Para instalar os serviços de Sincronização de Diretório, Autenticação do Usuário ou Autenticação Kerberos, execute o instalador do Workspace ONE Access Connector em um Windows Server que atenda a todos os requisitos e selecione os serviços que você deseja instalar.
Você pode escolher entre uma instalação rápida e padrão que usa valores padrão para a maioria das configurações ou uma instalação personalizada que permite definir várias configurações.
Instalação Padrão |
Instalação Personalizada |
Usa as seguintes portas padrão:
- Serviço de Autenticação do Usuário: 8090
- Serviço de Sincronização de Diretório: 8080
- Serviço de Autenticação Kerberos: 443
Observação: Essas são as portas nas quais os serviços são executados. A conectividade de entrada só é necessária para a porta do serviço de Autenticação Kerberos.
|
Permite que você especifique portas personalizadas para os serviços empresariais
Observação: Essas são as portas nas quais os serviços são executados. A conectividade de entrada só é necessária para a porta do serviço de Autenticação Kerberos.
|
Gera automaticamente um certificado autoassinado para o conector |
Permite instalar um certificado SSL confiável para o conector (necessário para o serviço de Autenticação Kerberos) |
|
Permite que você carregue certificados raiz confiáveis no truststore
Observação: Se a instância de serviço do Workspace ONE Access local tiver um certificado autoassinado instalado, você deverá carregar sua raiz e, se necessário, um certificado intermediário para estabelecer a confiança entre os serviços empresariais e a instância de serviço do Workspace ONE Access.
|
|
Permite que você configure um servidor proxy |
|
Permite que você configure um servidor de syslog |
Independentemente do tipo de instalação escolhido, você pode executar o instalador novamente mais tarde e modificar todas as configurações conforme necessário.
Pré-requisitos
- Consulte Pré-requisitos para instalar o Workspace ONE Access Connector.
- Como parte do processo de instalação, você baixa arquivos do console do Workspace ONE Access. Talvez seja necessário usar um navegador diferente do Internet Explorer para baixar os arquivos. As configurações padrão do Internet Explorer podem impedi-lo de baixar os arquivos.
Procedimento
- Baixe o instalador do Workspace ONE Access Connector e um arquivo de configuração do console do Workspace ONE Access.
- Faça login no console do Workspace ONE Access como o administrador do domínio do sistema.
Dica: Em implantações na nuvem, o administrador do domínio do sistema é o administrador cujas credenciais você recebe ao obter seu tenant do
Workspace ONE Access. Em implantações no local, o administrador do domínio do sistema é o usuário administrador criado quando você instala uma instância do
Workspace ONE Access.
- Navegue até a página .
- Clique em Novo.
- Na caixa de diálogo Confirmação de Uso de Aplicativos Virtuais, revise as informações e selecione Workspace ONE Access Connector 20.10.
Cuidado: O Workspace ONE Access Connector 20.10 não é compatível com Aplicativos Virtuais (integrações do Horizon, Horizon Cloud, Citrix e ThinApps). Não instale o 20.10 Connector se você planeja integrar Aplicativos Virtuais. Para usar Aplicativos Virtuais, selecione
Conectores Herdados e instale as versões 19.03.0.1 Connector ou anterior. Para integrar aplicativos e desktops do Horizon, Horizon Cloud ou Citrix, use o VMware Identity Manager Connector (Windows) versão 19.03.0.1. Para integrar os aplicativos empacotados do ThinApp, use a versão 2018.8.1.0 do VMware Identity Manager Connector (Linux).
Observação: A caixa de diálogo Confirmação de Uso de Aplicativos Virtuais é exibida na primeira vez que você instala um novo conector no seu tenant. Se quiser alterar sua seleção mais tarde, você poderá usar o botão
Redefinir Uso de Aplicativos Virtuais que aparece subsequentemente na página Conectores ou Conectores Herdados. Consulte
Opção Redefinir Uso de Aplicativos Virtuais no Workspace ONE Access para obter mais informações.
- Revise as informações na caixa de diálogo de confirmação e clique em Continuar Mesmo Assim se quiser continuar.
O assistente Adicionar Novo Conector é exibido.
- No assistente Adicionar Novo Conector, clique em IR PARA MYVMWARE.COM.
A página da Web do My VMware abre em uma nova janela. Mantenha o assistente aberto, pois você voltará para ele após o download do instalador.
- Faça logon no https://my.vmware.com com seu logon do My VMware e baixe o arquivo Installer.exe do Workspace ONE Access Connector.
- Retorne ao console do Workspace ONE Access e clique em Avançar no assistente Adicionar Novo Conector.
- Gere o arquivo de configuração criando uma senha e clicando em Fazer o download do arquivo de configuração.
A senha deve ter no mínimo 14 caracteres e incluir um caractere maiúsculo, um caractere minúsculo, um dígito numérico e um caractere especial. Não use os caracteres & ou %. Todos os caracteres devem ser caracteres ASCII visíveis, imprimíveis.
O arquivo de configuração é usado para estabelecer a comunicação entre os serviços empresariais que você instala e o tenant do Workspace ONE Access. O nome padrão do arquivo é
es-config.json.
Cuidado: O arquivo de configuração contém informações confidenciais, como a URL do tenant, a ID do tenant, a ID do cliente e o segredo do cliente para cada um dos serviços empresariais e o hash da senha. É fundamental que você não compartilhe o arquivo nem o exponha publicamente.
- Após baixar o arquivo de configuração, clique em Avançar no assistente.
- Copie os arquivos de instalação e de configuração para o servidor Windows no qual você deseja instalar os serviços.
- Clique duas vezes no arquivo do instalador para executar o assistente de instalação do Workspace ONE Access Connector.
- Na página de Boas-vindas, clique em Avançar.
O instalador verifica os pré-requisitos no servidor. Se o .NET Framework não estiver instalado, você será solicitado a instalá-lo e a reiniciar o servidor. Depois de reiniciá-lo, execute o instalador novamente para retomar o processo de instalação.
- Leia e aceite o contrato de licença e clique em Avançar.
- Selecione os serviços que você deseja instalar.
Por padrão, os serviços são instalados em
C:\Arquivos de Programas. Para alterar a pasta de instalação, clique em
Alterar e selecione a pasta.
- Clique em Next.
- Se a versão mais recente e principal do Java Runtime Environment (JRE™) ainda não estiver instalada no servidor Windows, a seguinte pop-up será exibida.
Clique em
Sim para instalar o JRE. A instalação demora alguns minutos. As versões do JRE existentes não são excluídas quando a versão necessária é instalada.
- Na página Especificar Arquivo de Configuração, selecione o arquivo de configuração que você baixou do console do Workspace ONE Access, digite a senha criada e clique em Avançar.
Se o arquivo de configuração estiver na mesma pasta que o instalador e tiver o nome padrão
es-config.json, ele aparecerá na caixa de texto automaticamente.
- Selecione ou a instalação Padrão ou a Personalizada.
- Se você tiver selecionado a instalação Padrão, siga estas etapas.
- (Somente para o serviço de Autenticação Kerberos) Na página Especificar Conta de Serviço, especifique o nome de usuário e a senha da conta de usuário do domínio a ser usada para executar o serviço de Autenticação Kerberos.
Digite o
Nome de usuário no formato
DOMINIO\Nome de usuário, como
EXEMPLO\administrador. Como alternativa, clique em
Procurar e selecione o domínio e o usuário.
Se você não conseguir localizar domínios ou usuários ao clicar em Navegar , digite-os na caixa de texto no formato especificado acima.
Importante: O serviço de Autenticação Kerberos oferece suporte apenas aos seguintes caracteres especiais na senha da conta do usuário de domínio:
@!*
. Se a senha contiver outros caracteres especiais, a instalação do serviço de Autenticação Kerberos falhará.
Observação: A página Especificar Conta do Serviço aparece apenas se você estiver instalando o serviço de Autenticação Kerberos.
- Clique em Next.
- Na página Pronto para Instalar o Programa, revise suas seleções e clique em Instalar.
A instalação demora alguns minutos.
- Se você tiver selecionado instalação Personalizada, siga estas etapas.
- Na página Especificar Informações do Servidor Proxy, digite um servidor proxy, se necessário.
Os serviços da Web de acesso aos serviços empresariais na internet. Se a sua configuração de rede fornece acesso à internet por meio de um proxy HTTP, você deve inserir um servidor proxy.
Você também pode especificar uma lista de hosts não proxy, os hosts que devem ser acessados diretamente sem passar pelo servidor proxy.
- Marque a caixa de seleção Habilitar Proxy.
- Digite o nome do host, especificado como um nome de domínio totalmente qualificado (FQDN) ou endereço IP do servidor proxy.
- Digite a porta do servidor proxy.
- Se você quiser especificar quaisquer hosts não proxy, hosts que devem ser acessados diretamente sem passar pelo servidor proxy, insira o FQDN ou endereço IP na caixa de texto Hosts Não Proxy. Use o seguinte formato, com cada entrada separada por |:
host1|host2
- Se o servidor proxy exigir autenticação, selecione Básica/Windows e digite o nome de usuário e a senha para o servidor proxy.
- Clique em Next.
- Na página Especificar Servidor de Syslog, se você quiser usar um ou mais servidores de syslog externo para armazenar mensagens de evento no nível do aplicativo, selecione a opção Habilitar Syslog e digite o endereço IP ou FQDN e a porta de cada servidor de syslog.
Para especificar um único servidor de syslog, use o seguinte formato:
host:port
Para especificar vários servidores de syslog, use o seguinte formato:
host:port,host:port,host:port
em que host é o nome de domínio totalmente qualificado ou o endereço IP do servidor de syslog e porta é o número da porta. Por exemplo:
syslog1.example.com:54
ou
syslog1.example.com:514,syslog2.example.com:601,syslog3.example.com:163
Observação: Somente eventos no nível de aplicativo são exportados para o servidor de syslog. Os eventos do sistema operacional não são exportados.
- Clique em Next.
- Na página Instalar Certificados Raiz Confiáveis, carregue no truststore os certificados da CA raiz ou intermediários, se necessário.
O conector poderá estabelecer conexões seguras com servidores e clientes cuja cadeia de certificados inclui qualquer um desses certificados. Os cenários para o carregamento de certificados para o truststore incluem:
- (Somente para instalações locais) Se a instância de serviço do Workspace ONE Access local tiver um certificado autoassinado instalado, você deverá carregar sua raiz e, se necessário, um certificado intermediário para estabelecer a confiança entre os serviços empresariais e a instância de serviço do Workspace ONE Access.
- (Somente para o serviço de Autenticação Kerberos) Se você implantar várias instâncias do serviço de Autenticação Kerberos atrás de um balanceador de carga, deverá instalar o certificado raiz da CA do balanceador de carga nas instâncias do conector para estabelecer a confiança entre os conectores e o balanceador de carga.
Você também pode carregar certificados raiz confiáveis mais tarde, após a instalação.
- Clique em Next.
- Revise as portas padrão em que os serviços empresariais são executados e especifique portas diferentes se essas portas estiverem sendo usadas por outros aplicativos.
A conectividade de entrada só é necessária para a porta do serviço de Autenticação Kerberos. Ela não é necessária para as portas do serviço de Autenticação do Usuário nem do serviço de Sincronização de Diretório.
- (Somente para o serviço de Autenticação Kerberos) Na página Certificado SSL para o Serviço de Autenticação Kerberos, selecione o certificado a ser usado para o servidor do conector.
Um certificado SSL confiável assinado por uma autoridade de certificação pública ou interna é necessário para o serviço de Autenticação Kerberos. Se você não carregar um certificado SSL confiável durante a instalação, um certificado autoassinado será gerado automaticamente. Você pode carregar um certificado SSL confiável mais tarde.
- Para carregar um certificado SSL confiável, marque a caixa de seleção Gostaria de usar seu próprio certificado?, clique em Procurar e selecione o arquivo de certificado.
O arquivo de certificado deve estar no formato PEM ou PFX. Se você carregar um arquivo PEM, carregue também a chave privada. Se você carregar um arquivo PFX, especifique também a senha do certificado. Para obter informações sobre os requisitos de certificado, consulte Como carregar um certificado SSL para o Workspace ONE Access Connector (somente para o serviço de Autenticação Kerberos).
- Para usar o certificado autoassinado e gerado automaticamente, desmarque a caixa de seleção Gostaria de usar seu próprio certificado SSL?.
Observação: Se você usar o certificado autoassinado gerado pelo Workspace ONE Access, será necessário adicionar o certificado raiz gerado pelo Workspace ONE Access para os truststores dos clientes. Você pode obter o certificado raiz,
root_ca.per, em
INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf após a instalação.
Embora você possa usar o certificado autoassinado para fins de teste, os certificados SSL confiáveis assinados por uma autoridade de certificação pública ou interna são recomendados para o uso de produção.
- Clique em Next.
- (Somente para o serviço de Autenticação Kerberos) Na página Especificar Conta de Serviço, especifique o nome de usuário e a senha da conta de usuário do domínio a ser usada para executar o serviço de Autenticação Kerberos.
Digite o
Nome de usuário no formato
DOMINIO\Nome de usuário, como
EXEMPLO\administrador. Como alternativa, clique em
Procurar e selecione o domínio e o usuário.
Se você não conseguir localizar domínios ou usuários ao clicar em Navegar , digite-os na caixa de texto no formato especificado acima.
Importante: O serviço de Autenticação Kerberos oferece suporte apenas aos seguintes caracteres especiais na senha da conta do usuário de domínio:
@!*
. Se a senha contiver outros caracteres especiais, a instalação do serviço de Autenticação Kerberos falhará.
Observação: A página Especificar Conta do Serviço aparece apenas se você estiver instalando o serviço de Autenticação Kerberos.
- Na página Pronto para Instalar o Programa, revise suas seleções e clique em Instalar.
A instalação demora alguns minutos.
- Depois que a instalação for concluída com êxito, verifique se os serviços estão em execução no servidor Windows.
Nomes dos serviços:
- Serviço de Sincronização de Diretório da VMware
- Serviço de Autenticação do Usuário da VMware
- Serviço de Autenticação Kerberos da VMware
- Vá para o console do Workspace ONE Access e atualize a página para verificar se os novos serviços são exibidos e se estão no estado Ativo.
Se a instalação falhar, exclua o instalador e o arquivo de configuração que você baixou do console do
Workspace ONE Access e inicie o processo de instalação novamente.
Resultados
Após a instalação bem-sucedida, os serviços empresariais que você instalou serão registrados no tenant do Workspace ONE Access e aparecerão na página Conectores no console do Workspace ONE Access.
Por exemplo:
O que Fazer Depois
- No console do Workspace ONE Access, configure os serviços empresariais que você instalou. Para obter informações sobre como integrar diretórios usando o serviço de Sincronização de Diretório, consulte Integração de diretório com o Workspace ONE Access. Para obter informações sobre como configurar a autenticação usando o serviço de Autenticação do Usuário ou de Autenticação Kerberos, consulte Como gerenciar métodos de autenticação do usuário no Workspace ONE Access.
- (Somente para o serviço de Autenticação Kerberos) Se você estiver usando o certificado autoassinado gerado pelo Workspace ONE Access para o serviço de Autenticação Kerberos, precisará adicionar o certificado raiz gerado pelo Workspace ONE Access para os truststores dos clientes. Você pode obter o certificado raiz, root_ca.per, em INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf.
Embora você possa usar o certificado autoassinado para fins de teste, os certificados SSL confiáveis assinados por uma autoridade de certificação pública ou interna são recomendados para o uso de produção. Consulte Como carregar um certificado SSL para o Workspace ONE Access Connector (somente para o serviço de Autenticação Kerberos).