Durante la distribuzione, l'appliance virtuale di VMware Identity Manager viene configurata nella rete interna. Se si desidera fornire l'accesso al servizio per gli utenti che si collegano da reti esterne, è necessario installare un programma di bilanciamento del carico come Apache, nginx o F5 nel DMZ.
Se non si utilizza un programma di bilanciamento del carico o un proxy inverso, non sarà possibile espandere il numero di appliance di VMware Identity Manager in un secondo momento. Per garantire ridondanza e bilanciamento del carico potrebbe essere necessario aggiungere altre appliance. Il seguente diagramma mostra l'architettura di distribuzione di base che è possibile utilizzare per consentire l'accesso esterno.
Specifica del nome di dominio completo di VMware Identity Manager durante la distribuzione
Durante la distribuzione della macchina virtuale di VMware Identity Manager , viene specificato il nome di dominio completo di VMware Identity Manager e il relativo numero di porta. Questi valori devono fare riferimento al nome host che si desidera sia utilizzato dagli utenti finali per accedere.
La macchina virtuale di VMware Identity Manager viene eseguita sempre sulla porta 443. È possibile utilizzare un numero di porta differente per il bilanciamento del carico. Se si utilizza un numero di porta differente, sarà necessario specificarlo durante la distribuzione.
Impostazioni del bilanciamento del carico da configurare
Le impostazioni del bilanciamento del carico da configurare includono l'abilitazione delle intestazioni X-Forwarded-For, l'impostazione del timeout corretto del bilanciamento del carico e l'abilitazione di sessioni sticky. Inoltre, è necessario configurare una relazione SSL sicura tra l'appliance virtuale di VMware Identity Manager e il bilanciamento del carico.
Intestazioni X-forwarded-for
È necessario abilitare le intestazioni X-Forwarded-For sul proprio bilanciamento del carico. Ciò determina il metodo di autenticazione. Fare riferimento alla documentazione del fornitore del bilanciamento del carico per maggiori informazioni.
Timeout del bilanciamento del carico
Perché VMware Identity Manager funzioni correttamente, potrebbe essere necessario aumentare il valore di timeout richiesta del bilanciamento del carico dal valore predefinito. Il valore è impostato in minuti. Se il valore di timeout è troppo basso, è possibile che sia visualizzato l'errore “Errore 502: il servizio al momento non è disponibile.”
Abilita sessioni sticky
L'impostazione delle sessioni sticky sul bilanciamento del carico va eseguita se nella propria distribuzione sono presenti più appliance di VMware Identity Manager. Il bilanciamento del carico collegherà quindi una sessione utente a una istanza specifica.
Supporto WebSocket
Il programma di bilanciamento del carico deve disporre del supporto WebSocket per abilitare i canali di comunicazione sicura tra i connettori e i nodi di VMware Identity Manager.
Crittografia con forward secrecy
I requisiti di Apple iOS App Transport Security si applicano all'app Workspace ONE su iOS. Per consentire agli utenti di utilizzare l'app Workspace ONE su iOS, il programma di bilanciamento del carico deve usare la crittografia con forward secrecy. Le seguenti crittografie soddisfano questo requisito:
ECDHE_ECDSA_AES ed ECDHE_RSA_AES in modalità GCM o CBC
come indicato nel documento Sicurezza di iOS di iOS 11:
"App Transport Security offre requisiti di connessione predefiniti in modo che le app seguano le procedure consigliate per proteggere le connessioni quando utilizzano le API NSURLConnection, CFURL e NSURLSession. Per impostazione predefinita, App Transport Security limita la selezione della crittografia in modo da includere solo suite che forniscono forward secrecy, in particolare ECDHE_ECDSA_AES ed ECDHE_RSA_AES in modalità GCM o CBC."
