Durante a implantação, a instância do VMware Identity Manager é configurada na rede interna. Se você desejar fornecer acesso ao serviço aos usuários que se conectam de redes externas, deverá instalar um balanceador de carga ou um proxy reverso, como Apache, Nginx ou F5, no DMZ.
Se você não usar um balanceador de carga ou um proxy reverso, não poderá expandir o número de instâncias do VMware Identity Manager depois. Talvez seja necessário adicionar mais instâncias para fornecer redundância e balanceamento de carga. O diagrama a seguir mostra a arquitetura de implantação básica que você pode usar para habilitar o acesso externo.
Especificar o FQDN do VMware Identity Manager durante a implantação
Durante a implantação da máquina do VMware Identity Manager, insira o FQDN e o número da porta do VMware Identity Manager. Esses valores devem apontar para o nome do host que você deseja que os usuários finais acessem.
A máquina do VMware Identity Manager é sempre executada na porta 443. Você pode usar um número da porta diferente para o balanceador de carga. Se você usar um número da porta diferente, deverá especificá-lo durante a implantação. Não utilize 8443 como o número da porta, pois esse número de porta é a porta administrativa do VMware Identity Manager e é exclusivo para cada máquina em um cluster.
Definições do balanceador de carga a serem configuradas
As definições do balanceador de carga a serem configuradas incluem habilitar cabeçalhos X-Forwarded-For, definir corretamente o tempo limite do balanceador de carga e habilitar sessões fixas. Além disso, a confiança SSL deve ser configurada entre a máquina do VMware Identity Manager e o balanceador de carga.
- Cabeçalhos X-Forwarded-For
Você deve ativar os cabeçalhos X-Forwarded-For no seu balanceador de carga. Isso determina o método de autenticação. Consulte a documentação fornecida pelo fornecedor do seu balanceador de carga para obter mais informações.
- Tempo limite do balanceador de carga
Para que o VMware Identity Manager funcione corretamente, talvez você precise aumentar o padrão do tempo limite de solicitação do balanceador de carga. O valor é definido em minutos. Se a configuração de tempo limite for muito baixa, talvez você veja este erro: "Erro 502: o serviço está indisponível".
- Ativar sessões fixas
Você deverá ativar a configuração de sessão fixa no balanceador de carga se sua implantação tiver várias máquinas do VMware Identity Manager. O balanceador de carga associa a sessão de um usuário a uma instância específica.
- Suporte a WebSocket
O balanceador de carga deve ter suporte ao WebSocket para habilitar canais de comunicação segura entre conectores e os nós do VMware Identity Manager.
- Codificações com forward secrecy
Os requisitos da Apple iOS App Transport Security se aplicam ao aplicativo do Workspace ONE no iOS. Para permitir que os usuários usem o aplicativo do Workspace ONE no iOS, o balanceador de carga deve ter codificações com forward secrecy. As seguintes codificações atendem a esse requisito:
ECDHE_ECDSA_AES e ECDHE_RSA_AES no modo GCM ou CBC
como afirmado no documento Segurança de iOS do iOS 11:
"A App Transport Security oferece requisitos de conexão padrão para que os aplicativos adiram às práticas recomendadas para conexões seguras ao usarem as APIS NSURLConnection, CFURL ou NSURLSession. Por padrão, a App Transport Security limita a seleção de codificação para incluir apenas os pacotes que fornecem forward secrecy, especificamente ECDHE_ECDSA_AES e ECDHE_RSA_AES no modo GCM ou CBC."
