Para implantar o Workspace ONE Access Connector, que inclui o serviço de Sincronização de Diretório, Autenticação do Usuário e o Autenticação Kerberos como componentes, certifique-se de que seu Windows Server atenda aos requisitos necessários. Alguns requisitos variam de acordo com o serviço que você está instalando.
Compatibilidade entre o serviço do Workspace ONE Access e o Workspace ONE Access Connector
Você pode usar o Workspace ONE Access Connector com o serviço de Nuvem do Workspace ONE Access ou com o dispositivo virtual do serviço do Workspace ONE Access no local.
Com o serviço de Nuvem do Workspace ONE Access, você pode usar todas as versões compatíveis do conector. No entanto, é recomendável usar a versão mais recente do conector.
Com o serviço Workspace ONE Access no local, você pode usar versões compatíveis do conector que são iguais ou inferiores à versão do serviço. Por exemplo, com o serviço Workspace ONE Access 20.10, você pode usar o 20.10 Connector e versões anteriores. Não é possível usar uma versão do conector superior à versão do serviço. Por exemplo, não é possível usar o 20.10 Connector com o serviço 20.01. É recomendável usar a versão compatível mais recente do conector.
Para obter informações sobre versões com suporte, consulte https://www.vmware.com/support/policies/lifecycle.html.
Número de servidores necessários
Você pode instalar os serviços de Sincronização de Diretório, Autenticação do Usuário e Autenticação Kerberos juntos em um único servidor Windows ou instalá-los em servidores separados em qualquer combinação, dependendo das suas preferências. Para instalar todos os serviços, você precisa de um servidor mais potente. Para instalar os serviços separadamente, você precisa obter vários servidores.
Vários servidores serão necessários se você quiser configurar a alta disponibilidade para qualquer um dos serviços.
Considere também que o serviço de Autenticação Kerberos requer conectividade de entrada enquanto os outros serviços não requerem.
Requisitos de hardware
Certifique-se de que o seu servidor Windows atenda aos seguintes requisitos de hardware.
- Processador: Processador Inte(R)Xeon(R) CPU E5-2650 [email protected] GHZ (2 processadores) de x64 bits ou superior
| Tamanho da Implantação | Requisitos de hardware | Número de usuários e grupos |
|---|---|---|
| Pequeno | 2 vCPU, 8 GB de RAM, 40 GB de espaço em disco Alocação de memória Java para o serviço de Sincronização de Diretório: xmx=4g |
Até 50.000 usuários e 500 grupos |
| Médio | 4 vCPU, 8 GB de RAM, 40 GB de espaço em disco Alocação de memória Java para o serviço de Sincronização de Diretório: xmx=4g |
Até 100.000 usuários e 1.000 grupos |
| Grande | 8 vCPU, 12 GB de RAM, 40 GB de espaço em disco Alocação de memória Java para o serviço de Sincronização de Diretório: xmx=8g |
Até 200.000 usuários e 2.000 grupos |
| Tamanho da Implantação | Requisito de hardware para servidor do serviço de Autenticação do Usuário ou de Autenticação Kerberos | Serviço de Autenticação do Usuário | Serviço de Autenticação Kerberos |
|---|---|---|---|
| Pequeno/Médio/Grande | 2 vCPU, 4 GB de RAM, 40 GB de espaço em disco Alocação de memória Java para o serviço de Autenticação do Usuário ou o serviço de Autenticação Kerberos: xmx=1g |
Autenticações de senha: 390-480/min Fluxo ativo do WSFed: 720-900/min |
Autenticações Kerberos: 420-480/min |
| Tamanho da Implantação | Requisitos de hardware | Sincronização de diretório |
|---|---|---|
| Pequeno | 2 vCPU, 8GB de RAM, 40GB de espaço em disco Alocação de memória Java: Serviço de Sincronização de diretório: xmx=4g Serviço de Autenticação Kerberos: xmx=1g Serviço de Autenticação do Usuário: xmx=1g |
Até 50.000 usuários e 500 grupos |
| Médio | 4 vCPU, 8GB de RAM, 40GB de espaço em disco Alocação de memória Java: Serviço de Sincronização de diretório: xmx=4g Serviço de Autenticação Kerberos: xmx=1g Serviço de Autenticação do Usuário: xmx=1g |
Até 100.000 usuários e 1.000 grupos |
| Grande | 8 vCPU, 16GB de RAM, 40GB de espaço em disco Alocação de memória Java: Serviço de Sincronização de diretório: xmx=8g Serviço de Autenticação Kerberos: xmx=1g Serviço de Autenticação do Usuário: xmx=1g |
Até 200.000 usuários e 2.000 grupos |
- Os requisitos de memória incluem o SO e os componentes do VMware Connector. Se você planeja executar qualquer outro aplicativo ou serviço no servidor, ajuste os requisitos de acordo.
- A alocação de memória Java listada para cada serviço se refere à memória heap do Java. Por padrão, 4 GB é alocado ao serviço de Sincronização de Diretório, 1 GB ao serviço de Autenticação do Usuário e 1 GB ao serviço de Autenticação Kerberos. Consulte Como aumentar a memória Java para serviços empresariais para obter informações sobre como alocar memória.
- Os grupos listados para o serviço de Sincronização de Diretório são todos de um nível, cada grupo contém 500 usuários, e cada usuário está associado a 5 grupos.
- Implantações com grupos grandes ou grupos aninhados exigem mais memória.
Requisitos de software
Certifique-se de que o seu Windows Server atenda aos seguintes requisitos de software.
| Requisito | Notas |
|---|---|
| Windows Server 2019 ou Windows Server 2016 ou Windows Server 2012 R2 |
|
| PowerShell | Os Windows Servers incluem o PowerShell por padrão. |
| .NET Framework 4.6.2 ou posterior | Os Windows Servers incluem o .NET Framework por padrão. O Workspace ONE Access Connector requer o .NET Framework 4.6.2 ou posterior. |
Requisitos de rede
A tabela abaixo lista os requisitos de porta para o conector. Para obter as informações de porta mais atualizadas, consulte https://ports.vmware.com/home/Workspace-ONE-Access.
Para a configuração das portas listadas abaixo, todo o tráfego é unidirecional (saída) do componente de origem para o componente de destino. Um proxy de saída ou qualquer outro software ou hardware de gerenciamento de conexão não deve encerrar ou rejeitar a conexão de saída a partir do Workspace ONE Access Connector. A conexão de saída deve permanecer aberta o tempo todo.
| Origem | Destino | Porta | Protocolo | Notas |
|---|---|---|---|---|
| Workspace ONE Access Connector | Serviço do Workspace ONE Access (nuvem) Host de serviço do Workspace ONE Access (instalações locais) |
443 | HTTPS | Porta padrão; obrigatório Aplica-se ao serviço de Sincronização de Diretório, Autenticação do Usuário e Autenticação Kerberos |
| Workspace ONE Access Connector | Balanceador de carga do serviço do Workspace ONE Access (instalações locais) | 443 | HTTPS | Aplica-se ao serviço de Sincronização de Diretório, Autenticação do Usuário e Autenticação Kerberos |
| Navegadores | Workspace ONE Access Connector | 443 | HTTPS | Necessário para o serviço de Autenticação Kerberos |
| Workspace ONE Access Connector | Active Directory | 389, 636, 3268, 3269 | Portas padrão; essas portas são configuráveis Aplica-se ao serviço de Sincronização de Diretório. Também se aplicará ao serviço de Autenticação do Usuário se a autenticação por senha for usada. |
|
| Workspace ONE Access Connector | Servidor DNS | 53 | TCP/UDP | Toda instância de conector deve ter acesso ao servidor DNS na porta 53 e permitir o tráfego SSH de entrada na porta 22. Aplica-se ao serviço de Sincronização de Diretório, Autenticação do Usuário e Autenticação Kerberos. |
| Workspace ONE Access Connector | Controlador de domínio | 88, 464, 135, 445 | TCP/UDP | Aplica-se ao serviço de Sincronização de Diretório e Autenticação Kerberos |
| Workspace ONE Access Connector | Sistema RSA SecurID | 5500 | Porta padrão; essa porta é configurável Será aplicável ao serviço de Autenticação do Usuário se o RSA SecurID for usado |
|
| Workspace ONE Access Connector | servidor syslog | 514 | UDP | Porta padrão; essa porta é configurável Porta para o servidor de syslog externo, se configurado. Aplica-se ao serviço de Sincronização de Diretório, Autenticação do Usuário e Autenticação Kerberos |
Endereços IP da nuvem do Workspace ONE Access
Consulte https://kb.vmware.com/s/article/68035 para obter a lista de endereços IP do serviço de nuvem do Workspace ONE Access aos quais o Workspace ONE Access Connector deve ter acesso.
Requisitos de registros DNS e de endereços IP
Uma entrada DNS e um endereço IP estático são necessários para o conector. Antes de iniciar a instalação, obtenha o registro DNS e o endereço IP para usar e definir as configurações de rede do servidor Windows.
Certifique-se de selecionar um nome de host apropriado e fácil de usar para o servidor do conector se você pretender instalar o serviço de Autenticação Kerberos. O nome do host do Workspace ONE Access Connector ficará disponível para os usuários quando a autenticação Kerberos estiver configurada.
A configuração da pesquisa inversa é opcional. Ao implementar a pesquisa inversa, você deve definir um registro PTR no servidor DNS para que o conector use a configuração de rede correta.
Você pode usar a seguinte lista de exemplo de registros DNS. Substitua as informações de amostra por informações do seu ambiente. Este exemplo mostra os registros DNS e os endereços IP encaminhados.
| Nome do domínio | Tipo de Recurso | Endereço IP |
|---|---|---|
| meuconector.exemplo.com | Um | 10.28.128.3 |
Este exemplo mostra os registros DNS e endereços IP reversos.
| Endereço IP | Tipo de Recurso | Nome do Host |
|---|---|---|
| 10.28.128.3 | PTR | meuconector.exemplo.com |
Depois de concluir a configuração do DNS, verifique se a pesquisa de DNS reverso está configurada corretamente. Por exemplo, o comando host IPaddress deve ser resolvido para a pesquisa de nome de DNS.
Balanceador de Carga
Um balanceador de carga será necessário se você quiser configurar a alta disponibilidade para a Autenticação Kerberos.
Sincronização de Hora
A configuração da sincronização de hora em todas as instâncias do serviço e do conector do Workspace ONE Access é necessária para que uma implantação do Workspace ONE Access funcione corretamente. Configure a sincronização de hora usando um servidor NTP.
Requisitos de proxy
O conector acessa os serviços da Web na Internet. Se a sua configuração de rede fornecer acesso à internet por meio de um proxy HTTP, você deverá configurar um servidor proxy. Insira as informações do servidor proxy no instalador do Workspace ONE Access Connector durante ou após a instalação.
