Los usuarios no pueden iniciar aplicaciones desde la aplicación o el portal de Workspace ONE en una implementación de VMware Identity Manager con equilibrio de carga.

Problema

Los usuarios no pueden iniciar aplicaciones desde la aplicación o el portal de Workspace ONE si la dirección IP del cliente se determina de forma incorrecta. Este problema puede ocurrir en las implementaciones de VMware Identity Manager con equilibrio de carga si el encabezado X-Forwarded-For (XFF) contiene direcciones IP incorrectas.

Compruebe el informe de inicio de eventos de auditoría en el panel de control para comprobar que la dirección IP del cliente se resuelve correctamente. Si no se resuelve correctamente, siga este procedimiento para solucionar el problema.

Solución

Para solucionar el problema, obtenga primero la lista de direcciones IP que aparecen en el encabezado XFF mediante la REST API clientipresolutioninfo y compruebe la respuesta. Si devuelve la dirección IP del equilibrador de carga o del nodo de servicio de VMware Identity Manager, establezca la propiedad service.ipsToIgnoreInXffHeader en el archivo runtime-config.properties para filtrar las direcciones IP no deseadas.

Para obtener la lista de direcciones IP en el encabezado XFF, utilice un cliente REST como Postman para ejecutar la siguiente REST API cuando haya iniciado sesión en el servicio de VMware Identity Manager como administrador del arrendatario:

Método: GET

Ruta de acceso: /clientipresolutioninfo

Autorización: HZN valor_cookie
Nota: Para obtener el valor de la cookie de HZN, inicie sesión en el servicio de VMware Identity Manager como administrador del arrendatario y, a continuación, acceda a la memoria caché de cookies del navegador.

Tipo de medio de respuesta: application/vnd.vmware.horizon.manager.clientipresolutionconfig+json

Respuesta JSON de muestra:

{
“xffHeaderIpList":["10.112.68.252”], // the IPs part of XFF header
"numberOfLoadBalancers”:0, // number of load balancers configured in runtime-config.properties
"configuredIpToIgnoreList":"10.112.68.255”, // the list of ips or subnets to ignore as configured in runtime-config.properties
"clientIpDetermined":"10.112.68.252”, // the client IP determined to be used finally for login/access policy
"_links":{}
}

A partir de la salida, determine las direcciones IP que no sean necesarias y, a continuación, edite el archivo runtime-config.properties para filtrarlas.

  1. Inicie sesión en el servidor de VMware Identity Manager.
  2. Edite el archivo DIR_INSTALACIÓN\usr\local\horizon\conf\runtime-config.properties y añada la siguiente propiedad:

    service.ipsToIgnoreInXffHeader IP_omitidas

    donde IP_omitidas es una lista separada por comas de direcciones IP para omitir en el encabezado XFF.

  3. Reinicie el servicio de VMware IDM.