在部署期间,将在内部网络中设置 VMware Identity Manager 实例。如果要为从外部网络中连接的用户提供该服务的访问权限,您必须在 DMZ 中安装负载平衡器或反向代理,如 Apache、Nginx 或 F5。
如果不使用负载平衡器或反向代理,您以后无法扩充 VMware Identity Manager 实例数。您可能需要添加更多实例以提供冗余和负载平衡。下图显示了可用于启用外部访问的基本部署架构。
在部署过程中指定 VMware Identity Manager FQDN
在部署 VMware Identity Manager 计算机期间,您需要输入 VMware Identity Manager FQDN 和端口号。这些值必须指向您希望最终用户访问的主机名。
VMware Identity Manager 计算机始终在端口 443 上运行。您可以为负载平衡器使用其他端口号。如果使用其他端口号,您必须在部署过程中指定该端口号。不要将 8443 作为端口号,因为该端口号是 VMware Identity Manager 管理端口,并且对于群集中的每个计算机是唯一的。
要配置的负载平衡器设置
要配置的负载平衡器设置包括启用 X-Forwarded-For 标头,正确设置负载平衡器超时以及启用粘性会话。此外,还必须在 VMware Identity Manager 计算机和负载平衡器之间配置 SSL 信任关系。
X-Forwarded-For 标头
必须在负载平衡器上启用 X-Forwarded-For 标头。这决定了身份验证方法。请参阅负载平衡器供应商提供的文档以了解详细信息。
负载平衡器超时
要让 VMware Identity Manager 正常工作,您可能需要延长负载平衡器的请求超时时间,而不采用默认值。该值以分钟为单位。如果超时设置太低,您可能会看到以下错误:“502 错误:此服务不可用 (502 error: The service is unavailable)”。
启用粘性会话
如果您的部署具有多个 VMware Identity Manager 计算机,则必须在负载平衡器上启用粘性会话设置。负载平衡器将用户的会话绑定到特定实例。
WebSocket 支持
负载平衡器必须具有 WebSocket 支持,以便在连接器和 VMware Identity Manager 节点之间启用安全通信通道。
采用向前保密的密码
Apple iOS 应用程序传输安全要求适用于 iOS 上的 Workspace ONE 应用程序。要允许用户使用 iOS 上的 Workspace ONE 应用程序,负载平衡器必须具有采用向前保密的密码。以下密码满足该要求:
采用 GCM 或 CBC 模式的 ECDHE_ECDSA_AES 和 ECDHE_RSA_AES
如 iOS 11 的《iOS 安全指南》文档中所述:
“应用程序传输安全提供默认连接要求,以便应用程序在使用 NSURLConnection、CFURL 或 NSURLSession API 时遵守安全连接最佳做法。默认情况下,应用程序传输安全将密码选择限制为仅包括提供向前保密的套件,具体来说是采用 GCM 或 CBC 模式的 ECDHE_ECDSA_AES 和 ECDHE_RSA_AES。”