Во время развертывания виртуальное устройство VMware Identity Manager устанавливается во внутренней сети. Если нужно предоставить доступ к службе пользователям, подключающимся из внешних сетей, в демилитаризованной зоне необходимо установить подсистему балансировки нагрузки или обратный прокси-сервер, например Apache, nginx, F5 и т. п.
Если подсистема балансировки нагрузки или обратный прокси-сервер не используются, количество устройств VMware Identity Manager в дальнейшем увеличить невозможно. В некоторых случаях для резервирования и балансировки нагрузки необходимо добавить несколько устройств. На следующей схеме показана базовая архитектура развертывания, которую можно использовать для организации внешнего доступа.
Указание полного доменного имени во время развертывания средства VMware Identity Manager
При развертывании виртуальной машины средства VMware Identity Manager указывается полное доменное имя и номер порта средства VMware Identity Manager. Эти значения должны соответствовать имени сервера, к которому конечным пользователям нужно предоставить доступ.
Виртуальная машина средства VMware Identity Manager всегда работает через порт 443. Для балансировки нагрузки можно использовать другой номер порта. Если используется другой номер порта, его необходимо указать во время развертывания.
Настройка средства балансировки нагрузки
С помощью параметров средства балансировки нагрузки можно включить использование заголовков X-Forwarded-For, указать правильное время ожидания для средства балансировки нагрузки и включить закрепляемые сеансы. Кроме того, между виртуальным устройством средства VMware Identity Manager и средством балансировки нагрузки должно быть настроено отношение доверия при использовании протокола SSL.
Заголовки X-Forwarded-For
В средстве балансировки нагрузки нужно включить использование заголовков X-Forwarded-For. От этого зависит метод проверки подлинности. Дополнительные сведения см. в документации используемого средства балансировки нагрузки.
Время ожидания средства балансировки нагрузки
В некоторых случаях для правильной работы VMware Identity Manager необходимо увеличить заданное по умолчанию время ожидания для запросов средства балансировки нагрузки. Это значение задается в минутах. Если задать слишком малое время ожидания, отображается следующее сообщение об ошибке: 502 error: The service is currently unavailable (Ошибка 502: служба сейчас недоступна).
Включение закрепляемых сеансов
Если в развернутой системе несколько устройств VMware Identity Manager, следует включить закрепляемые сеансы в средстве балансировки нагрузки. После этого средство балансировки нагрузки будет привязывать сеанс пользователя к определенному экземпляру.
Поддержка WebSocket
Для подсистемы балансировки нагрузки требуется поддержка WebSocket, чтобы включить безопасные каналы связи между соединителями и узлами VMware Identity Manager.
Шифры с безопасностью пересылки
К приложению Workspace ONE в iOS применяются требования Apple iOS App Transport Security. Чтобы пользователи могли использовать приложение Workspace ONE в iOS, в подсистеме балансировки нагрузки должны быть шифры с безопасностью пересылки. Этому требованию соответствуют следующие шифры:
ECDHE_ECDSA_AES и ECDHE_RSA_AES в режиме GCM или CBC
Как указано в документации по безопасности iOS для iOS 11:
«В App Transport Security представлены требования к подключению по умолчанию, чтобы приложения придерживались рекомендаций для защищенных подключений при использовании API-интерфейсов NSURLConnection, CFURL или NSURLSession. По умолчанию App Transport Security ограничивает выбор шифров и включает только те наборы, которые обеспечивают безопасность пересылки, в частности, ECDHE_ECDSA_AES и ECDHE_RSA_AES в режиме GCM или CBC».
