Os usuários não conseguem iniciar aplicativos no ambiente com balanceamento de carga

Os usuários não podem iniciar aplicativos do aplicativo ou portal do Workspace ONE Intelligent Hub em uma implantação do Workspace ONE Access balanceado por carga.

Problema

Os usuários não conseguirão iniciar aplicativos do aplicativo ou portal do Workspace ONE Intelligent Hub se o endereço IP do cliente for determinado incorretamente. Esse problema poderão ocorrer em implantações do Workspace ONE Access balanceado por carga se o cabeçalho X-Forwarded-For (XFF) contiver endereços IP incorretos.

Verifique o relatório de inicialização de Eventos de Auditoria no painel para verificar se o endereço IP do cliente está sendo resolvido corretamente. Se ele não estiver sendo resolvido corretamente, siga este procedimento para corrigir o problema.

Solução

Para resolver o problema, primeiro obtenha a lista de endereços IP listados no cabeçalho XFF usando a REST API clientipresolutioninfo e verifique a resposta. Se ele retornar o endereço IP do balanceador de carga ou do nó de serviço do Workspace ONE Access, defina a propriedade service.ipsToIgnoreInXffHeader no arquivo runtime-config.properties para filtrar os endereços IP indesejados.

Para obter a lista de endereços IP no cabeçalho XFF, use um cliente REST, como o Postmaster, para executar a seguinte REST API enquanto estiver conectado ao serviço do Workspace ONE Access como o administrador de tenant:

Método: GET

Caminho: /clientipresolutioninfo

Autorização: HZN cookie_value

Observação: Você pode obter o cookie HZN fazendo login no serviço do Workspace ONE Access como o administrador de tenant e, em seguida, acessando o cache do cookie do navegador.

Tipo de mídia de resposta: application/vnd.vmware.horizon.manager.clientipresolutionconfig+json

Exemplo de resposta JSON:

{
“xffHeaderIpList":["10.112.68.252”], // the IPs part of XFF header
"numberOfLoadBalancers”:0, // number of load balancers configured in runtime-config.properties
"configuredIpToIgnoreList":"10.112.68.255”, // the list of ips or subnets to ignore as configured in runtime-config.properties
"clientIpDetermined":"10.112.68.252”, // the client IP determined to be used finally for login/access policy
"_links":{}
}

Na saída, determine quais endereços IP não são necessários e edite o arquivo runtime-config.properties para filtrá-los.

Faça login no appliance virtual do Workspace ONE Access.
Edite o arquivo /usr/local/horizon/conf/runtime-config.properties e adicione a propriedade a seguir.
service.ipsToIgnoreInXffHeader IPsToIgnore

onde IPsToIgnore é uma lista separada por vírgulas de endereços IP a serem ignorados no cabeçalho do XFF.
Reinicie o serviço.
service horizon-workspace restart