Durante la implementación, la instancia de VMware Identity Manager se configura dentro de la red interna. Si desea proporcionar acceso al servicio a aquellos usuarios que se conectan desde redes exteriores, debe instalar un equilibrador de carga o un proxy inverso, como Apache, Nginx o F5, en la red perimetral o DMZ.

Si no usa un equilibrador de carga o un proxy inverso, posteriormente no podrá ampliar el número de instancias de VMware Identity Manager posteriormente. Puede que necesite agregar más instancias para proporcionar redundancia y equilibrio de carga. El diagrama siguiente muestra la arquitectura de implementación básica que puede usar para habilitar el acceso externo.

Figura 1. Proxy de equilibrador de carga externo con máquinas virtuales

Especifique el FQDN del de VMware Identity Manager durante la implementación

Durante la implementación del equipo del de VMware Identity Manager, se proporciona el número de puerto y el FQDN de VMware Identity Manager . Estos valores deben dirigir al nombre de host al que desea que los usuarios finales obtengan acceso.

El equipo del de VMware Identity Manager siempre se ejecuta a través del puerto 443. Puede usar un número de puerto diferente para el equilibrador de carga. Si usa un número de puerto diferente, debe especificarlo durante la implementación. No utilice 8443 como número de puerto, ya que este es el puerto administrativo de VMware Identity Manager y es único para cada equipo del clúster.

Opciones del equilibrador de carga para configurar

La configuración del equilibrador de carga incluye habilitar encabezados X-Forwarded-For, establecer correctamente el tiempo de espera del equilibrador de carga y habilitar sesiones sticky. Además, se debe configurar la confianza SSL entre el equilibrador de carga y el equipo del de VMware Identity Manager.

  • Encabezados X-Forwarded-For

    Debe habilitar encabezados X-Forwarded-For para su equilibrador de carga. Esto determina el método de autenticación. Consulte la documentación proporcionada por el proveedor de su equilibrador de carga para obtener más información.

  • Tiempo de espera del equilibrador de carga

    Para que VMware Identity Manager funcione correctamente, es posible que necesite aumentar el valor predeterminado correspondiente al tiempo de espera para las solicitudes del equilibrador de carga. Este valor se expresa en minutos. Si el valor del tiempo de espera es demasiado bajo, puede que se muestre el mensaje "Error 502: El servicio no se encuentra disponible".

  • Habilitar sesiones sticky

    Debe habilitar la configuración de las sesiones sticky en el equilibrador de carga si la implementación tiene varios equipos de VMware Identity Manager. El equilibrador de carga enlazará la sesión de un usuario con una instancia específica.

  • Compatibilidad con WebSocket

    El equilibrador de carga debe admitir WebSocket para habilitar los canales de comunicación segura entre los conectores y los nodos de VMware Identity Manager.

  • Cifrados con confidencialidad directa

    Los requisitos de seguridad de transporte de la aplicación iOS de Apple se aplican a la aplicación Workspace ONE en iOS. Para permitir que los usuarios utilicen la aplicación Workspace ONE en iOS, el equilibrador de carga debe tener cifrados con confidencialidad directa. Estas son los cifrados que cumplen los requisitos:

    ECDHE_ECDSA_AES y ECDHE_RSA_AES en el modo GCM o CBC

    tal como se especifica en el documento Seguridad de iOS de iOS 11:

    "La seguridad de transporte de las app proporciona unos requisitos de conexión por omisión, de manera que las apps cumplan las buenas prácticas para conexiones seguras al utilizar las API NSURLConnection, CFURL o NSURLSession. Por omisión, la seguridad de transporte de las apps limita la selección de cifrados para incluir solo conjuntos que proporcionen la confidencialidad directa, concretamente ECDHE_ ECDSA_ AES y ECDHE_ RSA_ AES en modo GCM o CBC".