要安装目录同步、用户身份验证、Kerberos 身份验证或虚拟应用程序服务,请在满足所有要求的 Windows Server 上运行 Workspace ONE Access Connector 安装程序,然后选择要安装的服务。

您可以选择使用快速默认安装(对大多数设置使用默认值),也可以选择使用自定义安装(可以配置各种设置)。

默认安装 自定义安装
使用以下默认端口:
  • 用户身份验证服务:8090
  • 目录同步服务:8080
  • Kerberos 身份验证服务:443
  • 虚拟应用程序服务:8008
注: 这些是用于运行服务的端口。仅 Kerberos 身份验证服务端口需要入站连接。
可为企业服务指定自定义端口
注: 这些是用于运行服务的端口。仅 Kerberos 身份验证服务端口需要入站连接。
自动为连接器生成自签名证书。 可为连接器安装可信 SSL 证书(Kerberos 身份验证服务需要此证书)
可将可信根证书上载到信任存储区
注: 如果内部部署 Workspace ONE Access 服务实例具有您安装的自签名证书,则必须上载其根证书和中间证书(如果需要)才能在企业服务与 Workspace ONE Access 服务实例之间建立信任关系。
可配置代理服务器
可配置 syslog 服务器

无论您选择何种类型的安装,都可以稍后再次运行安装程序,并根据需要修改所有设置。

注: 在安装过程中,还会在服务器上安装 OpenJDK 8。

前提条件

  • 请参阅安装 Workspace ONE Access Connector 的先决条件
  • 在安装过程中,您需要从 Workspace ONE Access 控制台下载文件。您可能需要使用 Internet Explorer 以外的浏览器下载文件。Internet Explorer 的默认设置可能会阻止您下载文件。

过程

  1. Workspace ONE Access 控制台下载 Workspace ONE Access Connector 安装程序和配置文件。
    1. 以系统域管理员身份登录到 Workspace ONE Access 控制台。
      提示: 在云部署中,系统域管理员是在您获取 Workspace ONE Access 租户时收到的凭据所属的管理员。在内部部署中,系统域管理员是在您安装 Workspace ONE Access 实例时创建的管理员用户。
    2. 导航到身份和访问管理 > 设置 > 连接器页面。
    3. 单击新建
    4. 选择连接器对话框中,查看其中显示的信息,然后选择 Workspace ONE Access Connector 21.08
      小心:

      Workspace ONE Access Connector 21.08 不支持与 VMware ThinApp、Horizon Cloud Service on IBM Cloud 或使用 Single-Pod Broker 的 Horizon Cloud Service on Microsoft Azure 集成。

      要集成 ThinApp 打包的应用程序,请选择旧版连接器选项,然后使用 VMware Identity Manager Connector 3.3 (Linux)。

      要与使用 Universal Broker 的 Horizon Cloud Service on Microsoft Azure 集成,需在 Horizon Cloud 管理控制台中进行配置,但不需要虚拟应用程序服务。

      注: 首次在租户中安装新连接器时,将显示 选择连接器对话框。如果您希望稍后更改选择,可以使用“连接器”或“旧版连接器”页面上随后显示的 重置连接器选择选项。有关更多信息,请参阅 在 Workspace ONE Access 中重置连接器选择

      此时将显示“添加新连接器”向导。

    5. 在“添加新连接器”向导中,单击“下载安装程序”页面上的转到 MYVMWARE.COM
      此时将在新窗口中显示 My VMware 网页。让向导保持打开状态,因为下载安装程序后将会返回到该向导。
    6. 使用您的 My VMware 登录名登录到 https://my.vmware.com,然后下载 Workspace ONE Access Connector Installer.exe 文件。
    7. 返回到 Workspace ONE Access 控制台,然后在“添加新连接器”向导的“下载安装程序”页面中单击下一步
    8. 通过创建密码并单击下载配置文件来生成配置文件。
      密码必须至少具有 14 个字符,并且包含一个大写字符、一个小写字符、一个数字和一个特殊字符。所有字符都必须是可见的打印 ASCII 字符。
      配置文件用于在您安装的企业服务和 Workspace ONE Access 租户之间建立通信。默认情况下,该文件名为 es-config.json
      小心: 配置文件包含敏感信息,例如租户 URL、租户 ID、每个企业服务的客户端 ID 和客户端密钥以及密码哈希值。请勿共享或公开展示该文件,这一点非常重要。
    9. 下载配置文件后,在向导中单击下一步
  2. 将安装程序和配置文件复制到要安装服务的 Windows 服务器。
  3. 双击安装程序文件以运行 Workspace ONE Access Connector 安装向导。
  4. 在“欢迎”页上,单击下一步
    安装程序将验证服务器上的先决条件。如果未安装 .NET Framework,系统将提示您进行安装并重新启动服务器。在重新启动后,再次运行安装程序以继续执行安装过程。
  5. 阅读并接受许可协议,然后单击下一步
    安装向导 - 许可证协议
  6. 选择要安装的服务。
    安装向导 - 选择服务页面
    默认情况下,服务安装在 C:\Program Files 中。要更改安装文件夹,请单击 更改,然后选择文件夹。
  7. 单击下一步
  8. 在“指定配置文件”页面上,选择从 Workspace ONE Access 控制台下载的配置文件,输入您设置的密码,然后单击下一步
    如果配置文件与安装程序位于同一文件夹中,并且具有默认名称 es-config.json,则该文件会自动显示在文本框中。
    安装向导 - 配置文件页面
  9. 选择默认自定义安装。
    安装向导 - 选择安装类型
  10. 如果选择默认安装,请执行以下步骤。
    1. (仅 Kerberos 身份验证服务和虚拟应用程序服务)在“指定服务帐户”页面上,指定用于运行 Kerberos 身份验证服务和虚拟应用程序服务的域用户帐户的用户名和密码。
      重要事项: Kerberos 身份验证服务在域用户帐户密码中仅支持以下特殊字符: @!*。如果密码包含任何其他特殊字符,Kerberos 身份验证服务安装将失败。

      输入以下格式的用户名DOMAIN\Username,例如 EXAMPLE\administrator。或者,单击浏览,然后选择域和用户。

      安装向导 - 域用户帐户页面
      注: 如果在单击 浏览时找不到域或用户,请在文本框中键入上述指定格式的域或用户。
      注: 仅当您安装 Kerberos 身份验证服务或虚拟应用程序服务时,才会显示“指定服务帐户”页面。
    2. 单击下一步
    3. 在“准备安装程序”页面中,检查您的选择,然后单击安装
      安装向导 - 准备安装页面
      安装过程需要几分钟时间。
      小心: 在安装过程结束时,您可能会收到重新启动系统的提示。如果在连接器迁移过程中在 19.03.x 连接器服务器上安装 21.08 连接器,请勿重新启动系统。只有在整个连接器迁移过程完成后,才能重新启动系统。
  11. 如果选择自定义安装,请执行以下步骤。
    1. 在“指定代理服务器信息”页面上,根据需要输入代理服务器。
      企业服务需要访问 Internet 上的 Web 服务。如果您的网络配置通过 HTTP 代理提供 Internet 访问,则必须输入代理服务器。有关支持的代理信息,请参阅 Workspace ONE Access Connector 21.08 系统要求

      您还可以指定非代理主机(即,应当在不通过代理服务器的情况下直接访问的主机)的列表。

      1. 选中启用代理复选框。
      2. 输入指定作为代理服务器的完全限定域名 (Fully Qualified Domain Name, FQDN) 或 IP 地址的主机名。
      3. 输入代理服务器端口。
      4. 如果要指定任何非代理主机(即,应当在不通过代理服务器的情况下直接访问的主机),请在非代理主机文本框中输入 FQDN 或 IP 地址。具体格式如下,每个条目以 | 分隔:

        host1|host2

      5. 如果代理服务器需要身份验证,请选择基本,并输入代理服务器的用户名和密码。
      安装向导 - 代理服务器页面
    2. 单击下一步
    3. 在“指定 Syslog 服务器”页面上,如果要使用一个或多个外部 syslog 服务器存储应用程序级别的事件消息,请选择启用 Syslog 选项,然后输入每个 syslog 服务器的 IP 地址或 FQDN 以及端口。

      要指定单个 syslog 服务器,请使用以下格式:

      host:port

      要指定多个 syslog 服务器,请使用以下格式:

      host:port,host:port,host:port

      其中 host 是 syslog 服务器的完全限定域名或 IP 地址,port 是端口号。例如:

      syslog1.example.com:54

      syslog1.example.com:514,syslog2.example.com:601,syslog3.example.com:163
      安装向导 - syslog 服务器页面
      注: 只能将应用程序级别的事件导出到 syslog 服务器。不会导出操作系统事件。
    4. 单击下一步
    5. 在“安装可信根证书”页面上,根据需要将根或中间 CA 证书上载到信任存储区。
      该连接器将能够与服务器和客户端建立安全连接,这些服务器和客户端的证书链包含其中的任何证书。需要将证书上载到信任存储区的场景包括:
      • (仅内部部署安装)如果内部部署 Workspace ONE Access 服务实例具有您安装的自签名证书,则必须上载其根证书和中间证书(如果需要)才能在企业服务与 Workspace ONE Access 服务实例之间建立信任关系。
      • (仅 Kerberos 身份验证服务)如果在负载均衡器后面部署 Kerberos 身份验证服务的多个实例,则必须在连接器实例上安装负载均衡器的根 CA 证书,才能在连接器和负载均衡器之间建立信任关系。
      • (仅虚拟应用程序服务)如果将 Workspace ONE Access 与 VMware Horizon 集成,并且要临时在 Horizon 连接服务器上使用自签名证书进行测试,则必须将证书链上载到安装了虚拟应用程序服务的连接器实例,以便在连接器和 Horizon 连接服务器之间建立信任关系。但是,建议使用由公共 CA 签名的证书。

      您也可以在安装后上载可信根证书。

      安装向导 - 可信根证书页面
    6. 单击下一步
    7. 检查用于运行企业服务的默认端口,如果其他应用程序正在使用这些端口,则指定其他端口。

      Kerberos 身份验证服务端口需要入站连接。用户身份验证、目录同步和虚拟应用程序服务端口不需要入站连接。

      安装向导 - 端口页面
    8. (仅 Kerberos 身份验证服务)在“Kerberos 身份验证服务的 SSL 证书”页面上,选择要用于连接器服务器的证书。
      Kerberos 身份验证服务需要使用由公共或内部 CA 签名的可信 SSL 证书。如果在安装期间未上载可信 SSL 证书,则会自动生成自签名证书。您可以稍后上载可信 SSL 证书。
      • 要上载可信 SSL 证书,请选中是否要使用您自己的 SSL 证书? 复选框,单击浏览,然后选择证书文件。

        证书文件必须采用 PEM 或 PFX 格式。如果上载 PEM 文件,还要上载私钥。如果上载 PFX 文件,还要指定证书密码。有关证书要求的信息,请参见为 Workspace ONE Access Connector 上载 SSL 证书(仅限 Kerberos 身份验证服务)

      • 要使用自动生成的自签名证书,请取消选中是否要使用您自己的 SSL 证书? 复选框。
        注: 如果使用 Workspace ONE Access 生成的自签名证书,就需要将 Workspace ONE Access 生成的根证书添加到客户端的信任存储区中。在安装后,您可以从 INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf 中获取根证书 root_ca.per

        虽然您可以使用自签名证书进行测试,但对于生产用途,建议使用由公共或内部 CA 签名的可信 SSL 证书。

      安装向导 - 选择证书页面
    9. 单击下一步
    10. (仅 Kerberos 身份验证服务和虚拟应用程序服务)在“指定服务帐户”页面上,指定用于运行 Kerberos 身份验证服务和虚拟应用程序服务的域用户帐户的用户名和密码。
      重要事项: Kerberos 身份验证服务在域用户帐户密码中仅支持以下特殊字符: @!*。如果密码包含任何其他特殊字符,Kerberos 身份验证服务安装将失败。

      输入以下格式的用户名DOMAIN\Username,例如 EXAMPLE\administrator。或者,单击浏览,然后选择域和用户。

      安装向导 - 域用户页面
      注: 如果在单击 浏览时找不到域或用户,请在文本框中键入上述指定格式的域或用户。
      注: 仅当您安装 Kerberos 身份验证服务或虚拟应用程序服务时,才会显示“指定服务帐户”页面。
    11. 在“准备安装程序”页面中,检查您的选择,然后单击安装
      安装过程需要几分钟时间。
      小心: 在安装过程结束时,您可能会收到重新启动系统的提示。如果在连接器迁移过程中在 19.03.x 连接器服务器上安装 21.08 连接器,请勿重新启动系统。只有在整个连接器迁移过程完成后,才能重新启动系统。
  12. 安装成功完成后,确认服务正在 Windows 服务器上运行。
    服务名称:
    • VMware 目录同步服务
    • VMware 用户身份验证服务
    • VMware Kerberos 身份验证服务
    • VMware虚拟应用服务
  13. 转到 Workspace ONE Access 控制台,然后刷新身份和访问管理 > 设置 > 连接器页面,确认新服务已显示且处于活动状态。
    如果安装失败,请删除通过 Workspace ONE Access 控制台下载的安装程序和配置文件,然后再次启动安装过程。

结果

成功安装后,会通过 Workspace ONE Access 租户注册您所安装的企业服务,这些服务也会显示在 Workspace ONE Access 控制台中的“连接器”页面上。

例如:


此页面列出了连接器、所有已安装的服务、活动状态、绿色运行状况和版本 21.08.0.0。

下一步做什么

  • Workspace ONE Access 控制台中,配置已安装的企业服务。有关使用目录同步服务集成目录的信息,请参阅目录与 VMware Workspace ONE Access 的集成。有关使用用户身份验证服务或 Kerberos 身份验证服务配置身份验证的信息,请参见在 VMware Workspace ONE Access 中管理用户身份验证方法。有关使用虚拟应用程序服务集成 Horizon 和 Citrix 虚拟应用程序的信息,请参阅在 VMware Workspace ONE Access 中设置资源
  • (仅 Kerberos 身份验证服务)如果要对 Kerberos 身份验证服务使用 Workspace ONE Access 生成的自签名证书,则需要将 Workspace ONE Access 生成的根证书添加到客户端的信任存储区中。您可以从 INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf 中获取根证书 root_ca.per

    虽然您可以使用自签名证书进行测试,但对于生产用途,建议使用由公共或内部 CA 签名的可信 SSL 证书。请参阅为 Workspace ONE Access Connector 上载 SSL 证书(仅限 Kerberos 身份验证服务)