VMware Identity Manager サービスにレート制限を設定するのと同様、VMware Identity Manager コネクタにレート制限を設定できます。

コネクタでは、1 分あたりに許可されるログイン要求の数に制限を設定できます。制限に達すると、後続の要求は拒否されます。レート制限の設定はシステムのオーバーロードを防止するのに役立ちます。

たとえば、ログイン要求のレート制限を 100 に設定した場合、1 分あたり最初の 100 件のログイン要求が受け付けられますが、101 件目以降の要求は拒否されます。

VMware Identity Manager コネクタ クラスタの場合、制限はクラスタ内の各ノードに適用されます。たとえば、100 NodeA、NodeB、および NodeC を持つクラスタにログイン要求のレート制限を設定した場合、NodeA は 1 分あたり 100 件のログイン要求を処理し、NodeB は 1 分あたり 100 件のログイン要求を処理し、NodeC は 1 分あたり 100 件のログイン要求を処理します。ノードごとに個別のログイン制限を設定することはできません。

制限に達して要求が拒否されると、エンド ユーザーにはエラー メッセージ「
Login screen error message

」が表示されます。

デフォルトではレート制限は設定されていません。

レート制限は REST API を使用して設定します。VMware Identity Manager サービスへの呼び出しをする Postman などの REST クライアントを使用します。

変更は約 1 時間後に反映されます。変更をすぐに有効にする場合はコネクタを再起動します。

Linux ベースのコネクタ仮想アプライアンスを再起動するには、仮想アプライアンスにログインして次のコマンドを実行します。

service horizon-workspace restart

Windows コネクタを再起動するには、次のスクリプトを実行します。

install_dir\usr\local\horizon\scripts\horizonService.bat restart

割合の制限の設定

この API を使用すると VMware Identity Manager コネクタのレート制限を設定できます。

[エンドポイント:] https://ホスト名/SAAS/jersey/manager/api/system/tuning/resiliency/tenant/orgResiliencyConnectorConfiguration?tenantId=テナント ID

[メソッド:]PUT

[説明:]VMware Identity Manager コネクタで 1 分あたりに作成できるログイン要求の最大数を設定します。

[ヘッダー:]

コンテンツ タイプ application/vnd.vmware.horizon.manager.system.tuning.resiliency.config+json;charset=UTF-8
許可 application/vnd.vmware.horizon.manager.system.tuning.resiliency.config+json
認証 HZN cookie_value

cookie_value を取得するには、VMware Identity Manager サービスにテナント管理者(つまり、VMware Identity Manager を最初にインストールしたときに作成された管理者ユーザー)としてログインし、ブラウザの cookie キャッシュから HZN cookie の値を取得します。

[パスのパラメータ:]

hostname VMware Identity Manager サービスまたはロード バランサの完全修飾ドメイン名。
tenantId VMware Identity Manager サービスのテナント ID。テナント ID は VMware Identity Manager コンソールの右上隅に表示されるテナント名です。

[要求本文:] 

{
"config": {
         "rateLimitingDisabled": false,
         "rateLimits": {
             "login": {
                 "requestsPerMinute": n
             }
     }
 }
 }

[要求本文のパラメータ]

1 分あたりのログイン要求数 1 分あたりに許可されるログイン要求の最大数を指定します。
注: ログイン要求を完了するのに複数の API 要求が必要となること、各 API 呼び出しがレート制限までカウントされることを考慮します。たとえば、パスワード認証には 2 つの API 呼び出しが関与します。1 番目はログイン ページのレンダリング用、2 番目は認証情報の送信用です。

レート制限の表示

この API を使用すると VMware Identity Manager コネクタに現在設定されているレート制限を表示できます。

[エンドポイント:] https://ホスト名/SAAS/jersey/manager/api/system/tuning/resiliency/tenant/orgResiliencyConnectorConfiguration?tenantId=テナント ID

[メソッド:]GET

[説明:]VMware Identity Manager コネクタのログイン要求に現在設定されているレート制限を取得します。

[ヘッダー:]

認証 HZN cookie_value

cookie_value を取得するには、VMware Identity Manager サービスにテナント管理者(つまり、VMware Identity Manager を最初にインストールしたときに作成された管理者ユーザー)としてログインし、ブラウザの cookie キャッシュから HZN cookie の値を取得します。

[パスのパラメータ:]

ホスト名 VMware Identity Manager サービスまたはロード バランサの完全修飾ドメイン名。
テナント id VMware Identity Manager サービスのテナント ID。テナント ID は VMware Identity Manager コンソールの右上隅に表示されるテナント名です。

[出力例:] 

{
"config": {
         "rateLimitingDisabled": false,
         "rateLimits": {
             "login": {
                 "requestsPerMinute": 100
             }
     }
 }
 }
1 分あたりのログイン要求数 1 分あたりに許可されるログイン要求の最大数。