ユーザーがロード バランシングされた VMware Identity Manager 展開環境で Workspace ONE アプリケーションまたはポータルからアプリケーションを起動できない。

問題

クライアントの IP アドレスが誤って決定されると、ユーザーは Workspace ONE ポータルまたはアプリケーションからアプリケーションを起動できません。この問題は、X-Forwarded-For (XFF) ヘッダーに不正な IP アドレスが含まれている場合に、ロード バランシングされた VMware Identity Manager 展開環境で発生する可能性があります。

ダッシュボードの監査イベント起動レポートを確認して、クライアントの IP アドレスが正常に解決されていることを検証します。正常に解決されていない場合は、次の手順を実行して問題を修正します。

解決方法

この問題を解決するには、まず、clientipresolutioninfo REST API を使用して XFF ヘッダーに一覧表示されている IP アドレスのリストを取得し、応答を確認します。ロード バランサまたは VMware Identity Manager サービス ノードの IP アドレスを返す場合は、runtime-config.properties ファイルの service.ipsToIgnoreInXffHeader プロパティを設定して、不要な IP アドレスを除外します。

XFF ヘッダー内の IP アドレスのリストを取得するには、Postman などの REST クライアントを使用して、テナント管理者として VMware Identity Manager サービスにログインしているときに次の REST API を実行します。

メソッド:GET

パス:/clientipresolutioninfo

認証: HZN cookie_value
注: テナント管理者として VMware Identity Manager サービスにログインし、ブラウザの Cookie キャッシュにアクセスして HZN Cookie の値を取得できます。

応答メディア タイプ:application/vnd.vmware.horizon.manager.clientipresolutionconfig+json

サンプルの JSON 応答:

{
“xffHeaderIpList":["10.112.68.252”], // the IPs part of XFF header
"numberOfLoadBalancers”:0, // number of load balancers configured in runtime-config.properties
"configuredIpToIgnoreList":"10.112.68.255”, // the list of ips or subnets to ignore as configured in runtime-config.properties
"clientIpDetermined":"10.112.68.252”, // the client IP determined to be used finally for login/access policy
"_links":{}
}

出力から、不要な IP アドレスを特定し、runtime-config.properties ファイルを編集して除外します。

  1. VMware Identity Manager 仮想アプライアンスにログインします。
  2. /usr/local/horizon/conf/runtime-config.properties ファイルを編集し、次のプロパティを追加します。

    service.ipsToIgnoreInXffHeader IPsToIgnore

    ここで、IPsToIgnore は、XFF ヘッダーで無視する IP アドレスのカンマ区切りリストです。

  3. サービスを再起動します。

    service horizon-workspace restart