Unified Access Gateway verwendet verschiedene Variablen, um zwischen Edge-Diensten, konfigurierten Web-Proxys und Proxy-Ziel-URLs zu unterscheiden.

Proxy-Muster und UnSecure-Muster

Unified Access Gateway verwendet Proxy-Muster, um eingehende HTTP-Anforderungen an den richtigen Edge-Dienst wie Horizon oder eine der konfigurierten Web-Reverse-Proxy-Instanzen wie VMware Identity Manager weiterzuleiten. Es wird daher als Filter verwendet, um zu bestimmen, ob ein Reverse-Proxy für die Verarbeitung des eingehenden Datenverkehrs erforderlich ist.

Wenn ein Reverse-Proxy ausgewählt wurde, verwendet der Proxy ein angegebenes UnSecure-Muster, um zu bestimmen, ob der eingehende Datenverkehr zum Back-End ohne Authentifizierung zulässig ist.

Der Benutzer muss ein Proxy-Muster angeben. Die Festlegung eines UnSecure-Musters ist optional. Das UnSecure-Muster wird von Web-Reverse-Proxys wie z. B. VMware Identity Manager verwendet, die über eigene Anmeldeverfahren verfügen und für die erforderlich ist, dass bestimmte URLs wie z. B. Anmeldeseitenpfade, Javascripts oder Image-Ressourcen an das Back-End ohne Authentifizierung übergeben werden.
Hinweis: Ein UnSecure-Muster ist eine Teilmenge des Proxy-Musters. Es ist daher möglich, dass einige Pfade in beiden Mustern für einen Reverse-Proxy identisch sind.
Hinweis: Das Muster kann auch verwendet werden, um bestimmte URLs auszuschließen. Um beispielsweise alle URLs zuzulassen, aber „/admin“ zu blockieren, können Sie den folgenden Ausdruck verwenden. ^/(?!admin(.*))(.*)
Jeder Edge-Dienst kann ein anderes Muster haben. Beispielsweise kann das Proxy Pattern für Horizon als (/|/view-client(.*)|/portal(.*)|/appblast(.*)) und das Muster für VMware Identity Manager als (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)) konfiguriert werden.
Hinweis: Horizon Connection Server funktioniert nicht mit einem aktivierten Web-Reverse-Proxy, wenn es eine Überschneidung im Proxy-Muster gibt. Aus diesem Grund müssen Sie das Proxy-Muster „/“ aus den Horizon-Einstellungen entfernen und das Muster in VMware Identity Manager beibehalten, um eine Überschneidung zu verhindern, wenn sowohl Horizon als auch eine Web-Reverse-Proxy-Instanz wie z. B. VMware Identity Manager mit Proxy-Mustern der gleichen Unified Access Gateway-Instanz konfiguriert und aktiviert sind.

Die Beibehaltung des Proxy-Musters „/“ in der Web-Reverse-Proxy-Instanz (VMware Identity Manager) stellt sicher, dass die Seite VMware Identity Manager angezeigt wird, wenn ein Benutzer auf die URL von Unified Access Gateway klickt.

Wenn nur Horizon-Einstellungen konfiguriert sind, ist die oben angegebene Änderung nicht erforderlich.

Proxy-Host-Muster

Wenn mehrere Web-Reverse-Proxy-Instanzen konfiguriert sind und es eine Überschneidung in Proxy-Mustern gibt, verwendet Unified Access Gateway den Parameter Proxy Host Pattern, um zwischen ihnen zu unterscheiden. Konfigurieren Sie den Proxy Host Pattern als FQDN des Reverse-Proxys.

Beispielsweise kann ein Host-Muster für Sharepoint als sharepoint.myco.com und ein Muster für JIRA als jira.myco.com konfiguriert werden.

Hosteinträge

Konfigurieren Sie dieses Textfeld nur, wenn Unified Access Gateway nicht in der Lage ist, den Back-End-Server oder die Anwendung zu erreichen. Wenn Sie die IP-Adresse und den Hostnamen der Back-End-Anwendung zu den Host-Einträgen hinzufügen, werden diese Informationen der Datei /etc/hosts von Unified Access Gateway hinzugefügt. Dieses Feld ist für alle Edge-Dienst-Einstellungen gleich.

Proxy-Ziel-URL

Dies ist die URL der Back-End-Server-Anwendung der Edge-Dienst-Einstellungen, für die Unified Access Gateway der Proxy ist. Beispiel:
  • Bei Horizon Connection Server ist die URL des Verbindungsservers die Proxy-Ziel-URL.
  • Bei einem Web-Reverse-Proxy ist die Anwendungs-URL des konfigurierten Web-Reverse-Proxys die Proxy-Ziel-URL.

Konfiguration für einen einzelnen Reverse-Proxy

Wenn Unified Access Gateway eine einzelne eingehende Anforderung mit einer URI erhält, wird das Proxy-Muster verwendet, um zu entscheiden, ob die Anfrage weitergeleitet oder gelöscht werden soll.

Konfiguration für mehrere Reverse-Proxys

  1. Wenn Unified Access Gateway als Reverse-Proxy konfiguriert ist und eine eingehende Anforderung mit einem URI-Pfad eintrifft, verwendet Unified Access Gateway das Proxy-Muster, um die korrekte Web-Reverse-Proxy-Instanz zu finden. Wenn es eine Übereinstimmung gibt, wird das übereinstimmende Muster verwendet. Wenn es mehrere Übereinstimmungen gibt, wird der Filter- und Abgleichvorgang in Schritt 2 wiederholt. Wenn es keine Übereinstimmung gibt, wird die Anforderung gelöscht und eine HTTP 404-Nachricht wird an den Client zurückgesendet.
  2. Das Proxy-Host-Muster wird verwendet, um die Liste zu filtern, die bereits in Schritt 1 gefiltert wurde. Der HOST-Header wird verwendet, um die Anforderung zu filtern und die Reverse-Proxy-Instanz zu finden. Wenn es eine Übereinstimmung gibt, wird das übereinstimmende Muster verwendet. Wenn es mehrere Übereinstimmungen gibt, wird der Filter- und Abgleichvorgang in Schritt 3 wiederholt.
  3. Beachten Sie Folgendes:
    • Die erste Übereinstimmung aus der gefilterten Liste in Schritt 2 wird verwendet. Diese Übereinstimmung ist möglicherweise nicht immer die richtigen Web-Reverse-Proxy-Instanz. Stellen Sie daher sicher, dass die Kombination aus Proxy-Muster und Proxy-Host-Muster für eine Web-Reverse-Proxy-Instanz eindeutig ist, wenn mehrere Reverse-Proxys in einem Unified Access Gateway eingerichtet sind.
    • Der Hostname aller konfigurierten Reverse-Proxys sollte auf dieselbe IP-Adresse aufgelöst werden wie die externe Adresse der Unified Access Gateway-Instanz.

Weitere Informationen und Anleitungen zur Konfiguration eines Reverse-Proxys finden Sie unter Konfigurieren von Reverse-Proxy mit VMware Identity Manager.

Beispiel: Zwei Reverse-Proxys mit sich überschneidenden Proxy-Mustern und unterschiedlichen Host-Mustern

Angenommen, der erste Reverse-Proxy verwendet das Proxy-Muster /(.*) sowie das Host-Muster host1.domain.com und der zweite Reverse-Proxy verwendet das Proxy-Muster (/app2(.*)|/app3(.*)|/) sowie das Host-Muster host2.domain.com.
  • Eine Anforderung mit dem Pfad https://host1.domain.com/app1/index.html wird an den ersten Reverse-Proxy weitergeleitet.
  • Eine Anforderung mit dem Pfad https://host2.domain.com/app2/index.html wird an den zweiten Reverse-Proxy weitergeleitet.

Beispiel: Zwei Reverse-Proxys mit sich gegenseitig ausschließenden Proxy-Mustern

Angenommen, der erste Reverse-Proxy verwendet das Proxy-Muster /app1(.*) und der zweite Reverse-Proxy das Muster (/app2(.*)|/app3(.*)|/).
  • Eine Anforderung mit dem Pfad https://<uag domain name>/app1/index.html wird an den ersten Reverse-Proxy weitergeleitet.
  • Wenn eine Anforderung mit dem Pfad https://<uag domain name>/app3/index.html oder https://<uag domain name>/ gesendet wird, dann wird diese Anforderung an den zweiten Reverse-Proxy weitergeleitet.