Пользователям не удается запустить приложения из приложения Workspace ONE или с портала в развертывании VMware Identity Manager со сбалансированной нагрузкой.

Проблема

Пользователям не удается запустить приложения с портала или из приложения Workspace ONE, если IP-адрес клиента определен неправильно. Эта проблема может возникнуть в развертываниях VMware Identity Manager со сбалансированной нагрузкой, если в заголовке X-Forwarded-For (XFF) содержатся неверные IP-адреса.

Проверьте отчет о запуске событий аудита на панели управления и убедитесь, что IP-адрес клиента правильно сопоставлен. Если проблема не устранена, для ее устранения выполните следующую процедуру.

Решение

Чтобы устранить эту проблему, сначала получите список IP-адресов, перечисленных в заголовке XFF, с помощью REST API clientipresolutioninfo и проверьте ответ. Если возвращается IP-адрес подсистемы балансировки нагрузки или узла службы VMware Identity Manager, задайте свойство service.ipsToIgnoreInXffHeader в файле runtime-config.properties, чтобы отфильтровать ненужные IP-адреса.

Чтобы получить список IP-адресов в заголовке XFF, используйте клиент REST, например Postman, для запуска следующего интерфейса REST API во время входа в службу VMware Identity Manager от имени администратора арендатора.

Метод: GET

Путь: /clientipresolutioninfo

Авторизация: HZN cookie_value

Примечание.

Можно получить значение файла cookie HZN, выполнив вход в службу VMware Identity Manager от имени администратора арендатора и открыв доступ к кэшу файлов cookie в браузере.

Тип носителя в ответе: application/vnd.vmware.horizon.manager.clientipresolutionconfig+json

Пример ответа JSON: 

{
“xffHeaderIpList":["10.112.68.252”], // the IPs part of XFF header
"numberOfLoadBalancers”:0, // number of load balancers configured in runtime-config.properties
"configuredIpToIgnoreList":"10.112.68.255”, // the list of ips or subnets to ignore as configured in runtime-config.properties
"clientIpDetermined":"10.112.68.252”, // the client IP determined to be used finally for login/access policy
"_links":{}
}

В выходных данных определите ненужные IP-адреса и измените файл runtime-config.properties, чтобы отфильтровать их.

  1. Войдите на сервер VMware Identity Manager.

  2. Измените файл INSTALL_DIR\usr\local\horizon\conf\runtime-config.properties и добавьте следующее свойство:

    service.ipsToIgnoreInXffHeader IPsToIgnore

    где IPsToIgnore — это список IP-адресов, разделенных запятыми, которые нужно игнорировать в заголовке XFF.

  3. Перезапустите службу VMware IDM.