使用者在負載平衡的 Workspace ONE Access 部署中無法從 Workspace ONE Intelligent Hub 應用程式或入口網站啟動應用程式。

問題

如果使用者的用戶端 IP 位址指定錯誤,使用者就無法從 Workspace ONE Intelligent Hub 入口網站或應用程式啟動應用程式。如果 X-Forwarded-For (XFF) 標頭包含不正確的 IP 位址,負載平衡的 Workspace ONE Access 部署中就有可能發生此問題。

檢查儀表板中的「稽核事件」啟動報告,確認可正確解析用戶端 IP 位址。若未正確解析,請依照下列程序修正此問題。

解決方案

若要解決此問題,請先使用 clientipresolutioninfo REST API 取得 XFF 標頭中所列的 IP 位址清單,並檢查回應。如果它傳回負載平衡器或 Workspace ONE Access 服務節點的 IP 位址,請設定 runtime-config.properties 檔案中的 service.ipsToIgnoreInXffHeader 內容,以篩選出不當的 IP 位址。

若要取得 XFF 標頭中的 IP 位址清單,請先以承租人管理員身分登入 Workspace ONE Access 服務,然後使用 REST 用戶端 (如 Postman) 執行下列 REST API:

方法:GET

路徑:/clientipresolutioninfo

授權: HZN cookie_value
備註: 您可以藉由以承租人管理員身分登入 Workspace ONE Access 服務來取得 HZN Cookie,然後存取瀏覽器的 Cookie 快取。

回應媒體類型:application/vnd.vmware.horizon.manager.clientipresolutionconfig+json

範例 JSON 回應:

{
“xffHeaderIpList":["10.112.68.252”], // the IPs part of XFF header
"numberOfLoadBalancers”:0, // number of load balancers configured in runtime-config.properties
"configuredIpToIgnoreList":"10.112.68.255”, // the list of ips or subnets to ignore as configured in runtime-config.properties
"clientIpDetermined":"10.112.68.252”, // the client IP determined to be used finally for login/access policy
"_links":{}
}

在輸出中判定不需要的 IP 位址,然後編輯 runtime-config.properties 檔案將其篩選掉。

  1. 登入 Workspace ONE Access 虛擬應用裝置。
  2. 編輯 /usr/local/horizon/conf/runtime-config.properties 檔案並新增下列內容:

    service.ipsToIgnoreInXffHeader IPsToIgnore

    其中,IPsToIgnore 是 XFF 標頭中要忽略掉的 IP 位址的逗點分隔清單。

  3. 重新啟動服務。

    service horizon-workspace restart