Назад | Перейти на главную страницу

Forefront UAG с аутентификацией SSL / X509 для REST API

Я не сетевой инженер, а разработчик программного обеспечения, поэтому эта тема мне совершенно незнакома. Мы разрабатываем решение, которое состоит из серверного веб-приложения (с остальным api), работающего на java-сервере, и клиентского ios-приложения (без браузера), которое потребляет остальные сервисы с сервера.

Клиент аутентифицируется на сервере с сертификатом X509, который он имеет на смарт-тележке. Все отлично работает, когда у клиента есть прямой доступ к серверу в нашей среде разработки.

Но теперь у нас была производственная среда, наш клиент должен был находиться где-то в Интернете, а наш сервер - в интрасети. Существует Microsoft Forefront UAG (SP3) в качестве корпоративного шлюза из Интернета в интрасеть. Я никогда не использовал UAG на практике и даже не слышал о нем два дня назад, и я не могу понять, какие его функции нам нужны, чтобы помочь нам решить нашу задачу. Чтобы быть ясным, наша задача:

  1. Клиент должен установить https-соединение с «конечной точкой» (это был наш сервер в среде разработки, теперь это сервер UAG в производственной среде)
  2. UAG должен проверить сертификат клиента (действительный, не отозванный и т. Д.)
  3. UAG должен передать запрос клиента нашему серверному приложению, расположенному в интрасети.
  4. Критическое требование UAG должен «помогать» серверному приложению для дальнейшей авторизации клиента. В среде разработки мы использовали атрибуты сертификата клиента X509 для идентификации пользователя, но я предполагаю (я прав?), Что UAG необходимо завершить сеанс SSL, а сертификат клиентского запроса со всем https-запросом не может быть передан на задний сервер. Хорошо, я согласен, если UAG преобразует запрос клиента (после дешифрования, перед переводом на сервер) и, например, поместит некоторые данные сертификата клиента в заголовки HTTP. Или даже если он повторно зашифрует его с помощью соответствующего парного сертификата (даже если его будет сложнее обработать).

Не могли бы вы мне помочь и назвать пару ключевых слов, которые мне нужно просмотреть, чтобы понять, как это будет работать? В списке функций UAG много новых слов (SSL VPN, SSL Tunneling, DirectAccess и т. Д.), И все кажутся немного связанными с задачей, но я не могу понять, что мне нужно и что будет работать так, как мы ожидали.

Большое спасибо.