Unified Access Gateway peut être utilisé comme proxy inverse Web et faire office de simple proxy inverse ou de proxy inverse d'authentification dans la zone DMZ.

Scénario de déploiement

Unified Access Gateway fournit un accès à distance sécurisé pour un déploiement sur site de Workspace ONE Access. En général, les dispositifs Unified Access Gateway sont déployés dans une zone démilitarisée (DMZ) de réseau. Avec Workspace ONE Access, le dispositif Unified Access Gateway agit en tant que proxy inverse Web entre le navigateur d'un utilisateur et le service Workspace ONE Access dans le centre de données. Unified Access Gateway active également l'accès à distance au catalogue de Workspace ONE pour lancer des applications Horizon.

Note : Une seule instance de Unified Access Gateway peut gérer jusqu'à 15 000 connexions TCP simultanées. Si la charge attendue est supérieure à 15 000, plusieurs instances de Unified Access Gateway doivent être configurées derrière l'équilibrage de charge.

Reportez-vous à la section Paramètres avancés des services Edge pour plus d'informations sur les paramètres utilisés lors de la configuration du proxy inverse.

Figure 1. Dispositif Unified Access Gateway pointant vers Workspace ONE Access

Comprendre le proxy inverse

Unified Access Gateway fournit aux utilisateurs distants un accès au portail d'applications pour leur permettre de s'authentifier et d'accéder à leurs ressources. Le portail d'applications est une application principale comme SharePoint, JIRA ou vIDM, pour laquelle Unified Access Gateway agit en tant que proxy inverse.
Note : Horizon Connection Server ne fonctionne pas avec un proxy inverse Web activé lorsqu'un chevauchement existe dans le modèle de proxy. Par conséquent, si Horizon et une instance du proxy inverse Web sont configurés et activés avec des modèles de proxy sur la même instance Unified Access Gateway, supprimez le modèle de proxy « / » des paramètres d'Horizon et conservez le modèle dans le proxy inverse Web afin d'empêcher le chevauchement. Conserver le modèle de proxy « / » dans l'instance du proxy inverse Web permet de garantir que lorsqu'un utilisateur clique sur l'URL d'Unified Access Gateway, la page appropriée du proxy inverse Web s'affiche. Si seuls les paramètres d'Horizon sont configurés, le changement ci-dessus n'est pas nécessaire.
Tenez compte des points suivants lors de l'activation et de la configuration du proxy inverse :
  • Vous devez activer l'authentification du proxy inverse sur un gestionnaire des services Edge. Actuellement, les méthodes d'authentification RSA SecurID et RADIUS sont prises en charge.
  • Vous devez générer les métadonnées de fournisseur d'identité (métadonnées IDP) avant d'activer l'authentification sur le proxy inverse Web.
  • Unified Access Gateway fournit un accès distant à Workspace ONE Access et aux applications Web avec ou sans authentification à partir d'un client basé sur un navigateur, puis lance un poste de travail Horizon.
  • Vous pouvez configurer plusieurs instances du proxy inverse, chacune d'elles peut en outre être supprimée.
  • Les modèles de proxy simples sont sensibles à la casse. Les liens de page et les modèles de proxy doivent correspondre.