O Unified Access Gateway usa variáveis diferentes para diferenciar entre os serviços de borda, proxies da web configurados e as URLs de destino do proxy.

Padrão de proxy e padrão desprotegido

O Unified Access Gateway usa o padrão de proxy para encaminhar as solicitações HTTP de entrada para o serviço de borda correto como Horizon ou para uma das instâncias de proxy reverso da Web configurado como VMware Identity Manager. Portanto, ele é usado como um filtro para decidir se um proxy reverso é necessário para processar o tráfego de entrada.

Se um proxy reverso for selecionado, o proxy usará um padrão não seguro especificado para decidir se permitirá que o tráfego de entrada vá para o back-end sem ser autenticado ou não.

O usuário deverá especificar um padrão de proxy, especificando que um padrão não seguro é opcional. O padrão não seguro é usado por proxies da web reversos, como VMware Identity Manager, que têm seu próprio mecanismo de login e desejam que determinadas URLs, como caminhos de página de login, javascripts e recursos de imagem, sejam transmitidos ao back-end sem autenticação.

Observação:

Um padrão não seguro é um subconjunto do padrão de proxy e, portanto, alguns caminhos podem ser repetidos entre eles para um proxy reverso.

Cada serviço de borda pode ter um padrão diferente. Por exemplo, o Proxy Pattern para Horizon pode ser configurado como (/|/view-client(.*)|/portal(.*)|/appblast(.*)) e o padrão para VMware Identity Manager pode ser configurado como (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)).

Observação:

O Horizon Connection Server não funciona com um proxy reverso da web ativado quando há uma sobreposição no padrão de proxy. Portanto, se o Horizon e uma instância de proxy reverso da Web, como VMware Identity Manager, estiverem configurados e habilitados com os padrões de proxy na mesma instância do Unified Access Gateway, remova o padrão de proxy '/' das configurações do Horizon e mantenha o padrão no VMware Identity Manager para evitar a sobreposição.

Manter o padrão de proxy '/' na instância do proxy reverso da Web (VMware Identity Manager) garante que, quando um usuário clica na URL do Unified Access Gateway, a página do VMware Identity Manager seja exibida.

Se apenas o Horizon estiver configurado, a alteração acima não será necessária.

Padrão de host de proxy

Se houver várias instâncias de proxy reverso na web configuradas, e não houver uma sobreposição nos padrões de proxy, o Unified Access Gateway usará o Proxy Host Pattern para diferenciá-las. Configure Proxy Host Pattern como o FQDN do proxy reverso.

Por exemplo, um padrão de host para Sharepoint pode ser configurado como sharepoint.myco.com e um padrão para JIRA pode ser configurado como jira.myco.com.

Entradas de host

Configure esta caixa de texto somente se o Unified Access Gateway não conseguir acessar o servidor ou aplicativo de back-end. Quando você adiciona o endereço IP e o nome do host do aplicativo de back-end às entradas de host, essas informações são adicionadas ao arquivo /etc/hosts do Unified Access Gateway. Este campo é comum em todas as configurações do serviço de borda.

URL de destino do proxy

Esta é a URL do aplicativo do servidor de back-end das configurações de serviço de borda para o qual o Unified Access Gateway é o proxy. Por exemplo:

  • Para Horizon Connection Server, a URL do servidor de conexão é a URL de destino do proxy.

  • Para um proxy reverso da web, a URL configurada do aplicativo de proxy reverso da web é a URL de destino do proxy.

Configuração de proxy reverso único

Quando o Unified Access Gateway recebe uma única solicitação de entrada com um URI, o padrão de proxy é usado para decidir se encaminha a solicitação ou a libera.

Várias configurações de proxy reverso

  1. Quando Unified Access Gateway é configurado como proxy reverso, e a solicitação recebida chega com um caminho de URI, o Unified Access Gateway usa o padrão de proxy para coincidir com a instância correta de proxy reverso da web. Se houver uma correspondência, será usado o padrão correspondente. Se houver várias correspondências, o processo de filtragem e de correspondência será repetido na etapa 2. Se não houver nenhuma correspondência, a solicitação será descartada e um HTTP 404 será enviado de volta para o cliente.

  2. O padrão de host do proxy é usado para filtrar a lista que já foi filtrada na etapa 1. O cabeçalho do HOST é usado para filtrar a solicitação e encontrar a instância de proxy reverso. Se houver uma correspondência, será usado o padrão correspondente. Se houver várias correspondências, o processo de filtragem e de correspondência será repetido na etapa 3.

  3. Observe o seguinte:

    • É usada a primeira correspondência na lista filtrada na etapa 2. Essa correspondência pode não ser sempre a instância correta do proxy reverso da Web. Portanto, certifique-se de que a combinação de padrão de proxy e o padrão de host de proxy para uma instância de proxy reverso da web seja exclusiva se houver a configuração de múltiplos proxies reversos em um Unified Access Gateway.

    • O nome do host de todos os proxies reversos configurados deve resolver para o mesmo endereço IP, como o endereço externo da instância do Unified Access Gateway.

Consulte Configure Reverse Proxy With VMware Identity Manager para obter mais informações e instruções sobre como configurar um proxy reverso.

Exemplo: dois proxies reversos configurados com padrões de proxy conflitante, padrões de host distintos

Suponha que o padrão de proxy para o primeiro proxy reverso seja /(.*) com o padrão de host como host1.domain.com e o padrão para o segundo proxy reverso seja (/app2(.*)|/app3(.*)|/) com o padrão de host como host2.domain.com.

  • Se uma solicitação for feita com o caminho definido como https://host1.domain.com/app1/index.html, em seguida, a solicitação será encaminhada para o primeiro proxy reverso.

  • Se uma solicitação for feita com o caminho definido como https://host2.domain.com/app2/index.html, em seguida, a solicitação será encaminhada para o segundo proxy reverso.

Exemplo: dois proxies reversos com os padrões de proxy mutuamente exclusivos

Suponha que o padrão de proxy para o primeiro proxy reverso seja /app1(.*) e para o segundo proxy reverso seja (/app2(.*)|/app3(.*)|/).

  • Se uma solicitação for feita com o caminho definido como https://<uag domain name>/app1/index.html, em seguida, a solicitação será encaminhada para o primeiro proxy reverso.

  • Se uma solicitação for feita com o caminho definido como https://<uag domain name>/app3/index.html ou https://<uag domain name>/, em seguida, a solicitação será encaminhada para o segundo proxy reverso.