Unified Access Gateway は、Web リバース プロキシとして使用でき、DMZ で簡易リバース プロキシまたは認証リバース プロキシとして動作させることができます。

導入シナリオ

Unified Access Gateway は、VMware Identity Manager のオンプレミス デプロイのために安全なリモート アクセスを提供します。Unified Access Gateway アプライアンスは、通常、ネットワークの非武装地帯 (DMZ) にデプロイされます。VMware Identity Manager では、Unified Access Gateway アプライアンスは、ユーザーのブラウザとデータセンター内の VMware Identity Manager サービスとの間の Web リバース プロキシとして動作します。Unified Access Gateway は、 Workspace ONE カタログへのリモート アクセスを有効にし、Horizon アプリケーションを起動します。

注: Unified Access Gateway の単一のインスタンスで最大 15000 の同時 TCP 接続を処理できます。予想される負荷が 15000 を超える場合、ロード バランサの背後に Unified Access Gateway の複数のインスタンスを構成する必要があります。

リバース プロキシを構成するときに使用する設定の詳細についてはEdge サービスの詳細設定を参照してください。

図 1. VMware Identity Manager を参照する Unified Access Gateway アプライアンス

リバース プロキシについて

Unified Access Gateway は、リモート ユーザーがシングル サインオンでリソースにアクセスできるように、アプリケーション ポータルへのアクセスを提供します。アプリケーション ポータルは Sharepoint、JIRA、または VIDM などのバックエンド アプリケーションで、 Unified Access Gateway がリバース プロキシとして動作しています。
注: プロキシ パターンに重複がある場合、 Horizon Connection Server は有効な Web リバース プロキシで動作しません。したがって、Horizon と Web リバース プロキシ インスタンスの両方が同じ Unified Access Gateway インスタンス上のプロキシ パターンを使用して構成され有効になっている場合は、Horizon 設定からプロキシ パターン「/」を削除し、Web リバース プロキシのパターンを保持して重複を防ぎます。Web リバース プロキシ インスタンスのプロキシ パターン「/」を保持すると、ユーザーが Unified Access Gateway の URL をクリックしたときに、正しい Web リバース プロキシのページが表示されます。Horizon 設定のみが構成されている場合、上記の変更は必要ありません。
リバース プロキシを有効にして構成する場合は、以下の点に注意してください。
  • Edge Service Manager でリバース プロキシの認証を有効にする必要があります。現在、RSA SecurIDRADIUS の認証方法がサポートされています。
  • Web リバース プロキシで認証を有効にする前に、ID プロバイダ メタデータ(IDP メタデータ)を生成する必要があります。
  • Unified Access Gateway によって、ブラウザベースのクライアント認証の有無に関わらず、VMware Identity Manager および Web アプリケーションにリモートからアクセスして、Horizon デスクトップを起動できるようになります。
  • リバース プロキシの複数のインスタンスを構成して、構成済みの各インスタンスを削除できます。
  • 単純なプロキシ パターンでは、大文字と小文字が区別されます。ページ リンクとプロキシ パターンは一致する必要があります。
図 2. 複数のリバース プロキシの構成

削除オプションが追加されたリバース プロキシ設定