ユーザーがロード バランシングされた VMware Identity Manager 展開環境で Workspace ONE アプリケーションまたはポータルからアプリケーションを起動できない。
問題
クライアントの IP アドレスが誤って決定されると、ユーザーは Workspace ONE ポータルまたはアプリケーションからアプリケーションを起動できません。この問題は、X-Forwarded-For (XFF) ヘッダーに不正な IP アドレスが含まれている場合に、ロード バランシングされた VMware Identity Manager 展開環境で発生する可能性があります。
ダッシュボードの監査イベント起動レポートを確認して、クライアントの IP アドレスが正常に解決されていることを検証します。正常に解決されていない場合は、次の手順を実行して問題を修正します。
解決方法
この問題を解決するには、まず、clientipresolutioninfo REST API を使用して XFF ヘッダーに一覧表示されている IP アドレスのリストを取得し、応答を確認します。ロード バランサまたは VMware Identity Manager サービス ノードの IP アドレスを返す場合は、runtime-config.properties ファイルの service.ipsToIgnoreInXffHeader プロパティを設定して、不要な IP アドレスを除外します。
XFF ヘッダー内の IP アドレスのリストを取得するには、Postman などの REST クライアントを使用して、テナント管理者として VMware Identity Manager サービスにログインしているときに次の REST API を実行します。
メソッド:GET
パス:/clientipresolutioninfo
HZN cookie_value
HZN
Cookie の値を取得できます。
応答メディア タイプ:application/vnd.vmware.horizon.manager.clientipresolutionconfig+json
サンプルの JSON 応答:
{ “xffHeaderIpList":["10.112.68.252”], // the IPs part of XFF header "numberOfLoadBalancers”:0, // number of load balancers configured in runtime-config.properties "configuredIpToIgnoreList":"10.112.68.255”, // the list of ips or subnets to ignore as configured in runtime-config.properties "clientIpDetermined":"10.112.68.252”, // the client IP determined to be used finally for login/access policy "_links":{} }
出力から、不要な IP アドレスを特定し、runtime-config.properties ファイルを編集して除外します。
- VMware Identity Manager サーバにログインします。
- INSTALL_DIR\usr\local\horizon\conf\runtime-config.properties ファイルを編集し、次のプロパティを追加します。
service.ipsToIgnoreInXffHeader IPsToIgnore
ここで、
IPsToIgnore
は、XFF ヘッダーで無視する IP アドレスのカンマ区切りリストです。 - VMware IDM サービスを再起動します。