您可以随时更新 Workspace ONE Access Connector 安装,以添加或修改企业服务。再次运行安装程序以进行任何更改。

可以进行以下更改:

  • 添加目录同步、用户身份验证、Kerberos 身份验证或虚拟应用程序服务
  • 为每个服务指定自定义端口
  • 配置代理服务器
  • 配置 syslog 服务器
  • 安装可信根证书
  • (仅 Kerberos 身份验证服务)为 Kerberos 身份验证服务安装可信 SSL 证书
  • (仅 Kerberos 身份验证和虚拟应用程序服务)将 Kerberos 身份验证和虚拟应用程序服务配置为以域用户帐户身份运行
注: 您还可以从连接器中删除服务。要删除服务,请再次运行安装程序,因为您无法在添加和修改服务的同时删除服务。请参阅 从 Workspace ONE Access Connector 中删除企业服务

前提条件

  • 请注意,连接器安装中的所有企业服务均连接到同一个 Workspace ONE Access 租户。修改现有安装以添加服务时,将自动使用通过租户为原始安装下载的配置文件。
  • 如果要修改现有配置,请先从 Workspace ONE Access 控制台中挂起企业服务。导航到身份和访问管理 > 设置 > 连接器页面,单击连接器,再单击管理,然后单击切换按钮以挂起每个服务。

过程

  1. 登录到安装了 Workspace ONE Access Connector 的 Windows Server。
  2. 转到包含连接器安装程序的文件夹,然后双击 Workspace ONE Access Connector Installer.exe 文件。
  3. 在“欢迎”页上,单击下一步
  4. 在“程序维护”页面上,选择添加/移除服务选项,然后单击下一步
  5. 在“服务选择”页面上,选择要添加的服务(如果有),然后单击下一步
  6. 如果显示“指定配置文件”页面,请选择通过 Workspace ONE Access 租户为原始安装下载的相同配置文件。
    仅当选择要添加的服务时,才会显示“指定配置文件”页面。
  7. 在向导的相应页面上进行更改。
    选项 操作
    更新用于运行企业服务的端口 在“指定端口”页面上,输入每个服务的端口。仅 Kerberos 身份验证服务端口需要入站连接。用户身份验证服务和目录同步服务端口则不需要。

    默认端口:

    • 用户身份验证服务:8090
    • 目录同步服务:8080
    • Kerberos 身份验证服务:443
    • 虚拟应用程序服务:8008
    上载连接器服务器的可信 SSL 证书 在“安装 SSL 证书”页面上,选中是否要使用您自己的 SSL 证书? 复选框,单击浏览,然后选择证书。

    证书文件必须采用 PEM 或 PFX 格式。如果文件采用 PEM 格式,还要上载密钥文件。如果文件采用 PFX 格式,还要输入证书密码。

    有关证书要求的更多信息,请参见为 Workspace ONE Access Connector 上载 SSL 证书(仅限 Kerberos 身份验证服务)

    重要事项: Kerberos 身份验证服务需要可信 SSL 证书。如果未上载可信 SSL 证书,则会自动生成自签名证书。要使用 Workspace ONE Access 生成的自签名证书,就需要将 Workspace ONE Access 生成的根证书添加到客户端的信任存储区中。在安装后,您可以从 INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf 中获取根证书 root_ca.per

    虽然您可以使用自签名证书进行测试,但对于生产用途,我们建议您使用由公共或内部 CA 签名的可信 SSL 证书。

    上载或移除信任存储区中的可信根证书 在“安装可信根证书”页面上:
    • 要上载证书,请单击浏览并选择证书。
    • 要移除证书,请选择证书,然后单击移除
    • 要查看已安装的证书,请单击查看证书

    该连接器将能够与服务器建立安全连接,这些服务器的证书链包含要添加到信任存储区的任何证书。需要将证书上载到信任存储区的场景包括:

    • (仅内部部署安装)如果内部部署 Workspace ONE Access 服务实例具有您安装的自签名证书,则必须上载其根证书和中间证书(如果需要)才能在企业服务与 Workspace ONE Access 服务实例之间建立信任关系。
    • (仅 Kerberos 身份验证服务)如果在负载均衡器后面部署 Kerberos 身份验证服务的多个实例,则必须在连接器实例上安装负载均衡器的根 CA 证书,才能在连接器和负载均衡器之间建立信任关系。
    • (仅虚拟应用程序服务)如果将 Workspace ONE Access 与 VMware Horizon 集成,并且要临时在 Horizon 连接服务器上使用自签名证书进行测试,则必须将证书链上载到安装了虚拟应用程序服务的连接器实例,以便在连接器和 Horizon 连接服务器之间建立信任关系。但是,建议使用由公共 CA 签名的证书。
    指定代理服务器 在“指定代理服务器信息”页面上,根据需要输入代理服务器。企业服务需要访问 Internet 上的 Web 服务。如果您的网络配置通过 HTTP 代理提供 Internet 访问,则必须输入代理服务器。有关支持的代理信息,请参阅Workspace ONE Access Connector 21.08 系统要求

    您还可以指定非代理主机(即,应当在不通过代理服务器的情况下直接访问的主机)的列表。

    1. 选中启用代理复选框。
    2. 输入指定作为代理服务器的完全限定域名 (Fully Qualified Domain Name, FQDN) 或 IP 地址的主机名。
    3. 输入代理服务器端口。
    4. 如果要指定任何非代理主机(即应直接访问而无需通过代理服务器访问的主机),请在非代理主机文本框中输入相应的 FQDN 和端口。具体格式如下,每个条目以 | 分隔:

      host1|host2

    5. 如果代理服务器需要身份验证,请选择基本,并输入代理服务器的用户名和密码。
    指定外部 syslog 服务器以存储应用程序级别的事件消息 在“指定 Syslog 服务器信息”页面上,选中启用 Syslog 复选框,然后输入 syslog 服务器的 IP 地址或 FQDN 以及端口。

    要指定单个 syslog 服务器,请使用以下格式:

    host:port

    要指定多个 syslog 服务器,请使用以下格式:

    host:port,host:port,host:port

    其中 host 是 syslog 服务器的完全限定域名或 IP 地址,port 是端口号。例如:

    syslog1.example.com:54

    syslog1.example.com:514,syslog2.example.com:601,syslog3.example.com:163
    注: 只能将应用程序级别的事件导出到 syslog 服务器。不会导出操作系统事件。
    要指定或更改用于运行 Kerberos 身份验证和虚拟应用程序服务的域用户帐户,请执行以下操作: 在“服务帐户”页面上,输入域用户帐户的用户名和密码,格式为 DOMAIN\username,例如 EXAMPLE\administrator。或者,单击浏览,然后选择域和用户。
    重要事项: Kerberos 身份验证服务在域用户帐户密码中仅支持以下特殊字符: @!*。如果密码包含任何其他特殊字符,Kerberos 身份验证服务安装将失败。
    注: 如果在单击 浏览时找不到域或用户,请在文本框中键入上述指定格式的域或用户。
    重要事项: 需要域用户帐户才能运行 Kerberos 身份验证和虚拟应用程序服务。
  8. 在“准备安装程序”页面中,检查您的选择,然后单击安装
    重要事项: 如果上载了任何证书,请确保选择重新启动所有服务的选项。

下一步做什么

安装将会更新。将通过 Workspace ONE Access 租户注册新服务。在 Workspace ONE Access 控制台中刷新身份和访问管理 > 设置 > 连接器页面,以查看服务的更新列表。