Durante la implementación, la instancia de Workspace ONE Access se configura dentro de la red interna. Si desea proporcionar acceso al servicio a aquellos usuarios que se conectan desde redes exteriores, debe instalar un equilibrador de carga o un proxy inverso, como VMware NSX® Advanced Load Balancer™, Apache, Nginx o F5, en la red perimetral o DMZ.

Si no usa un equilibrador de carga o un proxy inverso, posteriormente no podrá ampliar el número de instancias de Workspace ONE Access posteriormente. Puede que necesite agregar más instancias para proporcionar redundancia y equilibrio de carga. El diagrama siguiente muestra la arquitectura de implementación básica que puede usar para habilitar el acceso externo.

Figura 1. Proxy de equilibrador de carga externo con máquinas virtuales
Proxy de equilibrador de carga externo con máquinas virtuales

Especifique el FQDN del de Workspace ONE Access durante la implementación

Durante la implementación del dispositivo Workspace ONE Access , se proporciona el número de puerto y el FQDN de Workspace ONE Access . Estos valores deben dirigir al nombre de host al que desea que los usuarios finales obtengan acceso.

El equipo del de Workspace ONE Access siempre se ejecuta a través del puerto 443. Puede usar un número de puerto diferente para el equilibrador de carga. Si usa un número de puerto diferente, debe especificarlo durante la implementación. No utilice 8443 como número de puerto, ya que este es el puerto administrativo de Workspace ONE Access y es único para cada equipo del clúster.

Opciones del equilibrador de carga para configurar

La configuración del equilibrador de carga incluye habilitar encabezados X-Forwarded-For, establecer correctamente el tiempo de espera del equilibrador de carga y habilitar sesiones sticky. Además, se debe configurar la confianza SSL entre el equilibrador de carga y el equipo de Workspace ONE Access Connector.

  • Encabezados X-Forwarded-For

    Debe habilitar encabezados X-Forwarded-For para su equilibrador de carga. Esto determina el método de autenticación. Consulte la documentación proporcionada por el proveedor de su equilibrador de carga para obtener más información.

  • Tiempo de espera del equilibrador de carga

    Para que Workspace ONE Access funcione correctamente, es posible que necesite aumentar el valor predeterminado correspondiente al tiempo de espera para las solicitudes del equilibrador de carga. Este valor se expresa en minutos. Si el valor del tiempo de espera es demasiado bajo, puede que se muestre el mensaje "Error 502: El servicio no se encuentra disponible".

  • Habilitar sesiones sticky

    Debe habilitar la configuración de las sesiones sticky en el equilibrador de carga si la implementación tiene varios equipos de Workspace ONE Access. El equilibrador de carga enlazará la sesión de un usuario con una instancia específica.

  • No bloquear cookies de sesión

    No bloquee las cookies de sesión agregando reglas al equilibrador de carga. Si agrega reglas de este tipo al equilibrador de carga, puede producirse un comportamiento incoherente y solicitudes erróneas.

  • Compatibilidad con WebSocket

    El equilibrador de carga debe admitir WebSocket para habilitar los canales de comunicación segura entre las instancias de conector y los nodos de Workspace ONE Access.

    Para su implementación, si Servicios de Hub de VMware Workspace ONE está integrado, se requiere la compatibilidad con WebSocket para las notificaciones de Servicios de Hub. Por lo tanto, se debe proporcionar la compatibilidad de WebSocket para los navegadores y los dispositivos de los usuarios finales.

  • Cifrados con confidencialidad directa

    Los requisitos de seguridad de transporte de la aplicación iOS de Apple se aplican a la aplicación Workspace ONE en iOS. Para permitir que los usuarios utilicen la aplicación Workspace ONE en iOS, el equilibrador de carga debe tener cifrados con confidencialidad directa. Estas son los cifrados que cumplen los requisitos:

    ECDHE_ECDSA_AES y ECDHE_RSA_AES en el modo GCM o CBC

    tal como se especifica en el documento Seguridad de iOS de iOS 11:

    "La seguridad de transporte de las app proporciona unos requisitos de conexión por omisión, de manera que las apps cumplan las buenas prácticas para conexiones seguras al utilizar las API NSURLConnection, CFURL o NSURLSession. Por omisión, la seguridad de transporte de las apps limita la selección de cifrados para incluir solo conjuntos que proporcionen la confidencialidad directa, concretamente ECDHE_ ECDSA_ AES y ECDHE_ RSA_ AES en modo GCM o CBC".