您可以随时更新 Workspace ONE Access Connector 安装以添加或修改企业服务。再次运行安装程序以进行任何更改。

可以进行以下更改:

  • 添加目录同步、用户身份验证、Kerberos 身份验证或虚拟应用程序服务
  • 为每个服务指定自定义端口
  • 配置代理服务器
  • 配置 syslog 服务器
  • 安装可信根证书
  • (仅 Kerberos 身份验证服务)为 Kerberos 身份验证服务安装可信 SSL 证书
  • (仅限 Kerberos 身份验证和虚拟应用程序服务)将 Kerberos 身份验证和虚拟应用程序服务配置为作为域用户帐户运行
注: 您还可以从连接器中删除服务。要删除服务,请再次运行安装程序,因为您无法在添加和修改服务的同时删除服务。请参阅 从 Workspace ONE Access Connector 中删除企业服务(仅限 Workspace ONE Access 云部署版本)

前提条件

  • 请注意,连接器安装中的所有企业服务连接到相同的 Workspace ONE Access 租户。修改现有安装以添加服务时,将自动使用通过租户为原始安装下载的配置文件。
  • 如果要修改现有的配置,请先从 Workspace ONE Access 控制台中挂起企业服务。在打开了全新导航切换开关的 Workspace ONE Access 云租户中,转到集成 > 连接器页面。在关闭了全新导航切换开关的租户中,转到身份和访问管理 > 设置 > 连接器页面。单击连接器名称,单击管理,然后单击切换开关以挂起每项服务。

过程

  1. 登录到安装了 Workspace ONE Access Connector 的 Windows 服务器。
  2. 转到包含连接器安装程序的文件夹,然后双击 Workspace ONE Access Connector Installer.exe 文件。
  3. 在“欢迎”页上,单击下一步
  4. 在“程序维护”页面上,选择添加/移除服务选项,然后单击下一步
  5. 在“服务选择”页面上,选择要添加的服务(如果有),然后单击下一步
  6. 如果显示“指定配置文件”页面,请选择通过 Workspace ONE Access 租户为原始安装下载的相同配置文件。
    仅当选择要添加的服务时,才会显示“指定配置文件”页面。
  7. 在向导的相应页面上进行更改。
    选项 操作
    更新用于运行企业服务的端口 在“指定端口”页面上,输入每个服务的端口。仅 Kerberos 身份验证服务端口需要入站连接。用户身份验证服务和目录同步服务端口则不需要。

    默认端口:

    • 用户身份验证服务:8090
    • 目录同步服务:8080
    • Kerberos 身份验证服务:443
    • 虚拟应用程序服务:8008
    上载连接器服务器的可信 SSL 证书 在“安装 SSL 证书”页面上,选中是否要使用您自己的 SSL 证书? 复选框,单击浏览,然后选择证书。

    证书文件必须采用 PEM 或 PFX 格式。如果文件采用 PEM 格式,还要上载密钥文件。如果文件采用 PFX 格式,还要输入证书密码。

    有关证书要求的更多信息,请参见为 Kerberos 身份验证服务上载 SSL 证书(仅限 Workspace ONE Access 云部署版本)

    重要事项: Kerberos 身份验证服务需要可信 SSL 证书。如果未上载可信 SSL 证书,则会自动生成自签名证书。要使用 Workspace ONE Access 生成的该自签名证书,您需要将 Workspace ONE Access 生成的根证书添加到客户端的信任存储区中。在安装后,您可以从 INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf 中获取根证书 root_ca.per

    虽然您可以使用自签名证书进行测试,但对于生产用途,我们建议您使用由公共或内部 CA 签名的可信 SSL 证书。

    上载或移除信任存储区中的可信根证书 在“安装可信根证书”页面上:
    • 要上载证书,请单击浏览并选择证书。
    • 要移除证书,请选择证书,然后单击移除
    • 要查看已安装的证书,请单击查看证书

    该连接器将能够与服务器建立安全连接,这些服务器的证书链包含要添加到信任存储区的任何证书。需要将证书上载到信任存储区的场景包括:

    • (仅 Kerberos 身份验证服务)如果在负载均衡器后面部署 Kerberos 身份验证服务的多个实例,则必须在连接器实例上安装负载均衡器的根 CA 证书,才能在连接器和负载均衡器之间建立信任关系。
    • (仅虚拟应用程序服务)如果创建要与 VMware Horizon、具有单容器代理的 Horizon Cloud Service on Microsoft Azure 或 Horizon Cloud Service on IBM Cloud 集成的虚拟应用程序集合,并且 Horizon Server 具有自签名证书,则必须将证书链上载到安装了虚拟应用程序服务的连接器实例,才能在连接器和 Horizon Connection Server 之间建立信任关系。如果 Horizon Server 具有由公共 CA 签名的证书,则无需将证书上载到连接器信任存储区。强烈建议使用由公共 CA 签名的证书。
    指定代理服务器 在“指定代理服务器信息”页面上,根据需要输入代理服务器。企业服务需要访问 Internet 上的 Web 服务。如果您的网络配置通过 HTTP 代理提供 Internet 访问,则必须输入代理服务器。有关支持的代理的信息,请参阅Workspace ONE Access Connector 22.05 系统要求(仅限 Workspace ONE Access 云部署版本)

    您还可以指定非代理主机(即,应当在不通过代理服务器的情况下直接访问的主机)的列表。

    1. 选中启用代理复选框。
    2. 输入指定作为代理服务器的完全限定域名 (Fully Qualified Domain Name, FQDN) 或 IP 地址的主机名。
    3. 输入代理服务器端口。
    4. 如果要指定任何非代理主机(即应直接访问而无需通过代理服务器访问的主机),请在非代理主机文本框中输入相应的 FQDN 和端口。具体格式如下,每个条目以 | 分隔:

      host1|host2

    5. 如果代理服务器要求进行身份验证,请选择基本并输入代理服务器的用户名和密码。
    指定外部 syslog 服务器以存储应用程序级别的事件消息 在“指定 Syslog 服务器信息”页面上,选中启用 Syslog 复选框,然后输入 syslog 服务器的 IP 地址或 FQDN 以及端口。

    要指定单个 syslog 服务器,请使用以下格式:

    host:port

    要指定多个 syslog 服务器,请使用以下格式:

    host:port,host:port,host:port

    其中 host 是 syslog 服务器的完全限定域名或 IP 地址,port 是端口号。例如:

    syslog1.example.com:54

    syslog1.example.com:514,syslog2.example.com:601,syslog3.example.com:163
    注: 只能将应用程序级别的事件导出到 syslog 服务器。不会导出操作系统事件。
    要指定或更改用于运行 Kerberos 身份验证和虚拟应用程序服务的域用户帐户,请执行以下操作:

    需要域用户帐户才能运行 Kerberos 身份验证和虚拟应用程序服务。

    在“服务帐户”页面上,输入域用户帐户的用户名和密码,格式为 DOMAIN\username,例如 EXAMPLE\administrator。或者,单击浏览,然后选择域和用户。

    如果在单击浏览时找不到域或用户,请按上面指定的格式在文本框中键入域或用户。

    重要事项: Kerberos 身份验证服务仅在域用户帐户密码中支持以下特殊字符: @!*。如果密码包含任何其他特殊字符,Kerberos 身份验证服务安装将失败。
  8. 在“准备安装程序”页面中,检查您的选择,然后单击安装
    重要事项: 如果上载了任何证书,请确保选择重新启动所有服务的选项。

下一步做什么

安装将会更新。将在 Workspace ONE Access 租户中注册新服务。刷新 Workspace ONE Access 控制台中的连接器页面,以查看更新的服务列表。