Les utilisateurs ne peuvent pas lancer d'applications dans l'environnement à équilibrage de charge

Les utilisateurs ne peuvent pas lancer d'applications depuis l'application ou le portail Workspace ONE dans un déploiement de VMware Identity Manager à équilibrage de charge.

Problème

Les utilisateurs ne peuvent pas lancer d'applications depuis le portail ou l'application Workspace ONE si l'adresse IP de leur client est déterminée incorrectement. Ce problème peut se produire dans les déploiements de VMware Identity Manager à équilibrage de charge si l'en-tête X-Forwarded-For (XFF) contient des adresses IP incorrectes.

Vérifiez le rapport de lancement Événements d'audit dans le tableau de bord pour vérifier que l'adresse IP du client est correctement résolue. Si ce n'est pas le cas, suivez cette procédure pour résoudre le problème.

Solution

Pour ce faire, procurez-vous d'abord la liste des adresses IP répertoriées dans l'en-tête XFF en utilisant la REST API clientipresolutioninfo et vérifiez la réponse. Si elle renvoie l'adresse IP de l'équilibrage de charge ou le nœud de service VMware Identity Manager, définissez la propriété service.ipsToIgnoreInXffHeader dans le fichier runtime-config.properties pour filtrer les adresses IP indésirables.

Pour obtenir la liste d'adresses IP dans l'en-tête XFF, utilisez un client REST, tel que Postman, pour exécuter la REST API suivante tout en étant connecté au service VMware Identity Manager en tant qu'administrateur locataire :

Méthode : GET

Chemin d'accès : /clientipresolutioninfo

Autorisation : HZN cookie_value

Note : Vous pouvez obtenir la valeur de cookie HZN en vous connectant au service VMware Identity Manager en tant qu'administrateur locataire, puis en accédant au cache des cookies de votre navigateur.

Type de support de réponse : application/vnd.vmware.horizon.manager.clientipresolutionconfig+json

Exemple de réponse JSON :

{
“xffHeaderIpList":["10.112.68.252”], // the IPs part of XFF header
"numberOfLoadBalancers”:0, // number of load balancers configured in runtime-config.properties
"configuredIpToIgnoreList":"10.112.68.255”, // the list of ips or subnets to ignore as configured in runtime-config.properties
"clientIpDetermined":"10.112.68.252”, // the client IP determined to be used finally for login/access policy
"_links":{}
}

À partir de la sortie, déterminez les adresses IP qui ne sont pas nécessaires, puis modifiez le fichier runtime-config.properties pour les filtrer.

Connectez-vous au dispositif virtuel VMware Identity Manager.
Modifiez le fichier /usr/local/horizon/conf/runtime-config.properties pour ajouter la propriété suivante :
service.ipsToIgnoreInXffHeader IPsToIgnore
où IPsToIgnore est une liste séparée par des virgules d'adresses IP à ignorer dans l'en-tête XFF.
Redémarrez le service.
service horizon-workspace restart