Verwenden Sie diese Liste der Anforderungen und Empfehlungen als Referenz im Zusammenhang mit Workspace ONE Access in einer Umgebung mit einer oder mehreren VMware Cloud Foundation-Instanzen. Bei den Designelementen wird auch berücksichtigt, ob die Verwaltungsdomäne eine einzelne oder mehrere Verfügbarkeitszonen hat.
Alle Details zum Design finden Sie unter Workspace ONE Access-Design für VMware Cloud Foundation.
Anforderungs-ID |
Designanforderung |
Begründung |
Auswirkung |
|---|---|---|---|
VCF-WSA-REQD-ENV-001 |
Erstellen Sie eine globale Umgebung in VMware Aria Suite Lifecycle zur Unterstützung der Bereitstellung von Workspace ONE Access. |
Eine globale Umgebung wird von VMware Aria Suite Lifecycle zur Bereitstellung von Workspace ONE Access benötigt. |
Keine. |
VCF-WSA-REQD-SEC-001 |
Importieren Sie von einer Zertifizierungsstelle signierte Zertifikate für Workspace ONE Access-Produktlebenszyklusvorgänge in das Locker-Repository. |
|
Wenn Sie die API verwenden, müssen Sie die Locker-ID für das Zertifikat angeben, die in der JSON-Nutzlast verwendet werden soll. |
VCF-WSA-REQD-CFG-001 |
Stellen Sie mit
VMware Aria Suite Lifecycle im
VMware Cloud Foundation-Modus eine
Workspace ONE Access-Instanz mit geeigneter Größe gemäß dem von Ihnen ausgewählten Bereitstellungsmodell bereit.
|
Die Workspace ONE Access-Instanz wird von VMware Aria Suite Lifecycle verwaltet und in die SDDC Manager-Bestandsliste importiert. |
Keine. |
VCF-WSA-REQD-CFG-002 |
Platzieren Sie die Workspace ONE Access-Appliances auf einem Overlay- oder VLAN-gestützten NSX-Netzwerksegment. |
Bietet ein konsistentes Bereitstellungsmodell für Verwaltungsanwendungen in einer Umgebung mit einer oder mehreren VMware Cloud Foundation-Instanzen. |
Zur Unterstützung dieser Netzwerkkonfiguration müssen Sie eine Implementierung in NSX verwenden. |
VCF-WSA-REQD-CFG-003 |
Verwenden Sie die eingebettete PostgreSQL-Datenbank mit Workspace ONE Access. |
Externe Datenbankdienste sind nicht mehr erforderlich. |
Keine. |
VCF-WSA-REQD-CFG-004 |
Fügen Sie eine VM-Gruppe für Workspace ONE Access hinzu und legen Sie VM-Regeln fest, um die Workspace ONE Access-VM-Gruppe vor allen VMs neu zu starten, die bezüglich der Authentifizierung von ihr abhängig sind. |
Sie können die Startreihenfolge der virtuellen Maschinen in Bezug auf die Dienstabhängigkeit definieren. Die Startreihenfolge stellt sicher, dass vSphere HA die virtuellen Workspace ONE Access-Maschinen in einer Reihenfolge einschaltet, bei der die Produktabhängigkeiten berücksichtigt werden. |
Keine. |
VCF-WSA-REQD-CFG-005 |
Verbinden Sie die Workspace ONE Access-Instanz mit einem unterstützten Upstream-Identitätsanbieter. |
Sie können Ihr Unternehmensverzeichnis mit Workspace ONE Access vernetzen, um Benutzer und Gruppen mit den Identitäts- und Zugriffsverwaltungsdiensten von Workspace ONE Access zu synchronisieren. |
Keine. |
VCF-WSA-REQD-CFG-006 |
Bei Verwendung von geclustertem Workspace ONE Access konfigurieren Sie einen zweiten und einen dritten nativen Konnektor, der dem zweiten und dritten Workspace ONE Access-Clusterknoten entspricht, um die Hochverfügbarkeit des Verzeichnisdienstzugriffs zu unterstützen. |
Durch Hinzufügen zusätzlicher nativer Konnektoren lässt sich Redundanz schaffen und die Leistung durch Lastausgleich von Authentifizierungsanforderungen verbessern. |
Jeder der Workspace ONE Access-Clusterknoten muss der Active Directory-Domäne beitreten, um Active Directory mit integrierter Windows-Authentifizierung mit dem nativen Konnektor verwenden zu können. |
VCF-WSA-REQD-CFG-007 |
Bei Verwendung von geclustertem Workspace ONE Access verwenden Sie den NSX Load Balancer, der von SDDC Manager auf einem dedizierten Tier-1-Gateway konfiguriert wird. |
|
Sie müssen den von SDDC Manager konfigurierten Lastausgleichsdienst und die Integration mit VMware Aria Suite Lifecycle verwenden. |
Anforderungs-ID |
Designanforderung |
Begründung |
Auswirkung |
|---|---|---|---|
VCF-WSA-REQD-CFG-008 |
Fügen Sie die Workspace ONE Access-Appliances der VM-Gruppe für die erste Verfügbarkeitszone hinzu. |
Stellen Sie sicher, dass die Workspace ONE Access-Clusterknoten standardmäßig auf einem Host in der ersten Verfügbarkeitszone eingeschaltet sind. |
|
Anforderungs-ID |
Designanforderung |
Begründung |
Auswirkung |
|---|---|---|---|
VCF-WSA-REQD-CFG-009 |
Konfigurieren Sie die DNS-Einstellungen für Workspace ONE Access, um DNS-Server in jeder VMware Cloud Foundation-Instanz zu verwenden. |
Verbessert die Stabilität bei einem Ausfall externer Dienste für eine VMware Cloud Foundation-Instanz. |
Keine. |
VCF-WSA-REQD-CFG-010 |
Konfigurieren Sie die NTP-Einstellungen für Workspace ONE Access-Clusterknoten, um NTP-Server in jeder VMware Cloud Foundation-Instanz zu verwenden. |
Verbessert die Stabilität bei einem Ausfall externer Dienste für eine VMware Cloud Foundation-Instanz. |
Bei der Skalierung von einer Bereitstellung mit einer einzelnen VMware Cloud Foundation-Instanz auf eine mit mehreren VMware Cloud Foundation-Instanzen müssen die NTP-Einstellungen in Workspace ONE Access aktualisiert werden. |
Empfehlungs-ID |
Designempfehlung |
Begründung |
Auswirkung |
|---|---|---|---|
VCF-WSA-RCMD-CFG-001 |
Schützen Sie alle Workspace ONE Access-Knoten mit vSphere HA. |
Unterstützt Hochverfügbarkeit für Workspace ONE Access. |
Keine für Standardbereitstellungen. Geclusterte Workspace ONE Access-Bereitstellungen erfordern möglicherweise einen Eingriff, wenn ein ESXi-Host ausfällt. |
VCF-WSA-RCMD-CFG-002 |
Wenn Sie Active Directory als Identitätsanbieter verwenden, verwenden Sie Active Directory über LDAP als Verbindungsoption für den Verzeichnisdienst. |
Der native (eingebettete) Workspace ONE Access-Konnektor wird mithilfe einer standardmäßigen Bind-Authentifizierung an Active Directory über LDAP gebunden. |
|
VCF-WSA-RCMD-CFG-003 |
Wenn Sie Active Directory als Identitätsanbieter verwenden, verwenden Sie ein Active Directory-Benutzerkonto mit schreibgeschütztem Zugriff auf Basis-DNs für Benutzer und Gruppen als Dienstkonto für die Active Directory-Bindung. |
Bietet die folgenden Zugriffssteuerungsfunktionen:
|
|
VCF-WSA-RCMD-CFG-004 |
Konfigurieren Sie die Verzeichnissynchronisierung, um nur Gruppen zu synchronisieren, die für die integrierten SDDC-Lösungen erforderlich sind. |
|
Sie müssen die Gruppen aus Ihrem Unternehmensverzeichnis verwalten, die für die Synchronisierung mit Workspace ONE Access ausgewählt wurden. |
VCF-WSA-RCMD-CFG-005 |
Aktivieren Sie die Synchronisierung der Mitglieder der Unternehmensverzeichnisgruppe, wenn eine Gruppe zum Workspace ONE Access-Verzeichnis hinzugefügt wird. |
Wenn diese Option aktiviert ist, werden die Mitglieder der Unternehmensverzeichnisgruppen mit dem Workspace ONE Access-Verzeichnis synchronisiert, wenn Gruppen hinzugefügt werden. Wenn diese Option deaktiviert ist, werden Gruppennamen mit dem Verzeichnis synchronisiert. Die Mitglieder der Gruppe werden jedoch erst synchronisiert, wenn die Gruppe für eine Anwendung berechtigt ist oder der Gruppenname einer Zugriffsrichtlinie hinzugefügt wird. |
Keine. |
VCF-WSA-RCMD-CFG-006 |
Aktivieren Sie Workspace ONE Access, um verschachtelte Gruppenmitglieder standardmäßig zu synchronisieren. |
Ermöglicht Workspace ONE Access, die Mitgliedschaft von Gruppen zu aktualisieren und zwischenzuspeichern, ohne Ihr Unternehmensverzeichnis abzufragen. |
Änderungen an der Gruppenmitgliedschaft werden erst beim nächsten Synchronisierungsereignis widerspiegelt. |
VCF-WSA-RCMD-CFG-007 |
Fügen Sie den Verzeichniseinstellungen von Workspace ONE Access einen Filter hinzu, um Benutzer von der Verzeichnisreplizierung auszuschließen. |
Beschränkt die Anzahl der replizierten Benutzer für Workspace ONE Access innerhalb der maximalen Skala. |
Um sicherzustellen, dass die replizierten Benutzerkonten innerhalb der Maximalwerte verwaltet werden, müssen Sie ein Filterschema definieren, das für Ihre Organisation basierend auf Ihren Verzeichnisattributen funktioniert. |
VCF-WSA-RCMD-CFG-008 |
Konfigurieren Sie die zugeordneten Attribute, die enthalten sind, wenn ein Benutzer dem Workspace ONE Access-Verzeichnis hinzugefügt wird. |
Sie können die mindestens erforderlichen und die erweiterten Benutzerattribute konfigurieren, um Verzeichnisbenutzerkonten für Workspace ONE Access zu synchronisieren, die als Authentifizierungsquelle für instanzübergreifende VMware Aria Suite-Lösungen verwendet werden sollen. |
Für Benutzerkonten im Unternehmensverzeichnis Ihrer Organisation müssen die folgenden erforderlichen Attribute zugeordnet sein:
|
VCF-WSA-RCMD-CFG-009 |
Konfigurieren Sie die Häufigkeit der Workspace ONE Access-Verzeichnissynchronisierung als wiederkehrender Zeitplan, z. B. alle 15 Minuten. |
Stellen Sie sicher, dass alle Änderungen an Gruppenmitgliedschaften im Unternehmensverzeichnis rechtzeitig für integrierte Lösungen verfügbar sind. |
Planen Sie das Synchronisierungsintervall so ein, dass es länger ist als die Zeit für die Synchronisierung mit dem Unternehmensverzeichnis. Wenn Benutzer und Gruppen mit Workspace ONE Access synchronisiert werden und die nächste Synchronisierung bereits geplant ist, beginnt die neue Synchronisierung unmittelbar nach Abschluss der vorherigen Wiederholung. Bei diesem Zeitplan wird der Vorgang kontinuierlich ausgeführt. |
VCF-WSA-RCMD-SEC-001 |
Erstellen Sie entsprechende Sicherheitsgruppen in Ihren Unternehmensverzeichnisdiensten für diese Workspace ONE Access-Rollen:
|
Optimiert die Verwaltung von Workspace ONE Access-Rollen für Benutzer. |
|
VCF-WSA-RCMD-SEC-002 |
Konfigurieren Sie eine Kennwortrichtlinie für lokale Workspace ONE Access-Verzeichnisbenutzer, admin und configadmin. |
Sie können eine Richtlinie für lokale Workspace ONE Access-Verzeichnisbenutzer festlegen, die Ihre Unternehmensrichtlinien und regulatorischen Standards berücksichtigt. Die Kennwortrichtlinie gilt nur für die Benutzer des lokalen Verzeichnisses und hat keine Auswirkungen auf Ihr Organisationsverzeichnis. |
Sie müssen die Richtlinie in Übereinstimmung mit den ggf. vorhandenen Richtlinien Ihrer Organisation und den regulatorischen Standards festlegen. Sie müssen die Kennwortrichtlinie auf die Workspace ONE Access-Clusterknoten anwenden. |
