要安装目录同步、用户身份验证或 Kerberos 身份验证服务,请在满足所有要求的 Windows 服务器上运行 Workspace ONE Access Connector 安装程序,然后选择要安装的服务。
您可以选择使用快速默认安装(对大多数设置使用默认值),也可以选择使用自定义安装(可以配置各种设置)。
| 默认安装 | 自定义安装 |
|---|---|
使用以下默认端口:
注: 这些是用于运行服务的端口。仅 Kerberos 身份验证服务端口需要入站连接。
|
可为企业服务指定自定义端口
注: 这些是用于运行服务的端口。仅 Kerberos 身份验证服务端口需要入站连接。
|
| 自动为连接器生成自签名证书。 | 可为连接器安装可信 SSL 证书(Kerberos 身份验证服务需要此证书) |
| 可将可信根证书上载到信任存储区
注: 如果内部部署 Workspace ONE Access 服务实例具有您安装的自签名证书,则必须上载其根证书和中间证书(如果需要)才能在企业服务与 Workspace ONE Access 服务实例之间建立信任关系。
|
|
| 可配置代理服务器 | |
| 可配置 syslog 服务器 |
无论您选择何种类型的安装,都可以稍后再次运行安装程序,并根据需要修改所有设置。
前提条件
- 请参阅安装 Workspace ONE Access Connector 的先决条件。
- 在安装过程中,您需要从 Workspace ONE Access 控制台下载文件。您可能需要使用 Internet Explorer 以外的浏览器下载文件。Internet Explorer 的默认设置可能会阻止您下载文件。
过程
- 从 Workspace ONE Access 控制台下载 Workspace ONE Access Connector 安装程序和配置文件。
- 以系统域管理员身份登录到 Workspace ONE Access 控制台。
提示: 在云部署中,系统域管理员是在您获取 Workspace ONE Access 租户时收到的凭据所属的管理员。在内部部署中,系统域管理员是在您安装 Workspace ONE Access 实例时创建的管理员用户。
- 导航到页面。
- 单击新建。
- 在“虚拟应用程序使用情况确认”对话框中,查看其中显示的信息,然后选择 Workspace ONE Access Connector 20.10。
小心: Workspace ONE Access Connector 20.10 不支持虚拟应用程序(Horizon、Horizon Cloud、Citrix 和 ThinApp 集成)。如果打算集成虚拟应用程序,请勿安装 20.10 Connector。要使用虚拟应用程序,请选择 旧版连接器,并安装 Connector 版本 19.03.0.1 或更低版本。要集成 Horizon、Horizon Cloud 或 Citrix 应用程序和桌面,请使用 VMware Identity Manager Connector (Windows) 版本 19.03.0.1。要集成 ThinApp 打包的应用程序,请使用 VMware Identity Manager Connector (Linux) 版本 2018.8.1.0。注: 首次在租户中安装新连接器时,将显示“虚拟应用程序使用情况确认”对话框。如果您希望稍后更改选择,可以使用“连接器”或“旧版连接器”页面上随后显示的 重置虚拟应用程序使用情况按钮。有关更多信息,请参阅 在 Workspace ONE Access 中重置虚拟应用程序使用情况选项。 - 查看确认对话框中的信息,如果要继续,请单击仍要继续。
此时将显示“添加新连接器”向导。
- 在“添加新连接器”向导中,单击转到 MYVMWARE.COM。
此时将在新窗口中显示 My VMware 网页。让向导保持打开状态,因为下载安装程序后将会返回到该向导。
- 使用您的 My VMware 登录名登录到 https://my.vmware.com,然后下载 Workspace ONE Access Connector Installer.exe 文件。
- 返回到 Workspace ONE Access 控制台,然后在“添加新连接器”向导中单击下一步。
- 通过创建密码并单击下载配置文件来生成配置文件。
密码必须至少具有 14 个字符,并且包含一个大写字符、一个小写字符、一个数字和一个特殊字符。请勿使用 & 或 % 字符。所有字符都必须是可见的打印 ASCII 字符。配置文件用于在您安装的企业服务和 Workspace ONE Access 租户之间建立通信。默认情况下,该文件名为 es-config.json。小心: 配置文件包含敏感信息,例如租户 URL、租户 ID、每个企业服务的客户端 ID 和客户端密钥以及密码哈希值。请勿共享或公开展示该文件,这一点非常重要。
- 下载配置文件后,在向导中单击下一步。
- 以系统域管理员身份登录到 Workspace ONE Access 控制台。
- 在“欢迎”页上,单击下一步。
安装程序将验证服务器上的先决条件。如果未安装 .NET Framework,系统将提示您进行安装并重新启动服务器。在重新启动后,再次运行安装程序以继续执行安装过程。 - 阅读并接受许可协议,然后单击下一步。
- 选择要安装的服务。
默认情况下,服务安装在 C:\Program Files 中。要更改安装文件夹,请单击 更改,然后选择文件夹。 - 如果 Windows 服务器上尚未安装最新的 Java Runtime Environment (JRE™) 主要版本,将显示以下弹出窗口。
单击 是以安装 JRE。安装过程需要几分钟时间。在安装所需的版本时,不会删除现有的 JRE 版本。 - 在“指定配置文件”页面上,选择从 Workspace ONE Access 控制台下载的配置文件,输入您设置的密码,然后单击下一步。
如果配置文件与安装程序位于同一文件夹中,并且具有默认名称 es-config.json,则该文件会自动显示在文本框中。
- 选择默认或自定义安装。
- 如果选择默认安装,请执行以下步骤。
- (仅 Kerberos 身份验证服务)在“指定服务帐户”页面上,指定用于运行 Kerberos 身份验证服务的域用户帐户的用户名和密码。
输入以下格式的 用户名: DOMAIN\Username,例如 EXAMPLE\administrator。或者,单击 浏览,然后选择域和用户。
如果在单击浏览时找不到域或用户,请按上面指定的格式在文本框中键入域或用户。
重要事项: Kerberos 身份验证服务仅在域用户帐户密码中支持以下特殊字符:@!*。如果密码包含任何其他特殊字符,Kerberos 身份验证服务安装将失败。
注: 仅当您安装 Kerberos 身份验证服务时,才会显示“指定服务帐户”页面。 - 单击下一步。
- 在“准备安装程序”页面中,检查您的选择,然后单击安装。
安装过程需要几分钟时间。
- (仅 Kerberos 身份验证服务)在“指定服务帐户”页面上,指定用于运行 Kerberos 身份验证服务的域用户帐户的用户名和密码。
- 如果选择自定义安装,请执行以下步骤。
- 在“指定代理服务器信息”页面上,根据需要输入代理服务器。
企业服务需要访问 Internet 上的 Web 服务。如果您的网络配置通过 HTTP 代理提供 Internet 访问,则必须输入代理服务器。
您还可以指定非代理主机(即,应当在不通过代理服务器的情况下直接访问的主机)的列表。
- 选中启用代理复选框。
- 输入指定作为代理服务器的完全限定域名 (Fully Qualified Domain Name, FQDN) 或 IP 地址的主机名。
- 输入代理服务器端口。
- 如果要指定任何非代理主机(即,应当在不通过代理服务器的情况下直接访问的主机),请在非代理主机文本框中输入 FQDN 或 IP 地址。具体格式如下,每个条目以 | 分隔:
host1|host2
- 如果代理服务器需要身份验证,请选择基本/Windows 并输入代理服务器的用户名和密码。
- 单击下一步。
- 在“指定 Syslog 服务器”页面上,如果要使用一个或多个外部 syslog 服务器存储应用程序级别的事件消息,请选择启用 Syslog 选项,然后输入每个 syslog 服务器的 IP 地址或 FQDN 以及端口。
要指定单个 syslog 服务器,请使用以下格式:
host:port
要指定多个 syslog 服务器,请使用以下格式:
host:port,host:port,host:port
其中 host 是 syslog 服务器的完全限定域名或 IP 地址,port 是端口号。例如:
syslog1.example.com:54
或
syslog1.example.com:514,syslog2.example.com:601,syslog3.example.com:163
注: 只能将应用程序级别的事件导出到 syslog 服务器。不会导出操作系统事件。 - 单击下一步。
- 在“安装可信根证书”页面上,根据需要将根或中间 CA 证书上载到信任存储区。
该连接器将能够与服务器和客户端建立安全连接,这些服务器和客户端的证书链包含其中的任何证书。需要将证书上载到信任存储区的场景包括:
- (仅限内部部署安装)如果内部部署 Workspace ONE Access 服务实例具有您安装的自签名证书,则必须上载其根证书和中间证书(如果需要)才能在企业服务与 Workspace ONE Access 服务实例之间建立信任关系。
- (仅 Kerberos 身份验证服务)如果在负载均衡器后面部署 Kerberos 身份验证服务的多个实例,则必须在连接器实例上安装负载均衡器的根 CA 证书,才能在连接器和负载均衡器之间建立信任关系。
您也可以在安装后上载可信根证书。
- 单击下一步。
- 检查用于运行企业服务的默认端口,如果其他应用程序正在使用这些端口,则指定其他端口。
仅 Kerberos 身份验证服务端口需要入站连接。用户身份验证或目录同步服务端口则不需要。
- (仅 Kerberos 身份验证服务)在“Kerberos 身份验证服务的 SSL 证书”页面上,选择要用于连接器服务器的证书。
Kerberos 身份验证服务需要使用由公共或内部 CA 签名的可信 SSL 证书。如果在安装期间未上载可信 SSL 证书,则会自动生成自签名证书。您可以稍后上载可信 SSL 证书。
- 要上载可信 SSL 证书,请选中是否要使用您自己的 SSL 证书? 复选框,单击浏览,然后选择证书文件。
证书文件必须采用 PEM 或 PFX 格式。如果上载 PEM 文件,还要上载私钥。如果上载 PFX 文件,还要指定证书密码。有关证书要求的信息,请参见为 Workspace ONE Access Connector 上载 SSL 证书(仅限 Kerberos 身份验证服务)。
- 要使用自动生成的自签名证书,请取消选中是否要使用您自己的 SSL 证书? 复选框。
注: 如果使用 Workspace ONE Access 生成的自签名证书,您需要将 Workspace ONE Access 生成的根证书添加到客户端的信任存储区中。在安装后,您可以从 INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf 中获取根证书 root_ca.per。
虽然您可以使用自签名证书进行测试,但对于生产用途,建议使用由公共或内部 CA 签名的可信 SSL 证书。
- 要上载可信 SSL 证书,请选中是否要使用您自己的 SSL 证书? 复选框,单击浏览,然后选择证书文件。
- 单击下一步。
- (仅 Kerberos 身份验证服务)在“指定服务帐户”页面上,指定用于运行 Kerberos 身份验证服务的域用户帐户的用户名和密码。
输入以下格式的 用户名: DOMAIN\Username,例如 EXAMPLE\administrator。或者,单击 浏览,然后选择域和用户。
如果在单击浏览时找不到域或用户,请按上面指定的格式在文本框中键入域或用户。
重要事项: Kerberos 身份验证服务仅在域用户帐户密码中支持以下特殊字符:@!*。如果密码包含任何其他特殊字符,Kerberos 身份验证服务安装将失败。
注: 仅当您安装 Kerberos 身份验证服务时,才会显示“指定服务帐户”页面。 - 在“准备安装程序”页面中,检查您的选择,然后单击安装。
安装过程需要几分钟时间。
- 在“指定代理服务器信息”页面上,根据需要输入代理服务器。
结果
成功安装后,会通过 Workspace ONE Access 租户注册您所安装的企业服务,这些服务也会显示在 Workspace ONE Access 控制台中的“连接器”页面上。
例如:
下一步做什么
- 在 Workspace ONE Access 控制台中,配置已安装的企业服务。有关使用目录同步服务集成目录的信息,请参见目录与 Workspace ONE Access 的集成。有关使用用户身份验证服务或 Kerberos 身份验证服务配置身份验证的信息,请参见在 Workspace ONE Access 中管理用户身份验证方法。
- (仅 Kerberos 身份验证服务)如果要对 Kerberos 身份验证服务使用 Workspace ONE Access 生成的自签名证书,则需要将 Workspace ONE Access 生成的根证书添加到客户端的信任存储区中。您可以从 INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf 中获取根证书 root_ca.per。
虽然您可以使用自签名证书进行测试,但对于生产用途,建议使用由公共或内部 CA 签名的可信 SSL 证书。请参阅为 Workspace ONE Access Connector 上载 SSL 证书(仅限 Kerberos 身份验证服务)。
