Verwenden Sie diese Liste der Anforderungen und Empfehlungen als Referenz im Zusammenhang mit Workspace ONE Access in einer Umgebung mit einer oder mehreren VMware Cloud Foundation-Instanzen. Bei den Designelementen wird auch berücksichtigt, ob die Verwaltungsdomäne eine einzelne oder mehrere Verfügbarkeitszonen hat.

Alle Details zum Design finden Sie unter Workspace ONE Access-Design für VMware Cloud Foundation.

Tabelle 1. Workspace ONE Access-Designanforderungen für VMware Cloud Foundation

Anforderungs-ID

Designanforderung

Begründung

Auswirkung

VCF-WSA-REQD-ENV-001

Erstellen Sie eine globale Umgebung in vRealize Suite Lifecycle Manager zur Unterstützung der Bereitstellung von Workspace ONE Access.

Eine globale Umgebung wird von vRealize Suite Lifecycle Manager zur Bereitstellung von Workspace ONE Access benötigt.

Keine.

VCF-WSA-REQD-SEC-001

Importieren Sie von einer Zertifizierungsstelle signierte Zertifikate für Workspace ONE Access-Produktlebenszyklusvorgänge in das Locker-Repository.

  • Sie können auf von einer Zertifizierungsstelle signierte Zertifikate bei Produktlebenszyklusvorgängen wie Bereitstellung und Zertifikatsersetzung verweisen und diese verwenden.

Wenn Sie die API verwenden, müssen Sie die Locker-ID für das Zertifikat angeben, die in der JSON-Nutzlast verwendet werden soll.

VCF-WSA-REQD-CFG-001
Stellen Sie mit vRealize Suite Lifecycle Manager im VMware Cloud Foundation-Modus eine Workspace ONE Access-Instanz mit geeigneter Größe gemäß dem von Ihnen ausgewählten Bereitstellungsmodell bereit.

Die Workspace ONE Access-Instanz wird von vRealize Suite Lifecycle Manager verwaltet und in die SDDC Manager-Bestandsliste importiert.

Keine.

VCF-WSA-REQD-CFG-002

Platzieren Sie die Workspace ONE Access-Appliances auf einem Overlay- oder VLAN-gestützten NSX-Netzwerksegment.

Bietet ein konsistentes Bereitstellungsmodell für Verwaltungsanwendungen in einer Umgebung mit einer oder mehreren VMware Cloud Foundation-Instanzen.

Zur Unterstützung dieser Netzwerkkonfiguration müssen Sie eine Implementierung in NSX verwenden.

VCF-WSA-REQD-CFG-003

Verwenden Sie die eingebettete PostgreSQL-Datenbank mit Workspace ONE Access.

Externe Datenbankdienste sind nicht mehr erforderlich.

Keine.

VCF-WSA-REQD-CFG-004

Fügen Sie eine VM-Gruppe für Workspace ONE Access hinzu und legen Sie VM-Regeln fest, um die Workspace ONE Access-VM-Gruppe vor allen VMs neu zu starten, die bezüglich der Authentifizierung von ihr abhängig sind.

Sie können die Startreihenfolge der virtuellen Maschinen in Bezug auf die Dienstabhängigkeit definieren. Die Startreihenfolge stellt sicher, dass vSphere HA die virtuellen Workspace ONE Access-Maschinen in einer Reihenfolge einschaltet, bei der die Produktabhängigkeiten berücksichtigt werden.

Keine.

VCF-WSA-REQD-CFG-005

Verbinden Sie die Workspace ONE Access-Instanz mit einem unterstützten Upstream-Identitätsanbieter.

Sie können Ihr Unternehmensverzeichnis mit Workspace ONE Access vernetzen, um Benutzer und Gruppen mit den Identitäts- und Zugriffsverwaltungsdiensten von Workspace ONE Access zu synchronisieren.

Keine.

VCF-WSA-REQD-CFG-006

Bei Verwendung von geclustertem Workspace ONE Access konfigurieren Sie einen zweiten und einen dritten nativen Konnektor, der dem zweiten und dritten Workspace ONE Access-Clusterknoten entspricht, um die Hochverfügbarkeit des Verzeichnisdienstzugriffs zu unterstützen.

Durch Hinzufügen zusätzlicher nativer Konnektoren lässt sich Redundanz schaffen und die Leistung durch Lastausgleich von Authentifizierungsanforderungen verbessern.

Jeder der Workspace ONE Access-Clusterknoten muss der Active Directory-Domäne beitreten, um Active Directory mit integrierter Windows-Authentifizierung mit dem nativen Konnektor verwenden zu können.

VCF-WSA-REQD-CFG-007

Bei Verwendung von geclustertem Workspace ONE Access verwenden Sie den NSX Load Balancer, der von SDDC Manager auf einem dedizierten Tier-1-Gateway konfiguriert wird.

  • Während der Bereitstellung von Workspace ONE Access mithilfe von vRealize Suite Lifecycle Manager automatisiert SDDC Manager die Konfiguration eines NSX Load Balancers für Workspace ONE Access, um die horizontale Skalierung zu erleichtern.

Sie müssen den von SDDC Manager konfigurierten Lastausgleichsdienst und die Integration mit vRealize Suite Lifecycle Manager verwenden.
Tabelle 2. Anforderungen für das Workspace ONE Access-Design für Stretched Cluster in VMware Cloud Foundation

Anforderungs-ID

Designanforderung

Begründung

Auswirkung

VCF-WSA-REQD-CFG-008

Fügen Sie die Workspace ONE Access-Appliances der VM-Gruppe für die erste Verfügbarkeitszone hinzu.

Stellen Sie sicher, dass die Workspace ONE Access-Clusterknoten standardmäßig auf einem Host in der ersten Verfügbarkeitszone eingeschaltet sind.

  • Wenn die Workspace ONE Access-Instanz nach der Erstellung des ausgeweiteten Verwaltungsclusters bereitgestellt wird, müssen Sie die Appliances manuell zur VM-Gruppe hinzufügen.

  • Bei geclustertem Workspace ONE Access ist möglicherweise nach einem Ausfall der aktiven Verfügbarkeitszone ein manueller Eingriff erforderlich.
Tabelle 3. Anforderungen für das Workspace ONE Access-Design für NSX-Verbund in VMware Cloud Foundation

Anforderungs-ID

Designanforderung

Begründung

Auswirkung

VCF-WSA-REQD-CFG-009

Konfigurieren Sie die DNS-Einstellungen für Workspace ONE Access, um DNS-Server in jeder VMware Cloud Foundation-Instanz zu verwenden.

Verbessert die Stabilität bei einem Ausfall externer Dienste für eine VMware Cloud Foundation-Instanz.

Keine.

VCF-WSA-REQD-CFG-010

Konfigurieren Sie die NTP-Einstellungen für Workspace ONE Access-Clusterknoten, um NTP-Server in jeder VMware Cloud Foundation-Instanz zu verwenden.

Verbessert die Stabilität bei einem Ausfall externer Dienste für eine VMware Cloud Foundation-Instanz.

Bei der Skalierung von einer Bereitstellung mit einer einzelnen VMware Cloud Foundation-Instanz auf eine mit mehreren VMware Cloud Foundation-Instanzen müssen die NTP-Einstellungen in Workspace ONE Access aktualisiert werden.
Tabelle 4. Workspace ONE Access-Designempfehlungen für VMware Cloud Foundation

Empfehlungs-ID

Designempfehlung

Begründung

Auswirkung

VCF-WSA-RCMD-CFG-001

Schützen Sie alle Workspace ONE Access-Knoten mit vSphere HA.

Unterstützt Hochverfügbarkeit für Workspace ONE Access.

Keine für Standardbereitstellungen.

Geclusterte Workspace ONE Access-Bereitstellungen erfordern möglicherweise einen Eingriff, wenn ein ESXi-Host ausfällt.

VCF-WSA-RCMD-CFG-002

Wenn Sie Active Directory als Identitätsanbieter verwenden, verwenden Sie Active Directory über LDAP als Verbindungsoption für den Verzeichnisdienst.

Der native (eingebettete) Workspace ONE Access-Konnektor wird mithilfe einer standardmäßigen Bind-Authentifizierung an Active Directory über LDAP gebunden.

  • In einer Gesamtstruktur mit mehreren Domänen, in der die Workspace ONE Access-Instanz eine Verbindung zu einer untergeordneten Domäne herstellt, müssen Active Directory-Sicherheitsgruppen einen globalen Geltungsbereich haben. Daher müssen sich Mitglieder, die der globalen Active Directory-Sicherheitsgruppe hinzugefügt wurden, in derselben Active Directory-Domäne befinden.

  • Wenn eine Authentifizierung bei mehreren Active Directory-Domänen erforderlich ist, sind zusätzliche Workspace ONE Access-Verzeichnisse erforderlich.

VCF-WSA-RCMD-CFG-003

Wenn Sie Active Directory als Identitätsanbieter verwenden, verwenden Sie ein Active Directory-Benutzerkonto mit mindestens schreibgeschütztem Zugriff auf Basis-DNs für Benutzer und Gruppen als Dienstkonto für die Active Directory-Bindung.

Bietet die folgenden Zugriffssteuerungsfunktionen:

  • Workspace ONE Access stellt eine Verbindung zum Active Directory mit den erforderlichen Mindestberechtigungen zum Binden und Abfragen des Verzeichnisses bereit.

  • Sie können eine verbesserte Verantwortlichkeit bei der Verfolgung von Anforderungs-Antwort-Interaktionen zwischen Workspace ONE Access und Active Directory ermöglichen.

  • Sie müssen den Kennwortlebenszyklus dieses Kontos verwalten.

  • Wenn die Authentifizierung bei mehreren Active Directory-Domänen erforderlich ist, werden zusätzliche Konten benötigt, damit der Workspace ONE Access-Konnektor an jede Active Directory-Domäne über LDAP gebunden werden kann.

VCF-WSA-RCMD-CFG-004

Konfigurieren Sie die Verzeichnissynchronisierung, um nur Gruppen zu synchronisieren, die für die integrierten SDDC-Lösungen erforderlich sind.

  • Beschränkt die Anzahl der replizierten Gruppen, die für jedes Produkt erforderlich sind.

  • Reduziert das Replizierungsintervall für Gruppeninformationen.

Sie müssen die Gruppen aus Ihrem Unternehmensverzeichnis verwalten, die für die Synchronisierung mit Workspace ONE Access ausgewählt wurden.

VCF-WSA-RCMD-CFG-005

Aktivieren Sie die Synchronisierung der Mitglieder der Unternehmensverzeichnisgruppe, wenn eine Gruppe zum Workspace ONE Access-Verzeichnis hinzugefügt wird.

Wenn diese Option aktiviert ist, werden die Mitglieder der Unternehmensverzeichnisgruppen mit dem Workspace ONE Access-Verzeichnis synchronisiert, wenn Gruppen hinzugefügt werden. Wenn diese Option deaktiviert ist, werden Gruppennamen mit dem Verzeichnis synchronisiert. Die Mitglieder der Gruppe werden jedoch erst synchronisiert, wenn die Gruppe für eine Anwendung berechtigt ist oder der Gruppenname einer Zugriffsrichtlinie hinzugefügt wird.

Keine.

VCF-WSA-RCMD-CFG-006

Aktivieren Sie Workspace ONE Access, um verschachtelte Gruppenmitglieder standardmäßig zu synchronisieren.

Ermöglicht Workspace ONE Access, die Mitgliedschaft von Gruppen zu aktualisieren und zwischenzuspeichern, ohne Ihr Unternehmensverzeichnis abzufragen.

Änderungen an der Gruppenmitgliedschaft werden erst beim nächsten Synchronisierungsereignis widerspiegelt.

VCF-WSA-RCMD-CFG-007

Fügen Sie den Verzeichniseinstellungen von Workspace ONE Access einen Filter hinzu, um Benutzer von der Verzeichnisreplizierung auszuschließen.

Beschränkt die Anzahl der replizierten Benutzer für Workspace ONE Access innerhalb der maximalen Skala.

Um sicherzustellen, dass die replizierten Benutzerkonten innerhalb der Maximalwerte verwaltet werden, müssen Sie ein Filterschema definieren, das für Ihre Organisation basierend auf Ihren Verzeichnisattributen funktioniert.

VCF-WSA-RCMD-CFG-008

Konfigurieren Sie die zugeordneten Attribute, die enthalten sind, wenn ein Benutzer dem Workspace ONE Access-Verzeichnis hinzugefügt wird.

Sie können die mindestens erforderlichen und die erweiterten Benutzerattribute konfigurieren, um Verzeichnisbenutzerkonten für Workspace ONE Access zu synchronisieren, die als Authentifizierungsquelle für instanzübergreifende vRealize Suite-Lösungen verwendet werden sollen.

Für Benutzerkonten im Unternehmensverzeichnis Ihrer Organisation müssen die folgenden erforderlichen Attribute zugeordnet sein:

  • firstname, z. B. givenname für Active Directory

  • lastName, z. B. sn für Active Directory

  • email, z. B. mail für Active Directory

  • userName, z. B.sAMAccountName für Active Directory

  • Wenn Sie sich mit einem alternativen eindeutigen Bezeichner anmelden müssen, z. B. mit userPrincipalName, müssen Sie das Attribut zuordnen und die Einstellungen für die Identitäts- und Zugriffsverwaltung aktualisieren.

VCF-WSA-RCMD-CFG-009

Konfigurieren Sie die Häufigkeit der Workspace ONE Access-Verzeichnissynchronisierung als wiederkehrender Zeitplan, z. B. alle 15 Minuten.

Stellen Sie sicher, dass alle Änderungen an Gruppenmitgliedschaften im Unternehmensverzeichnis rechtzeitig für integrierte Lösungen verfügbar sind.

Planen Sie das Synchronisierungsintervall so ein, dass es länger ist als die Zeit für die Synchronisierung mit dem Unternehmensverzeichnis. Wenn Benutzer und Gruppen mit Workspace ONE Access synchronisiert werden und die nächste Synchronisierung bereits geplant ist, beginnt die neue Synchronisierung unmittelbar nach Abschluss der vorherigen Wiederholung. Bei diesem Zeitplan wird der Vorgang kontinuierlich ausgeführt.

VCF-WSA-RCMD-SEC-001

Erstellen Sie entsprechende Sicherheitsgruppen in Ihren Unternehmensverzeichnisdiensten für diese Workspace ONE Access-Rollen:

  • Super-Admin

  • Verzeichnisadministratoren

  • ReadOnly-Admin

Optimiert die Verwaltung von Workspace ONE Access-Rollen für Benutzer.

  • Sie müssen das entsprechende Verzeichnissynchronisierungsintervall in Workspace ONE Access festlegen, um sicherzustellen, dass die Änderungen innerhalb eines angemessenen Zeitraums verfügbar sind.

  • Sie müssen die Sicherheitsgruppe außerhalb des SDDC-Stacks erstellen.

VCF-WSA-RCMD-SEC-002

Konfigurieren Sie eine Kennwortrichtlinie für lokale Workspace ONE Access-Verzeichnisbenutzer, admin und configadmin.

Sie können eine Richtlinie für lokale Workspace ONE Access-Verzeichnisbenutzer festlegen, die Ihre Unternehmensrichtlinien und regulatorischen Standards berücksichtigt.

Die Kennwortrichtlinie gilt nur für die Benutzer des lokalen Verzeichnisses und hat keine Auswirkungen auf Ihr Organisationsverzeichnis.

Sie müssen die Richtlinie in Übereinstimmung mit den ggf. vorhandenen Richtlinien Ihrer Organisation und den regulatorischen Standards festlegen.

Sie müssen die Kennwortrichtlinie auf die Workspace ONE Access-Clusterknoten anwenden.