Sie können Ihre Workspace ONE Access Connector-Installation aktualisieren, um jederzeit Unternehmensdienste hinzuzufügen oder zu ändern. Führen Sie das Installationsprogramm erneut aus, um Änderungen vorzunehmen.

Sie können die folgenden Änderungen vornehmen:

  • Den Dienst „Verzeichnissynchronisierung“, „Benutzerauthentifizierung“, „Kerberos-Authentifizierung“ oder „Virtuelle App“ hinzufügen
  • Benutzerdefinierte Ports für jeden Dienst angeben
  • Einen Proxy-Server konfigurieren
  • Syslog-Server konfigurieren
  • Vertrauenswürdige Rootzertifikate installieren
  • (Nur Kerberos-Authentifizierungsdienst) Ein vertrauenswürdiges SSL-Zertifikat für den Kerberos-Authentifizierungsdienst installieren
  • (Nur die Dienste „Kerberos-Authentifizierung“ und „Virtuelle App“) Konfigurieren Sie die Dienste „Kerberos-Authentifizierung“ und „Virtuelle App“ so, dass sie als Domänenbenutzerkonto ausgeführt werden.
Hinweis: Sie können einen Dienst auch vom Konnektor löschen. Führen Sie zum Löschen eines Diensts das Installationsprogramm erneut aus, da Sie einen Dienst nicht gleichzeitig mit dem Hinzufügen und Ändern von Diensten löschen können. Siehe Löschen eines Unternehmensdiensts im Workspace ONE Access Connector.

Voraussetzungen

  • Beachten Sie, dass alle Unternehmensdienste in einer Konnektor-Installation mit dem gleichen Workspace ONE Access-Mandanten verbunden sind. Wenn Sie eine vorhandene Installation ändern, um einen Dienst hinzuzufügen, wird die Konfigurationsdatei, die Sie vom Mandanten für die ursprüngliche Installation heruntergeladen haben, automatisch verwendet.
  • Wenn Sie die vorhandene Konfiguration ändern, halten Sie zunächst die Unternehmensdienste über die Workspace ONE Access-Konsole an. Navigieren Sie zur Seite Identitäts- und Zugriffsmanagement > Einrichten > Konnektoren, klicken Sie auf den Konnektor, klicken Sie auf Verwalten und klicken Sie dann auf die Umschaltflächen, um jeden Dienst anzuhalten.

Prozedur

  1. Melden Sie sich bei dem Windows-Server an, auf dem der Workspace ONE Access Connector installiert ist.
  2. Wechseln Sie zu dem Ordner, der das Konnektor-Installationsprogramm enthält, und doppelklicken Sie auf die Datei Workspace ONE Access Connector Installer.exe.
  3. Klicken Sie auf der Begrüßungsseite auf Weiter.
  4. Wählen Sie auf der Seite „Programmwartung“ die Option Dienste hinzufügen/entfernen aus und klicken Sie auf Weiter.
  5. Wählen Sie auf der Seite "Dienstauswahl" ggf. die Dienste aus, die Sie hinzufügen möchten, und klicken Sie dann auf Weiter.
  6. Wenn die Seite „Konfigurationsdatei angeben“ angezeigt wird, wählen Sie die gleiche Konfigurationsdatei aus, die Sie vom Workspace ONE Access-Mandanten für die ursprüngliche Installation heruntergeladen haben.
    Die Seite „Konfigurationsdatei angeben“ wird nur dann angezeigt, wenn Sie hinzuzufügende Dienste ausgewählt haben.
  7. Nehmen Sie die gewünschten Änderungen auf den entsprechenden Seiten des Assistenten vor.
    Option Aktion
    So aktualisieren Sie die Ports, auf denen die Unternehmensdienste ausgeführt werden Geben Sie auf der Seite „Ports angeben“ den Port für jeden Dienst ein. Eingehende Konnektivität ist nur für den Port des Kerberos-Authentifizierungsdiensts erforderlich. Für die Ports für den Benutzerauthentifizierungsdienst und den Verzeichnissynchronisierungsdienst ist sie nicht erforderlich.

    Standardports:

    • Dienst „Benutzerauthentifizierung“: 8090
    • Dienst „Verzeichnissynchronisierung“: 8080
    • Dienst „Kerberos-Authentifizierung“: 443
    • Dienst „Virtuelle App“: 8008
    So laden Sie ein vertrauenswürdiges SSL-Zertifikat für den Konnektor-Server hoch Aktivieren Sie auf der Seite „SSL-Zertifikate installieren“ das Kontrollkästchen Möchten Sie Ihr eigenes SSL-Zertifikat verwenden?, klicken Sie auf Durchsuchen und wählen Sie das Zertifikat aus.

    Die Zertifikatsdatei muss im PEM- oder PFX-Format vorliegen. Wenn die Datei im PEM-Format vorliegt, laden Sie auch die Schlüsseldatei hoch. Wenn die Datei im PFX-Format vorliegt, geben Sie auch das Zertifikatkennwort ein.

    Weitere Informationen zu Zertifikatanforderungen finden Sie unter Hochladen eines SSL-Zertifikats für den Workspace ONE Access Connector (nur Kerberos-Authentifizierungsdienst).

    Wichtig: Für den Kerberos-Authentifizierungsdienst ist ein vertrauenswürdiges SSL-Zertifikat erforderlich. Wenn Sie kein vertrauenswürdiges SSL-Zertifikat hochladen, wird automatisch ein selbstsigniertes Zertifikat generiert. Um das von Workspace ONE Access generierte selbstsignierte Zertifikat zu verwenden, müssen Sie das durch Workspace ONE Access generierte Rootzertifikat zu den Trust Stores der Kunden hinzufügen. Sie können das Rootzertifikat root_ca.per nach der Installation aus dem Verzeichnis INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf erhalten.

    Das selbstsignierte Zertifikat kann für Testzwecke verwendet werden. Für Produktionszwecke empfehlen wir Ihnen jedoch, von einer öffentlichen oder internen Zertifizierungsstelle signierte SSL-Zertifikate zu verwenden.

    So laden Sie vertrauenswürdige Rootzertifikate aus dem Trust Store hoch oder entfernen sie daraus Gehen Sie auf der Seite „Vertrauenswürdige Rootzertifikate installieren“ wie folgt vor:
    • Um ein Zertifikat hochzuladen, klicken Sie auf Durchsuchen und wählen Sie das Zertifikat aus.
    • Um ein Zertifikat zu entfernen, wählen Sie das Zertifikat aus und klicken Sie auf Entfernen.
    • Um ein installiertes Zertifikat anzuzeigen, klicken Sie auf Zertifikat anzeigen.

    Der Konnektor kann sichere Verbindungen mit Servern herstellen, deren Zertifikatskette eines oder mehrere der Zertifikate enthält, die Sie dem Trust Store hinzufügen. Szenarien für das Hochladen von Zertifikaten in den Trust Store:

    • (Nur lokale Installationen) Wenn Ihre lokale Workspace ONE Access-Dienstinstanz ein von Ihnen installiertes selbstsigniertes Zertifikat aufweist, müssen Sie das Rootzertifikat und ggf. ein Zwischenzertifikat hochladen, um eine Vertrauensstellung zwischen den Unternehmensdiensten und der Workspace ONE Access-Dienstinstanz einzurichten.
    • (Nur Kerberos-Authentifizierungsdienst) Wenn Sie mehrere Instanzen des Kerberos-Authentifizierungsdiensts hinter einem Lastausgleichsdienst bereitstellen, müssen Sie das Root-CA-Zertifikat des Lastausgleichsdiensts auf den Konnektor-Instanzen installieren, um eine Vertrauensstellung zwischen den Konnektoren und dem Lastausgleichsdienst einzurichten.
    • (Nur der Dienst „Virtuelle App“) Wenn Sie Workspace ONE Access in VMware Horizon integrieren und selbstsignierte Zertifikate vorübergehend zu Testzwecken auf den Horizon-Verbindungsservern verwenden, müssen Sie die Zertifikatskette auf die Konnektorinstanzen hochladen, auf denen der Dienst „Virtuelle App“ installiert ist, um ein Vertrauensverhältnis zwischen den Konnektoren und den Horizon-Verbindungsservern herzustellen. Es wird jedoch empfohlen, von einer öffentlichen Zertifizierungsstelle signierte Zertifikate zu verwenden.
    So geben Sie einen Proxy-Server an Geben Sie auf der Seite „Proxy-Serverinformationen angeben“ bei Bedarf einen Proxy-Server ein. Die Unternehmensdienste greifen auf Webservices im Internet zu. Wenn Ihre Netzwerkkonfiguration Internetzugriff über einen HTTP-Proxy bereitstellt, müssen Sie einen Proxy-Server eingeben. Informationen zu den unterstützten Proxys finden Sie unter Workspace ONE Access Connector 21.08-Systemanforderungen.

    Sie können auch eine Liste von Nicht-Proxy-Hosts angeben, die direkt ohne den Proxyserver erreichbar sein sollten.

    1. Aktivieren Sie das Kontrollkästchen Proxy aktivieren.
    2. Geben Sie den Hostnamen ein, der als vollqualifizierter Domänenname (FQDN) oder IP-Adresse des Proxy-Servers angegeben ist.
    3. Geben Sie den Port des Proxy-Servers ein.
    4. Wenn Sie Nicht-Proxy-Hosts angeben möchten, d. h. Hosts, die direkt ohne Umweg über den Proxy-Server erreicht werden sollen, geben Sie den FQDN und die Ports in das Textfeld Nicht-Proxy-Hosts ein. Verwenden Sie das folgende Format, wobei jeder Eintrag durch | getrennt ist:

      host1|host2

    5. Wenn der Proxy-Server eine Authentifizierung erfordert, wählen Sie Basis aus und geben Sie den Benutzernamen und das Kennwort für den Proxy-Server ein.
    So geben Sie einen externen Syslog-Server zum Speichern von Ereignismeldungen auf Anwendungsebene an Aktivieren Sie auf der Seite „Syslog-Serverinformationen angeben“ das Kontrollkästchen Syslog aktivieren und geben Sie die IP-Adresse oder den FQDN des Syslog-Servers sowie den Port ein.

    Verwenden Sie das folgende Format, um einen einzelnen Syslog-Server anzugeben:

    host:port

    Verwenden Sie das folgende Format, um mehrere Syslog-Server anzugeben:

    host:port,host:port,host:port

    wobei Host den vollqualifizierten Domänennamen oder die IP-Adresse des Syslog-Servers enthält und Port die Portnummer ist. Beispiel:

    syslog1.example.com:54

    oder

    syslog1.example.com:514,syslog2.example.com:601,syslog3.example.com:163
    Hinweis: Nur Ereignisse auf Anwendungsebene werden auf den Syslog-Server exportiert. Betriebssystemereignisse werden nicht exportiert.
    So geben Sie das Domänenbenutzerkonto an, das zur Ausführung der Dienste „Kerberos-Authentifizierung“ und „Virtuelle App“ verwendet wird, bzw. ändern dieses. Geben Sie auf der Seite „Dienstkonto“ den Benutzernamen und das Kennwort des Domänenbenutzerkontos im Format DOMÄNE\Benutzername ein Beispiel: EXAMPLE\administrator. Klicken Sie alternativ auf Durchsuchen und wählen Sie die Domäne und den Benutzer aus.
    Wichtig: Der Kerberos-Authentifizierungsdienst unterstützt nur die folgenden Sonderzeichen im Kennwort des Domänenbenutzerkontos: @!*. Wenn das Kennwort andere Sonderzeichen enthält, schlägt die Installation des Kerberos-Authentifizierungsdiensts fehl.
    Hinweis: Wenn Sie beim Klicken auf Durchsuchen keine Domänen oder Benutzer finden können, geben Sie sie im oben angegebenen Format in das Textfeld ein.
    Wichtig: Zum Ausführen der Dienste „Kerberos-Authentifizierung“ und „Virtuelle App“ ist ein Domänenbenutzerkonto erforderlich.
  8. Überprüfen Sie auf der Seite „Bereit zum Installieren des Programms“ Ihre gewählten Optionen und klicken Sie dann auf Installieren.
    Wichtig: Wenn Sie Zertifikate hochgeladen haben, stellen Sie sicher, dass Sie die Option zum Neustarten aller Dienste auswählen.

Nächste Maßnahme

Die Installation wird aktualisiert. Neue Dienste werden beim Workspace ONE Access-Mandanten registriert. Aktualisieren Sie die Seite Identitäts- und Zugriffsmanagement > Einrichten > Konnektoren in der Workspace ONE Access-Konsole, um die aktualisierte Liste der Dienste anzuzeigen.