications protégées doivent effectuer des réacheminements supplémentaires ou accéder aux ressources après authentification auprès de la passerelle d'application, vous pouvez utiliser ce champ pour remplir l'en-tête d'hôte avec une valeur correcte et le transmettre à l'application.
Par exemple, si un utilisateur accède à l'application via https://myappgateway.example.com:4443/home, le navigateur transmet l'en-tête d'hôte à la passerelle d'application avec la valeur définie Host: myappgateway.example.com:4443. Cette valeur est transmise par la passerelle d'application à l'application en aval. Pour ce faire, ajoutez l'une des valeurs suivantes en tant que propriétés supplémentaires :
proxy_set_header host "myappgateway.example.com:4443";
ou
proxy_set_header host $http_host;
$http_host est une variable et sa valeur est renseignée avec l'en-tête d'hôte que la passerelle d'application reçoit du navigateur ou d'un client.
Remarque
S'il existe des équilibreurs de charge derrière la passerelle d'application, il incombe à l'équilibreur de charge de transmettre l'en-tête d'hôte réel à la passerelle d'application afin que $http_host soit renseigné avec la valeur correcte et que la passerelle d'application puisse le transmettre à l'application.
-
Si l'application est accessible via un proxy Web, utilisez la commande suivante :
proxy_set_header host "myapp.internal.example.com";
"myapp.internal.example.com" est le nom du domaine dans lequel l'application est hébergée, également appelé serveur d'origine.
Dans ce cas, la passerelle d'application ne peut pas transmettre l'en-tête d'hôte reçu du navigateur ou d'un autre client, et les applications ne peuvent plus effectuer de réacheminement à l'aide de la passerelle d'application.
-
Sélectionnez Ajouter une application.
-
Sélectionnez Fermer.
-
Sur la page de détails de la passerelle d'application, notez la valeur de l'ID client et de la clé secrète client, que vous utilisez lorsque vous configurez le serveur de passerelle d'application.