Unified Access Gateway では、異なる変数を使用して、Edge Service、構成された Web プロキシ、およびプロキシ接続先の URL を区別します。
プロキシ パターンおよび安全ではないパターン
Unified Access Gateway はプロキシ パターンを使用して、受信 HTTP 要求を Horizon などの正しい Edge Service または VMware Identity Manager などの構成された Web リバース プロキシ インスタンスの 1 つに転送します。したがって、受信トラフィックを処理するためにリバース プロキシが必要かどうかを決定するためのフィルタとして使用されます。
リバース プロキシが選択されている場合、プロキシは指定された安全ではないパターンを使用し、受信トラフィックが認証なしでバックエンドに移動できるようにするかどうかを決定します。
ユーザーはプロキシ パターンを指定する必要があります。安全ではないパターンの指定はオプションです。安全ではないパターンは VMware Identity Manager などの Web リバース プロキシで使用されます。これらはログイン ページのパス、javascript、イメージ リソースなどの特定の URL を認証なしでバックエンドに渡すための独自のログイン メカニズムを使用します。
安全ではないパターンはプロキシ パターンのサブセットであるため、リバース プロキシの場合、一部のパスが 2 つのパターンの間で繰り返されることがあります。
各 Edge Service には個別のパターンを構成することができます。たとえば、Horizon の Proxy Pattern は (/|/view-client(.*)|/portal(.*)|/appblast(.*))
として構成でき、VMware Identity Manager のパターンは (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*))
として構成できます。
プロキシ パターンに重複がある場合、Horizon Connection Server は有効な Web リバース プロキシで動作しません。したがって、Horizon と Web リバース プロキシ インスタンス(VMware Identity Manager など)の両方が同じ Unified Access Gateway インスタンス上のプロキシ パターンを使用して構成され有効になっている場合は、Horizon 設定からプロキシ パターン「/」を削除し、VMware Identity Manager のパターンを保持して重複を防ぎます。
Web リバース プロキシ インスタンス (VMware Identity Manager) のプロキシ パターン「/」を保持すると、ユーザーが Unified Access Gateway の URL をクリックしたときに、VMware Identity Manager のページが表示されます。
Horizon 設定のみが構成されている場合、上記の変更は必要ありません。
プロキシ ホスト パターン
複数の Web リバース プロキシのインスタンスが構成されている場合、プロキシ パターンに重複があると、Unified Access Gateway は Proxy Host Pattern を使用してそれらを区別します。Proxy Host Pattern をリバース プロキシの FQDN として構成します。
たとえば、Sharepoint のホスト パターンを sharepoint.myco.com として構成し、JIRA のパターンを jira.myco.com として構成することができます。
ホスト エントリ
このテキスト ボックスは、Unified Access Gateway がバックエンド サーバまたはアプリケーションにアクセスできない場合にのみ設定します。バックエンド アプリケーションの IP アドレスとホスト名を [ホスト エントリ] に追加すると、その情報が Unified Access Gateway の /etc/hosts ファイルに追加されます。このフィールドは、すべての Edge Service 設定で共通です。
プロキシ接続先の URL
これは、Unified Access Gateway がプロキシである Edge Service 設定のバックエンド サーバ アプリケーション URL です。例:
Horizon Connection Server の場合は、接続サーバ URL がプロキシ接続先の URL です。
Web リバース プロキシの場合は、構成された Web リバース プロキシのアプリケーション URL がプロキシ接続先の URL です。
単一のリバース プロキシの構成
Unified Access Gateway が URI を持つ単一の着信要求を受信すると、プロキシ パターンが使用され、要求を転送するかドロップするかが決まります。
複数のリバース プロキシの構成
Unified Access Gateway がリバース プロキシとして設定され、URI パスを持つ着信要求を受信すると、Unified Access Gateway はプロキシ パターンを使用して正しい Web リバース プロキシ インスタンスに一致させます。一致する場合は、一致したパターンが使用されます。複数の一致がある場合は、フィルタと一致のプロセスが手順 2 で繰り返されます。一致しない場合は、要求がドロップされ、HTTP 404 がクライアントに送信されます。
ステップ 1 ですでにフィルタされたリストをフィルタするためにプロキシ ホスト パターンが使用されます。要求をフィルタし、リバース プロキシ インスタンスを検索するために HOST ヘッダーが使用されます。一致する場合は、一致したパターンが使用されます。複数の一致がある場合は、フィルタと一致のプロセスが手順 3 で繰り返されます。
次の点に注意してください。
手順 2 でフィルタされたリストの最初の一致が使用されます。この一致が常に正しい Web リバース プロキシ インスタンスであるとは限りません。そのため、Unified Access Gateway に複数のリバース プロキシが設定されている場合は、Web リバース プロキシ インスタンスのプロキシ パターンとプロキシ ホスト パターンの組み合わせが一意であることを確認してください。
すべての構成されたリバース プロキシのホスト名は、Unified Access Gateway インスタンスの外部アドレスと同じ IP アドレスに解決される必要があります。
リバース プロキシの構成に関する情報および手順については、Configure Reverse Proxy With VMware Identity Managerを参照してください。
例:競合するプロキシ パターン、異なるホスト パターンで構成された 2 つのリバース プロキシ
最初のリバース プロキシのプロキシ パターンが /(.*)
で、ホスト パターンが host1.domain.com
、2 番目のリバース プロキシのパターンが (/app2(.*)|/app3(.*)|/)
で、ホスト パターンが host2.domain.com
であるとします。
パスを
https://host1.domain.com/app1/index.html
に設定して要求を実行した場合、要求は最初のリバース プロキシに転送されます。パスを
https://host2.domain.com/app2/index.html
に設定して要求を実行した場合、要求は 2 番目のリバース プロキシに転送されます。
例:相互に排他的なプロキシ パターンを持つ 2 つのリバース プロキシ
最初のリバース プロキシのプロキシ パターンが /app1(.*)
で、2 番目のリバース プロキシのプロキシ パターンが (/app2(.*)|/app3(.*)|/)
であるとします。
パスを
https://<uag domain name>/app1/index.html
に設定して要求を実行した場合、要求は最初のリバース プロキシに転送されます。パスを
https://<uag domain name>/app3/index.html
またはhttps://<uag domain name>/
に設定して要求を実行した場合、要求は 2 番目のリバース プロキシに転送されます。