O Unified Access Gateway usa variáveis diferentes para diferenciar entre os serviços de borda, proxies da web configurados e as URLs de destino do proxy.
Padrão de proxy e padrão desprotegido
O Unified Access Gateway usa o padrão de proxy para encaminhar as solicitações HTTP de entrada para o serviço de borda correto como Horizon ou para uma das instâncias de proxy reverso da Web configurado como VMware Identity Manager. Portanto, ele é usado como um filtro para decidir se um proxy reverso é necessário para processar o tráfego de entrada.
Se um proxy reverso for selecionado, o proxy usará um padrão não seguro especificado para decidir se permitirá que o tráfego de entrada vá para o back-end sem ser autenticado ou não.
O usuário deverá especificar um padrão de proxy, especificando que um padrão não seguro é opcional. O padrão não seguro é usado por proxies da web reversos, como VMware Identity Manager, que têm seu próprio mecanismo de login e desejam que determinadas URLs, como caminhos de página de login, javascripts e recursos de imagem, sejam transmitidos ao back-end sem autenticação.
Um padrão não seguro é um subconjunto do padrão de proxy e, portanto, alguns caminhos podem ser repetidos entre eles para um proxy reverso.
Cada serviço de borda pode ter um padrão diferente. Por exemplo, o Proxy Pattern para Horizon pode ser configurado como (/|/view-client(.*)|/portal(.*)|/appblast(.*))
e o padrão para VMware Identity Manager pode ser configurado como (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*))
.
O Horizon Connection Server não funciona com um proxy reverso da web ativado quando há uma sobreposição no padrão de proxy. Portanto, se o Horizon e uma instância de proxy reverso da Web, como VMware Identity Manager, estiverem configurados e habilitados com os padrões de proxy na mesma instância do Unified Access Gateway, remova o padrão de proxy '/' das configurações do Horizon e mantenha o padrão no VMware Identity Manager para evitar a sobreposição.
Manter o padrão de proxy '/' na instância do proxy reverso da Web (VMware Identity Manager) garante que, quando um usuário clica na URL do Unified Access Gateway, a página do VMware Identity Manager seja exibida.
Se apenas o Horizon estiver configurado, a alteração acima não será necessária.
Padrão de host de proxy
Se houver várias instâncias de proxy reverso na web configuradas, e não houver uma sobreposição nos padrões de proxy, o Unified Access Gateway usará o Proxy Host Pattern para diferenciá-las. Configure Proxy Host Pattern como o FQDN do proxy reverso.
Por exemplo, um padrão de host para Sharepoint pode ser configurado como sharepoint.myco.com e um padrão para JIRA pode ser configurado como jira.myco.com.
Entradas de host
Configure esta caixa de texto somente se o Unified Access Gateway não conseguir acessar o servidor ou aplicativo de back-end. Quando você adiciona o endereço IP e o nome do host do aplicativo de back-end às entradas de host, essas informações são adicionadas ao arquivo /etc/hosts do Unified Access Gateway. Este campo é comum em todas as configurações do serviço de borda.
URL de destino do proxy
Esta é a URL do aplicativo do servidor de back-end das configurações de serviço de borda para o qual o Unified Access Gateway é o proxy. Por exemplo:
Para Horizon Connection Server, a URL do servidor de conexão é a URL de destino do proxy.
Para um proxy reverso da web, a URL configurada do aplicativo de proxy reverso da web é a URL de destino do proxy.
Configuração de proxy reverso único
Quando o Unified Access Gateway recebe uma única solicitação de entrada com um URI, o padrão de proxy é usado para decidir se encaminha a solicitação ou a libera.
Várias configurações de proxy reverso
Quando Unified Access Gateway é configurado como proxy reverso, e a solicitação recebida chega com um caminho de URI, o Unified Access Gateway usa o padrão de proxy para coincidir com a instância correta de proxy reverso da web. Se houver uma correspondência, será usado o padrão correspondente. Se houver várias correspondências, o processo de filtragem e de correspondência será repetido na etapa 2. Se não houver nenhuma correspondência, a solicitação será descartada e um HTTP 404 será enviado de volta para o cliente.
O padrão de host do proxy é usado para filtrar a lista que já foi filtrada na etapa 1. O cabeçalho do HOST é usado para filtrar a solicitação e encontrar a instância de proxy reverso. Se houver uma correspondência, será usado o padrão correspondente. Se houver várias correspondências, o processo de filtragem e de correspondência será repetido na etapa 3.
Observe o seguinte:
É usada a primeira correspondência na lista filtrada na etapa 2. Essa correspondência pode não ser sempre a instância correta do proxy reverso da Web. Portanto, certifique-se de que a combinação de padrão de proxy e o padrão de host de proxy para uma instância de proxy reverso da web seja exclusiva se houver a configuração de múltiplos proxies reversos em um Unified Access Gateway.
O nome do host de todos os proxies reversos configurados deve resolver para o mesmo endereço IP, como o endereço externo da instância do Unified Access Gateway.
Consulte Configurar o proxy reverso com o VMware Identity Manager para obter mais informações e instruções sobre como configurar um proxy reverso.
Exemplo: dois proxies reversos configurados com padrões de proxy conflitante, padrões de host distintos
Suponha que o padrão de proxy para o primeiro proxy reverso seja /(.*)
com o padrão de host como host1.domain.com
e o padrão para o segundo proxy reverso seja (/app2(.*)|/app3(.*)|/)
com o padrão de host como host2.domain.com
.
Se uma solicitação for feita com o caminho definido como
https://host1.domain.com/app1/index.html
, em seguida, a solicitação será encaminhada para o primeiro proxy reverso.Se uma solicitação for feita com o caminho definido como
https://host2.domain.com/app2/index.html
, em seguida, a solicitação será encaminhada para o segundo proxy reverso.
Exemplo: dois proxies reversos com os padrões de proxy mutuamente exclusivos
Suponha que o padrão de proxy para o primeiro proxy reverso seja /app1(.*)
e para o segundo proxy reverso seja (/app2(.*)|/app3(.*)|/)
.
Se uma solicitação for feita com o caminho definido como
https://<uag domain name>/app1/index.html
, em seguida, a solicitação será encaminhada para o primeiro proxy reverso.Se uma solicitação for feita com o caminho definido como
https://<uag domain name>/app3/index.html
ouhttps://<uag domain name>/
, em seguida, a solicitação será encaminhada para o segundo proxy reverso.