Unified Access Gateway 可以作为 Web 反向代理,它可以是普通反向代理或 DMZ 中的身份验证反向代理。

部署方案

通过 Unified Access Gateway,可从远程安全访问内部部署的 VMware Identity ManagerUnified Access Gateway 设备通常部署在网络隔离区 (DMZ) 中。通过使用 VMware Identity ManagerUnified Access Gateway 设备可作为用户的浏览器和数据中心的 VMware Identity Manager 服务之间的 Web 反向代理运行。Unified Access Gateway 还允许远程访问 Workspace ONE 目录以启动 Horizon 应用程序。

注: 单个 Unified Access Gateway 实例可以处理最多 15000 个同时 TCP 连接。如果预期的负载超过 15000 个,则必须在负载平衡器后面配置多个 Unified Access Gateway 实例。

有关在配置反向代理时使用的设置的信息,请参阅高级 Edge 服务设置

图 1. 指向 VMware Identity Manager 的 Unified Access Gateway 设备

了解反向代理

Unified Access Gateway 可以访问应用程序门户以允许远程用户单点登录和访问其资源。应用程序门户是将 Unified Access Gateway 作为反向代理的后端应用程序,例如,Sharepoint、JIRA 或 vIDM。
注: 如果代理模式发生重叠,则 Horizon Connection Server 无法与启用的 Web 反向代理一起使用。因此,如果在同一个 Unified Access Gateway 实例上同时为 Horizon 和 Web 反向代理实例配置并启用了代理模式,请从 Horizon 设置中移除代理模式“/”,并在 Web 反向代理中保留该模式,以防止发生重叠。在 Web 反向代理实例中保留“/”代理模式可确保在用户单击了 Unified Access Gateway 的 URL 后,系统会显示正确的 Web 反向代理页面。如果仅配置了 Horizon 设置,则无需进行上述更改。
在启用和配置反向代理时,请注意以下事项:
  • 您必须在 Edge 服务管理器上启用反向代理身份验证。目前,支持 RSA SecurIDRADIUS 身份验证方法。
  • 在 Web 反向代理上启用身份验证之前,您必须生成身份提供程序元数据(IDP 元数据)。
  • Unified Access Gateway 提供从基于浏览器的客户端到 VMware Identity Manager 和 Web 应用程序的远程访问(进行或不进行身份验证),然后启动 Horizon 桌面。
  • 您可以配置多个反向代理实例,并且可以删除每个已配置的实例。
图 2. 已配置的多个反向代理

具有删除选项的反向代理设置