Workspace ONE Access-Design für VMware Cloud Foundation

Workspace ONE Access im VMware Cloud Foundation-Modus bietet Identitäts- und Zugriffsverwaltungsdienste für bestimmte Komponenten im SDDC, beispielsweise vRealize Suite.

Workspace ONE Access bietet die folgenden Funktionen:

Verzeichnisintegration zur Authentifizierung von Benutzern anhand eines Identitätsanbieters (IdP) wie z. B. Active Directory oder LDAP.
Mehrere Authentifizierungsmethoden.
Zugriffsrichtlinien, die aus Regeln bestehen, um Kriterien anzugeben, die Benutzer zur Authentifizierung erfüllen müssen.

Die Workspace ONE Access-Instanz, die mit vRealize Suite Lifecycle Manager vernetzt ist, bietet Identitäts- und Zugriffsverwaltungsdienste für vRealize Suite-Lösungen, die entweder in einer VMware Cloud Foundation-Instanz ausgeführt werden oder in mehreren VMware Cloud Foundation-Instanzen verfügbar sein müssen.

Informationen zum Identitätsverwaltungsdesign für ein vRealize Suite-Produkt finden Sie unter VMware Cloud Foundation Validated Solutions.

Für die Identitäts- und Zugriffsverwaltung für andere Komponenten als vRealize Suite, z. B. NSX, können Sie eine eigenständige Workspace ONE Access-Instanz bereitstellen. Weitere Informationen finden Sie unter Identitäts- und Zugriffsverwaltung für VMware Cloud Foundation.

Logisches Design für Workspace ONE Access

Um Identitäts- und Zugriffsverwaltungsdienste für unterstützte SDDC-Komponenten wie vRealize Suite-Komponenten bereitzustellen, wird bei diesem Design eine Workspace ONE Access-Instanz verwendet, die in einem NSX-Netzwerksegment bereitgestellt wird.

Die Workspace ONE Access-Bereitstellung besteht aus einem primären Knoten. Sie ist mit vRealize Suite Lifecycle Manager und Add-On-vRealize Suite-Komponenten verbunden. — Abbildung 1. Logisches Design für Standard- Workspace ONE Access

Tabelle 1. Logische Komponenten des Standard-Workspace ONE Access
VMware Cloud Foundation-Instanzen mit einer einzelnen Verfügbarkeitszone	VMware Cloud Foundation-Instanzen mit mehreren Verfügbarkeitszonen
Eine Workspace ONE Access-Instanz mit einem einzelnen Knoten, die in einem Overlay-gestützten (empfohlen) oder VLAN-gestützten NSX-Segment bereitgestellt wird. SDDC-Lösungen, die zwischen VMware Cloud Foundation-Instanzen portierbar sind, werden mit der Workspace ONE Access-Instanz in der ersten VMware Cloud Foundation-Instanz vernetzt.	Eine Workspace ONE Access-Instanz mit einem einzelnen Knoten, die in einem Overlay-gestützten (empfohlen) oder VLAN-gestützten NSX-Segment bereitgestellt wird. SDDC-Lösungen, die zwischen VMware Cloud Foundation-Instanzen portierbar sind, werden mit der Workspace ONE Access-Instanz in der ersten VMware Cloud Foundation-Instanz vernetzt. Eine vSphere DRS-Regel des Typs „Sollte auf den Hosts in der Gruppe ausgeführt werden“ stellt sicher, dass der Workspace ONE Access-Knoten unter normalen Betriebsbedingungen auf einem ESXi-Verwaltungshost in der ersten Verfügbarkeitszone ausgeführt wird.

Der Workspace ONE Access-Cluster besteht aus einem primären und zwei sekundären Knoten und wird mithilfe eines NSX Load Balancers ausgeglichen. Sie ist mit vRealize Suite Lifecycle Manager und Add-On-vRealize Suite-Komponenten verbunden. — Abbildung 2. Logisches Design für geclustertes Workspace ONE Access

Tabelle 2. Logische Komponenten von geclustertem Workspace ONE Access
VMware Cloud Foundation-Instanzen mit einer einzelnen Verfügbarkeitszone	VMware Cloud Foundation-Instanzen mit mehreren Verfügbarkeitszonen
Die Bereitstellung eines Workspace ONE Access-Clusters mit drei Knoten hinter einem NSX Load Balancer, der über ein Overlay-gestütztes (empfohlen) oder VLAN-gestütztes NSX-Segment bereitgestellt wird, erfolgt in der ersten VMware Cloud Foundation-Instanz. Alle Workspace ONE Access-Dienste und -Datenbanken werden mithilfe einer nativen Clusterkonfiguration für die Hochverfügbarkeit konfiguriert. SDDC-Lösungen, die zwischen VMware Cloud Foundation-Instanzen portierbar sind, sind mit diesem Workspace ONE Access-Cluster vernetzt. Jeder Knoten des Clusters mit drei Knoten ist als Konnektor für alle relevanten Identitätsanbieter konfiguriert. vSphere HA schützt die Workspace ONE Access-Knoten. Die vSphere DRS-Anti-Affinitätsregeln stellen sicher, dass die Workspace ONE Access-Knoten auf verschiedenen ESXi-Hosts ausgeführt werden. Eine zusätzliche Workspace ONE Access-Instanz mit einem Knoten wird in einem Overlay-gestützten (empfohlen) oder VLAN-gestützten NSX-Segment in allen anderen VMware Cloud Foundation-Instanzen bereitgestellt.	Ein Workspace ONE Access-Cluster mit drei Knoten hinter einem NSX Load Balancer, der in einem Overlay-gestützten (empfohlen) oder VLAN-gestützten NSX-Segment bereitgestellt wird. Alle Workspace ONE Access-Dienste und -Datenbanken werden mithilfe einer nativen Clusterkonfiguration für die Hochverfügbarkeit konfiguriert. SDDC-Lösungen, die zwischen VMware Cloud Foundation-Instanzen portierbar sind, sind mit diesem Workspace ONE Access-Cluster vernetzt. Jeder Knoten des Clusters mit drei Knoten ist als Konnektor für alle relevanten Identitätsanbieter konfiguriert. vSphere HA schützt die Workspace ONE Access-Knoten. Eine vSphere DRS-Anti-Affinitätsregel stellt sicher, dass die Workspace ONE Access-Knoten auf verschiedenen ESXi-Hosts ausgeführt werden. Eine vSphere DRS-Regel des Typs „Sollte auf den Hosts in der Gruppe ausgeführt werden“ stellt sicher, dass die Workspace ONE Access-Knoten unter normalen Betriebsbedingungen auf den ESXi-Verwaltungshosts in der ersten Verfügbarkeitszone ausgeführt werden. Eine zusätzliche Workspace ONE Access-Instanz mit einem Knoten wird in einem Overlay-gestützten (empfohlen) oder VLAN-gestützten NSX-Segment in allen anderen VMware Cloud Foundation-Instanzen bereitgestellt.

Überlegungen zur Dimensionierung für Workspace ONE Access für VMware Cloud Foundation

Bei der Bereitstellung von Workspace ONE Access legen Sie fest, dass die Appliance mit einer Größe bereitgestellt wird, die für die Skalierung Ihrer Umgebung geeignet ist. Die ausgewählte Option bestimmt die Anzahl der CPUs und die Menge des Arbeitsspeichers der Appliance.

Detaillierte Informationen zur Dimensionierung basierend auf dem Gesamtprofil der VMware Cloud Foundation-Instanz, die Sie bereitstellen möchten, finden Sie im Arbeitsmappe „Planung und Vorbereitung“ in VMware Cloud Foundation.

Tabelle 3. Überlegungen zur Dimensionierung für Workspace ONE Access
Größe der Workspace ONE Access-Appliance	Unterstützte Grenzwerte
Sehr klein	3.000 Benutzer 30 Gruppen
Klein	5.000 Benutzer 50 Gruppen
Mittel	10.000 Benutzer 100 Gruppen Mindestanforderung für vRealize Automation
Groß	25.000 Benutzer 250 Gruppen
Besonders groß	50.000 Benutzer 500 Gruppen
Besonders groß	100.000 Benutzer 1.000 Gruppen

Netzwerkdesign für Workspace ONE Access

Für den sicheren Zugriff auf die Benutzeroberfläche und die API von Workspace ONE Access stellen Sie die Knoten in einem Overlay- oder VLAN-gestützten NSX-Netzwerksegment bereit.

Netzwerksegment

Dieses Netzwerkdesign verfügt über die folgenden Funktionen:

Alle Workspace ONE Access-Komponenten verfügen über gerouteten Zugriff auf das Verwaltungs-VLAN über das Tier-0-Gateway in der NSX-Instanz für die Verwaltungsdomäne.
Das Routing zum Verwaltungsnetzwerk und zu anderen externen Netzwerken erfolgt dynamisch und basiert auf dem Border Gateway Protocol (BGP).

Der Workspace ONE Access.Knoten ist mit dem instanzübergreifenden NSX-Netzwerksegment verbunden, das mit dem Verwaltungsnetzwerk über die NSX Tier-0- und Tier-1-Gateways verbunden ist. — Abbildung 3. Netzwerkdesign für Standard- Workspace ONE Access

Der Workspace ONE Access-Clusterknoten ist mit dem instanzübergreifenden NSX-Netzwerksegment verbunden, das mit dem Verwaltungsnetzwerk über die NSX Tier-0- und Tier-1-Gateways verbunden ist. — Abbildung 4. Netzwerkdesign für geclustertes Workspace ONE Access

Load Balancing

Eine Workspace ONE Access-Clusterbereitstellung benötigt einen Load Balancer, um Verbindungen mit den Workspace ONE Access-Diensten zu verwalten.

Load Balancer werden von NSX bereitgestellt. Während der Bereitstellung des Workspace ONE Access-Clusters oder der horizontalen Skalierung einer Standardbereitstellung koordinieren vRealize Suite Lifecycle Manager und SDDC Manager die Automatisierung der Konfiguration des NSX Load Balancers. Der Load Balancer wird mit den folgenden Einstellungen konfiguriert:

Tabelle 4. Geclusterte Workspace ONE Access-Lastausgleichskonfiguration
Element des Lastausgleichsdiensts	Einstellungen
Dienstüberwachung	Verwenden Sie die Standardintervalle und ‑zeitüberschreitungen: Überwachungsintervall: 3 Sekunden Leerlauf-Zeitüberschreitung: 10 Sekunden Rise/Fall: 3 Sekunden HTTP-Anforderung: HTTP-Methode: Abrufen HTTP-Anforderungsversion: 1.1 Anforderungs-URL: /SAAS/API/1.0/REST/system/health/heartbeat. HTTP-Antwort: HTTP-Antwortcode: 200 HTTP-Antworttext: OK SSL-Konfiguration: Server-SSL: Aktiviert Clientzertifikat: Instanzübergreifendes Workspace ONE Access-Clusterzertifikat SSL-Profil: standardmäßig ausgeglichenes SSL-Serverprofil.
Serverpool	LEAST_CONNECTION-Algorithmus. Legen Sie den SNAT-Übersetzungsmodus für den Pool auf „Automatische Zuordnung“ fest. Statische Elemente: Name: Hostname IP: IP-Adresse Port: 443 Gewichtung: 1 Status: Aktiviert Legen Sie den obigen Dienstmonitor fest.
HTTP-Anwendungsprofil	Zeitüberschreitung 3.600 Sekunden (60 Minuten). X-Forwarded-For Einfügen
Cookie-Persistenzprofil	Name des Cookies JSESSIONID. Cookiemodus Umschreiben
Virtueller Server	HTTP-Typ L7 Port 443 IP Workspace ONE Access-Cluster-IP Persistenz Obiges Cookie-Persistenzprofil. Anwendungsprofil Obiges HTTP-Anwendungsprofil. Serverpool Obiger Serverpool

Integrationsdesign für Workspace ONE Access mit VMware Cloud Foundation

Sie vernetzen unterstützte SDDC-Komponenten mit dem Workspace ONE Access-Cluster, um die Authentifizierung über die Identitäts- und Zugriffsverwaltungsdienste zu ermöglichen.

Nach der Integration können Konfigurationen für die Informationssicherheit und die Zugriffssteuerung für die integrierten SDDC-Produkte konfiguriert werden.

Tabelle 5. Workspace ONE Access-SDDC-Integration
SDDC-Komponente	Integration	Erwägungen
vCenter Server	Nicht unterstützt	Für Verzeichnisdienste müssen Sie vCenter Server direkt mit Active Directory verbinden. Weitere Informationen finden Sie unter Identitäts- und Zugriffsverwaltung für VMware Cloud Foundation.
SDDC Manager	Nicht unterstützt	SDDC Manager verwendet vCenter Single Sign-On. Für die Nutzung von Verzeichnisdiensten müssen Sie vCenter Server direkt mit Active Directory verbinden.
NSX	Unterstützt	Sie beabsichtigen, eine horizontale Skalierung auf eine Umgebung mit mehreren VMware Cloud Foundation-Instanzen durchzuführen. Beispielsweise für die Notfallwiederherstellung müssen Sie eine zusätzliche Standardinstanz von Workspace ONE Access in jeder VMware Cloud Foundation-Instanz bereitstellen. Für die Workspace ONE Access-Instanz, die von Komponenten genutzt wird, die über VMware Cloud Foundation-Instanzen geschützt sind, erfolgt möglicherweise ein Failover zwischen physischen Standorten. Dies wirkt sich auf die Authentifizierung bei NSX in der ersten VMware Cloud Foundation-Instanz aus. Weitere Informationen finden Sie unter Identitäts- und Zugriffsverwaltung für VMware Cloud Foundation.
vRealize Suite Lifecycle Manager	Unterstützt	Keine.

Weitere Informationen zum Design für bestimmte vRealize Suite-Komponenten, einschließlich Identitätsverwaltung, finden Sie unter VMware Cloud Foundation Validated Solutions.

Bereitstellungsmodell für Workspace ONE Access

Workspace ONE Access wird als virtuelle Appliance im OVA-Format verteilt, die Sie über vRealize Suite Lifecycle Manager zusammen mit anderen vRealize Suite-Produkten bereitstellen und verwalten können. Die Workspace ONE Access-Appliance umfasst Identitäts- und Zugriffsverwaltungsdienste.

Bereitstellungstyp

Sie berücksichtigen den Bereitstellungstyp (Standard oder Cluster) gemäß den Designzielen im Hinblick auf die Verfügbarkeit und Anzahl der Benutzer, die das System und integrierte SDDC-Lösungen unterstützen müssen. Sie stellen Workspace ONE Access im standardmäßigen vSphere-Verwaltungscluster bereit.

Tabelle 6. Topologieattribute von Workspace ONE Access
Bereitstellungstyp	Beschreibung	Vorteil	Nachteile
Standard (empfohlen)	Einzelknoten NSX Load Balancer wird automatisch bereitgestellt.	Kann horizontal auf einen Cluster mit 3 Knoten hinter einem NSX Load Balancer skaliert werden. Kann vSphere HA für die Wiederherstellung nach einem Fehler verwenden. Nutzt weniger Ressourcen.	Bietet keine Hochverfügbarkeit für Identitätsanbieter-Konnektoren.
Cluster	Bereitstellung eines Clusters mit drei Knoten mithilfe einer internen PostgreSQL-Datenbank. NSX Load Balancer wird automatisch bereitgestellt.	Bietet Hochverfügbarkeit für Identitätsanbieter-Konnektoren.	Nach einem Fehler ist möglicherweise ein manueller Eingriff erforderlich. Nutzt zusätzliche Ressourcen.

Anforderungen und Empfehlungen für das Workspace ONE Access-Design für VMware Cloud Foundation

Berücksichtigen Sie die Platzierungs-, Netzwerk-, Dimensionierungs- und Hochverfügbarkeitsanforderungen für die Verwendung von Workspace ONE Access für die Identitäts- und Zugriffsverwaltung von SDDC-Lösungen in einem Standard- oder ausgeweiteten Verwaltungscluster in VMware Cloud Foundation. Wenden Sie ähnliche Best Practices an, damit Workspace ONE Access auf optimale Weise ausgeführt wird.

Anforderungen an das Workspace ONE Access-Design

Sie müssen die folgenden Designanforderungen in Ihrem Workspace ONE Access-Design unter Berücksichtigung von Standard- oder Stretched Clustern für VMware Cloud Foundation erfüllen. Für den NSX-Verbund gelten zusätzliche Anforderungen.

Tabelle 7. Workspace ONE Access-Designanforderungen für VMware Cloud Foundation
Anforderungs-ID	Designanforderung	Begründung	Auswirkung
VCF-WSA-REQD-ENV-001	Erstellen Sie eine globale Umgebung in vRealize Suite Lifecycle Manager zur Unterstützung der Bereitstellung von Workspace ONE Access.	Eine globale Umgebung wird von vRealize Suite Lifecycle Manager zur Bereitstellung von Workspace ONE Access benötigt.	Keine.
VCF-WSA-REQD-SEC-001	Importieren Sie von einer Zertifizierungsstelle signierte Zertifikate für Workspace ONE Access-Produktlebenszyklusvorgänge in das Locker-Repository.	Sie können auf von einer Zertifizierungsstelle signierte Zertifikate bei Produktlebenszyklusvorgängen wie Bereitstellung und Zertifikatsersetzung verweisen und diese verwenden.	Wenn Sie die API verwenden, müssen Sie die Locker-ID für das Zertifikat angeben, die in der JSON-Nutzlast verwendet werden soll.
VCF-WSA-REQD-CFG-001	Stellen Sie mit vRealize Suite Lifecycle Manager im VMware Cloud Foundation-Modus eine Workspace ONE Access-Instanz mit geeigneter Größe gemäß dem von Ihnen ausgewählten Bereitstellungsmodell bereit.	Die Workspace ONE Access-Instanz wird von vRealize Suite Lifecycle Manager verwaltet und in die SDDC Manager-Bestandsliste importiert.	Keine.
VCF-WSA-REQD-CFG-002	Platzieren Sie die Workspace ONE Access-Appliances auf einem Overlay- oder VLAN-gestützten NSX-Netzwerksegment.	Bietet ein konsistentes Bereitstellungsmodell für Verwaltungsanwendungen in einer Umgebung mit einer oder mehreren VMware Cloud Foundation-Instanzen.	Zur Unterstützung dieser Netzwerkkonfiguration müssen Sie eine Implementierung in NSX verwenden.
VCF-WSA-REQD-CFG-003	Verwenden Sie die eingebettete PostgreSQL-Datenbank mit Workspace ONE Access.	Externe Datenbankdienste sind nicht mehr erforderlich.	Keine.
VCF-WSA-REQD-CFG-004	Fügen Sie eine VM-Gruppe für Workspace ONE Access hinzu und legen Sie VM-Regeln fest, um die Workspace ONE Access-VM-Gruppe vor allen VMs neu zu starten, die bezüglich der Authentifizierung von ihr abhängig sind.	Sie können die Startreihenfolge der virtuellen Maschinen in Bezug auf die Dienstabhängigkeit definieren. Die Startreihenfolge stellt sicher, dass vSphere HA die virtuellen Workspace ONE Access-Maschinen in einer Reihenfolge einschaltet, bei der die Produktabhängigkeiten berücksichtigt werden.	Keine.
VCF-WSA-REQD-CFG-005	Verbinden Sie die Workspace ONE Access-Instanz mit einem unterstützten Upstream-Identitätsanbieter.	Sie können Ihr Unternehmensverzeichnis mit Workspace ONE Access vernetzen, um Benutzer und Gruppen mit den Identitäts- und Zugriffsverwaltungsdiensten von Workspace ONE Access zu synchronisieren.	Keine.
VCF-WSA-REQD-CFG-006	Bei Verwendung von geclustertem Workspace ONE Access konfigurieren Sie einen zweiten und einen dritten nativen Konnektor, der dem zweiten und dritten Workspace ONE Access-Clusterknoten entspricht, um die Hochverfügbarkeit des Verzeichnisdienstzugriffs zu unterstützen.	Durch Hinzufügen zusätzlicher nativer Konnektoren lässt sich Redundanz schaffen und die Leistung durch Lastausgleich von Authentifizierungsanforderungen verbessern.	Jeder der Workspace ONE Access-Clusterknoten muss der Active Directory-Domäne beitreten, um Active Directory mit integrierter Windows-Authentifizierung mit dem nativen Konnektor verwenden zu können.
VCF-WSA-REQD-CFG-007	Bei Verwendung von geclustertem Workspace ONE Access verwenden Sie den NSX Load Balancer, der von SDDC Manager auf einem dedizierten Tier-1-Gateway konfiguriert wird.	Während der Bereitstellung von Workspace ONE Access mithilfe von vRealize Suite Lifecycle Manager automatisiert SDDC Manager die Konfiguration eines NSX Load Balancers für Workspace ONE Access, um die horizontale Skalierung zu erleichtern.	Sie müssen den von SDDC Manager konfigurierten Lastausgleichsdienst und die Integration mit vRealize Suite Lifecycle Manager verwenden.

Tabelle 8. Anforderungen für das Workspace ONE Access-Design für Stretched Cluster in VMware Cloud Foundation
Anforderungs-ID	Designanforderung	Begründung	Auswirkung
VCF-WSA-REQD-CFG-008	Fügen Sie die Workspace ONE Access-Appliances der VM-Gruppe für die erste Verfügbarkeitszone hinzu.	Stellen Sie sicher, dass die Workspace ONE Access-Clusterknoten standardmäßig auf einem Host in der ersten Verfügbarkeitszone eingeschaltet sind.	Wenn die Workspace ONE Access-Instanz nach der Erstellung des ausgeweiteten Verwaltungsclusters bereitgestellt wird, müssen Sie die Appliances manuell zur VM-Gruppe hinzufügen. Bei geclustertem Workspace ONE Access ist möglicherweise nach einem Ausfall der aktiven Verfügbarkeitszone ein manueller Eingriff erforderlich.

Tabelle 9. Anforderungen für das Workspace ONE Access-Design für NSX-Verbund in VMware Cloud Foundation
Anforderungs-ID	Designanforderung	Begründung	Auswirkung
VCF-WSA-REQD-CFG-009	Konfigurieren Sie die DNS-Einstellungen für Workspace ONE Access, um DNS-Server in jeder VMware Cloud Foundation-Instanz zu verwenden.	Verbessert die Stabilität bei einem Ausfall externer Dienste für eine VMware Cloud Foundation-Instanz.	Keine.
VCF-WSA-REQD-CFG-010	Konfigurieren Sie die NTP-Einstellungen für Workspace ONE Access-Clusterknoten, um NTP-Server in jeder VMware Cloud Foundation-Instanz zu verwenden.	Verbessert die Stabilität bei einem Ausfall externer Dienste für eine VMware Cloud Foundation-Instanz.	Bei der Skalierung von einer Bereitstellung mit einer einzelnen VMware Cloud Foundation-Instanz auf eine mit mehreren VMware Cloud Foundation-Instanzen müssen die NTP-Einstellungen in Workspace ONE Access aktualisiert werden.

Empfehlungen für das Workspace ONE Access-Design

In Ihrem Workspace ONE Access-Design für VMware Cloud Foundation können Sie bestimmte Best Practices anwenden.

Tabelle 10. Workspace ONE Access-Designempfehlungen für VMware Cloud Foundation
Empfehlungs-ID	Designempfehlung	Begründung	Auswirkung
VCF-WSA-RCMD-CFG-001	Schützen Sie alle Workspace ONE Access-Knoten mit vSphere HA.	Unterstützt Hochverfügbarkeit für Workspace ONE Access.	Keine für Standardbereitstellungen. Geclusterte Workspace ONE Access-Bereitstellungen erfordern möglicherweise einen Eingriff, wenn ein ESXi-Host ausfällt.
VCF-WSA-RCMD-CFG-002	Wenn Sie Active Directory als Identitätsanbieter verwenden, verwenden Sie Active Directory über LDAP als Verbindungsoption für den Verzeichnisdienst.	Der native (eingebettete) Workspace ONE Access-Konnektor wird mithilfe einer standardmäßigen Bind-Authentifizierung an Active Directory über LDAP gebunden.	In einer Gesamtstruktur mit mehreren Domänen, in der die Workspace ONE Access-Instanz eine Verbindung zu einer untergeordneten Domäne herstellt, müssen Active Directory-Sicherheitsgruppen einen globalen Geltungsbereich haben. Daher müssen sich Mitglieder, die der globalen Active Directory-Sicherheitsgruppe hinzugefügt wurden, in derselben Active Directory-Domäne befinden. Wenn eine Authentifizierung bei mehreren Active Directory-Domänen erforderlich ist, sind zusätzliche Workspace ONE Access-Verzeichnisse erforderlich.
VCF-WSA-RCMD-CFG-003	Wenn Sie Active Directory als Identitätsanbieter verwenden, verwenden Sie ein Active Directory-Benutzerkonto mit mindestens schreibgeschütztem Zugriff auf Basis-DNs für Benutzer und Gruppen als Dienstkonto für die Active Directory-Bindung.	Bietet die folgenden Zugriffssteuerungsfunktionen: Workspace ONE Access stellt eine Verbindung zum Active Directory mit den erforderlichen Mindestberechtigungen zum Binden und Abfragen des Verzeichnisses bereit. Sie können eine verbesserte Verantwortlichkeit bei der Verfolgung von Anforderungs-Antwort-Interaktionen zwischen Workspace ONE Access und Active Directory ermöglichen.	Sie müssen den Kennwortlebenszyklus dieses Kontos verwalten. Wenn die Authentifizierung bei mehreren Active Directory-Domänen erforderlich ist, werden zusätzliche Konten benötigt, damit der Workspace ONE Access-Konnektor an jede Active Directory-Domäne über LDAP gebunden werden kann.
VCF-WSA-RCMD-CFG-004	Konfigurieren Sie die Verzeichnissynchronisierung, um nur Gruppen zu synchronisieren, die für die integrierten SDDC-Lösungen erforderlich sind.	Beschränkt die Anzahl der replizierten Gruppen, die für jedes Produkt erforderlich sind. Reduziert das Replizierungsintervall für Gruppeninformationen.	Sie müssen die Gruppen aus Ihrem Unternehmensverzeichnis verwalten, die für die Synchronisierung mit Workspace ONE Access ausgewählt wurden.
VCF-WSA-RCMD-CFG-005	Aktivieren Sie die Synchronisierung der Mitglieder der Unternehmensverzeichnisgruppe, wenn eine Gruppe zum Workspace ONE Access-Verzeichnis hinzugefügt wird.	Wenn diese Option aktiviert ist, werden die Mitglieder der Unternehmensverzeichnisgruppen mit dem Workspace ONE Access-Verzeichnis synchronisiert, wenn Gruppen hinzugefügt werden. Wenn diese Option deaktiviert ist, werden Gruppennamen mit dem Verzeichnis synchronisiert. Die Mitglieder der Gruppe werden jedoch erst synchronisiert, wenn die Gruppe für eine Anwendung berechtigt ist oder der Gruppenname einer Zugriffsrichtlinie hinzugefügt wird.	Keine.
VCF-WSA-RCMD-CFG-006	Aktivieren Sie Workspace ONE Access, um verschachtelte Gruppenmitglieder standardmäßig zu synchronisieren.	Ermöglicht Workspace ONE Access, die Mitgliedschaft von Gruppen zu aktualisieren und zwischenzuspeichern, ohne Ihr Unternehmensverzeichnis abzufragen.	Änderungen an der Gruppenmitgliedschaft werden erst beim nächsten Synchronisierungsereignis widerspiegelt.
VCF-WSA-RCMD-CFG-007	Fügen Sie den Verzeichniseinstellungen von Workspace ONE Access einen Filter hinzu, um Benutzer von der Verzeichnisreplizierung auszuschließen.	Beschränkt die Anzahl der replizierten Benutzer für Workspace ONE Access innerhalb der maximalen Skala.	Um sicherzustellen, dass die replizierten Benutzerkonten innerhalb der Maximalwerte verwaltet werden, müssen Sie ein Filterschema definieren, das für Ihre Organisation basierend auf Ihren Verzeichnisattributen funktioniert.
VCF-WSA-RCMD-CFG-008	Konfigurieren Sie die zugeordneten Attribute, die enthalten sind, wenn ein Benutzer dem Workspace ONE Access-Verzeichnis hinzugefügt wird.	Sie können die mindestens erforderlichen und die erweiterten Benutzerattribute konfigurieren, um Verzeichnisbenutzerkonten für Workspace ONE Access zu synchronisieren, die als Authentifizierungsquelle für instanzübergreifende vRealize Suite-Lösungen verwendet werden sollen.	Für Benutzerkonten im Unternehmensverzeichnis Ihrer Organisation müssen die folgenden erforderlichen Attribute zugeordnet sein: `firstname`, z. B. `givenname` für Active Directory `lastName`, z. B. `sn` für Active Directory `email`, z. B. `mail` für Active Directory `userName`, z. B.`sAMAccountName` für Active Directory Wenn Sie sich mit einem alternativen eindeutigen Bezeichner anmelden müssen, z. B. mit `userPrincipalName`, müssen Sie das Attribut zuordnen und die Einstellungen für die Identitäts- und Zugriffsverwaltung aktualisieren.
VCF-WSA-RCMD-CFG-009	Konfigurieren Sie die Häufigkeit der Workspace ONE Access-Verzeichnissynchronisierung als wiederkehrender Zeitplan, z. B. alle 15 Minuten.	Stellen Sie sicher, dass alle Änderungen an Gruppenmitgliedschaften im Unternehmensverzeichnis rechtzeitig für integrierte Lösungen verfügbar sind.	Planen Sie das Synchronisierungsintervall so ein, dass es länger ist als die Zeit für die Synchronisierung mit dem Unternehmensverzeichnis. Wenn Benutzer und Gruppen mit Workspace ONE Access synchronisiert werden und die nächste Synchronisierung bereits geplant ist, beginnt die neue Synchronisierung unmittelbar nach Abschluss der vorherigen Wiederholung. Bei diesem Zeitplan wird der Vorgang kontinuierlich ausgeführt.
VCF-WSA-RCMD-SEC-001	Erstellen Sie entsprechende Sicherheitsgruppen in Ihren Unternehmensverzeichnisdiensten für diese Workspace ONE Access-Rollen: Super-Admin Verzeichnisadministratoren ReadOnly-Admin	Optimiert die Verwaltung von Workspace ONE Access-Rollen für Benutzer.	Sie müssen das entsprechende Verzeichnissynchronisierungsintervall in Workspace ONE Access festlegen, um sicherzustellen, dass die Änderungen innerhalb eines angemessenen Zeitraums verfügbar sind. Sie müssen die Sicherheitsgruppe außerhalb des SDDC-Stacks erstellen.
VCF-WSA-RCMD-SEC-002	Konfigurieren Sie eine Kennwortrichtlinie für lokale Workspace ONE Access-Verzeichnisbenutzer, admin und configadmin.	Sie können eine Richtlinie für lokale Workspace ONE Access-Verzeichnisbenutzer festlegen, die Ihre Unternehmensrichtlinien und regulatorischen Standards berücksichtigt. Die Kennwortrichtlinie gilt nur für die Benutzer des lokalen Verzeichnisses und hat keine Auswirkungen auf Ihr Organisationsverzeichnis.	Sie müssen die Richtlinie in Übereinstimmung mit den ggf. vorhandenen Richtlinien Ihrer Organisation und den regulatorischen Standards festlegen. Sie müssen die Kennwortrichtlinie auf die Workspace ONE Access-Clusterknoten anwenden.