Unified Access Gateway utiliza variables diferentes para diferenciar entre los servicios perimetrales, los servidores proxy web configurados y las direcciones URL de destino del proxy.

Patrón de proxy y patrón de UnSecure

Unified Access Gateway utiliza el patrón de proxy para enviar las solicitudes HTTP entrantes al servicio perimetral adecuado, como Horizon, o a una de las instancias de proxy inverso de web configuradas, como VMware Identity Manager. Por lo tanto, se usa como filtro para decidir si se necesita un proxy inverso para procesar el tráfico entrante.

Si se selecciona un proxy inverso, el proxy usará el patrón inseguro especificado para decidir si desea permitir que el tráfico entrante vaya al back-end sin autenticar.

El usuario debe especificar un patrón de proxy, estableciendo que un patrón inseguro es opcional. El patrón inseguro es utilizado por instancias de proxy inverso web como VMware Identity Manager que tienen su propio mecanismo de inicio de sesión y quieren que algunas URL, como rutas de páginas de inicio de sesión, javascripts o recursos de imágenes se transfieran al back-end sin autenticación.

Nota:

Un patrón inseguro es un subconjunto del patrón de proxy y, por lo tanto, se podrían repetir algunas rutas de acceso entre ambos para un proxy inverso.

Cada servicio perimetral puede tener un patrón diferente. Por ejemplo, el Proxy Pattern para Horizon se puede configurar como (/|/view-client(.*)|/portal(.*)|/appblast(.*)) y el patrón para VMware Identity Manager se puede configurar como (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)).

Nota:

Horizon Connection Server no funciona con un proxy inverso de web habilitado cuando hay una superposición en el patrón de proxy. Por lo tanto, si Horizon y una instancia de proxy inverso de web como VMware Identity Manager están configurados y habilitados con los patrones de proxy en la misma instancia de Unified Access Gateway, quite el patrón de proxy '/' de la configuración de Horizon y conserve el patrón en VMware Identity Manager para evitar la superposición.

Retener el patrón de proxy '/' en la instancia de proxy inverso de web (VMware Identity Manager) garantiza que, cuando un usuario hace clic en la dirección URL de Unified Access Gateway, se muestra la página de VMware Identity Manager.

Si solo configura las opciones de Horizon, no es necesario el cambio indicado anteriormente.

Patrón de host de proxy

Si hay varias instancias de proxy inverso de web configuradas y una superposición en los patrones de proxy, Unified Access Gateway utiliza el Proxy Host Pattern para diferenciarlos. Configure Proxy Host Pattern como el FQDN del proxy inverso.

Por ejemplo, un patrón de host para Sharepoint puede configurarse como sharepoint.myco.com y un patrón para JIRA puede configurarse como jira.myco.com.

Entradas de host

Configure este cuadro de texto solo si Unified Access Gateway no puede acceder a la aplicación o al servidor back-end. Cuando agrega la dirección IP y el nombre de host de la aplicación back-end a las entradas de host, dicha información se agrega al archivo /etc/hosts de Unified Access Gateway. Este campo es común en todas las configuraciones del servicio perimetral.

URL de destino del proxy

Esta es la dirección URL de aplicación del servidor back-end de la configuración del servicio perimetral para el cual Unified Access Gateway es el proxy. Por ejemplo:

  • Para Horizon Connection Server, la URL del servidor de conexión es la URL de destino del proxy.

  • Para el proxy inverso de web, la dirección URL de la aplicación del proxy inverso de web configurado es la URL de destino del proxy.

Configuración de un único proxy inverso

Cuando Unified Access Gateway recibe una única solicitud entrante con un URI, se utiliza el patrón de proxy para decidir si la solicitud se reenvía o se descarta.

Configuración de varias instancias de proxy inverso

  1. Cuando Unified Access Gateway está configurado como un proxy inverso y recibe una solicitud entrante con una ruta de acceso URI, Unified Access Gateway utiliza el patrón de proxy para emparejarla con la instancia de proxy inverso de web correcta. Si hay una coincidencia, se utiliza el patrón coincidente. Si hay varias coincidencias, se repite el proceso de filtrado y emparejamiento en el paso 2. Si no hay ninguna coincidencia, se descarta la solicitud y se envía un error HTTP 404 al cliente.

  2. El patrón de host del proxy se utiliza para filtrar la lista que ya se ha filtrado en el paso 1. El encabezado del HOST se utiliza para filtrar la solicitud y buscar la instancia de proxy inverso. Si hay una coincidencia, se utiliza el patrón coincidente. Si hay varias coincidencias, se repite el proceso de filtrado y emparejamiento en el paso 3.

  3. Tenga en cuenta lo siguiente:

    • Se usa la primera coincidencia en la lista filtrada en el paso 2. Puede que esta coincidencia no siempre sea la instancia correcta de proxy inverso de web. Por lo tanto, asegúrese de que la combinación de patrón de proxy y patrón de host de proxy para una instancia de proxy inverso de web sea única si hay varias instancias de proxy inverso configuradas en un Unified Access Gateway.

    • El nombre de host de todas las instancias de proxy inverso configuradas debe resolverse en la misma dirección IP que la dirección externa de la instancia de Unified Access Gateway.

Consulte Configure Reverse Proxy With VMware Identity Manager para obtener más información e instrucciones sobre cómo configurar un proxy inverso.

Ejemplo: Dos instancias de proxy inverso configuradas con patrones de proxy contrarios, patrones de host distintos

Supongamos que el patrón de proxy para el primer proxy inverso es /(.*) con el patrón de host como host1.domain.com, y que el patrón para el segundo proxy inverso es (/app2(.*)|/app3(.*)|/) con el patrón de host como host2.domain.com.

  • Si se realiza una solicitud con la ruta de acceso establecida en https://host1.domain.com/app1/index.html, entonces, la solicitud se reenvía al primer proxy inverso.

  • Si se realiza una solicitud con la ruta de acceso establecida en https://host2.domain.com/app2/index.html, entonces, la solicitud se reenvía al segundo proxy inverso.

Ejemplo: Dos instancias de proxy inverso con patrones de proxy mutuamente excluyentes

Supongamos que el patrón de proxy para el primer proxy inverso es /app1(.*) y para el segundo proxy inverso es (/app2(.*)|/app3(.*)|/).

  • Si se realiza una solicitud con la ruta de acceso establecida en https://<uag domain name>/app1/index.html, entonces, la solicitud se reenvía al primer proxy inverso.

  • Si se realiza una solicitud con la ruta de acceso establecida en https://<uag domain name>/app3/index.html o https://<uag domain name>/, entonces, la solicitud se reenvía al segundo proxy inverso.