Во время развертывания компьютер VMware Identity Manager устанавливается во внутренней сети. Если нужно предоставить доступ к службе пользователям, подключающимся из внешних сетей, в демилитаризованной зоне необходимо установить подсистему балансировки нагрузки или обратный прокси-сервер, например Apache, Nginx, F5 и т. п.
Если подсистема балансировки нагрузки или обратный прокси-сервер не используются, количество компьютеров VMware Identity Manager в дальнейшем увеличить невозможно. В некоторых случаях для резервирования и балансировки нагрузки необходимо добавить несколько компьютеров. На следующей схеме показана базовая архитектура развертывания, которую можно использовать для организации внешнего доступа.
Указание полного доменного имени во время развертывания средства VMware Identity Manager
При развертывании компьютера VMware Identity Manager указывается полное доменное имя и номер порта VMware Identity Manager . Эти значения должны соответствовать имени сервера, к которому конечным пользователям нужно предоставить доступ.
Компьютер VMware Identity Manager всегда работает через порт 443. Для балансировки нагрузки можно использовать другой номер порта. Если используется другой номер порта, его необходимо указать во время развертывания. Не используйте порт 8443 в качестве номера порта, поскольку он является портом администрирования VMware Identity Manager и уникален для каждого компьютера в кластере.
Настройка средства балансировки нагрузки
С помощью параметров подсистемы балансировки нагрузки можно включить использование заголовков X-Forwarded-For, указать правильное время ожидания для подсистемы балансировки нагрузки и включить закрепленные сеансы. Кроме того, между компьютером VMware Identity Manager и подсистемой балансировки нагрузки должно быть настроено отношение доверия при использовании протокола SSL.
- Заголовки X-Forwarded-For
В средстве балансировки нагрузки нужно включить использование заголовков X-Forwarded-For. От этого зависит метод проверки подлинности. Дополнительные сведения см. в документации используемого средства балансировки нагрузки.
- Время ожидания средства балансировки нагрузки
В некоторых случаях для правильной работы VMware Identity Manager необходимо увеличить заданное по умолчанию время ожидания для запросов средства балансировки нагрузки. Это значение задается в минутах. Если задать слишком малое время ожидания, отображается следующее сообщение об ошибке: 502 error: The service is unavailable (Ошибка 502: служба недоступна).
- Включение закрепляемых сеансов
Если в развертывании несколько компьютеров VMware Identity Manager, следует включить закрепленные сеансы в подсистеме балансировки нагрузки. После этого подсистема балансировки нагрузки будет привязывать сеанс пользователя к определенному экземпляру.
- Поддержка WebSocket
Для подсистемы балансировки нагрузки требуется поддержка WebSocket, чтобы включить безопасные каналы связи между соединителями и узлами VMware Identity Manager.
- Шифры с безопасностью пересылки
К приложению Workspace ONE в iOS применяются требования Apple iOS App Transport Security. Чтобы пользователи могли использовать приложение Workspace ONE в iOS, в подсистеме балансировки нагрузки должны быть шифры с безопасностью пересылки. Этому требованию соответствуют следующие шифры:
ECDHE_ECDSA_AES и ECDHE_RSA_AES в режиме GCM или CBC
Как указано в документации по безопасности iOS для iOS 11:
«В App Transport Security представлены требования к подключению по умолчанию, чтобы приложения придерживались рекомендаций для защищенных подключений при использовании API-интерфейсов NSURLConnection, CFURL или NSURLSession. По умолчанию App Transport Security ограничивает выбор шифров и включает только те наборы, которые обеспечивают безопасность пересылки, в частности, ECDHE_ECDSA_AES и ECDHE_RSA_AES в режиме GCM или CBC».