Führen Sie zum Installieren des Diensts „Verzeichnissynchronisierung“, „Benutzerauthentifizierung“, „Kerberos-Authentifzierung“ oder „Virtuelle App“ das Workspace ONE Access Connector-Installationsprogramm auf einem Windows-Server aus, der alle Anforderungen erfüllt, und wählen Sie die Dienste aus, die Sie installieren möchten.

Sie haben die Wahl zwischen einer schnellen Standardinstallation, bei der Standardwerte für die meisten Einstellungen verwendet werden, oder einer benutzerdefinierten Installation, mit der Sie verschiedene Einstellungen konfigurieren können.

Standardinstallation Benutzerdefinierte Installation
Die folgenden Standardports werden verwendet:
  • Dienst „Benutzerauthentifizierung“: 8090
  • Dienst „Verzeichnissynchronisierung“: 8080
  • Dienst „Kerberos-Authentifizierung“: 443
  • Dienst „Virtuelle App“: 8008
Hinweis: Dies sind die Ports, auf denen die Dienste ausgeführt werden. Eingehende Konnektivität ist für den Port des Kerberos-Authentifizierungsdiensts erforderlich.
Mit dieser Option können Sie benutzerdefinierte Ports für die Unternehmensdienste angeben.
Hinweis: Dies sind die Ports, auf denen die Dienste ausgeführt werden. Eingehende Konnektivität ist für den Port des Kerberos-Authentifizierungsdiensts erforderlich.
Ein selbstsigniertes Zertifikat für den Konnektor wird automatisch generiert. Ermöglicht die Installation eines vertrauenswürdigen SSL-Zertifikats für den Konnektor (erforderlich für den Kerberos-Authentifizierungsdienst).
Ermöglicht das Hochladen vertrauenswürdiger Rootzertifikate in den Trust Store.
Hinweis: Wenn Ihre lokale Workspace ONE Access-Dienstinstanz ein von Ihnen installiertes selbstsigniertes Zertifikat aufweist, müssen Sie das Rootzertifikat und ggf. ein Zwischenzertifikat hochladen, um eine Vertrauensstellung zwischen den Unternehmensdiensten und der Workspace ONE Access-Dienstinstanz einzurichten.
Ermöglicht die Konfiguration eines Proxy-Servers.
Ermöglicht die Konfiguration eines Syslog-Servers.

Unabhängig vom Typ der gewählten Installation können Sie das Installationsprogramm später erneut ausführen und alle Einstellungen nach Bedarf ändern.

Hinweis: Während der Installation wird OpenJDK 8 auch auf dem Server installiert.

Voraussetzungen

  • Siehe Voraussetzungen für die Installation von Workspace ONE Access Connector.
  • Im Rahmen des Installationsvorgangs laden Sie Dateien über die Workspace ONE Access-Konsole herunter. Sie müssen möglicherweise einen anderen Browser als Internet Explorer verwenden, um die Dateien herunterzuladen. Die standardmäßigen Internet Explorer-Einstellungen verhindern möglicherweise, dass Sie die Dateien herunterladen können.

Prozedur

  1. Laden Sie das Installationsprogramm für den Workspace ONE Access Connector und eine Konfigurationsdatei über die Workspace ONE Access-Konsole herunter.
    1. Melden Sie sich bei der Workspace ONE Access-Konsole als Systemdomänen-Admin an.
      Tipp: In Cloud-Bereitstellungen ist der Systemdomänen-Admin der Admin-Benutzer, dessen Anmeldedaten Sie erhalten, wenn Sie den Workspace ONE Access-Mandanten abrufen. In lokalen Bereitstellungen ist der Systemdomänen-Admin der Admin-Benutzer, der erstellt wird, wenn Sie eine Workspace ONE Access-Instanz installieren.
    2. Navigieren Sie zur Seite Identitäts- und Zugriffsmanagement > Einrichten > Konnektoren.
    3. Klicken Sie auf Neu.
    4. Überprüfen Sie im Dialogfeld Konnektor auswählen die Informationen und wählen Sie dann Workspace ONE Access Connector 21.08 aus.
      Vorsicht:

      Workspace ONE Access Connector 21.08 unterstützt keine Integration mit VMware ThinApp, Horizon Cloud Service on IBM Cloud oder Horizon Cloud Service on Microsoft Azure mit Einzel-Pod-Broker.

      Um ThinApp-Anwendungspakete zu integrieren, wählen Sie die Option Ältere Konnektoren aus und verwenden Sie VMware Identity Manager Connector 3.3 (Linux).

      Die Integration mit Horizon Cloud Service in Microsoft Azure mit Universal Broker wird über die Horizon Cloud-Verwaltungskonsole konfiguriert und erfordert nicht den Dienst „Virtuelle App“.

      Hinweis: Das Dialogfeld Konnektor auswählen wird angezeigt, wenn Sie auf Ihrem Mandanten das erste Mal einen Konnektor installieren. Wenn Sie Ihre Auswahl später ändern möchten, können Sie die Option Konnektor-Auswahl zurücksetzen verwenden, die anschließend auf der Seite „Konnektoren“ oder „Ältere Konnektoren“ angezeigt wird. Weitere Informationen hierzu finden Sie unter Zurücksetzen der Konnektor-Auswahl in Workspace ONE Access.

      Der Assistent „Neuen Konnektor hinzufügen“ wird angezeigt.

    5. Klicken Sie im Assistenten „Neuen Konnektor hinzufügen“ auf der Seite „Installationsprogramm herunterladen“ auf WECHSELN SIE ZU MYVMWARE.COM.
      Die My VMware-Webseite wird in einem neuen Fenster angezeigt. Lassen Sie den Assistenten geöffnet, da Sie nach dem Herunterladen des Installationsprogramms wieder dorthin wechseln.
    6. Melden Sie sich bei „https://my.vmware.com“ mit Ihren My VMware-Anmeldedaten an und laden Sie die Datei Workspace ONE Access Connector Installer.exe herunter.
    7. Kehren Sie zur Workspace ONE Access-Konsole zurück und klicken Sie auf der Seite „Installationsprogramm herunterladen“ des Assistenten „Neuen Konnektor hinzufügen“ auf Weiter.
    8. Generieren Sie die Konfigurationsdatei, indem Sie ein Kennwort erstellen und auf Konfigurationsdatei herunterladen klicken.
      Das Kennwort muss mindestens 14 Zeichen lang sein und aus einem Großbuchstaben, einem Kleinbuchstaben, einer numerischen Ziffer und einem Sonderzeichen bestehen. Alle Zeichen müssen sichtbar sein, wobei ASCII-Zeichen gedruckt werden.
      Die Konfigurationsdatei wird verwendet, um die Verbindung zwischen den von Ihnen installierten Unternehmensdiensten und dem Workspace ONE Access-Mandanten herzustellen. Der Name der Datei lautet standardmäßig es-config.json.
      Vorsicht: Die Konfigurationsdatei enthält vertrauliche Informationen wie z. B. die Mandanten-URL, die Mandanten-ID, die Client-ID und den Clientschlüssel für jeden Unternehmensdienst sowie den Kennwort-Hash. Es ist wichtig, dass Sie die Datei nicht teilen oder öffentlich verfügbar machen.
    9. Klicken Sie nach dem Herunterladen der Konfigurationsdatei im Assistenten auf Weiter.
  2. Kopieren Sie das Installationsprogramm und die Konfigurationsdateien auf den Windows-Server, auf dem Sie die Dienste installieren möchten.
  3. Doppelklicken Sie auf die Installationsdatei, um den Installationsassistenten von Workspace ONE Access Connector auszuführen.
  4. Klicken Sie auf der Begrüßungsseite auf Weiter.
    Das Installationsprogramm überprüft die Voraussetzungen auf dem Server. Falls .NET Framework nicht installiert ist, werden Sie zur Installation dieser Komponente und zum anschließenden Neustart des Servers aufgefordert. Führen Sie das Installationsprogramm nach dem Neustart erneut aus, um den Installationsvorgang fortzusetzen.
  5. Lesen und akzeptieren Sie die Lizenzvereinbarung und klicken Sie dann auf Weiter.
    Installationsassistent – Lizenzvereinbarung
  6. Wählen Sie die Dienste aus, die Sie installieren möchten.
    Installationsassistent – Seite zum Auswählen von Diensten
    Standardmäßig werden die Dienste im Verzeichnis C:\Program Files installiert. Um den Installationsordner zu ändern, klicken Sie auf Ändern und wählen Sie den Ordner aus.
  7. Klicken Sie auf Weiter.
  8. Wählen Sie auf der Seite „Konfigurationsdatei angeben“ die Konfigurationsdatei aus, die Sie von der Workspace ONE Access-Konsole heruntergeladen haben, geben Sie das von Ihnen festgelegte Kennwort ein und klicken Sie dann auf Weiter.
    Wenn sich die Konfigurationsdatei im selben Ordner wie das Installationsprogramm befindet und den Standardnamen es-config.json hat, wird sie automatisch im Textfeld angezeigt.
    Installationsassistent – Seite zum Angeben der Konfigurationsdatei
  9. Wählen Sie für die Installation zwischen Standard und Benutzerdefiniert.
    Installationsassistent – Auswahl des Installationstyps
  10. Wenn Sie den Installationstyp Standard gewählt haben, führen Sie die folgenden Schritte aus.
    1. (Nur die Dienste „Kerberos-Authentifizierung“ und „Virtuelle App“) Geben Sie auf der Seite „Dienstkonto angeben“ den Benutzernamen und das Kennwort des Domänenbenutzerkontos an, das zum Ausführen der Dienste „Kerberos-Authentifizierung“ und „Virtuelle App“ verwendet werden soll.
      Wichtig: Der Kerberos-Authentifizierungsdienst unterstützt nur die folgenden Sonderzeichen im Kennwort des Domänenbenutzerkontos: @!*. Wenn das Kennwort andere Sonderzeichen enthält, schlägt die Installation des Kerberos-Authentifizierungsdiensts fehl.

      Geben Sie Benutzername im Format DOMÄNE\Benutzername ein. Beispiel: BEISPIEL\Administrator. Klicken Sie alternativ auf Durchsuchen und wählen Sie die Domäne und den Benutzer aus.

      Installationsassistent – Seite zum Angeben des Domänenbenutzerkontos
      Hinweis: Wenn Sie beim Klicken auf Durchsuchen keine Domänen oder Benutzer finden können, geben Sie sie im oben angegebenen Format in das Textfeld ein.
      Hinweis: Die Seite „Dienstkonto angeben“ wird nur dann angezeigt, wenn Sie den Dienst „Kerberos-Authentifizierung“ oder „Virtuelle App“ installieren.
    2. Klicken Sie auf Weiter.
    3. Überprüfen Sie auf der Seite „Bereit zum Installieren des Programms“ Ihre gewählten Optionen und klicken Sie dann auf Installieren.
      Installationsassistent – Seite „Bereit zum Installieren“
      Die Installation dauert einige Minuten.
      Vorsicht: Am Ende des Installationsvorgangs werden Sie möglicherweise aufgefordert, das System neu zu starten. Starten Sie das System nicht neu, wenn Sie den 21.08 Connector auf einem 19.03.x Connector-Server im Rahmen der Konnektormigration installieren. Starten Sie das System erst neu, wenn der gesamte Konnektormigrationsvorgang abgeschlossen ist.
  11. Wenn Sie den Installationstyp Benutzerdefiniert gewählt haben, führen Sie die folgenden Schritte aus.
    1. Geben Sie auf der Seite „Proxy-Serverinformationen angeben“ bei Bedarf einen Proxy-Server ein.
      Die Unternehmensdienste greifen auf Webservices im Internet zu. Wenn Ihre Netzwerkkonfiguration Internetzugriff über einen HTTP-Proxy bereitstellt, müssen Sie einen Proxy-Server eingeben. Informationen zu den unterstützten Proxys finden Sie unter Workspace ONE Access Connector 21.08-Systemanforderungen.

      Sie können auch eine Liste von Nicht-Proxy-Hosts angeben, die direkt ohne den Proxyserver erreichbar sein sollten.

      1. Aktivieren Sie das Kontrollkästchen Proxy aktivieren.
      2. Geben Sie den Hostnamen ein, der als vollqualifizierter Domänenname (FQDN) oder IP-Adresse des Proxy-Servers angegeben ist.
      3. Geben Sie den Port des Proxy-Servers ein.
      4. Wenn Sie Nicht-Proxy-Hosts angeben möchten, d. h. Hosts, die direkt ohne Umweg über den Proxy-Server erreicht werden sollen, geben Sie den FQDN oder die IP-Adresse in das Textfeld Nicht-Proxy-Hosts ein. Verwenden Sie das folgende Format, wobei jeder Eintrag durch | getrennt ist:

        host1|host2

      5. Wenn der Proxy-Server eine Authentifizierung erfordert, wählen Sie Basis aus und geben Sie den Benutzernamen und das Kennwort für den Proxy-Server ein.
      Installationsassistent – Seite „Proxy-Server“
    2. Klicken Sie auf Weiter.
    3. Wenn Sie einen oder mehrere externe Syslog-Server zum Speichern von Ereignismeldungen auf Anwendungsebene verwenden möchten, wählen Sie auf der Seite „Syslog-Serverinformationen angeben“ die Option Syslog aktivieren aus und geben Sie für jeden Syslog-Server die IP-Adresse oder den FQDN sowie den Port ein.

      Verwenden Sie das folgende Format, um einen einzelnen Syslog-Server anzugeben:

      host:port

      Verwenden Sie das folgende Format, um mehrere Syslog-Server anzugeben:

      host:port,host:port,host:port

      wobei Host den vollqualifizierten Domänennamen oder die IP-Adresse des Syslog-Servers enthält und Port die Portnummer ist. Beispiel:

      syslog1.example.com:54

      oder

      syslog1.example.com:514,syslog2.example.com:601,syslog3.example.com:163
      Installationsassistent – Seite „Syslog-Server“
      Hinweis: Nur Ereignisse auf Anwendungsebene werden auf die Syslog-Server exportiert. Betriebssystemereignisse werden nicht exportiert.
    4. Klicken Sie auf Weiter.
    5. Laden Sie auf der Seite „Vertrauenswürdige Rootzertifikate installieren“ bei Bedarf Root- oder Zwischen-CA-Zertifikate in den Trust Store hoch.
      Der Konnektor kann sichere Verbindungen mit Servern und Clients herstellen, deren Zertifikatskette eines oder mehrere dieser Zertifikate enthält. Szenarien für das Hochladen von Zertifikaten in den Trust Store:
      • (Nur lokale Installationen) Wenn Ihre lokale Workspace ONE Access-Dienstinstanz ein von Ihnen installiertes selbstsigniertes Zertifikat aufweist, müssen Sie das Rootzertifikat und ggf. ein Zwischenzertifikat hochladen, um eine Vertrauensstellung zwischen den Unternehmensdiensten und der Workspace ONE Access-Dienstinstanz einzurichten.
      • (Nur Kerberos-Authentifizierungsdienst) Wenn Sie mehrere Instanzen des Kerberos-Authentifizierungsdiensts hinter einem Lastausgleichsdienst bereitstellen, müssen Sie das Root-CA-Zertifikat des Lastausgleichsdiensts auf den Konnektor-Instanzen installieren, um eine Vertrauensstellung zwischen den Konnektoren und dem Lastausgleichsdienst einzurichten.
      • (Nur der Dienst „Virtuelle App“) Wenn Sie Workspace ONE Access in VMware Horizon integrieren und selbstsignierte Zertifikate vorübergehend zu Testzwecken auf den Horizon-Verbindungsservern verwenden, müssen Sie die Zertifikatskette auf die Konnektorinstanzen hochladen, auf denen der Dienst „Virtuelle App“ installiert ist, um ein Vertrauensverhältnis zwischen den Konnektoren und den Horizon-Verbindungsservern herzustellen. Es wird jedoch empfohlen, von einer öffentlichen Zertifizierungsstelle signierte Zertifikate zu verwenden.

      Sie können vertrauenswürdige Rootzertifikate auch später nach der Installation hochladen.

      Installationsassistent – Seite „Vertrauenswürdige Rootzertifikate“
    6. Klicken Sie auf Weiter.
    7. Überprüfen Sie die Standardports, auf denen die Unternehmensdienste ausgeführt werden, und geben Sie andere Ports an, wenn diese Ports von anderen Anwendungen verwendet werden.

      Der Port des Kerberos-Authentifizierungsdiensts erfordert eingehende Konnektivität. Die Ports für die Dienste „Benutzerauthentifizierung“, „Verzeichnissynchronisierung“ und „Virtuelle App“ erfordern keine eingehende Konnektivität.

      Installationsassistent – Seite „Ports“
    8. (Nur Kerberos-Authentifizierungsdienst) Wählen Sie auf der Seite „SSL-Zertifikat für Kerberos-Authentifizierungsdienst“ das Zertifikat aus, das für den Konnektor-Server verwendet werden soll.
      Für den Kerberos-Authentifizierungsdienst wird ein von einer öffentlichen oder internen Zertifizierungsstelle signiertes vertrauenswürdiges SSL-Zertifikat benötigt. Wenn Sie bei der Installation kein vertrauenswürdiges SSL-Zertifikat hochladen, wird automatisch ein selbstsigniertes Zertifikat generiert. Sie können später ein vertrauenswürdiges SSL-Zertifikat hochladen.
      • Um ein vertrauenswürdiges SSL-Zertifikat hochzuladen, aktivieren Sie das Kontrollkästchen Möchten Sie Ihr eigenes SSL-Zertifikat verwenden?, klicken Sie auf Durchsuchen und wählen Sie die Zertifikatsdatei aus.

        Die Zertifikatsdatei muss im PEM- oder PFX-Format vorliegen. Wenn Sie eine PEM-Datei hochladen, laden Sie auch den privaten Schlüssel hoch. Wenn Sie eine PFX-Datei hochladen, geben Sie auch das Zertifikatkennwort an. Informationen zu Zertifikatanforderungen finden Sie unter Hochladen eines SSL-Zertifikats für den Workspace ONE Access Connector (nur Kerberos-Authentifizierungsdienst).

      • Um das automatisch generierte, selbstsignierte Zertifikat zu verwenden, deaktivieren Sie das Kontrollkästchen Möchten Sie Ihr eigenes SSL-Zertifikat verwenden?.
        Hinweis: Wenn Sie das von Workspace ONE Access generierte selbstsignierte Zertifikat verwenden, müssen Sie das durch Workspace ONE Access generierte Rootzertifikat zu den Trust Stores der Kunden hinzufügen. Sie können das Rootzertifikat root_ca.per nach der Installation aus dem Verzeichnis INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf erhalten.

        Während Sie das selbstsignierte Zertifikat zu Testzwecken verwenden können, werden für den produktiven Einsatz vertrauenswürdige SSL-Zertifikate empfohlen, die von einer öffentlichen oder internen Zertifizierungsstelle signiert sind.

      Installationsassistent – Seite zum Auswählen des Zertifikats
    9. Klicken Sie auf Weiter.
    10. (Nur die Dienste „Kerberos-Authentifizierung“ und „Virtuelle App“) Geben Sie auf der Seite „Dienstkonto angeben“ den Benutzernamen und das Kennwort des Domänenbenutzerkontos an, das zum Ausführen des Diensts „Kerberos-Authentifizierung“ und des Diensts „Virtuelle App“ verwendet werden soll.
      Wichtig: Der Kerberos-Authentifizierungsdienst unterstützt nur die folgenden Sonderzeichen im Kennwort des Domänenbenutzerkontos: @!*. Wenn das Kennwort andere Sonderzeichen enthält, schlägt die Installation des Kerberos-Authentifizierungsdiensts fehl.

      Geben Sie Benutzername im Format DOMÄNE\Benutzername ein. Beispiel: BEISPIEL\Administrator. Klicken Sie alternativ auf Durchsuchen und wählen Sie die Domäne und den Benutzer aus.

      Installationsassistent – Seite „Domänenbenutzer“
      Hinweis: Wenn Sie beim Klicken auf Durchsuchen keine Domänen oder Benutzer finden können, geben Sie sie im oben angegebenen Format in das Textfeld ein.
      Hinweis: Die Seite „Dienstkonto angeben“ wird nur dann angezeigt, wenn Sie den Dienst „Kerberos-Authentifizierung“ oder „Virtuelle App“ installieren.
    11. Überprüfen Sie auf der Seite „Bereit zum Installieren des Programms“ Ihre gewählten Optionen und klicken Sie dann auf Installieren.
      Die Installation dauert einige Minuten.
      Vorsicht: Am Ende des Installationsvorgangs werden Sie möglicherweise aufgefordert, das System neu zu starten. Starten Sie das System nicht neu, wenn Sie den 21.08 Connector auf einem 19.03.x Connector-Server im Rahmen der Konnektormigration installieren. Starten Sie das System erst neu, wenn der gesamte Konnektormigrationsvorgang abgeschlossen ist.
  12. Nachdem die Installation erfolgreich abgeschlossen wurde, überprüfen Sie, ob die Dienste auf dem Windows-Server ausgeführt werden.
    Dienstnamen:
    • VMware-Dienst „Verzeichnissynchronisierung“
    • VMware-Dienst „Benutzerauthentifizierung“
    • VMware-Dienst „Kerberos-Authentifizierung“
    • VMware-Dienst „Virtuelle App“
  13. Wechseln Sie zur Workspace ONE Access-Konsole und aktualisieren Sie die Seite Identitäts- und Zugriffsmanagement > Einrichten > Konnektoren, um sicherzustellen, dass die neuen Dienste angezeigt werden und den Status „Aktiv“ haben.
    Wenn die Installation fehlschlägt, löschen Sie sowohl das Installationsprogramm als auch die Konfigurationsdatei, das bzw. die Sie von der Workspace ONE Access-Konsole heruntergeladen haben, und starten Sie den Installationsvorgang dann erneut.

Ergebnisse

Nach erfolgreicher Installation werden die von Ihnen installierten Unternehmensdienste beim Workspace ONE Access-Mandanten registriert und auf der Seite „Konnektoren“ in der Workspace ONE Access-Konsole angezeigt.

Beispiel:


Auf der Seite werden der Konnektor, alle installierten Dienste, der Status „Aktiv“, der Integritätszustand „Grün“ und die Version 21.08.0.0 aufgelistet.

Nächste Maßnahme

  • Konfigurieren Sie in der Workspace ONE Access-Konsole die von Ihnen installierten Unternehmensdienste. Informationen zum Integrieren von Verzeichnissen mithilfe des Verzeichnissynchronisierungsdiensts finden Sie unter Verzeichnisintegration mit VMware Workspace ONE Access. Informationen zum Konfigurieren der Authentifizierung mit dem Dienst „Benutzerauthentifizierung“ oder „Kerberos-Authentifizierung“ finden Sie unter Verwalten von Benutzerauthentifizierungsmethoden in VMware Workspace ONE Access. Informationen zum Integrieren von virtuellen Horizon- und Citrix-Apps mithilfe des Diensts „Virtuelle App“ finden Sie unter Einrichten von Ressourcen in VMware Workspace ONE Access.
  • (Nur Kerberos-Authentifizierungsdienst) Wenn Sie das von Workspace ONE Access generierte, selbstsignierte Zertifikat für den Kerberos-Authentifizierungsdienst verwenden, müssen Sie das von Workspace ONE Access generierte Rootzertifikat den Trust Stores der Kunden hinzufügen. Sie können das Rootzertifikat root_ca.per aus dem Verzeichnis INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf abrufen.

    Während Sie das selbstsignierte Zertifikat zu Testzwecken verwenden können, werden für den produktiven Einsatz vertrauenswürdige SSL-Zertifikate empfohlen, die von einer öffentlichen oder internen Zertifizierungsstelle signiert sind. Siehe Hochladen eines SSL-Zertifikats für den Workspace ONE Access Connector (nur Kerberos-Authentifizierungsdienst).