Requisitos de sistemas do Workspace ONE Access Connector 23.09

Compatibilidade entre o serviço do Workspace ONE Access e o Workspace ONE Access Connector

Você pode usar o Workspace ONE Access Connector com o serviço de Nuvem do Workspace ONE Access ou com o dispositivo virtual do serviço do Workspace ONE Access no local.

Com o serviço de Nuvem do Workspace ONE Access, você pode usar todas as versões compatíveis do conector. No entanto, é recomendável usar a versão mais recente do conector.

Com uma instalação Workspace ONE Access no local, você pode usar versões compatíveis do conector que são iguais ou inferiores à versão do serviço do Workspace ONE Access. Por exemplo, com o serviço Workspace ONE Access 22.09, você pode usar o 22.09 Connector e versões anteriores. Não é possível usar uma versão do conector superior à versão do serviço. Por exemplo, não é possível usar o 22.09 Connector com o serviço 21.08. É recomendável usar a versão compatível mais recente do conector.

Para obter informações sobre versões com suporte, consulte https://www.vmware.com/support/policies/lifecycle.html.

Número de servidores necessários

Você pode instalar os serviços de Sincronização de Diretório, Autenticação de Usuários, Autenticação Kerberos e Aplicativo Virtual juntos em um único Windows Server ou pode instalá-los em servidores separados em qualquer combinação, dependendo das suas preferências. Para instalar todos os serviços, você precisa de um servidor mais potente. Para instalar os serviços separadamente, você deve obter vários servidores.

Vários servidores serão necessários se você quiser configurar a alta disponibilidade para qualquer um dos serviços.

Considere também que o serviço de Autenticação Kerberos requer conectividade de entrada enquanto os outros serviços não requerem.

Importante: Se você instalar vários serviços do em um único servidor do, certifique-se de que o servidor do atenda aos requisitos de memória, processamento e armazenamento especificados nas diretrizes de dimensionamento. Em particular, se você instalar os serviços de Sincronização de Diretório e Aplicativo Virtual no mesmo servidor, deverá certificar-se de que o servidor tenha memória e vCPU suficientes para ambos. Consulte as diretrizes de dimensionamento para obter mais informações.

Requisitos de hardware

Certifique-se de que o seu servidor Windows atenda aos seguintes requisitos de hardware.

Processador: Processador Inte(R)Xeon(R) CPU E5-2650 [email protected] GHZ (2 processadores) de x64 bits ou superior

Tabela 1. Diretrizes de dimensionamento apenas para o serviço de Sincronização de Diretório
Tamanho da Implantação	Requisitos de hardware para o servidor do serviço de sincronização de diretório	Número de usuários e grupos
Pequeno	2 vCPU, 8 GB de RAM, 40 GB de espaço em disco Alocação de memória Java para o serviço de Sincronização de Diretório: xmx=4g	Até 50.000 usuários e 500 grupos
Médio	4 vCPU, 8 GB de RAM, 40 GB de espaço em disco Alocação de memória Java para o serviço de Sincronização de Diretório: xmx=4g	Até 100.000 usuários e 1.000 grupos
Grande	8 vCPU, 12 GB de RAM, 40 GB de espaço em disco Alocação de memória Java para o serviço de Sincronização de Diretório: xmx=8g	Até 200.000 usuários e 2.000 grupos

Tabela 2. Diretrizes de dimensionamento apenas para o serviço de Autenticação do Usuário ou para o serviço de Autenticação Kerberos
Tamanho da Implantação	Requisitos de hardware para o servidor do serviço de Autenticação de Usuários ou do serviço de Autenticação Kerberos	Serviço de Autenticação do Usuário	Serviço de Autenticação Kerberos
Pequeno/Médio/Grande	2 vCPU, 4 GB de RAM, 40 GB de espaço em disco Alocação de memória Java para o serviço de Autenticação do Usuário ou o serviço de Autenticação Kerberos: xmx=1g	Autenticações de senha: 390-480/min Fluxo ativo do WSFed: 720-900/min	Autenticações Kerberos: 420-480/min

Observação: Os nós do serviço de Autenticação do Usuário e Autenticação Kerberos não são dimensionáveis verticalmente. Para melhor throughput, adicione mais nós.

Tabela 3. Diretrizes de dimensionamento apenas para o serviço de Aplicativo Virtual
Tamanho da Implantação	Requisitos de hardware para servidor do serviço de Aplicativo Virtual	Número de aplicativos virtuais e direitos
Pequeno/Médio/Grande	2 vCPU, 4 GB de RAM, 40 GB de espaço em disco Alocação de memória Java para serviço de Aplicativo Virtual: xmx=1g	Até 500 aplicativos virtuais com 125.000 direitos

Observação: Para integrações Citrix, no máximo 630 direitos de usuário ou grupo têm suporte para cada recurso.

Tabela 4. Diretrizes de dimensionamento para todos os serviços instalados em um único servidor
Tamanho da Implantação	Requisitos de hardware	Número de usuários e grupos
Pequeno	4 vCPU, 12 GB de RAM, 50 GB de espaço em disco Alocação de memória Java: Serviço de Sincronização de diretório: xmx=4g Serviço de Autenticação Kerberos: xmx=1g Serviço de Autenticação do Usuário: xmx=1g Serviço de Aplicativo Virtual: xmx=1g	Até 100.000 usuários e 1.000 grupos
Médio	8 vCPU, 16 GB de RAM, 50 GB de espaço em disco Alocação de memória Java: Serviço de Sincronização de diretório: xmx=8g Serviço de Autenticação Kerberos: xmx=1g Serviço de Autenticação do Usuário: xmx=1g Serviço de Aplicativo Virtual: xmx=2g	Até 200.000 usuários e 2.000 grupos
Grande	12 vCPU, 32 GB de RAM, 80 GB de espaço em disco Alocação de memória Java: Serviço de Sincronização de diretório: xmx=12g Serviço de Autenticação Kerberos: xmx=1g Serviço de Autenticação do Usuário: xmx=1g Serviço de Aplicativo Virtual: xmx=2g	Até 300.000 usuários e 3.000 grupos

Observação:

Os requisitos de memória incluem o SO e os componentes do VMware Connector. Se você planeja executar qualquer outro aplicativo ou serviço no servidor, ajuste os requisitos de acordo.
A alocação de memória Java listada para cada serviço se refere à memória heap do Java. Por padrão, 4 GB são alocados ao serviço de Sincronização de Diretório, 1 GB ao serviço de Autenticação de Usuários, 1 GB ao serviço de Autenticação Kerberos e 1 GB ao serviço de Aplicativo Virtual. Consulte Como aumentar a memória Java para serviços empresariais do Workspace ONE Access Connector para obter informações sobre como alocar memória.
Os grupos listados para o serviço de Sincronização de Diretório são todos de um nível, cada grupo contém 500 usuários, e cada usuário está associado a 5 grupos.
Implantações com grupos grandes ou grupos aninhados exigem mais memória.
Para integrações Citrix, no máximo 630 direitos de usuário ou grupo têm suporte para cada recurso.

Requisitos de software

Certifique-se de que o seu Windows Server atenda aos seguintes requisitos de software.

Requisito	Notas
Uma das seguintes versões do Windows Server: Windows Server 2022 Windows Server 2019 Windows Server 2016	Todos os serviços empresariais — Sincronização de Diretório, Autenticação do Usuário, Autenticação Kerberos e Serviços de Aplicativo Virtual — podem ser instalados em um conector em execução no Windows Server 2022.
PowerShell	Os Windows Servers incluem o PowerShell por padrão.
.NET Framework 4.8 ou posterior	Os Windows Servers incluem o .NET Framework por padrão. O Workspace ONE Access Connector requer o .NET Framework 4.8 ou posterior. Se o.NET Framework não estiver instalado ou não corresponder à versão necessária, o instalador do conector solicitará que você instale a versão correta durante a instalação.
Citrix Studio (Citrix PowerShell SDK)	Necessário apenas se você estiver instalando o serviço de Aplicativo Virtual e planeja integrar o Citrix Virtual Apps and Desktops. O Citrix Studio inclui o PowerShell SDK, que é necessário para a integração do Citrix com o Workspace ONE Access. A versão do Citrix Studio deve ser compatível com a sua versão de implantação do Citrix. Você pode instalar o Citrix Studio antes ou depois de instalar o Workspace ONE Access Connector. Para obter informações sobre como instalar o Citrix Studio, consulte a documentação do Citrix.

Requisitos de rede

A tabela abaixo lista os requisitos de porta para o conector. Para obter as informações de porta mais atualizadas, consulte https://ports.vmware.com/home/Workspace-ONE-Access.

Para configurar as portas listadas, todo o tráfego é unidirecional (de saída) do componente de origem para o componente de destino. Um proxy de saída ou qualquer outro software ou hardware de gerenciamento de conexão não deve encerrar ou rejeitar a conexão de saída a partir do Workspace ONE Access Connector. A conexão de saída deve permanecer aberta o tempo todo.

Origem	Destino	Porta	Protocolo	Notas
Workspace ONE Access Connector	Serviço do Workspace ONE Access (nuvem) Host de serviço do Workspace ONE Access (instalações locais)	443	HTTPS	Porta padrão; obrigatório. Aplica-se aos serviços de Sincronização de Diretório, Autenticação de Usuários, Autenticação Kerberos e Aplicativo Virtual.
Workspace ONE Access Connector	Balanceador de carga do serviço do Workspace ONE Access (instalações locais)	443	HTTPS	Aplica-se aos serviços de Sincronização de Diretório, Autenticação de Usuários, Autenticação Kerberos e Aplicativo Virtual.
Navegadores	Workspace ONE Access Connector	443	HTTPS	Obrigatório para o serviço de Autenticação Kerberos.
Workspace ONE Access Connector	Active Directory	389, 636, 3268, 3269		Portas padrão; essas portas são configuráveis. Aplica-se ao serviço de Sincronização de Diretório. Também se aplicará ao serviço de Autenticação do Usuário se a autenticação por senha for usada.
Workspace ONE Access Connector	Servidor DNS	53	TCP/UDP	Cada instância do conector deve ter acesso ao servidor DNS na porta 53. Aplica-se aos serviços de Sincronização de Diretório, Autenticação de Usuários, Autenticação Kerberos e Aplicativo Virtual.
Workspace ONE Access Connector	Controlador de domínio	88, 464, 135, 445	TCP/UDP	Aplica-se ao serviço de Sincronização de Diretório e Autenticação Kerberos.
Workspace ONE Access Connector	Servidor RSA SecurID	5555		Porta padrão; essa porta é configurável. Será aplicável ao serviço de Autenticação do Usuário se o RSA SecurID for usado.
Workspace ONE Access Connector	servidor syslog	514	UDP	Porta padrão; essa porta é configurável. Porta para o servidor de syslog externo, se configurado. Aplica-se aos serviços de Sincronização de Diretório, Autenticação de Usuários, Autenticação Kerberos e Aplicativo Virtual.
Workspace ONE Access Connector	Horizon Connection Server	443		Para integrações do VMware Horizon. Aplica-se somente ao serviço de Aplicativo Virtual.
Workspace ONE Access Connector	Servidor Citrix StoreFront	A porta configurada para o servidor do Citrix StoreFront		Para integração com as implantações da Citrix. Aplica-se somente ao serviço de Aplicativo Virtual.
Workspace ONE Access Connector	Servidor Citrix XenApp ou XenDesktop	443		Para integração com as implantações da Citrix. Aplica-se somente ao serviço de Aplicativo Virtual.
Navegadores	FQDNs de Acesso para Cliente configurados para coleções de aplicativos virtuais Horizon e Citrix	As portas configuradas para os FQDNs de Acesso para Cliente		Aplica-se somente ao serviço de Aplicativo Virtual.

Endereços IP de nuvem do Workspace ONE Access

Consulte https://kb.vmware.com/s/article/68035 para obter a lista de endereços IP do serviço de nuvem do Workspace ONE Access aos quais o Workspace ONE Access Connector deve ter acesso.

Requisitos de registros DNS e de endereços IP

Uma entrada DNS e um endereço IP estático são necessários para o conector. Antes de iniciar a instalação, obtenha o registro DNS e o endereço IP para usar e definir as configurações de rede do Windows Server.

Certifique-se de selecionar um nome de host apropriado e fácil de usar para o servidor do conector se você pretender instalar o serviço de Autenticação Kerberos. O nome do host do Workspace ONE Access Connector ficará disponível para os usuários quando a autenticação Kerberos estiver configurada.

A configuração da pesquisa inversa é opcional. Ao implementar a pesquisa inversa, você deve definir um registro PTR no servidor DNS para que o conector use a configuração de rede correta.

Você pode usar a seguinte lista de exemplo de registros DNS. Substitua as informações de amostra por informações do seu ambiente. Este exemplo mostra os registros DNS e os endereços IP encaminhados.

Tabela 5. Exemplo de registros DNS e endereços IP encaminhados
Nome do domínio	Tipo de Recurso	Endereço IP
meuconector.exemplo.com	Um	10.28.128.3

Este exemplo mostra os registros DNS e endereços IP reversos.

Tabela 6. Exemplo de registros DNS e endereços IP reversos
Endereço IP	Tipo de Recurso	Nome do Host
10.28.128.3	PTR	meuconector.exemplo.com

Depois de concluir a configuração do DNS, verifique se a pesquisa de DNS reverso está configurada corretamente. Por exemplo, o comando host IPaddress deve ser resolvido para a pesquisa de nome de DNS.

Balanceador de Carga

Um balanceador de carga será necessário para o Workspace ONE Access Connector se você quiser configurar a alta disponibilidade para a Autenticação Kerberos.

Sincronização de Hora

A configuração da sincronização de hora em todas as instâncias do serviço e do conector do Workspace ONE Access é necessária para que uma implantação do Workspace ONE Access funcione corretamente. Configure a sincronização de hora usando um servidor NTP.

Para o conector, configure a sincronização de hora no servidor do conector.

Requisitos de proxy

O conector acessa os serviços da Web na Internet. Se a sua configuração de rede fornecer acesso à internet por meio de um proxy HTTP, você deverá configurar um servidor proxy. Insira as informações do servidor proxy no instalador do Workspace ONE Access Connector durante ou após a instalação.

O Workspace ONE Access Connector oferece suporte aos seguintes tipos de proxies:

Proxies HTTP não autenticados
Proxies HTTPS (SSL) não autenticados
Proxies HTTPS (SSL) autenticados

Observação: Habilite seu proxy para lidar apenas com o tráfego da Internet. Para garantir que o proxy esteja configurado corretamente, defina o parâmetro para o tráfego interno para não proxy no domínio.