Application Gateway 是一种网络反向代理,您可以将其配置为现有应用程序的入口点。 它可提供身份验证和授权功能,而无需对要保护的应用程序进行昂贵的更改或扩展。
关于此任务
在草稿模式下,您可以更改任何可修改的设置。 部署网关后,若需更改任何设置,请点击 ,然后向下滚动至 编辑。
过程
- 以管理员身份登录, IBM® Verify 然后导航至 “”。
- 单击创建应用程序网关并提供一般详细信息。
提示: 名称不能包含空格或特殊字符。 可以使用连字符和下划线。
主主机名与 DNS 可解决的名称相对应,该名称用于连接网关。 例如,myapp-gateway.com。
- 可选: 选择 “是 ”以启用代理健康状态报告。
通过该选项, IBM Verify 成为内部部署 IAG 运行时的中央管理和监控点。
- 单击下一步。
- 配置安全性
配置中的敏感数据会被加密。 如果没有提供加密密钥,系统会自动生成一个。
- 自动生成加密密钥时,公钥将与 Application Gateway 配置一起存储。 点击创建后,私钥就会生成。 私人密钥不会储存,只能一次性下载。 私钥必须单独存储,并在运行网关的环境中提供。
- 如果要提供自己的加密密钥,请选择 " 上传密钥 "并按说明操作。
- 单击下一步。
- 选择要使用的服务器协议 ,然后单击下一步。
- 选择要使用的传输层安全( TLS )证书类型,可选前端证书或受信任证书。
前端证书可确保用户浏览器与网站服务器之间的通信安全。
- 选择 " 生成证书 "可使用应用程序网关生成的自签名证书。
- 选择上传证书并提供私钥文件名。 然后上传公共证书。 两者都必须采用 .pem 格式。
可信证书需要签名者证书。 上传 .pem 格式的公开证书。
- 启用高级主机名设置并按照说明操作。
- 单击创建。
- 下载并保存私人密钥。
私人密钥不会储存,只能一次性下载。
- 可选: 编辑容器设置。
- 添加 OpenID 连接提供商。
- 添加资源
资源用于定义要保护的应用程序或服务。
- 提供资源信息。
- 对于服务器路径,也可以选择使用透明路径,将完整路径传递给资源服务器。 对于虚拟主机,必须指定主机名和端口。
- 选择连接类型。 如果选择 HTTPS ,则可以选择提供服务器名称指示符 (SNI)。 安全名称解析(SNI)是 TLS 安全协议的一部分,用于识别您想要连接的服务器。
- 有状态资源维护网关建立的连接信息。 启用 " 有状态 "后,用户会话期间的所有请求都会发送到同一个资源服务器。
- HTTP/2 是超文本传输协议 ( ) 的升级版,旨在提高网页浏览的性能和效率。 HTTP
- 选择单点登录方法。
- JSON Web 令牌 (JWT)
- JSON 网络令牌可确保用户浏览器与网站服务器之间的通信安全。 它可用于验证用户身份、提供有关用户的信息以及保护对资源的访问。
- HTTP 标头
- HTTP 标头是包含在 HTTP 请求和响应中的元数据。 它提供有关请求或响应的附加信息,如内容类型、编码或验证凭证。 它改善了网络服务器和客户端之间的通信。
- 基本认证
- 基本身份验证要求用户提供纯文本的用户名和密码。
- 选择或配置要保护的资源服务器。
- 单击创建。
- 可选: 添加授权策略。
该政策规定了谁可以访问特定资源。
指定基本详细信息、策略应用的路径、策略的任何规则,然后单击添加。
- 发布您的网关。
- 单击导出进行部署。
选择要导出的配置文件类型。
- 按照网关部署说明进行操作。
- 单击完成。
结果
您的应用程序网关可通过 IBM Verify 租户进行管理。 如果修改了网关设置,则会为网关配置分配一个增量版本号。