Führen Sie zum Installieren des Verzeichnissynchronisierungs-, des Benutzerauthentifizierungs- oder des Kerberos-Authentifizierungsdiensts das Workspace ONE Access Connector-Installationsprogramm auf einem Windows-Server aus, der alle Anforderungen erfüllt, und wählen Sie die Dienste aus, die Sie installieren möchten.

Sie haben die Wahl zwischen einer schnellen Standardinstallation, bei der Standardwerte für die meisten Einstellungen verwendet werden, oder einer benutzerdefinierten Installation, mit der Sie verschiedene Einstellungen konfigurieren können.

Standardinstallation Benutzerdefinierte Installation
Die folgenden Standardports werden verwendet:
  • Benutzerauthentifizierungsdienst: 8090
  • Verzeichnissynchronisierungsdienst: 8080
  • Kerberos-Authentifizierungsdienst: 443
Hinweis: Dies sind die Ports, auf denen die Dienste ausgeführt werden. Eingehende Konnektivität ist für den Port des Kerberos-Authentifizierungsdiensts erforderlich.
Mit dieser Option können Sie benutzerdefinierte Ports für die Unternehmensdienste angeben.
Hinweis: Dies sind die Ports, auf denen die Dienste ausgeführt werden. Eingehende Konnektivität ist für den Port des Kerberos-Authentifizierungsdiensts erforderlich.
Ein selbstsigniertes Zertifikat für den Konnektor wird automatisch generiert. Ermöglicht die Installation eines vertrauenswürdigen SSL-Zertifikats für den Konnektor (erforderlich für den Kerberos-Authentifizierungsdienst).
Ermöglicht das Hochladen vertrauenswürdiger Rootzertifikate in den Trust Store.
Hinweis: Wenn Ihre lokale Workspace ONE Access-Dienstinstanz ein von Ihnen installiertes selbstsigniertes Zertifikat aufweist, müssen Sie das Rootzertifikat und ggf. ein Zwischenzertifikat hochladen, um eine Vertrauensstellung zwischen den Unternehmensdiensten und der Workspace ONE Access-Dienstinstanz einzurichten.
Ermöglicht die Konfiguration eines Proxy-Servers.
Ermöglicht die Konfiguration eines Syslog-Servers.

Unabhängig vom Typ der gewählten Installation können Sie das Installationsprogramm später erneut ausführen und alle Einstellungen nach Bedarf ändern.

Voraussetzungen

  • Siehe Voraussetzungen für die Installation von Workspace ONE Access Connector.
  • Im Rahmen des Installationsvorgangs laden Sie Dateien über die Workspace ONE Access-Konsole herunter. Sie müssen möglicherweise einen anderen Browser als Internet Explorer verwenden, um die Dateien herunterzuladen. Die standardmäßigen Internet Explorer-Einstellungen verhindern möglicherweise, dass Sie die Dateien herunterladen können.

Prozedur

  1. Laden Sie das Installationsprogramm für den Workspace ONE Access Connector und eine Konfigurationsdatei über die Workspace ONE Access-Konsole herunter.
    1. Melden Sie sich bei der Workspace ONE Access-Konsole als Systemdomänen-Admin an.
      Tipp: In Cloud-Bereitstellungen ist der Systemdomänen-Admin der Admin-Benutzer, dessen Anmeldedaten Sie erhalten, wenn Sie den Workspace ONE Access-Mandanten abrufen. In lokalen Bereitstellungen ist der Systemdomänen-Admin der Admin-Benutzer, der erstellt wird, wenn Sie eine Workspace ONE Access-Instanz installieren.
    2. Navigieren Sie zur Seite Identitäts- und Zugriffsmanagement > Einrichten > Konnektoren.
    3. Klicken Sie auf Neu.
    4. Überprüfen Sie im Dialogfeld „Bestätigung der Nutzung virtueller Apps“ die Informationen und wählen Sie dann Workspace ONE Access Connector 20.10 aus.
      Das Dialogfeld „Bestätigung der Nutzung virtueller Apps“ wird angezeigt. Zur Auswahl stehen „Workspace ONE Access Connector 20.10“ oder „Ältere Konnektoren“.
      Vorsicht: Workspace ONE Access Connector 20.10 unterstützt keine virtuellen Apps (Horizon-, Horizon Cloud-, Citrix- und ThinApps-Integrationen). Installieren Sie den Connector 20.10 nicht, wenn Sie planen, virtuelle Apps zu integrieren. Um virtuelle Apps zu verwenden, wählen Sie Ältere Konnektoren aus und installieren Sie Connector-Version 19.03.0.1 oder früher. Um Horizon-, Horizon Cloud- oder Citrix-Anwendungen und -Desktops zu integrieren, verwenden Sie VMware Identity Manager Connector (Windows), Version 19.03.0.1. Zum Integrieren von ThinApp-Paketanwendungen verwenden Sie VMware Identity Manager Connector (Linux), Version 2018.8.1.0.
      Hinweis: Das Dialogfeld „Bestätigung der Nutzung virtueller Apps“ wird angezeigt, wenn Sie auf Ihrem Mandanten das erste Mal einen Konnektor installieren. Wenn Sie Ihre Auswahl später ändern möchten, können Sie die Schaltfläche Nutzung virtueller Apps zurücksetzen verwenden, die anschließend auf der Seite „Konnektoren“ oder „Ältere Konnektoren“ angezeigt wird. Weitere Informationen hierzu finden Sie unter Option „Nutzung virtueller Apps zurücksetzen“ in Workspace ONE Access.
    5. Überprüfen Sie die Informationen im Bestätigungsdialogfeld und klicken Sie dann auf Trotzdem fortfahren, wenn Sie fortfahren möchten.
      Der Assistent „Neuen Konnektor hinzufügen“ wird angezeigt.
    6. Klicken Sie im Assistenten „Neuen Konnektor hinzufügen“ auf WECHSELN SIE ZU MYVMWARE.COM.
      Die My VMware-Webseite wird in einem neuen Fenster angezeigt. Lassen Sie den Assistenten geöffnet, da Sie nach dem Herunterladen des Installationsprogramms wieder dorthin wechseln.
    7. Melden Sie sich bei „https://my.vmware.com“ mit Ihren My VMware-Anmeldedaten an und laden Sie die Datei „Workspace ONE Access Connector Installer.exe“ herunter.
    8. Wechseln Sie wieder zur Workspace ONE Access-Konsole und klicken Sie im Assistenten „Neuen Konnektor hinzufügen“ auf Weiter.
    9. Generieren Sie die Konfigurationsdatei, indem Sie ein Kennwort erstellen und auf Konfigurationsdatei herunterladen klicken.
      Das Kennwort muss mindestens 14 Zeichen lang sein und aus einem Großbuchstaben, einem Kleinbuchstaben, einer numerischen Ziffer und einem Sonderzeichen bestehen. Alle Zeichen müssen sichtbar sein, wobei ASCII-Zeichen gedruckt werden.
      Die Konfigurationsdatei wird verwendet, um die Verbindung zwischen den von Ihnen installierten Unternehmensdiensten und dem Workspace ONE Access-Mandanten herzustellen. Der Name der Datei lautet standardmäßig es-config.json.
      Vorsicht: Die Konfigurationsdatei enthält vertrauliche Informationen wie z. B. die Mandanten-URL, die Mandanten-ID, die Client-ID und den Clientschlüssel für jeden Unternehmensdienst sowie den Kennwort-Hash. Es ist wichtig, dass Sie die Datei nicht teilen oder öffentlich verfügbar machen.
    10. Klicken Sie nach dem Herunterladen der Konfigurationsdatei im Assistenten auf Weiter.
  2. Kopieren Sie das Installationsprogramm und die Konfigurationsdateien auf den Windows-Server, auf dem Sie die Dienste installieren möchten.
  3. Doppelklicken Sie auf die Installationsdatei, um den Installationsassistenten von Workspace ONE Access Connector auszuführen.
  4. Klicken Sie auf der Begrüßungsseite auf Weiter.
    Das Installationsprogramm überprüft die Voraussetzungen auf dem Server. Falls .NET Framework nicht installiert ist, werden Sie zur Installation dieser Komponente und zum anschließenden Neustart des Servers aufgefordert. Führen Sie das Installationsprogramm nach dem Neustart erneut aus, um den Installationsvorgang fortzusetzen.
  5. Lesen und akzeptieren Sie die Lizenzvereinbarung und klicken Sie dann auf Weiter.
    Installationsassistent – Lizenzvereinbarung
  6. Wählen Sie die Dienste aus, die Sie installieren möchten.
    Installationsassistent – Seite zum Auswählen von Diensten
    Standardmäßig werden die Dienste im Verzeichnis C:\Program Files installiert. Um den Installationsordner zu ändern, klicken Sie auf Ändern und wählen Sie den Ordner aus.
  7. Klicken Sie auf Weiter.
  8. Wenn die neueste Hauptversion von Java Runtime Environment (JRE™) noch nicht auf dem Windows-Server installiert ist, wird die folgende Popup-Meldung eingeblendet:
    Installationsassistent – Meldung bzgl. Java-Installation
    Klicken Sie auf Ja, um JRE zu installieren. Die Installation dauert einige Minuten. Beachten Sie, dass vorhandene JRE-Versionen beim Installieren der erforderlichen Version nicht gelöscht werden.
  9. Wählen Sie auf der Seite „Konfigurationsdatei angeben“ die Konfigurationsdatei aus, die Sie von der Workspace ONE Access-Konsole heruntergeladen haben, geben Sie das von Ihnen festgelegte Kennwort ein und klicken Sie dann auf Weiter.
    Wenn sich die Konfigurationsdatei im selben Ordner wie das Installationsprogramm befindet und den Standardnamen es-config.json hat, wird sie automatisch im Textfeld angezeigt.
    Installationsassistent – Seite zum Angeben der Konfigurationsdatei
  10. Wählen Sie für die Installation zwischen Standard und Benutzerdefiniert.
    Installationsassistent – Auswahl des Installationstyps
  11. Wenn Sie den Installationstyp Standard gewählt haben, führen Sie die folgenden Schritte aus.
    1. (Nur Kerberos-Authentifizierungsdienst) Geben Sie auf der Seite „Dienstkonto angeben“ den Benutzernamen und das Kennwort des Domänenbenutzerkontos an, das zum Ausführen des Kerberos-Authentifizierungsdiensts verwendet werden soll.

      Geben Sie Benutzername im Format DOMÄNE\Benutzername ein. Beispiel: BEISPIEL\Administrator. Klicken Sie alternativ auf Durchsuchen und wählen Sie die Domäne und den Benutzer aus.

      Installationsassistent – Seite zum Angeben des Domänenbenutzerkontos
      Hinweis: Wenn Sie beim Klicken auf Durchsuchen keine Domänen oder Benutzer finden, sollten Sie überprüfen, ob alle Voraussetzungen erfüllt sind.
      Hinweis: Die Seite „Dienstkonto angeben“ wird nur dann angezeigt, wenn Sie den Kerberos-Authentifizierungsdienst installieren.
    2. Klicken Sie auf Weiter.
    3. Überprüfen Sie auf der Seite „Bereit zum Installieren des Programms“ Ihre gewählten Optionen und klicken Sie dann auf Installieren.
      Installationsassistent – Seite „Bereit zum Installieren“
      Die Installation dauert einige Minuten.
  12. Wenn Sie den Installationstyp Benutzerdefiniert gewählt haben, führen Sie die folgenden Schritte aus.
    1. Geben Sie auf der Seite „Proxy-Serverinformationen angeben“ bei Bedarf einen Proxy-Server ein.
      Die Unternehmensdienste greifen auf Webservices im Internet zu. Wenn Ihre Netzwerkkonfiguration den Internetzugriff über einen HTTP-Proxy bereitstellt, müssen Sie einen Proxy-Server eingeben.

      Sie können auch eine Liste von Nicht-Proxy-Hosts angeben, die direkt ohne den Proxyserver erreichbar sein sollten.

      1. Aktivieren Sie das Kontrollkästchen Proxy aktivieren.
      2. Geben Sie den Hostnamen ein, der als vollqualifizierter Domänenname (FQDN) oder IP-Adresse des Proxy-Servers angegeben ist.
      3. Geben Sie den Port des Proxy-Servers ein.
      4. Wenn Sie Nicht-Proxy-Hosts angeben möchten, d. h. Hosts, die direkt ohne Umweg über den Proxy-Server erreicht werden sollen, geben Sie den FQDN oder die IP-Adresse in das Textfeld Nicht-Proxy-Hosts ein. Verwenden Sie das folgende Format, wobei jeder Eintrag durch | getrennt ist:

        host1|host2

      5. Wenn der Proxy-Server eine Authentifizierung erfordert, wählen Sie Basis/Windows aus und geben Sie den Benutzernamen und das Kennwort für den Proxy-Server ein.
      Installationsassistent – Seite „Proxy-Server“
    2. Klicken Sie auf Weiter.
    3. Wenn Sie einen oder mehrere externe Syslog-Server zum Speichern von Ereignismeldungen auf Anwendungsebene verwenden möchten, wählen Sie auf der Seite „Syslog-Serverinformationen angeben“ die Option Syslog aktivieren aus und geben Sie für jeden Syslog-Server die IP-Adresse oder den FQDN sowie den Port ein.

      Verwenden Sie das folgende Format, um einen einzelnen Syslog-Server anzugeben:

      Host:Port

      Verwenden Sie das folgende Format, um mehrere Syslog-Server anzugeben:

      Host:Port,Host:Port,Host:Port

      wobei Host den vollqualifizierten Domänennamen oder die IP-Adresse des Syslog-Servers enthält und Port die Portnummer ist. Beispiel:

      syslog1.example.com:54

      oder

      syslog1.example.com:514,syslog2.example.com:601,syslog3.example.com:163
      Installationsassistent – Seite „Syslog-Server“
      Hinweis: Nur Ereignisse auf Anwendungsebene werden auf die Syslog-Server exportiert. Betriebssystemereignisse werden nicht exportiert.
    4. Klicken Sie auf Weiter.
    5. Laden Sie auf der Seite „Vertrauenswürdige Rootzertifikate installieren“ bei Bedarf Root- oder Zwischen-CA-Zertifikate in den Trust Store hoch.
      Der Konnektor kann sichere Verbindungen mit Servern und Clients herstellen, deren Zertifikatskette eines oder mehrere dieser Zertifikate enthält. Szenarien für das Hochladen von Zertifikaten in den Trust Store:
      • (Nur lokale Installationen) Wenn Ihre lokale Workspace ONE Access-Dienstinstanz ein von Ihnen installiertes selbstsigniertes Zertifikat aufweist, müssen Sie das Rootzertifikat und ggf. ein Zwischenzertifikat hochladen, um eine Vertrauensstellung zwischen den Unternehmensdiensten und der Workspace ONE Access-Dienstinstanz einzurichten.
      • (Nur Kerberos-Authentifizierungsdienst) Wenn Sie mehrere Instanzen des Kerberos-Authentifizierungsdiensts hinter einem Lastausgleichsdienst bereitstellen, müssen Sie das Root-CA-Zertifikat des Lastausgleichsdiensts auf den Konnektor-Instanzen installieren, um eine Vertrauensstellung zwischen den Konnektoren und dem Lastausgleichsdienst einzurichten.

      Sie können vertrauenswürdige Rootzertifikate auch später nach der Installation hochladen.

      Installationsassistent – Seite „Vertrauenswürdige Rootzertifikate“
    6. Klicken Sie auf Weiter.
    7. Überprüfen Sie die Standardports, auf denen die Unternehmensdienste ausgeführt werden, und geben Sie andere Ports an, wenn diese Ports von anderen Anwendungen verwendet werden.

      Eingehende Konnektivität ist für den Port des Kerberos-Authentifizierungsdiensts erforderlich. Für die Ports für den Benutzerauthentifizierungsdienst oder den Verzeichnissynchronisierungsdienst ist sie nicht erforderlich.

      Installationsassistent – Seite „Ports“
    8. (Nur Kerberos-Authentifizierungsdienst) Wählen Sie auf der Seite „SSL-Zertifikat für Kerberos-Authentifizierungsdienst“ das Zertifikat aus, das für den Konnektor-Server verwendet werden soll.
      Für den Kerberos-Authentifizierungsdienst wird ein von einer öffentlichen oder internen Zertifizierungsstelle signiertes vertrauenswürdiges SSL-Zertifikat benötigt. Wenn Sie bei der Installation kein vertrauenswürdiges SSL-Zertifikat hochladen, wird automatisch ein selbstsigniertes Zertifikat generiert. Sie können später ein vertrauenswürdiges SSL-Zertifikat hochladen.
      • Um ein vertrauenswürdiges SSL-Zertifikat hochzuladen, aktivieren Sie das Kontrollkästchen Möchten Sie Ihr eigenes SSL-Zertifikat verwenden?, klicken Sie auf Durchsuchen und wählen Sie die Zertifikatsdatei aus.

        Die Zertifikatsdatei muss im PEM- oder PFX-Format vorliegen. Wenn Sie eine PEM-Datei hochladen, laden Sie auch den privaten Schlüssel hoch. Wenn Sie eine PFX-Datei hochladen, geben Sie auch das Zertifikatkennwort an. Informationen zu Zertifikatanforderungen finden Sie unter Hochladen eines SSL-Zertifikats für den Workspace ONE Access Connector (nur Kerberos-Authentifizierungsdienst).

      • Um das automatisch generierte, selbstsignierte Zertifikat zu verwenden, deaktivieren Sie das Kontrollkästchen Möchten Sie Ihr eigenes SSL-Zertifikat verwenden?.
        Hinweis: Wenn Sie das von Workspace ONE Access generierte selbstsignierte Zertifikat verwenden, müssen Sie das durch Workspace ONE Access generierte Rootzertifikat zu den Trust Stores der Kunden hinzufügen. Sie können das Rootzertifikat root_ca.per nach der Installation aus dem Verzeichnis INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf erhalten.

        Während Sie das selbstsignierte Zertifikat zu Testzwecken verwenden können, werden für den produktiven Einsatz vertrauenswürdige SSL-Zertifikate empfohlen, die von einer öffentlichen oder internen Zertifizierungsstelle signiert sind.

      Installationsassistent – Seite zum Auswählen des Zertifikats
    9. Klicken Sie auf Weiter.
    10. (Nur Kerberos-Authentifizierungsdienst) Geben Sie auf der Seite „Dienstkonto angeben“ den Benutzernamen und das Kennwort des Domänenbenutzerkontos an, das zum Ausführen des Kerberos-Authentifizierungsdiensts verwendet werden soll.

      Geben Sie Benutzername im Format DOMÄNE\Benutzername ein. Beispiel: BEISPIEL\Administrator. Klicken Sie alternativ auf Durchsuchen und wählen Sie die Domäne und den Benutzer aus.

      Installationsassistent – Seite „Domänenbenutzer“
      Hinweis: Wenn Sie beim Klicken auf Durchsuchen keine Domänen oder Benutzer finden, sollten Sie überprüfen, ob alle Voraussetzungen erfüllt sind.
      Hinweis: Die Seite „Dienstkonto angeben“ wird nur dann angezeigt, wenn Sie den Kerberos-Authentifizierungsdienst installieren.
    11. Überprüfen Sie auf der Seite „Bereit zum Installieren des Programms“ Ihre gewählten Optionen und klicken Sie dann auf Installieren.
      Die Installation dauert einige Minuten.
  13. Nachdem die Installation erfolgreich abgeschlossen wurde, überprüfen Sie, ob die Dienste auf dem Windows-Server ausgeführt werden.
    Dienstnamen:
    • VMware-Verzeichnissynchronisierungsdienst
    • VMware-Benutzerauthentifizierungsdienst
    • VMware-Kerberos-Authentifizierungsdienst
  14. Wechseln Sie zur Workspace ONE Access-Konsole und aktualisieren Sie die Seite Identitäts- und Zugriffsmanagement > Einrichten > Konnektoren, um sicherzustellen, dass die neuen Dienste angezeigt werden und den Status „Aktiv“ haben.
    Wenn die Installation fehlschlägt, löschen Sie sowohl das Installationsprogramm als auch die Konfigurationsdatei, das bzw. die Sie von der Workspace ONE Access-Konsole heruntergeladen haben, und starten Sie den Installationsvorgang dann erneut.

Ergebnisse

Nach erfolgreicher Installation werden die von Ihnen installierten Unternehmensdienste beim Workspace ONE Access-Mandanten registriert und auf der Seite „Konnektoren“ in der Workspace ONE Access-Konsole angezeigt.

Beispiel:

Nächste Maßnahme

  • Konfigurieren Sie in der Workspace ONE Access-Konsole die von Ihnen installierten Unternehmensdienste. Informationen zur Integration von Verzeichnissen mithilfe des Verzeichnissynchronisierungsdiensts finden Sie unter Verzeichnisintegration mit Workspace ONE Access. Informationen zum Konfigurieren der Authentifizierung mithilfe des Benutzerauthentifizierungsdiensts oder des Kerberos-Authentifizierungsdiensts finden Sie unter Verwaltung von Benutzerauthentifizierungsmethoden in Workspace ONE Access.
  • (Nur Kerberos-Authentifizierungsdienst) Wenn Sie das von Workspace ONE Access generierte, selbstsignierte Zertifikat für den Kerberos-Authentifizierungsdienst verwenden, müssen Sie das von Workspace ONE Access generierte Rootzertifikat den Trust Stores der Kunden hinzufügen. Sie können das Rootzertifikat root_ca.per aus dem Verzeichnis INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf abrufen.

    Während Sie das selbstsignierte Zertifikat zu Testzwecken verwenden können, werden für den produktiven Einsatz vertrauenswürdige SSL-Zertifikate empfohlen, die von einer öffentlichen oder internen Zertifizierungsstelle signiert sind. Siehe Hochladen eines SSL-Zertifikats für den Workspace ONE Access Connector (nur Kerberos-Authentifizierungsdienst).