Para implantar o Workspace ONE Access Connector, que inclui os serviços de Sincronização de Diretório, Autenticação de Usuários, Autenticação Kerberos e Aplicativo Virtual como componentes, certifique-se de que o Windows Server atenda aos requisitos necessários. Alguns requisitos variam de acordo com o serviço que você está instalando.
Compatibilidade entre o serviço do Workspace ONE Access e o Workspace ONE Access Connector
Você pode usar o Workspace ONE Access Connector com o serviço de Nuvem do Workspace ONE Access ou com o dispositivo virtual do serviço do Workspace ONE Access no local.
Com o serviço de Nuvem do Workspace ONE Access, você pode usar todas as versões compatíveis do conector. No entanto, é recomendável usar a versão mais recente do conector.
Com o serviço Workspace ONE Access no local, você pode usar versões compatíveis do conector que são iguais ou inferiores à versão do serviço. Por exemplo, com o serviço Workspace ONE Access 21.08, você pode usar o 21.08 Connector e versões anteriores. Não é possível usar uma versão do conector superior à versão do serviço. Por exemplo, não é possível usar o 21.08 Connector com o serviço 20.10. É recomendável usar a versão compatível mais recente do conector.
Para obter informações sobre versões com suporte, consulte https://www.vmware.com/support/policies/lifecycle.html.
Número de servidores necessários
Você pode instalar os serviços de Sincronização de Diretório, Autenticação de Usuários, Autenticação Kerberos e Aplicativo Virtual juntos em um único Windows Server ou pode instalá-los em servidores separados em qualquer combinação, dependendo das suas preferências. Para instalar todos os serviços, você precisa de um servidor mais potente. Para instalar os serviços separadamente, você deve obter vários servidores.
Vários servidores serão necessários se você quiser configurar a alta disponibilidade para qualquer um dos serviços.
Considere também que o serviço de Autenticação Kerberos requer conectividade de entrada enquanto os outros serviços não requerem.
Requisitos de hardware
Certifique-se de que o seu servidor Windows atenda aos seguintes requisitos de hardware.
- Processador: Processador Inte(R)Xeon(R) CPU E5-2650 [email protected] GHZ (2 processadores) de x64 bits ou superior
| Tamanho da Implantação | Requisitos de hardware para o servidor do serviço de sincronização de diretório | Número de usuários e grupos |
|---|---|---|
| Pequeno | 2 vCPU, 8 GB de RAM, 40 GB de espaço em disco Alocação de memória Java para o serviço de Sincronização de Diretório: xmx=4g |
Até 50.000 usuários e 500 grupos |
| Médio | 4 vCPU, 8 GB de RAM, 40 GB de espaço em disco Alocação de memória Java para o serviço de Sincronização de Diretório: xmx=4g |
Até 100.000 usuários e 1.000 grupos |
| Grande | 8 vCPU, 12 GB de RAM, 40 GB de espaço em disco Alocação de memória Java para o serviço de Sincronização de Diretório: xmx=8g |
Até 200.000 usuários e 2.000 grupos |
| Tamanho da Implantação | Requisitos de hardware para o servidor do serviço de Autenticação de Usuários ou do serviço de Autenticação Kerberos | Serviço de Autenticação do Usuário | Serviço de Autenticação Kerberos |
|---|---|---|---|
| Pequeno/Médio/Grande | 2 vCPU, 4 GB de RAM, 40 GB de espaço em disco Alocação de memória Java para o serviço de Autenticação do Usuário ou o serviço de Autenticação Kerberos: xmx=1g |
Autenticações de senha: 390-480/min Fluxo ativo do WSFed: 720-900/min |
Autenticações Kerberos: 420-480/min |
| Tamanho da Implantação | Requisitos de hardware para servidor do serviço de Aplicativo Virtual | Número de aplicativos virtuais e direitos |
|---|---|---|
| Pequeno/Médio/Grande | 2 vCPU, 4 GB de RAM, 40 GB de espaço em disco Alocação de memória Java para serviço de Aplicativo Virtual: xmx=1g |
Até 500 aplicativos virtuais com 125.000 direitos |
| Tamanho da Implantação | Requisitos de hardware | Número de usuários e grupos |
|---|---|---|
| Pequeno | 4 vCPU, 12 GB de RAM, 50 GB de espaço em disco Alocação de memória Java: Serviço de Sincronização de diretório: xmx=4g Serviço de Autenticação Kerberos: xmx=1g Serviço de Autenticação do Usuário: xmx=1g Serviço de Aplicativo Virtual: xmx=1g |
Até 100.000 usuários e 1.000 grupos |
| Médio | 8 vCPU, 16 GB de RAM, 50 GB de espaço em disco Alocação de memória Java: Serviço de Sincronização de diretório: xmx=8g Serviço de Autenticação Kerberos: xmx=1g Serviço de Autenticação do Usuário: xmx=1g Serviço de Aplicativo Virtual: xmx=2g |
Até 200.000 usuários e 2.000 grupos |
| Grande | 12 vCPU, 32 GB de RAM, 80 GB de espaço em disco Alocação de memória Java: Serviço de Sincronização de diretório: xmx=12g Serviço de Autenticação Kerberos: xmx=1g Serviço de Autenticação do Usuário: xmx=1g Serviço de Aplicativo Virtual: xmx=2g |
Até 300.000 usuários e 3.000 grupos |
- Os requisitos de memória incluem o SO e os componentes do VMware Connector. Se você planeja executar qualquer outro aplicativo ou serviço no servidor, ajuste os requisitos de acordo.
- A alocação de memória Java listada para cada serviço se refere à memória heap do Java. Por padrão, 4 GB são alocados ao serviço de Sincronização de Diretório, 1 GB ao serviço de Autenticação de Usuários, 1 GB ao serviço de Autenticação Kerberos e 1 GB ao serviço de Aplicativo Virtual. Consulte Como aumentar a memória Java para serviços empresariais do Workspace ONE Access Connector para obter informações sobre como alocar memória.
- Os grupos listados para o serviço de Sincronização de Diretório são todos de um nível, cada grupo contém 500 usuários, e cada usuário está associado a 5 grupos.
- Implantações com grupos grandes ou grupos aninhados exigem mais memória.
- Para integrações Citrix, no máximo 630 direitos de usuário ou grupo têm suporte para cada recurso.
Requisitos de software
Certifique-se de que o seu Windows Server atenda aos seguintes requisitos de software.
| Requisito | Notas |
|---|---|
| Windows Server 2019 ou Windows Server 2016 ou Windows Server 2012 R2 |
|
| PowerShell | Os Windows Servers incluem o PowerShell por padrão. |
| .NET Framework 4.8 ou posterior | Os Windows Servers incluem o .NET Framework por padrão. O Workspace ONE Access Connector requer o .NET Framework 4.8 ou posterior. Se o.NET Framework não estiver instalado ou não corresponder à versão necessária, o instalador do conector solicitará que você instale a versão correta durante a instalação. |
| Citrix Studio (Citrix PowerShell SDK) | Necessário apenas se você estiver instalando o serviço de Aplicativo Virtual e planeja integrar o Citrix Virtual Apps and Desktops. O Citrix Studio inclui o PowerShell SDK, que é necessário para a integração do Citrix com o Workspace ONE Access. A versão do Citrix Studio deve ser compatível com a sua versão de implantação do Citrix. Você pode instalar o Citrix Studio antes ou depois de instalar o Workspace ONE Access Connector. Para obter informações sobre como instalar o Citrix Studio, consulte a documentação do Citrix. |
Requisitos de rede
A tabela abaixo lista os requisitos de porta para o conector. Para obter as informações de porta mais atualizadas, consulte https://ports.vmware.com/home/Workspace-ONE-Access.
Para configurar as portas listadas, todo o tráfego é unidirecional (de saída) do componente de origem para o componente de destino. Um proxy de saída ou qualquer outro software ou hardware de gerenciamento de conexão não deve encerrar ou rejeitar a conexão de saída a partir do Workspace ONE Access Connector. A conexão de saída deve permanecer aberta o tempo todo.
| Origem | Destino | Porta | Protocolo | Notas |
|---|---|---|---|---|
| Workspace ONE Access Connector | Serviço do Workspace ONE Access (nuvem) Host de serviço do Workspace ONE Access (instalações locais) |
443 | HTTPS | Porta padrão; obrigatório Aplica-se aos serviços de Sincronização de Diretório, Autenticação de Usuários, Autenticação Kerberos e Aplicativo Virtual |
| Workspace ONE Access Connector | Balanceador de carga do serviço do Workspace ONE Access (instalações locais) | 443 | HTTPS | Aplica-se aos serviços de Sincronização de Diretório, Autenticação de Usuários, Autenticação Kerberos e Aplicativo Virtual |
| Navegadores | Workspace ONE Access Connector | 443 | HTTPS | Necessário para o serviço de Autenticação Kerberos |
| Workspace ONE Access Connector | Active Directory | 389, 636, 3268, 3269 | Portas padrão; essas portas são configuráveis Aplica-se ao serviço de Sincronização de Diretório. Também se aplicará ao serviço de Autenticação do Usuário se a autenticação por senha for usada. |
|
| Workspace ONE Access Connector | Servidor DNS | 53 | TCP/UDP | Toda instância de conector deve ter acesso ao servidor DNS na porta 53 e permitir o tráfego SSH de entrada na porta 22. Aplica-se aos serviços de Sincronização de Diretório, Autenticação de Usuários, Autenticação Kerberos e Aplicativo Virtual. |
| Workspace ONE Access Connector | Controlador de domínio | 88, 464, 135, 445 | TCP/UDP | Aplica-se ao serviço de Sincronização de Diretório e Autenticação Kerberos |
| Workspace ONE Access Connector | Servidor RSA SecurID | 5555 | Porta padrão; essa porta é configurável Será aplicável ao serviço de Autenticação do Usuário se o RSA SecurID for usado |
|
| Workspace ONE Access Connector | servidor syslog | 514 | UDP | Porta padrão; essa porta é configurável Porta para o servidor de syslog externo, se configurado. Aplica-se aos serviços de Sincronização de Diretório, Autenticação de Usuários, Autenticação Kerberos e Aplicativo Virtual |
| Workspace ONE Access Connector | Horizon Connection Server | 443 | Para integrações com o VMware Horizon Aplica-se somente ao serviço de Aplicativo Virtual |
|
| Workspace ONE Access Connector | Servidor Citrix StoreFront | A porta configurada para o servidor do Citrix StoreFront | Para integração com implantações Citrix Aplica-se somente ao serviço de Aplicativo Virtual |
|
| Workspace ONE Access Connector | Servidor Citrix XenApp ou XenDesktop | 443 | Para integração com implantações Citrix Aplica-se somente ao serviço de Aplicativo Virtual |
|
| Navegadores | FQDNs de Acesso para Cliente configurados para coleções de aplicativos virtuais Horizon e Citrix | As portas configuradas para os FQDNs de Acesso para Cliente | Aplica-se somente ao serviço de Aplicativo Virtual |
Endereços IP de nuvem do Workspace ONE Access
Consulte https://kb.vmware.com/s/article/68035 para obter a lista de endereços IP do serviço de nuvem do Workspace ONE Access aos quais o Workspace ONE Access Connector deve ter acesso.
Requisitos de registros DNS e de endereços IP
Uma entrada DNS e um endereço IP estático são necessários para o conector. Antes de iniciar a instalação, obtenha o registro DNS e o endereço IP para usar e definir as configurações de rede do servidor Windows.
Certifique-se de selecionar um nome de host apropriado e fácil de usar para o servidor do conector se você pretender instalar o serviço de Autenticação Kerberos. O nome do host do Workspace ONE Access Connector ficará disponível para os usuários quando a autenticação Kerberos estiver configurada.
A configuração da pesquisa inversa é opcional. Ao implementar a pesquisa inversa, você deve definir um registro PTR no servidor DNS para que o conector use a configuração de rede correta.
Você pode usar a seguinte lista de exemplo de registros DNS. Substitua as informações de amostra por informações do seu ambiente. Este exemplo mostra os registros DNS e os endereços IP encaminhados.
| Nome do domínio | Tipo de Recurso | Endereço IP |
|---|---|---|
| meuconector.exemplo.com | Um | 10.28.128.3 |
Este exemplo mostra os registros DNS e endereços IP reversos.
| Endereço IP | Tipo de Recurso | Nome do Host |
|---|---|---|
| 10.28.128.3 | PTR | meuconector.exemplo.com |
Depois de concluir a configuração do DNS, verifique se a pesquisa de DNS reverso está configurada corretamente. Por exemplo, o comando host IPaddress deve ser resolvido para a pesquisa de nome de DNS.
Balanceador de Carga
Um balanceador de carga será necessário se você quiser configurar a alta disponibilidade para a Autenticação Kerberos.
Sincronização de Hora
A configuração da sincronização de hora em todas as instâncias do serviço e do conector do Workspace ONE Access é necessária para que uma implantação do Workspace ONE Access funcione corretamente. Configure a sincronização de hora usando um servidor NTP.
Requisitos de proxy
O conector acessa os serviços da Web na Internet. Se a sua configuração de rede fornecer acesso à internet por meio de um proxy HTTP, você deverá configurar um servidor proxy. Insira as informações do servidor proxy no instalador do Workspace ONE Access Connector durante ou após a instalação.
O Workspace ONE Access Connector 21.08 oferece suporte aos seguintes tipos de proxies:
- Proxies HTTP não autenticados
- Proxies HTTPS (SSL) não autenticados
- Proxies HTTPS (SSL) autenticados
