Unified Access Gateway utilise différentes variables pour différencier les services Edge, les proxys Web configurés et les URL de destination du proxy.

Modèle de proxy et modèle non sécurisé

Unified Access Gateway utilise un modèle de proxy pour transmettre les demandes HTTP entrantes au service Edge adéquat, tel que Horizon ou à l'une des instances du proxy inverse Web configurées telles que VMware Identity Manager. Par conséquent, il est utilisé en tant que filtre pour décider si un proxy inverse est nécessaire pour traiter le trafic entrant.

Si un proxy inverse est sélectionné, le proxy utilise un modèle non sécurisé spécifié afin de décider s’il faut autoriser ou non le trafic entrant à atteindre le serveur principal sans être authentifié.

L’utilisateur doit spécifier un modèle de proxy, en spécifiant qu'un modèle non sécurisé est facultatif. Le modèle non sécurisé est utilisé par des proxys inverses Web tels que VMware Identity Manager qui ont leur propre mécanisme de connexion et souhaitent que certaines URL telles que des chemins d'accès à des pages de connexion, des scripts JavaScript ou ressources d’image, soient transmises au serveur principal sans être authentifiées.

Note:

Un modèle non sécurisé est un sous-ensemble du modèle de proxy et, par conséquent, il est possible que certains chemins d’accès soient répétés entre les deux pour un proxy inverse.

Chaque service Edge peut avoir un modèle différent. Par exemple, le Proxy Pattern pour Horizon peut être configuré en tant que (/|/view-client(.*)|/portal(.*)|/appblast(.*)) et le modèle pour VMware Identity Manager peut être configuré en tant que (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)).

Note:

Horizon Connection Server ne fonctionne pas avec un proxy inverse Web activé lorsqu'un chevauchement existe dans le modèle de proxy. Par conséquent, si Horizon et une instance du proxy inverse Web telle que VMware Identity Manager sont configurés et activés avec des modèles de proxy sur la même instance de Unified Access Gateway, supprimez le modèle de proxy « / » des paramètres Horizon et conservez le modèle dans VMware Identity Manager afin d’empêcher le chevauchement.

Conserver le modèle de proxy « / » dans l’instance du proxy inverse Web (VMware Identity Manager) permet de garantir que lorsqu’un utilisateur clique sur l’URL de Unified Access Gateway, la page VMware Identity Manager s’affiche.

Si seuls les paramètres Horizon sont configurés, le changement ci-dessus n’est pas nécessaire.

Modèle d'hôte de proxy

S’il existe plusieurs instances du proxy inverse Web configurées, et qu’un chevauchement est présent dans les modèles de proxy, Unified Access Gateway utilise le Proxy Host Pattern pour les différencier. Configurez Proxy Host Pattern en tant que nom de domaine complet du proxy inverse.

Par exemple, un modèle d’hôte pour SharePoint peut être configuré en tant que sharepoint.myco.com et un modèle pour JIRA peut être configuré en tant que jira.myco.com.

Entrées de l'hôte

Configurez cette zone de texte uniquement si Unified Access Gateway n’est pas en mesure d'accéder à l’application ou au serveur principal. Lorsque vous ajoutez l’adresse IP et le nom d’hôte de l’application principale aux entrées de l’hôte, cette information est ajoutée au fichier /etc/hosts de Unified Access Gateway. Ce champ est commun à l'ensemble des paramètres des services Edge.

URL de destination du proxy

Il s’agit de l’URL de l’application de serveur principale des paramètres des services Edge pour laquelle Unified Access Gateway est le proxy. Par exemple :

  • Pour Horizon Connection Server, l’URL du serveur de connexion est l’URL de destination du proxy.

  • Pour le proxy inverse Web, l’URL de l’application du proxy inverse Web configurée est l’URL de destination du proxy.

Configuration d'un proxy inverse unique

Lorsque Unified Access Gateway reçoit une demande entrante unique avec un URI, le modèle de proxy est utilisé pour déterminer si la demande doit être transférée ou déplacée.

Configuration de proxys inverses multiples

  1. Lorsque Unified Access Gateway est configuré en tant que proxy inverse et que vous recevez une demande entrante avec un chemin d’accès d’URI, Unified Access Gateway utilise le modèle de proxy pour correspondre à l’instance du proxy inverse Web correct. S’il existe une correspondance, le modèle adéquat sera utilisé. S’il existe plusieurs correspondances, le processus de filtrage et de correspondance sera répété à l’étape 2. En cas de non-correspondance, la demande est abandonnée et une erreur HTTP 404 est renvoyée au client.

  2. Le modèle d’hôte de proxy est utilisé pour filtrer la liste précédemment filtrée à l’étape 1. L’en-tête HOST est utilisé pour filtrer la demande et trouver l’instance du proxy inverse. S’il existe une correspondance, le modèle adéquat sera utilisé. S’il existe plusieurs correspondances, le processus de filtrage et de correspondance sera répété à l’étape 3.

  3. Notez les points suivants :

    • La première correspondance dans la liste filtrée à l’étape 2 est utilisée. Il est possible que cette correspondance ne soit pas toujours l'instance de proxy inverse Web. Par conséquent, assurez-vous que la combinaison de modèle de proxy et de modèle d’hôte de proxy pour une instance du proxy inverse Web est unique s’il existe une configuration de proxys inverses multiples dans un Unified Access Gateway.

    • Le nom d’hôte de tous les proxys inverses configurés doit être résolu sur la même adresse IP que l’adresse externe de l’instance Unified Access Gateway.

Reportez-vous à la section Configure Reverse Proxy With VMware Identity Manager pour obtenir plus d’informations et des instructions sur la configuration de proxy inverse.

Par exemple : deux proxys inverses configurés avec des modèles de proxys incompatibles, des modèles d'hôtes distincts

Supposez que le modèle du premier proxy inverse soit /(.*) avec le modèle d'hôte en tant que host1.domain.com et que le modèle du second proxy inverse soit (/app2(.*)|/app3(.*)|/) avec le modèle d'hôte en tant que host2.domain.com.

  • Si une demande est effectuée avec le chemin d'accès défini sur https://host1.domain.com/app1/index.html, la demande est transmise au premier proxy inverse.

  • Si une demande est effectuée avec le chemin d'accès défini sur https://host2.domain.com/app2/index.html, la demande est transmise au second proxy inverse.

Par exemple : deux proxys inverses avec des modèles de proxys s'excluant mutuellement

Supposez que le modèle du premier proxy inverse soit /app1(.*) et du second proxy inverse soit (/app2(.*)|/app3(.*)|/).

  • Si une demande est effectuée avec le chemin d'accès défini sur https://<uag domain name>/app1/index.html, la demande est transmise au premier proxy inverse.

  • Si une demande est effectuée avec le chemin d'accès défini sur https://<uag domain name>/app3/index.html ou sur https://<uag domain name>/, la demande est transmise au second proxy inverse.