Tijdens de implementatie wordt de machine van de VMware Identity Manager- ingesteld in het interne netwerk. Als u wilt dat gebruikers van buiten het netwerk verbinding kunnen maken met de service, moet u een load balancer of een reverse proxy, zoals Apache, Nginx of F5, in de DMZ installeren.
Als u geen load balancer of reverse proxy gebruikt, kunt u het aantal VMware Identity Manager-machines later niet uitbreiden. Wellicht moet u meer machines toevoegen om redundantie en load balancing te kunnen bieden. Het volgende diagram bevat de basisimplementatiearchitectuur die u kunt gebruiken om externe toegang in te schakelen.
De VMware Identity Manager -FQDN opgeven tijdens de implementatie
Tijdens de implementatie van de machine van de VMware Identity Manager- voert u de FQDN van de VMware Identity Manager- en het poortnummer in. Deze waarden moeten naar de hostnaam verwijzen waarvan u wilt dat deze toegankelijk is voor eindgebruikers.
De machine van de VMware Identity Manager- wordt altijd uitgevoerd op poort 443. U kunt een ander poortnummer voor de load balancer gebruiken. Als u een ander poortnummer gebruikt, moet u dit opgeven tijdens de implementatie. Gebruik niet 8443, als het poortnummer, omdat dit poortnummer de VMware Identity Manager-beheerderspoort is en uniek is voor elke machine in een cluster.
Instellingen voor de load balancer die moeten worden geconfigureerd.
Instellingen voor de load balancer die moeten worden geconfigureerd, zijn onder andere het inschakelen van de X-Forwarded-For-koppen, het op de juiste manier instellen van de time-out van de load balancer en het inschakelen van sticky-sessies. Bovendien moet SSL-vertrouwen worden geconfigureerd tussen de machine van de VMware Identity Manager- en de load balancer.
- X-Forwarded-For-koppen
U moet X-Forwarded-For-koppen inschakelen op uw load balancer. Hiermee wordt de verificatiemethode bepaald. Raadpleeg de documentatie die is meegeleverd door de leverancier van uw load balancer voor meer informatie.
- Time-out van load balancer
Voor een juiste werking van VMware Identity Manager moet u de standaardtime-out voor load balancer-verzoeken verhogen. De waarde is ingesteld in minuten. Als de time-outinstelling te laag is, wordt wellicht de volgende foutmelding weergegeven: '502 fout: de service is niet beschikbaar'.
- Sticky-sessies inschakelen
U moet de instelling voor sticky-sessies inschakelen op de load balancer als uw implementatie meerdere VMware Identity Manager-machines heeft. De load balancer bindt vervolgens de sessie van een gebruiker aan een specifieke instantie.
- WebSocket-ondersteuning
De load balancer moet WebSocket-ondersteuning hebben voor veilige communicatiekanalen tussen connectoren en de VMware Identity Manager-knooppunten.
- Codes met PFS (Perfect Forward Secrecy)
Apple iOS App Transport Security-vereisten gelden voor de Workspace ONE-app in iOS. Als u wilt dat gebruikers de Workspace ONE-app in iOS kunnen gebruiken, moet de load balancer codes met PFS hebben. De volgende codes voldoen aan deze vereisten:
ECDHE_ECDSA_AES en ECDHE_RSA_AES in de modus GCM of CBC
zoals is beschreven in het document iOS-beveiliging voor iOS 11:
'App Transport Security biedt standaard verbindingsvereisten zodat applicaties best practices voor veilige verbindingen volgen wanneer NSURLConnection, CFURL of NSURLSession API's worden gebruikt. App Transport Security beperkt codeselectie standaard om alleen suites met Perfect Forward Secrecy op te nemen, in het bijzonder ECDHE_ECDSA_AES en ECDHE_RSA_AES in de modus GCM of CBC.'