Unified Access Gateway kann als Web-Reverse-Proxy genutzt und entweder als normaler Reverse-Proxy oder als authentifizierender Reverse-Proxy in der DMZ eingesetzt werden.

Bereitstellungsszenario

Unified Access Gateway bietet sicheren Remotezugriff auf eine lokale Bereitstellung von Workspace ONE Access. Unified Access Gateway-Appliances werden üblicherweise in einer demilitarisierten Netzwerkzone (DMZ) bereitgestellt. Mit Workspace ONE Access arbeitet die Unified Access Gateway-Appliance als Web-Reverse-Proxy zwischen dem Browser eines Benutzers und dem Workspace ONE Access-Dienst im Datencenter. Unified Access Gateway ermöglicht außerdem den Remotezugriff auf den Workspace ONE-Katalog, um Horizon-Anwendungen zu starten.

Hinweis: Eine einzige Instanz von Unified Access Gateway kann bis zu 15.000 gleichzeitige TCP-Verbindungen verarbeiten. Wenn die erwartete Last mehr als 15.000 beträgt, müssen hinter dem Lastausgleich mehrere Instanzen von Unified Access Gateway konfiguriert werden.

Unter Erweiterte Einstellungen für Edge-Dienst finden Sie Informationen zu den Einstellungen, die bei der Konfiguration des Reverse-Proxys verwendet werden.

Abbildung 1. Auf VMware Identity Manager verweisende Unified Access Gateway-Appliance

Wissenswertes zum Reverse-Proxy

Unified Access Gateway bietet Zugriff auf das App-Portal, in dem Remote-Benutzer über eine einmalige Anmeldung auf ihre Ressourcen zugreifen können. Das App-Portal ist eine Backend-Anwendung wie SharePoint, JIRA oder VIDM, für die Unified Access Gateway als Reverse-Proxy fungiert.
Hinweis: Horizon Connection Server funktioniert nicht mit einem aktivierten Web-Reverse-Proxy, wenn es eine Überschneidung im Proxy-Muster gibt. Aus diesem Grund müssen Sie das Proxy-Muster „/“ aus den Horizon-Einstellungen entfernen und das Muster im Web-Reverse-Proxy beibehalten, um eine Überschneidung zu verhindern, wenn sowohl Horizon als auch eine Web-Reverse-Proxy-Instanz mit Proxy-Mustern auf der gleichen Unified Access Gateway-Instanz konfiguriert und aktiviert sind. Die Beibehaltung des Proxy-Musters „/“ in der Web-Reverse-Proxy-Instanz stellt sicher, dass die richtige Web-Reverse-Proxy-Seite angezeigt wird, wenn ein Benutzer auf die URL von Unified Access Gateway klickt. Wenn nur Horizon-Einstellungen konfiguriert sind, ist die oben angegebene Änderung nicht erforderlich.
Beachten Sie die folgenden Punkte, wenn Sie einen Reverse-Proxy aktivieren und konfigurieren:
  • Sie müssen die Authentifizierung des Reverse-Proxys an einem Edge-Dienst-Manager aktivieren. Derzeit werden die Authentifizierungsmethoden RSA SecurID und RADIUS unterstützt.
  • Sie müssen Identitätsanbieter-Metadaten (IDP-Metadaten) generieren, bevor Sie die Authentifizierung auf dem Web-Reverse-Proxy aktivieren.
  • Unified Access Gateway bietet Remotezugriff auf Workspace ONE Access und Webanwendungen mit oder ohne Authentifizierung über einen browserbasierten Client und startet anschließend den Horizon-Desktop.
  • Sie können mehrere Instanzen des Reverse-Proxy konfigurieren. Jede konfigurierte Instanz lässt sich auch wieder löschen.
  • Bei einfachen Proxy-Mustern wird die Groß-/Kleinschreibung beachtet. Seitenlinks und Proxy-Muster müssen übereinstimmen.
Abbildung 2. Mehrere konfigurierte Reverse-Proxys

Reverse-Proxy-Einstellungen mit der Option „Löschen“