Benutzer können keine Anwendungen in einer Umgebung mit Lastausgleich starten

In einer VMware Identity Manager-Bereitstellung mit Lastausgleich können Benutzer nach dem Anmelden keine Anwendungen über die Workspace ONE-App oder das -Portal starten.

Problem

Benutzer können keine Anwendungen über das Workspace ONE-Portal oder die -App starten, wenn ihre Client-IP-Adresse falsch festgelegt wurde. Dieses Problem kann bei VMware Identity ManagerBereitstellungen mit Lastausgleich auftreten, wenn der X-Forwarded-For (XFF)-Header falsche IP-Adressen enthält.

Überprüfen Sie den Bericht „Überwachungsereignisse“ im Dashboard, um zu überprüfen, ob die Client-IP-Adresse ordnungsgemäß aufgelöst wird. Wenn sie nicht ordnungsgemäß aufgelöst wird, befolgen Sie dieses Verfahren, um das Problem zu beheben.

Lösung

Um das Problem zu beheben, rufen Sie zuerst die Liste der IP-Adressen ab, die im XFF-Header aufgeführt sind, indem Sie die REST-API clientipresolutioninfo verwenden und die Antwort überprüfen. Wenn die IP-Adresse des Lastausgleichsdiensts oder des VMware Identity Manager-Dienstknotens zurückgegeben wird, legen Sie die service.ipsToIgnoreInXffHeader-Eigenschaft in der Datei runtime-config.properties fest, um die unerwünschten IP-Adressen zu filtern.

Um die Liste der IP-Adressen im XFF-Header abzurufen, verwenden Sie einen REST-Client wie z. B. Postman, um die folgende REST-API auszuführen, während Sie beim VMware Identity Manager-Dienst als Mandantenadministrator angemeldet sind:

Methode: GET

Pfad: /clientipresolutioninfo

Autorisierung: HZN cookie_value

Hinweis: Sie können den HZN-Cookie-Wert abrufen, indem Sie sich als Mandantenadministrator beim VMware Identity Manager-Dienst anmelden und dann auf den Cookie-Zwischenspeicher Ihres Browsers zugreifen.

Antwortmedientyp: application/vnd.vmware.horizon.manager.clientipresolutionconfig+json

JSON-Beispielantwort:

{
“xffHeaderIpList":["10.112.68.252”], // the IPs part of XFF header
"numberOfLoadBalancers”:0, // number of load balancers configured in runtime-config.properties
"configuredIpToIgnoreList":"10.112.68.255”, // the list of ips or subnets to ignore as configured in runtime-config.properties
"clientIpDetermined":"10.112.68.252”, // the client IP determined to be used finally for login/access policy
"_links":{}
}

Ermitteln Sie in der Ausgabe, welche IP-Adressen nicht benötigt werden, und bearbeiten Sie dann die Datei runtime-config.properties, um sie zu filtern.

Melden Sie sich bei der virtuellen VMware Identity Manager-Appliance an.
Bearbeiten Sie die Datei /usr/local/horizon/conf/runtime-config.properties und fügen Sie die folgende Eigenschaft hinzu.
service.ipsToIgnoreInXffHeader IPsToIgnore

wobei IPsToIgnore eine durch Kommas getrennte Liste von IP-Adressen ist, die im XFF-Header ignoriert werden sollen.
Starten Sie den Dienst neu.
service horizon-workspace restart