Gli utenti non sono in grado di avviare le applicazioni dall'app o dal portale di Workspace ONE Intelligent Hub in una distribuzione di Workspace ONE Access con bilanciamento del carico.
Problema
Gli utenti non sono in grado di avviare le applicazioni dal portale o dall'app di Workspace ONE Intelligent Hub se l'indirizzo IP del client viene determinato in modo errato. Questo problema può verificarsi nelle distribuzioni di Workspace ONE Access con bilanciamento del carico se l'intestazione X-Forwarded-For (XFF) contiene indirizzi IP errati.
Controllare il report di avvio Auditing eventi nel dashboard per verificare che l'indirizzo IP del client venga risolto correttamente. Se non viene risolto correttamente, eseguire la procedura seguente per risolvere il problema.
Soluzione
Per risolvere il problema, recuperare innanzitutto l'elenco degli indirizzi IP nell'intestazione XFF utilizzando la REST API clientipresolutioninfo e controllare la risposta. Se restituisce l'indirizzo IP del bilanciamento del carico o del nodo del servizio Workspace ONE Access, impostare la proprietà service.ipsToIgnoreInXffHeader nel file runtime-config.properties per escludere gli indirizzi IP indesiderati.
Per recuperare l'elenco di indirizzi IP nell'intestazione XFF, utilizzare un client REST come Postman per eseguire la seguente REST API mentre si è connessi al servizio Workspace ONE Access come amministratore tenant:
Metodo: GET
Percorso: /clientipresolutioninfo
HZN cookie_value
HZN accedendo al servizio
Workspace ONE Access come amministratore tenant, quindi accedendo alla cache dei cookie del browser.
Tipo di supporto della risposta: application/vnd.vmware.horizon.manager.clientipresolutionconfig+json
Risposta JSON di esempio:
{
“xffHeaderIpList":["10.112.68.252”], // the IPs part of XFF header
"numberOfLoadBalancers”:0, // number of load balancers configured in runtime-config.properties
"configuredIpToIgnoreList":"10.112.68.255”, // the list of ips or subnets to ignore as configured in runtime-config.properties
"clientIpDetermined":"10.112.68.252”, // the client IP determined to be used finally for login/access policy
"_links":{}
}
Dall'output determinare quali indirizzi IP non sono necessari, quindi modificare il file runtime-config.properties per escluderli.
- Accedere all'appliance virtuale di Workspace ONE Access.
- Modificare il file /usr/local/horizon/conf/runtime-config.properties e aggiungere la proprietà seguente:
service.ipsToIgnoreInXffHeader IPsToIgnoredove
IPsToIgnoreè un elenco di indirizzi IP delimitati da virgole da ignorare nell'intestazione XFF. - Riavviare il servizio.
service horizon-workspace restart