展開時に、内部ネットワーク内に VMware Identity Manager 仮想アプライアンスがセットアップされます。ネットワークの外側から接続するユーザーがサービスにアクセスできるようにする場合は、Apache、nginx、F5 などのロード バランサまたはリバース プロキシを DMZ にインストールする必要があります。
ロード バランサまたはリバース プロキシを使用しない場合、VMware Identity Manager アプライアンスの数を後で増やすことはできません。冗長性やロード バランスを実現するために、アプライアンスの追加が必要になる可能性があります。下記の図に、外部アクセスを有効するために使用できる、基本展開アーキテクチャを示します。
展開時に VMware Identity Manager FQDN を指定する
VMware Identity Manager 仮想マシンの展開時に、VMware Identity Manager FQDN とポート番号を入力します。これらの値は、エンド ユーザーがアクセスするホスト名を示している必要があります。
VMware Identity Manager 仮想マシンは、常にポート 443 で実行されます。ロード バランサには、異なるポート番号を使用できます。異なるポート番号を使用する場合は、展開時に指定する必要があります。
構成するロード バランサ設定
X-Forwarded-For ヘッダの有効化、ロード バランサのタイムアウトの正確な設定、およびスティッキー セッションの有効化など、ロード バランサの設定を構成します。さらに、VMware Identity Manager 仮想アプライアンスとロード バランサ間に SSL トラストを構成する必要があります。
- X-Forwarded-For ヘッダー
ロード バランサで X-Forwarded-For ヘッダーを有効にする必要があります。これによって、認証方法が決定します。詳細については、ロード バランサのベンダーから提供されるドキュメントを参照してください。
- ロード バランサのタイムアウト
VMware Identity Manager が正しく機能するように、ロード バランサの要求のタイムアウトをデフォルトの値から増やす必要がある場合があります。この値は、分単位で設定します。タイムアウト設定が短すぎると、“502 error: The service is currently unavailable.” というエラーが発生することがあります。
- スティッキー セッションの有効化
環境に複数の VMware Identity Manager アプライアンスがある場合は、ロード バランサ上でスティッキー セッションの設定を有効にする必要があります。これで、ロード バランサはユーザーのセッションを特定のインスタンスにバインドします。