Durante a implantação, o appliance virtual do VMware Identity Manager é instalado na rede interna. Se você desejar fornecer acesso ao serviço aos usuários que se conectam de redes externas, deverá instalar um balanceador de carga ou um proxy reverso, como o Apache, o nginx, o F5 etc, no DMZ.
Se você não usar um balanceador de carga ou um proxy reverso, não poderá expandir o número de appliances do VMware Identity Manager depois. Talvez seja necessário adicionar mais dispositivos para fornecer redundância e balanceamento de carga. O diagrama a seguir mostra a arquitetura de implantação básica que você pode usar para ativar o acesso externo.
Especificar o FQDN do VMware Identity Manager durante a implantação
Durante a implantação da máquina virtual do VMware Identity Manager , insira o FQDN e o número da porta do VMware Identity Manager . Esses valores devem apontar para o nome do host que você deseja que os usuários finais acessem.
A máquina virtual do VMware Identity Manager é sempre executada na porta 443. Você pode usar um número da porta diferente para o balanceador de carga. Se você usar um número da porta diferente, deverá especificá-lo durante a implantação.
Definições do balanceador de carga a serem configuradas
As definições do balanceador de carga a serem configuradas incluem ativar cabeçalhos X-Forwarded-For, definir corretamente o tempo limite do balanceador de carga e ativar sessões fixas. Além disso, a confiança SSL deve ser configurada entre o appliance virtual do VMware Identity Manager e o balanceador de carga.
Cabeçalhos X-Forwarded-For
Você deve ativar os cabeçalhos X-Forwarded-For no seu balanceador de carga. Isso determina o método de autenticação. Consulte a documentação fornecida pelo fornecedor do seu balanceador de carga para obter mais informações.
Tempo limite do balanceador de carga
Para que o VMware Identity Manager funcione corretamente, talvez você precise aumentar o padrão do tempo limite de solicitação do balanceador de carga. O valor é definido em minutos. Se a configuração de tempo limite for muito baixa, talvez você veja este erro: “Erro 502: o serviço está indisponível no momento”.
Ativar sessões fixas
Você deverá ativar a configuração de sessão fixa no balanceador de carga se sua implantação tiver vários appliances do VMware Identity Manager. Em seguida, o balanceador de carga associará a sessão de um usuário a uma instância específica.
Suporte a WebSocket
O balanceador de carga deve ter suporte ao WebSocket para habilitar canais de comunicação segura entre conectores e os nós do VMware Identity Manager.
Codificações com forward secrecy
Os requisitos da Apple iOS App Transport Security se aplicam ao aplicativo do Workspace ONE no iOS. Para permitir que os usuários usem o aplicativo do Workspace ONE no iOS, o balanceador de carga deve ter codificações com forward secrecy. As seguintes codificações atendem a esse requisito:
ECDHE_ECDSA_AES e ECDHE_RSA_AES no modo GCM ou CBC
como afirmado no documento Segurança de iOS do iOS 11:
"A App Transport Security oferece requisitos de conexão padrão para que os aplicativos adiram às práticas recomendadas para conexões seguras ao usarem as APIS NSURLConnection, CFURL ou NSURLSession. Por padrão, a App Transport Security limita a seleção de codificação para incluir apenas os pacotes que fornecem forward secrecy, especificamente ECDHE_ECDSA_AES e ECDHE_RSA_AES no modo GCM ou CBC."
