Sie können Ihre Workspace ONE Access Connector-Installation aktualisieren, um jederzeit Unternehmensdienste hinzuzufügen oder zu ändern. Führen Sie das Installationsprogramm erneut aus, um Änderungen vorzunehmen.

Sie können die folgenden Änderungen vornehmen:

  • Die Verzeichnissynchronisierung, die Benutzerauthentifizierung oder den Kerberos-Authentifizierungsdienst hinzufügen
  • Benutzerdefinierte Ports für jeden Dienst angeben
  • Einen Proxy-Server konfigurieren
  • Syslog-Server konfigurieren
  • Vertrauenswürdige Rootzertifikate installieren
  • (Nur Kerberos-Authentifizierungsdienst) Ein vertrauenswürdiges SSL-Zertifikat für den Kerberos-Authentifizierungsdienst installieren
  • (Nur Kerberos-Authentifizierungsdienst) Den Kerberos-Authentifizierungsdienst für die Ausführung als Domänenbenutzerkonto konfigurieren
Hinweis: Sie können einen Dienst auch vom Konnektor löschen. Führen Sie zum Löschen eines Diensts das Installationsprogramm erneut aus, da Sie einen Dienst nicht gleichzeitig mit dem Hinzufügen und Ändern von Diensten löschen können. Siehe Löschen eines Unternehmensdiensts vom Konnektor.

Voraussetzungen

  • Beachten Sie, dass alle Unternehmensdienste in einer Konnektor-Installation mit dem gleichen Workspace ONE Access-Mandanten verbunden sind. Wenn Sie eine vorhandene Installation ändern, um einen Dienst hinzuzufügen, wird die Konfigurationsdatei, die Sie vom Mandanten für die ursprüngliche Installation heruntergeladen haben, automatisch verwendet.
  • Wenn Sie die vorhandene Konfiguration ändern, halten Sie zunächst die Unternehmensdienste über die Workspace ONE Access-Konsole an. Navigieren Sie zur Seite Identitäts- und Zugriffsmanagement > Einrichten > Konnektoren, klicken Sie auf den Konnektor, klicken Sie auf Verwalten und klicken Sie dann auf die Umschaltflächen, um jeden Dienst anzuhalten.

Prozedur

  1. Melden Sie sich bei dem Windows-Server an, auf dem der Workspace ONE Access Connector installiert ist.
  2. Wechseln Sie zu dem Ordner, der das Konnektor-Installationsprogramm enthält, und doppelklicken Sie auf die Datei Workspace ONE Access Connector Installer.exe.
  3. Klicken Sie auf der Begrüßungsseite auf Weiter.
  4. Wählen Sie auf der Seite „Programmwartung“ die Option Dienste hinzufügen/entfernen aus und klicken Sie auf Weiter.
  5. Wählen Sie auf der Seite "Dienstauswahl" ggf. die Dienste aus, die Sie hinzufügen möchten, und klicken Sie dann auf Weiter.
  6. Wenn die Seite „Konfigurationsdatei angeben“ angezeigt wird, wählen Sie die gleiche Konfigurationsdatei aus, die Sie vom Workspace ONE Access-Mandanten für die ursprüngliche Installation heruntergeladen haben.
    Die Seite „Konfigurationsdatei angeben“ wird nur dann angezeigt, wenn Sie hinzuzufügende Dienste ausgewählt haben.
  7. Nehmen Sie die gewünschten Änderungen auf den entsprechenden Seiten des Assistenten vor.
    Option Aktion
    So aktualisieren Sie die Ports, auf denen die Unternehmensdienste ausgeführt werden Geben Sie auf der Seite „Ports angeben“ den Port für jeden Dienst ein. Eingehende Konnektivität ist nur für den Port des Kerberos-Authentifizierungsdiensts erforderlich. Für die Ports für den Benutzerauthentifizierungsdienst und den Verzeichnissynchronisierungsdienst ist sie nicht erforderlich.

    Standardports:

    • Benutzerauthentifizierungsdienst: 8090
    • Verzeichnissynchronisierungsdienst: 8080
    • Kerberos-Authentifizierungsdienst: 443
    So laden Sie ein vertrauenswürdiges SSL-Zertifikat für den Konnektor-Server hoch Aktivieren Sie auf der Seite „SSL-Zertifikate installieren“ das Kontrollkästchen Möchten Sie Ihr eigenes SSL-Zertifikat verwenden?, klicken Sie auf Durchsuchen und wählen Sie das Zertifikat aus.

    Die Zertifikatsdatei muss im PEM- oder PFX-Format vorliegen. Wenn die Datei im PEM-Format vorliegt, laden Sie auch die Schlüsseldatei hoch. Wenn die Datei im PFX-Format vorliegt, geben Sie auch das Zertifikatkennwort ein.

    Weitere Informationen zu Zertifikatanforderungen finden Sie unter Hochladen eines SSL-Zertifikats für den Workspace ONE Access Connector (nur Kerberos-Authentifizierungsdienst).

    Wichtig: Für den Kerberos-Authentifizierungsdienst ist ein vertrauenswürdiges SSL-Zertifikat erforderlich. Wenn Sie kein vertrauenswürdiges SSL-Zertifikat hochladen, wird automatisch ein selbstsigniertes Zertifikat generiert. Um dieses von Workspace ONE Access generierte selbstsignierte Zertifikat verwenden zu können, müssen Sie das durch Workspace ONE Access generierte Rootzertifikat zu den Trust Stores der Kunden hinzufügen. Sie können das Rootzertifikat root_ca.per nach der Installation aus dem Verzeichnis INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf erhalten.

    Das selbstsignierte Zertifikat kann für Testzwecke verwendet werden. Für Produktionszwecke empfehlen wir Ihnen jedoch, von einer öffentlichen oder internen Zertifizierungsstelle signierte SSL-Zertifikate zu verwenden.

    So laden Sie vertrauenswürdige Rootzertifikate aus dem Trust Store hoch oder entfernen sie daraus Gehen Sie auf der Seite „Vertrauenswürdige Rootzertifikate installieren“ wie folgt vor:
    • Um ein Zertifikat hochzuladen, klicken Sie auf Durchsuchen und wählen Sie das Zertifikat aus.
    • Um ein Zertifikat zu entfernen, wählen Sie das Zertifikat aus und klicken Sie auf Entfernen.
    • Um ein installiertes Zertifikat anzuzeigen, klicken Sie auf Zertifikat anzeigen.

    Der Konnektor kann sichere Verbindungen mit Servern herstellen, deren Zertifikatskette eines oder mehrere der Zertifikate enthält, die Sie dem Trust Store hinzufügen. Szenarien für das Hochladen von Zertifikaten in den Trust Store:

    • (Nur lokale Installationen) Wenn Ihre lokale Workspace ONE Access-Dienstinstanz ein von Ihnen installiertes selbstsigniertes Zertifikat aufweist, müssen Sie das Rootzertifikat und ggf. ein Zwischenzertifikat hochladen, um eine Vertrauensstellung zwischen den Unternehmensdiensten und der Workspace ONE Access-Dienstinstanz einzurichten.
    • (Nur Kerberos-Authentifizierungsdienst) Wenn Sie mehrere Instanzen des Kerberos-Authentifizierungsdiensts hinter einem Lastausgleichsdienst bereitstellen, müssen Sie das Root-CA-Zertifikat des Lastausgleichsdiensts auf den Konnektor-Instanzen installieren, um eine Vertrauensstellung zwischen den Konnektoren und dem Lastausgleichsdienst einzurichten.
    So geben Sie einen Proxy-Server an Geben Sie auf der Seite „Proxy-Serverinformationen angeben“ bei Bedarf einen Proxy-Server ein. Die Unternehmensdienste greifen auf Webservices im Internet zu. Wenn Ihre Netzwerkkonfiguration den Internetzugriff über einen HTTP-Proxy bereitstellt, müssen Sie einen Proxy-Server eingeben.

    Sie können auch eine Liste von Nicht-Proxy-Hosts angeben, die direkt ohne den Proxyserver erreichbar sein sollten.

    1. Aktivieren Sie das Kontrollkästchen Proxy aktivieren.
    2. Geben Sie den Hostnamen ein, der als vollqualifizierter Domänenname (FQDN) oder IP-Adresse des Proxy-Servers angegeben ist.
    3. Geben Sie den Port des Proxy-Servers ein.
    4. Wenn Sie Nicht-Proxy-Hosts angeben möchten, d. h. Hosts, die direkt ohne Umweg über den Proxy-Server erreicht werden sollen, geben Sie den FQDN und die Ports in das Textfeld Nicht-Proxy-Hosts ein. Verwenden Sie das folgende Format, wobei jeder Eintrag durch | getrennt ist:

      host1|host2

    5. Wenn der Proxy-Server eine Authentifizierung erfordert, wählen Sie Basis/Windows aus und geben Sie den Benutzernamen und das Kennwort für den Proxy-Server ein.
    So geben Sie einen externen Syslog-Server zum Speichern von Ereignismeldungen auf Anwendungsebene an Aktivieren Sie auf der Seite „Syslog-Serverinformationen angeben“ das Kontrollkästchen Syslog aktivieren und geben Sie die IP-Adresse oder den FQDN des Syslog-Servers sowie den Port ein.

    Verwenden Sie das folgende Format, um einen einzelnen Syslog-Server anzugeben:

    Host:Port

    Verwenden Sie das folgende Format, um mehrere Syslog-Server anzugeben:

    Host:Port,Host:Port,Host:Port

    wobei Host den vollqualifizierten Domänennamen oder die IP-Adresse des Syslog-Servers enthält und Port die Portnummer ist. Beispiel:

    syslog1.example.com:54

    oder

    syslog1.example.com:514,syslog2.example.com:601,syslog3.example.com:163
    Hinweis: Nur Ereignisse auf Anwendungsebene werden auf den Syslog-Server exportiert. Betriebssystemereignisse werden nicht exportiert.
    So ändern Sie das Domänenbenutzerkonto, das zur Ausführung des Kerberos-Authentifizierungsdiensts verwendet wird Geben Sie auf der Seite „Dienstkonto“ den Benutzernamen und das Kennwort des Domänenbenutzerkontos im Format DOMÄNE\Benutzername ein Beispiel: EXAMPLE\administrator. Klicken Sie alternativ auf Durchsuchen und wählen Sie die Domäne und den Benutzer aus.
    Hinweis: Zum Ausführen des Kerberos-Authentifizierungsdiensts ist ein Domänenbenutzerkonto erforderlich.
  8. Überprüfen Sie auf der Seite „Bereit zum Installieren des Programms“ Ihre gewählten Optionen und klicken Sie dann auf Installieren.

Nächste Maßnahme

Die Installation wird aktualisiert. Neue Dienste werden beim Workspace ONE Access-Mandanten registriert. Aktualisieren Sie die Seite Identitäts- und Zugriffsmanagement > Einrichten > Konnektoren in der Workspace ONE Access-Konsole, um die aktualisierte Liste der Dienste anzuzeigen.