Erstellen eines Anwendungs-Gateways

Online bearbeiten

Ein Application Gateway ist ein Web-Reverse-Proxy, den Sie so konfigurieren können, dass er als Einstiegspunkt für Ihre bestehenden Anwendungen dient. Es bietet Authentifizierungs- und Autorisierungsfunktionen, ohne dass kostspielige Änderungen oder Erweiterungen an den zu schützenden Anwendungen erforderlich sind.

Vorbereitende Schritte

  • Zur Ausführung dieser Task müssen Sie über Verwaltungsberechtigung verfügen.

Informationen zu dieser Task

Im Entwurfsmodus können Sie jede der veränderbaren Einstellungen ändern. Nachdem Sie das Gateway bereitgestellt haben, um Einstellungen zu ändern, klicken Sie auf Anwendungen > Anwendungsgateway > Anwendungsname > Konfiguration und scrollen Sie nach unten zu Bearbeiten.

Vorgehensweise

  1. Melden Sie sich als Administrator an IBM® Verify und navigieren Sie zu Anwendungen > Application Gateway.
  2. Klicken Sie auf Anwendungs-Gateway erstellen und geben Sie die allgemeinen Details an.
    Tipp: Der Name darf keine Leerzeichen oder Sonderzeichen enthalten. Sie können Bindestriche und Unterstriche verwenden.

    Der primäre Hostname entspricht dem DNS-auflösbaren Namen, über den das Gateway erreicht wird. Beispiel: myapp-gateway.com.

  3. Optional: Wählen Sie „Ja“, um die Berichterstattung zum Zustand der Agenten zu aktivieren.
    Mit dieser Option wird IBM Verify zum zentralen Verwaltungs- und Überwachungspunkt für die vor Ort installierte IAG-Laufzeitumgebung.
  4. Klicken Sie auf Weiter.
  5. Sicherheit konfigurieren
    Sensible Daten innerhalb der Konfiguration werden verschlüsselt. Wenn kein Verschlüsselungscode angegeben wird, wird automatisch einer generiert.
    • Wenn ein Verschlüsselungsschlüssel automatisch generiert wird, wird der öffentliche Schlüssel in der Konfiguration von Application Gateway gespeichert. Der private Schlüssel wird generiert, nachdem Sie auf Erstellen geklickt haben. Der private Schlüssel wird nicht gespeichert und steht nur für einen einmaligen Download zur Verfügung. Der private Schlüssel muss separat gespeichert und in der Umgebung, in der das Gateway läuft, verfügbar gemacht werden.
    • Wenn Sie Ihre eigenen Verschlüsselungsschlüssel bereitstellen möchten, wählen Sie Schlüssel hochladen und folgen Sie den Anweisungen.
  6. Klicken Sie auf Weiter.
  7. Wählen Sie die Serverprotokolle aus, die Sie verwenden möchten, und klicken Sie auf Weiter.
  8. Wählen Sie die Art der TLS-Zertifikate (Transport Layer Security), die Sie verwenden möchten, entweder Front-End- oder vertrauenswürdige Zertifikate.
    Front-End-Zertifikate sichern die Kommunikation zwischen dem Browser eines Benutzers und dem Server einer Website.
    • Wählen Sie Zertifikate generieren, um die selbstsignierten Zertifikate zu verwenden, die vom Anwendungs-Gateway generiert werden.
    • Wählen Sie Zertifikate hochladen und geben Sie den Dateinamen des privaten Schlüssels an. Laden Sie dann das öffentliche Zertifikat hoch. Beide müssen im Format .pem vorliegen.
    Für vertrauenswürdige Zertifikate ist ein Unterzeichnerzertifikat erforderlich. Laden Sie ein öffentliches Zertifikat im Format .pem hoch.
  9. Aktivieren Sie die erweiterten Hostname-Einstellungen und befolgen Sie die Anweisungen.
  10. Klicken Sie auf Erstellen.
  11. Laden Sie den privaten Schlüssel herunter und speichern Sie ihn.
    Der private Schlüssel wird nicht gespeichert und steht nur für einen einmaligen Download zur Verfügung.
  12. Optional: Bearbeiten Sie die Containereinstellungen.
  13. Fügen Sie einen OpenID connect-Anbieter hinzu.
    Geben Sie die Konfigurationseinstellungen ein und fahren Sie mit dem Assistenten fort.
    Hinweis: Wenn Sie IBM Verify als Anbieter auswählen, wird automatisch ein Antrag erstellt und die Basisdaten werden vorausgefüllt. Sie können weiterhin Bereiche und Abfragezeichenfolgen festlegen. Sie müssen auch die Berechtigungen für den OIDC-Anbieter festlegen. Weitere Informationen finden Sie unter Verwalten von Anwendungsberechtigungen (durch Administrator oder Anwendungsinhaber).
  14. Eine Ressource hinzufügen
    Eine Ressource wird verwendet, um eine Anwendung oder einen Dienst zu definieren, den Sie schützen möchten.
    1. Geben Sie die Ressourceninformationen an.
      • Für einen Serverpfad können Sie auch den transparenten Pfad wählen, der den vollständigen Pfad an den Ressourcenserver weitergibt. Für einen virtuellen Host müssen Sie den Hostnamen und einen Port angeben.
      • Wählen Sie den Verbindungstyp aus. Wenn Sie HTTPS wählen, können Sie optional den Server Name Indicator (SNI) angeben. Die SNI ist ein TLS-Sicherheitsprotokoll, das den Server identifiziert, mit dem Sie eine Verbindung herstellen möchten.
      • Eine zustandsabhängige Ressource enthält Informationen über die vom Gateway hergestellten Verbindungen. Wenn Stateful aktiviert ist, werden alle Anfragen, die während einer Benutzersitzung gestellt werden, an denselben Ressourcenserver gesendet.
      • HTTP/2 ist eine Aktualisierung des Hypertext Transfer Protocol ( HTTP ), die die Leistung und Effizienz des Web-Browsing verbessern soll.
    2. Wählen Sie die Methode für die Einzelanmeldung.
      JSON Web Token (JWT)
      Ein JSON-Web-Token sichert die Kommunikation zwischen dem Browser eines Benutzers und dem Server einer Website. Sie kann zur Authentifizierung eines Benutzers, zur Bereitstellung von Informationen über den Benutzer und zum Schutz des Zugangs zu Ressourcen verwendet werden.
      HTTP-Header
      Eine HTTP Kopfzeile ist eine Metadatei, die in HTTP Anfragen und Antworten enthalten ist. Sie enthält zusätzliche Informationen über die Anfrage oder Antwort, wie z. B. den Inhaltstyp, die Kodierung oder die Authentifizierungsdaten. Sie verbessert die Kommunikation zwischen einem Webserver und einem Client.
      Basisauthentifizierung
      Bei der einfachen Authentifizierung muss der Benutzer seinen Benutzernamen und sein Kennwort im Klartext angeben.
    3. Wählen oder konfigurieren Sie die Ressourcenserver, die Sie schützen möchten.
  15. Klicken Sie auf Erstellen.
  16. Optional: Fügen Sie eine Autorisierungsrichtlinie hinzu.
    Diese Richtlinie legt fest, wer auf bestimmte Ressourcen zugreifen darf.

    Geben Sie die grundlegenden Details, die Pfade, auf die die Richtlinie angewandt wird, und alle Regeln für die Richtlinie an, und klicken Sie auf Hinzufügen.

  17. Veröffentlichen Sie Ihr Gateway.
    1. Klicken Sie zum Bereitstellen auf „Exportieren“.
      Wählen Sie die Art der Konfigurationsdateien, die Sie exportieren möchten.
    2. Befolgen Sie die Anweisungen zur Bereitstellung des Gateways.
    3. Klicken Sie auf Fertig.

Ergebnisse

Ihr Anwendungs-Gateway ist verfügbar und kann über Ihren IBM Verify -Tenant verwaltet werden. Wenn Sie Ihre Gateway-Einstellungen ändern, wird der Gateway-Konfiguration eine inkrementelle Versionsnummer zugewiesen.

Nächste Schritte

Klicken Sie auf „Anwendungen“ > „Anwendungsgateway “ > „Anwendungsname“ > „Laufzeit“, um den Zustand Ihres Gateways und seiner Instanzen zu überwachen.