在部署过程中指定 VMware Identity Manager FQDN

在 VMware Identity Manager 虚拟设备部署过程中，请输入 VMware Identity Manager FQDN 和端口号。这些值必须指向您希望最终用户访问的主机名。

VMware Identity Manager 虚拟机始终在端口 443 上运行。您可以为负载平衡器使用其他端口号。如果使用其他端口号，您必须在部署过程中指定该端口号。

要配置的负载平衡器设置

要配置的负载平衡器设置包括启用 X-Forwarded-For 标头，正确设置负载平衡器超时，以及启用粘性会话。此外，还必须在 VMware Identity Manager 虚拟设备和负载平衡器之间配置 SSL 信任关系。

• X-Forwarded-For 标头

  必须在负载平衡器上启用 X-Forwarded-For 标头。这决定了身份验证方法。请参阅负载平衡器供应商提供的文档以了解详细信息。

• 负载平衡器超时

  要让 VMware Identity Manager 正常工作，您可能需要延长负载平衡器的请求超时时间，而不采用默认值。该值以分钟为单位。如果超时设置太低，您可能会看到以下错误：“502 错误：此服务当前不可用 (502 error: The service is currently unavailable)。”

• 启用粘性会话

  如果您的部署具有多个 VMware Identity Manager 设备，则必须在负载平衡器上启用粘性会话设置。之后，负载平衡器会将用户的会话绑定到特定实例。

• WebSocket 支持

  负载平衡器必须具有 WebSocket 支持，以便在连接器和 VMware Identity Manager 节点之间启用安全通信通道。

• 采用向前保密的密码

  Apple iOS 应用程序传输安全要求适用于 iOS 上的 Workspace ONE 应用程序。要允许用户使用 iOS 上的 Workspace ONE 应用程序，负载平衡器必须具有采用向前保密的密码。以下密码满足该要求：

  采用 GCM 或 CBC 模式的 ECDHE_ECDSA_AES 和 ECDHE_RSA_AES

  如 iOS 11 的《iOS 安全指南》文档中所述：

  “应用程序传输安全提供默认连接要求，以便应用程序在使用 NSURLConnection、CFURL 或 NSURLSession API 时遵守安全连接最佳做法。默认情况下，应用程序传输安全将密码选择限制为仅包括提供向前保密的套件，具体来说是采用 GCM 或 CBC 模式的 ECDHE_ECDSA_AES 和 ECDHE_RSA_AES。”