Durante la distribuzione, l'istanza di Workspace ONE Access viene configurata nella rete interna. Se si desidera fornire l'accesso al servizio agli utenti che si connettono da reti esterne, è necessario installare un programma di bilanciamento del carico o un proxy inverso, ad esempio ®programma di bilanciamento del carico avanzato™ VMware NSX, Apache, Nginx o F5, nel DMZ.
Se non si utilizza un programma di bilanciamento del carico o un proxy inverso, non sarà possibile espandere il numero di istanze di Workspace ONE Access in un secondo momento. Per garantire la ridondanza e il bilanciamento del carico, potrebbe essere necessario aggiungere altre istanze. Il seguente diagramma mostra l'architettura di distribuzione di base che è possibile utilizzare per consentire l'accesso esterno.
Specifica del nome di dominio completo di Workspace ONE Access durante la distribuzione
Durante la distribuzione dell'appliance di Workspace ONE Access , immettere un singolo nome di dominio completo di Workspace ONE Access e il numero della porta. Questi valori devono fare riferimento al nome host che si desidera sia utilizzato dagli utenti finali per accedere.
La macchina di Workspace ONE Access viene sempre eseguita nella porta 443. È possibile utilizzare un numero di porta differente per il bilanciamento del carico. Se si utilizza un numero di porta differente, sarà necessario specificarlo durante la distribuzione. Non utilizzare 8443 come numero di porta, perché questo è il numero della porta amministrativa di Workspace ONE Access ed è univoco per ogni macchina in un cluster.
Impostazioni del bilanciamento del carico da configurare
Le impostazioni del programma di bilanciamento del carico da configurare includono l'abilitazione delle intestazioni X-Forwarded-For, l'impostazione del timeout corretto del programma di bilanciamento del carico e l'abilitazione delle sessioni sticky. Tra la macchina di Workspace ONE Access Connector e il programma di bilanciamento del carico è inoltre necessario configurare una relazione di attendibilità SSL.
- Intestazioni X-forwarded-for
È necessario abilitare le intestazioni X-Forwarded-For sul proprio bilanciamento del carico. Ciò determina il metodo di autenticazione. Fare riferimento alla documentazione del fornitore del bilanciamento del carico per maggiori informazioni.
- Timeout del bilanciamento del carico
Perché Workspace ONE Access funzioni correttamente, potrebbe essere necessario aumentare il valore di timeout richiesta del bilanciamento del carico dal valore predefinito. Il valore è impostato in minuti. Se il valore del timeout è troppo basso, è possibile che venga visualizzato il messaggio di errore "Errore 502: Il servizio non è al momento disponibile".
- Abilita sessioni sticky
Se nella distribuzione sono presenti più macchine Workspace ONE Access, è necessario abilitare l'impostazione della sessione sticky nel programma di bilanciamento del carico. Il programma di bilanciamento del carico associa la sessione di un utente a un'istanza specifica.
- Non bloccare i cookie di sessione
Non bloccare i cookie di sessione aggiungendo regole al programma di bilanciamento del carico. L'aggiunta di queste regole al bilanciamento del carico può comportare comportamenti incoerenti e richieste non riuscite.
- Supporto WebSocket
Il programma di bilanciamento del carico deve disporre del supporto WebSocket per abilitare i canali di comunicazione sicura tra le istanze del connettore e i nodi di Workspace ONE Access.
Per la distribuzione, se Servizi Hub di VMware Workspace ONE è integrato, è necessario il supporto di WebSocket per le notifiche di Servizi Hub. Pertanto, è necessario fornire il supporto di WebSocket per i browser e i dispositivi degli utenti finali.
- Crittografia con forward secrecy
I requisiti di Apple iOS App Transport Security si applicano all'app Workspace ONE su iOS. Per consentire agli utenti di utilizzare l'app Workspace ONE su iOS, il programma di bilanciamento del carico deve usare la crittografia con forward secrecy. Le seguenti crittografie soddisfano questo requisito:
ECDHE_ECDSA_AES ed ECDHE_RSA_AES in modalità GCM o CBC
come indicato nel documento Sicurezza di iOS di iOS 11:
"App Transport Security offre requisiti di connessione predefiniti in modo che le app seguano le procedure consigliate per proteggere le connessioni quando utilizzano le API NSURLConnection, CFURL e NSURLSession. Per impostazione predefinita, App Transport Security limita la selezione della crittografia in modo da includere solo suite che forniscono forward secrecy, in particolare ECDHE_ECDSA_AES ed ECDHE_RSA_AES in modalità GCM o CBC."