Gli utenti non sono in grado di avviare le applicazioni dall'app o dal portale di Workspace ONE in una distribuzione di VMware Identity Manager con bilanciamento del carico.

Problema

Gli utenti non sono in grado di avviare le applicazioni dal portale o dall'app di Workspace ONE se l'indirizzo IP del client viene determinato in modo errato. Questo problema può verificarsi nelle distribuzioni di VMware Identity Manager con bilanciamento del carico se l'intestazione X-Forwarded-For (XFF) contiene indirizzi IP errati.

Controllare il report di avvio Auditing eventi nel dashboard per verificare che l'indirizzo IP del client venga risolto correttamente. Se non viene risolto correttamente, eseguire la procedura seguente per risolvere il problema.

Soluzione

Per risolvere il problema, recuperare innanzitutto l'elenco degli indirizzi IP nell'intestazione XFF utilizzando la REST API clientipresolutioninfo e controllare la risposta. Se restituisce l'indirizzo IP del bilanciamento del carico o del nodo del servizio VMware Identity Manager, impostare la proprietà service.ipsToIgnoreInXffHeader nel file runtime-config.properties per escludere gli indirizzi IP indesiderati.

Per recuperare l'elenco di indirizzi IP nell'intestazione XFF, utilizzare un client REST come Postman per eseguire la seguente REST API mentre si è connessi al servizio VMware Identity Manager come amministratore tenant:

Metodo: GET

Percorso: /clientipresolutioninfo

Autorizzazione: HZN cookie_value
Nota: È possibile ottenere il cookie HZN accedendo al servizio VMware Identity Manager come amministratore tenant, quindi accedendo alla cache dei cookie del browser.

Tipo di supporto della risposta: application/vnd.vmware.horizon.manager.clientipresolutionconfig+json

Risposta JSON di esempio:

{
“xffHeaderIpList":["10.112.68.252”], // the IPs part of XFF header
"numberOfLoadBalancers”:0, // number of load balancers configured in runtime-config.properties
"configuredIpToIgnoreList":"10.112.68.255”, // the list of ips or subnets to ignore as configured in runtime-config.properties
"clientIpDetermined":"10.112.68.252”, // the client IP determined to be used finally for login/access policy
"_links":{}
}

Dall'output determinare quali indirizzi IP non sono necessari, quindi modificare il file runtime-config.properties per escluderli.

  1. Accedere al server di VMware Identity Manager.
  2. Modificare il file INSTALL_DIR\usr\local\horizon\conf\runtime-config.properties e aggiungere la proprietà seguente:

    service.ipsToIgnoreInXffHeader IPsToIgnore

    dove IPsToIgnore è un elenco di indirizzi IP delimitati da virgole da ignorare nell'intestazione XFF.

  3. Riavviare il servizio VMware IDM.