在此步骤中,您将下载并安装内部部署 Workspace ONE Access Connector。您将创建一个密码,该密码存储在随 Workspace ONE Access Connector 安装程序一起下载的配置文件中。

在此任务中安装的 Workspace ONE Access Connector 用于持续将企业 Active Directory 中的组和用户与 Workspace ONE Access 租户同步。 Workspace ONE Access 租户实例将作为自助服务联合工作流的一部分进行创建和配置。它充当身份提供程序的身份代理(服务提供程序),并且不参与实际的用户身份验证。
注: 默认情况下, Workspace ONE Access Connector 每周同步一次企业 Active Directory 中新添加的组和用户。联合后,可以修改同步频率,也可以手动运行同步。

在此任务中,您将配置一个密码,用于加密随 Workspace ONE Access Connector 安装程序一起下载的配置文件的内容。运行安装程序时,系统将提示您输入下载的配置文件的位置和密码,以解密文件内容并获取 Workspace ONE Access 租户的连接详细信息。连接器将使用这些详细信息建立与 Workspace ONE Access 实例的安全通信。

要完成此步骤,您必须退出自助服务联合工作流,冉家完成在内部部署 Windows 计算机上安装并配置 Workspace ONE Access Connector。
注: 如果您的企业使用第三方 IdP 进行用户身份验证,则联合设置要求您创建包含用户身份验证服务和目录同步服务的默认 Workspace ONE Access Connector 安装。对于此类型的设置,无需安装 Kerberos Auth Service。如果您的企业不使用基于 SAML 2.0 的 IdP 进行用户身份验证,您可以使用 Workspace ONE Access Connector 支持的身份验证方法。您可以安装 Kerberos Auth Service,并使用该服务进行云端用户身份验证。有关详细的安装信息,请参见 安装 VMware Workspace ONE Access Connector
  • 在内部,连接器会与企业 Active Directory 建立内部网连接。
    注: 如果使用安全策略控制对托管企业 Active Directory 的计算机的访问,请确保在允许的 AD 主机列表中包括安装 Workspace ONE Access Connector 的计算机。
  • 在外部,连接器建立到 VMware Workspace ONE Access 租户的托管实例(在自助服务联合过程中为企业创建)的安全出站连接。
  • Workspace ONE Access 租户的托管实例充当第三方 SAML 2.0 IdP 的身份代理(服务提供程序)。它不参与实际的用户身份验证。
  • 如果使用基于 Workspace ONE Access 的身份验证方法,则 Workspace ONE Access 租户将借助内部部署连接器直接通过企业 Active Directory 对用户进行身份验证。
重要事项: Workspace ONE Access 租户或 Workspace ONE Access Connector 不会保留任何用户凭据。

前提条件

  • 要继续执行此步骤,您必须已完成自助服务联合向导的步骤 1
  • 确认您能够访问安装了 MS Windows Server 2008 或更高版本的计算机。
  • 验证您是否可以从 Windows 主机访问企业 Active Directory。
  • 主机必须具有静态 IP 地址和 DNS 可解析的 FQDN。
  • 连接器必须能够在端口 389/636 上通过网络访问 Active Directory。
  • 确认将您的企业防火墙配置为建立从 Workspace ONE Access Connector 到端口 443 的出站连接,以与托管的 Workspace ONE Access 租户服务交互。
  • 如果您已经具有 Workspace ONE Access Connector 安装文件,请确认版本为最新。

过程

  1. 安装 Workspace ONE Access Connector 部分中,单击启动
    此时将展开 设置连接器密码部分。
  2. 选择其中一个选项以生成密码并保存。
    重要事项: 在此步骤中生成的密码存储在随 Workspace ONE Access Connector 安装程序一起下载的配置文件中。您必须在安装连接器期间提供此密码,以验证创建配置文件的用户是否与安装连接器的用户相同。确保您创建的密码已安全存储并可以访问。
  3. 单击下一步
    此时将展开 下载安装程序和配置部分。
  4. 下载 Workspace ONE Access Connector 安装程序。
    注: 您需要一个 My VMware 帐户才能下载 Workspace ONE Access Connector 安装文件。
    如果必须在与访问自助服务联合工作流的计算机不同的计算机上运行安装程序,请复制指向 Workspace ONE Access Connector 安装程序的链接。然后,可以在目标 Windows 计算机上的浏览器窗口中打开该链接。
  5. 下载加密的配置文件。
    小心: 配置文件包含敏感信息,例如每个企业服务的租户 URL、租户 ID、客户端 ID 和客户端密钥以及密码哈希。请勿共享或公开该文件,这一点至关重要。
  6. 在 Windows Server 上,打开安装程序文件位置。
  7. 以管理员身份运行 Workspace ONE AccessConnector 安装程序。
  8. 欢迎使用页面上,单击下一步
  9. 阅读并接受许可协议,然后单击下一步
  10. 选择目录同步服务用户身份验证服务进行安装。
  11. 单击下一步
    默认情况下,这些服务安装在 C:\Program Files 中。要更改安装文件夹,请单击 更改,然后选择一个新文件夹。
  12. 指定配置文件页面上:
    1. 选择从自助服务联合工作流的安装 Workspace ONE Access Connector > 下载安装程序和配置文件步骤下载的配置文件。
    1. 输入为配置文件设置的密码。
    2. 单击下一步
  13. 对于此示例,选择默认安装菜单项,然后再次单击下一步
    注: 如果 Windows Server 主机设置使用普通代理或经过身份验证的代理,则必须选择 自定义安装菜单项。如果您决定从非代理默认连接器安装切换到代理自定义安装设置,您可以再次运行安装文件并进行必要的更改。
  14. 准备安装程序页面中,检查您选择的内容,然后单击安装
    安装过程需要几分钟。
  15. 安装成功完成后,验证您安装的服务是否正在 Windows Server 上运行。
    以下服务必须在 Windows Server 上运行。
    • VMware 目录同步服务
    • VMware 用户身份验证服务
    安装后,您安装的企业服务将在 Workspace ONE Access tenant中注册。
  16. 打开 Cloud Services Console,然后登录到 ACME Federation 组织。
  17. 导航到安装 Workspace ONE Access Connector > 运行安装程序和配置,然后单击检查连接
    连接状态更改为 连接器已成功安装
    重要事项: 如果连接状态未更改为 连接器已成功安装,请参阅 对联合进行故障排除并对问题进行故障排除。如果问题仍然存在,您可以向 VMware Cloud Services 技术支持 提交支持请求
  18. 单击继续

结果

将显示自助服务联合工作流的主页。

后续步骤

自助服务联合设置的下一步是在企业 Active Directory 与 Workspace ONE Access 租户之间同步组和用户。