在部署期間,VMware Identity Manager 執行個體會設定於內部網路中。如果您想要為從外部網路連線的使用者提供服務的存取,您必須在 DMZ 中安裝負載平衡器或反向 Proxy,例如 Apache、Nginx 或 F5。

如果未使用負載平衡器或反向 Proxy,則無法於後續擴充 VMware Identity Manager 執行個體的數目。您可能必須新增更多執行個體,才能提供備援性和負載平衡。下圖說明可用來啟用外部存取的基本部署架構。

圖 1. 具有虛擬機器的外部負載平衡器 Proxy

在部署期間指定 VMware Identity Manager FQDN

VMware Identity Manager 機器的部署期間,您必須輸入 VMware Identity Manager FQDN 和連接埠號碼。這些值必須指向您要讓使用者存取的主機名稱。

VMware Identity Manager 機器一律會在連接埠 443 上執行。您可以將不同的連接埠號碼用於負載平衡器。如果使用不同的連接埠號碼,您必須在部署期間加以指定。請勿使用 8443 作為連接埠號碼,因為此連接埠號碼為 VMware Identity Manager 管理連接埠,且對於叢集中的每部機器都是唯一的。

要設定的負載平衡器設定

要設定的負載平衡器設定包括啟用 X-Forwarded-For 標頭、正確設定負載平衡器逾時,以及啟用黏性工作階段。此外,也必須在 VMware Identity Manager機器與負載平衡器之間設定 SSL 信任。

  • X-Forwarded-For 標頭

    您必須在負載平衡器上啟用 X-Forwarded-For 標頭。這會決定驗證方法。如需詳細資訊,請參閱您的負載平衡器廠商所提供的文件。

  • 負載平衡器逾時

    若要讓 VMware Identity Manager 正常運作,您可能必須從預設值提高負載平衡器要求逾時。此值以分鐘為單位設定,如果逾時設定太低,您可能會看見「502 錯誤:服務無法使用」錯誤。

  • 啟用黏性工作階段

    如果您的部署有多個 VMware Identity Manager 機器,則您必須在負載平衡器上啟用黏性工作階段設定。負載平衡器會將使用者的工作階段繫結至特定的執行個體。

  • WebSocket 支援

    負載平衡器必須具有 WebSocket 支援,才能啟用連接器與 VMware Identity Manager 節點之間的安全通訊通道。

  • 使用轉寄密碼加密

    Apple iOS App Transport Security 需求適用於 iOS 上的 Workspace ONE 應用程式。若要讓使用者能夠在 iOS 中使用 Workspace ONE 應用程式,負載平衡器必須具有使用轉寄密碼的加密。下列加密方式符合此需求:

    GCM 或 CBC 模式的 ECDHE_ECDSA_AES 和 ECDHE_RSA_AES

    如 iOS 11 iOS 安全性文件中所述:

    「App Transport Security 提供預設連線需求,以便在您使用 NSURLConnection、CFURL 或 NSURLSession API 時,讓應用程式遵循安全連線的最佳做法。依預設,App Transport Security 會將加密選取項目限制為僅包含提供轉寄密碼,特別是 GCM 或 CBC 模式的 ECDHE_ECDSA_AES 和 ECDHE_RSA_AES。」