您可以随时更新 Workspace ONE Access Connector 安装,以添加或修改企业服务。再次运行安装程序以进行任何更改。

可以进行以下更改:

  • 添加目录同步、用户身份验证或 Kerberos 身份验证服务
  • 为每个服务指定自定义端口
  • 配置代理服务器
  • 配置 syslog 服务器
  • 安装可信根证书
  • (仅 Kerberos 身份验证服务)为 Kerberos 身份验证服务安装可信 SSL 证书
  • (仅 Kerberos 身份验证服务)将 Kerberos 身份验证服务配置为以域用户帐户身份运行
注: 您还可以从连接器中删除服务。要删除服务,请再次运行安装程序,因为您无法在添加和修改服务的同时删除服务。请参阅 从连接器中删除企业服务

前提条件

  • 请注意,连接器安装中的所有企业服务均连接到同一个 Workspace ONE Access 租户。修改现有安装以添加服务时,将自动使用通过租户为原始安装下载的配置文件。
  • 如果要修改现有配置,请先从 Workspace ONE Access 控制台中挂起企业服务。导航到身份和访问管理 > 设置 > 连接器页面,单击连接器,再单击管理,然后单击切换按钮以挂起每个服务。

过程

  1. 登录到安装了 Workspace ONE Access Connector 的 Windows 服务器。
  2. 转到包含连接器安装程序的文件夹,然后双击 Workspace ONE Access Connector Installer.exe 文件。
  3. 在“欢迎”页上,单击下一步
  4. 在“程序维护”页面上,选择添加/移除服务选项,然后单击下一步
  5. 在“服务选择”页面上,选择要添加的服务(如果有),然后单击下一步
  6. 如果显示“指定配置文件”页面,请选择通过 Workspace ONE Access 租户为原始安装下载的相同配置文件。
    仅当选择要添加的服务时,才会显示“指定配置文件”页面。
  7. 在向导的相应页面上进行更改。
    选项 操作
    更新用于运行企业服务的端口 在“指定端口”页面上,输入每个服务的端口。仅 Kerberos 身份验证服务端口需要入站连接。用户身份验证服务和目录同步服务端口则不需要。

    默认端口:

    • 用户身份验证服务:8090
    • 目录同步服务:8080
    • Kerberos 身份验证服务:443
    上载连接器服务器的可信 SSL 证书 在“安装 SSL 证书”页面上,选中是否要使用您自己的 SSL 证书? 复选框,单击浏览,然后选择证书。

    证书文件必须采用 PEM 或 PFX 格式。如果文件采用 PEM 格式,还要上载密钥文件。如果文件采用 PFX 格式,还要输入证书密码。

    有关证书要求的更多信息,请参见为 Workspace ONE Access Connector 上载 SSL 证书(仅限 Kerberos 身份验证服务)

    重要事项: Kerberos 身份验证服务需要可信 SSL 证书。如果未上载可信 SSL 证书,则会自动生成自签名证书。要使用此 Workspace ONE Access 生成的自签名证书,就需要将 Workspace ONE Access 生成的根证书添加到客户端的信任存储区中。在安装后,您可以从 INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf 中获取根证书 root_ca.per

    虽然您可以使用自签名证书进行测试,但对于生产用途,我们建议您使用由公共或内部 CA 签名的可信 SSL 证书。

    上载或移除信任存储区中的可信根证书 在“安装可信根证书”页面上:
    • 要上载证书,请单击浏览并选择证书。
    • 要移除证书,请选择证书,然后单击移除
    • 要查看已安装的证书,请单击查看证书

    该连接器将能够与服务器建立安全连接,这些服务器的证书链包含要添加到信任存储区的任何证书。需要将证书上载到信任存储区的场景包括:

    • (仅限内部部署安装)如果内部部署 Workspace ONE Access 服务实例具有您安装的自签名证书,则必须上载其根证书和中间证书(如果需要)才能在企业服务与 Workspace ONE Access 服务实例之间建立信任关系。
    • (仅 Kerberos 身份验证服务)如果在负载平衡器后面部署 Kerberos 身份验证服务的多个实例,则必须在连接器实例上安装负载平衡器的根 CA 证书,才能在连接器和负载平衡器之间建立信任关系。
    指定代理服务器 在“指定代理服务器信息”页面上,根据需要输入代理服务器。企业服务需要访问 Internet 上的 Web 服务。如果您的网络配置通过 HTTP 代理提供 Internet 访问,则必须输入代理服务器。
    1. 选中启用代理复选框。
    2. 输入代理服务器的主机名或 IP 地址。
    3. 输入代理服务器端口。
    4. 如果代理服务器需要身份验证,请选择基本/Windows 并输入代理服务器的用户名和密码。
    指定外部 syslog 服务器以存储应用程序级别的事件消息 在“指定 Syslog 服务器信息”页面上,选中启用 Syslog 复选框,然后输入 syslog 服务器的 IP 地址或 FQDN 以及端口。
    注: 只能将应用程序级别的事件导出到 syslog 服务器。不会导出操作系统事件。
    更改用于运行 Kerberos 身份验证服务的域用户帐户 在“服务帐户”页面上,输入域用户帐户的用户名和密码,格式为 DOMAIN\username
    注: 需要一个域用户帐户才能运行 Kerberos 身份验证服务。
  8. 在“准备安装程序”页面中,检查您的选择,然后单击安装

后续步骤

安装将会更新。将通过 Workspace ONE Access 租户注册新服务。在 Workspace ONE Access 控制台中刷新身份和访问管理 > 设置 > 连接器页面,以查看服务的更新列表。