Instalar Workspace ONE Access Connector

Para instalar los servicios de sincronización de directorios, autenticación de usuario, autenticación Kerberos o aplicaciones virtuales, ejecute el instalador de Workspace ONE Access Connector en un servidor Windows que cumpla con todos los requisitos y seleccione los servicios que desea instalar.

Puede elegir entre una instalación predeterminada rápida que utilice valores predeterminados en la mayoría de los ajustes o una instalación personalizada que permita la configuración de varias opciones.

Instalación predeterminada	Instalación personalizada
Usa los siguientes puertos predeterminados: Servicio de autenticación de usuario: 8090 Servicio de sincronización de directorios: 8080 Servicio de autenticación Kerberos: 443 Servicio de aplicaciones virtuales: 8008 Nota: Estos son los puertos en los que se ejecutan los servicios. La conectividad de entrada solo es necesaria para el puerto del servicio de autenticación Kerberos.	Permite especificar puertos personalizados para los servicios empresariales. Nota: Estos son los puertos en los que se ejecutan los servicios. La conectividad de entrada solo es necesaria para el puerto del servicio de autenticación Kerberos.
Genera automáticamente un certificado autofirmado para el conector.	Permite instalar un certificado SSL de confianza para el conector (obligatorio en el servicio de autenticación Kerberos).
	Permite cargar certificados raíz de confianza en el almacén de confianza. Nota: Si la instancia de servicio local de Workspace ONE Access tiene un certificado autofirmado que instaló, debe cargar su certificado raíz y, si es necesario, su certificado intermedio para establecer la confianza entre los servicios empresariales y la instancia de servicio de Workspace ONE Access.
	Permite configurar un servidor proxy.
	Permite configurar un servidor syslog.

Independientemente del tipo de instalación que elija, puede volver a ejecutar el instalador más adelante y modificar todos los ajustes según sea necesario.

Nota: Durante la instalación, OpenJDK 8 también se instala en el servidor.

Requisitos previos

Consulte Requisitos previos para instalar Workspace ONE Access Connector.
Descargue los archivos de la consola de Workspace ONE Access como parte del proceso de instalación. Es posible que deba utilizar un navegador distinto de Internet Explorer para descargar los archivos, ya que la configuración predeterminada de Internet Explorer puede impedir la descarga.

Procedimiento

Descargue el instalador de Workspace ONE Access Connector y un archivo de configuración de la consola de Workspace ONE Access.
1. Inicie sesión en la consola de Workspace ONE Access como administrador del dominio del sistema.
  
  Sugerencia: En las implementaciones de nube, el administrador del dominio del sistema es el administrador cuyas credenciales se reciben al obtener el arrendatario de Workspace ONE Access. En las implementaciones locales, el administrador del dominio del sistema es el usuario administrador que se crea al instalar una instancia de Workspace ONE Access.
2. Vaya a la página Conectores.
  En un arrendatario de nube de Workspace ONE Access con la opción Nueva navegación activada, vaya a Integraciones > Conectores. En un dispositivo virtual Workspace ONE Access 21.08 o un arrendatario de nube con la opción Nueva navegación desactivada, vaya a Administración de acceso e identidad > Configurar > Conectores .
3. Haga clic en Nuevo.
4. En el cuadro de diálogo Seleccionar el conector, revise la información y, a continuación, seleccione Workspace ONE Access Connector 21.08.
  
  Precaución:
  Workspace ONE Access Connector 21.08 no admite la integración con VMware ThinApp, Horizon Cloud Service on IBM Cloud u Horizon Cloud Service on Microsoft Azure con agente de pod único.
  
  Para integrar aplicaciones empaquetadas de ThinApp, seleccione la opción Conectores heredados y utilice VMware Identity Manager Connector 3.3 (Linux).
  
  La integración con Horizon Cloud Service on Microsoft Azure con Universal Broker se configura desde la consola de administración de Horizon Cloud y no requiere el servicio de aplicaciones virtuales.
  
  Nota: El cuadro de diálogo Seleccionar el conector aparece la primera vez que se instala un nuevo conector en el arrendatario. Si desea cambiar la selección más adelante, puede utilizar el botón Restablecer selección de Connector que aparece posteriormente en la página Conectores o Conectores heredados. Consulte Restablecer la selección del conector en Workspace ONE Access para obtener más información.
  
  Aparece el asistente Agregar nuevo conector.
5. En el asistente Agregar nuevo conector, haga clic en IR A MYVMWARE.COM en la página Descargar instalador.
  Se mostrará la página web My VMware en una ventana nueva. Mantenga el asistente abierto, ya que volverá a él después de descargar el instalador.
6. Inicie sesión en https://my.vmware.com con su cuenta de My VMware y descargue el archivo Installer.exe de Workspace ONE Access Connector.
7. Vuelva a la consola de Workspace ONE Access y haga clic en Siguiente en la página Descargar instalador del asistente Agregar nuevo conector.
8. Genere el archivo de configuración. Para ello, cree una contraseña y haga clic en Descargar el archivo de configuración.
  El archivo de configuración se utiliza para establecer la comunicación entre los servicios empresariales que se instalen y el arrendatario de Workspace ONE Access. El nombre predeterminado del archivo es es-config.json.
  Importante:
  - La contraseña debe tener un mínimo de 14 caracteres e incluir al menos un número, un carácter en mayúscula y un carácter especial. Solo se permiten los siguientes caracteres especiales:
    @ ! , # $ { } ( ) _ + . < > ? *
    Todos los caracteres deben ser caracteres ASCII visibles imprimibles.
  - Anote la contraseña. Debe introducir la contraseña y la ruta de acceso al archivo de configuración cuando ejecute el instalador del conector.
    El archivo de configuración y su contraseña también son necesarios para futuras actualizaciones del conector. Guarde la contraseña de forma segura para usarla en el futuro. Si no tiene la contraseña al actualizar el conector, puede generar un nuevo archivo de configuración.
  Precaución: El archivo de configuración contiene información confidencial, como la URL de arrendatario, el identificador de arrendatario, el identificador de cliente y el secreto de cliente para cada uno de los servicios empresariales, así como el hash de contraseña. Es fundamental que no comparta el archivo ni lo exponga públicamente.
9. Después de descargar el archivo de configuración, haga clic en Siguiente en el asistente.
Copie el archivo instalador y el archivo de configuración en el servidor Windows en el que desea instalar los servicios.
Haga doble clic en el archivo del instalador para ejecutar el asistente de instalación de Workspace ONE Access Connector.
En la página de bienvenida, haga clic en Siguiente.

El instalador comprueba los requisitos en el servidor. Si .NET Framework no está instalado o no coincide con la versión requerida, se le pedirá que lo instale y que reinicie el servidor. Después de reiniciarlo, vuelva a ejecutar el instalador para reanudar el proceso de instalación.
Lea y acepte el acuerdo de licencia, y haga clic en Siguiente.
Seleccione los servicios que desea instalar.

De forma predeterminada, los servicios se instalan en C:\Archivos de programa. Para cambiar la carpeta de instalación, haga clic en Cambiar y seleccione la carpeta.
Haga clic en Siguiente.
En la página Especificar archivo de configuración, seleccione el archivo de configuración que descargó de la consola de Workspace ONE Access, introduzca la contraseña que estableció y haga clic en Siguiente.
Si el archivo de configuración se encuentra en la misma carpeta que el instalador y tiene el nombre predeterminado es-config.json, se mostrará automáticamente en el cuadro de texto.
Seleccione la instalación Predeterminada o Personalizada.
Si seleccionó la instalación Predeterminada, siga estos pasos.
1. (Solo servicio de autenticación Kerberos y servicio de aplicaciones virtuales) En la página Especificar cuenta de servicio, especifique el nombre de usuario y la contraseña de la cuenta de usuario de dominio que se va a utilizar para ejecutar el servicio de autenticación Kerberos y el servicio de aplicaciones virtuales.
  
  Escriba el Nombre de usuario con el formato DOMAIN\username, como EXAMPLE\administrator. También puede hacer clic en Examinar y seleccionar el dominio y el usuario.
  
  Si no puede encontrar dominios o usuarios al hacer clic en Examinar, escríbalos en el cuadro de texto en el formato especificado anteriormente.
  
  Importante: El servicio de autenticación Kerberos solo admite los siguientes caracteres especiales en la contraseña de la cuenta de usuario de dominio:
  ! ( & % @ / = ? * , .
  
  Si la contraseña contiene otros caracteres especiales, se produce un error en la instalación del servicio de autenticación Kerberos.
  
  Nota: La página Especificar cuenta de servicio solo aparece si se está instalando el servicio de autenticación Kerberos o el servicio de aplicaciones virtuales.
2. Haga clic en Siguiente.
3. En la página Listo para instalar el programa, revise sus selecciones y haga clic en Instalar.
  
  La instalación tarda unos minutos.
  Precaución: Al final del proceso de instalación, es posible que se le solicite reiniciar el sistema. No reinicie el sistema si va a instalar Connector 21.08 en un servidor de Connector 19.03.x como parte de la migración del conector. Reinicie el sistema solo después de que se complete todo el proceso de migración del conector.
Si seleccionó la instalación Personalizada, siga estos pasos.
1. En la página Especificar información del servidor proxy, introduzca un servidor proxy si es necesario.
  Los servicios empresariales acceden a servicios web en Internet. Si la configuración de red proporciona acceso a Internet a través de un proxy HTTP, debe introducir un servidor proxy. Consulte Requisitos de los sistemas Workspace ONE Access Connector 21.08 para obtener información acerca de los proxies compatibles.
  También puede especificar una lista de hosts que no son de proxy, los hosts que se deben alcanzar directamente sin pasar por el servidor proxy.
  1. Active la casilla Habilitar proxy.
  2. Escriba el nombre de host, especificado como un nombre de dominio completo (FQDN) o la dirección IP del servidor proxy.
  3. Introduzca el puerto del servidor proxy.
  4. Si desea especificar cualquier host que no sea de proxy, hosts a los que deba accederse directamente sin pasar por el servidor proxy, introduzca el FQDN o la dirección IP en el cuadro de texto Hosts que no son de proxy. Utilice el siguiente formato, con cada entrada separada por |:
    host1|host2
  5. Si el servidor proxy requiere autenticación, seleccione Básica, e introduzca el nombre de usuario y la contraseña del servidor proxy.
2. Haga clic en Siguiente.
3. En la página Especificar servidor syslog, si desea utilizar uno o más servidores syslog externos para almacenar los mensajes de eventos en el nivel de la aplicación, seleccione la opción Habilitar syslog e introduzca cada dirección IP o FQDN, y puerto, del servidor syslog.
  Para especificar un único servidor syslog, utilice el siguiente formato:
```
host:port
```
  Para especificar varios servidores syslog, utilice el siguiente formato:
```
host:port,host:port,host:port
```
  donde host es el nombre de dominio completo o la dirección IP del servidor syslog y puerto es el número de puerto. Por ejemplo:
```
syslog1.example.com:54
```
  o
```
syslog1.example.com:514,syslog2.example.com:601,syslog3.example.com:163
```
  Nota: Solo los eventos en el nivel de aplicación se exportan a los servidores syslog. Los eventos del sistema operativo no se exportan.
4. Haga clic en Siguiente.
5. En la página Instalar certificados raíz de confianza, cargue certificados de CA intermedios o raíz en el almacén de confianza, si es necesario.
  El conector podrá establecer conexiones seguras con los servidores y los clientes cuya cadena de certificados incluya alguno de estos certificados. Algunos de los escenarios para cargar certificados al almacén de confianza son:
  - (Solo las instalaciones locales) Si la instancia de servicio local de Workspace ONE Access tiene un certificado autofirmado que instaló, debe cargar su certificado raíz y, si es necesario, su certificado intermedio para establecer la confianza entre los servicios empresariales y la instancia de servicio de Workspace ONE Access.
  - (Solo el servicio de autenticación Kerberos) Si implementa varias instancias del servicio de autenticación Kerberos detrás de un equilibrador de carga, debe instalar el certificado de CA raíz del equilibrador de carga en las instancias del conector para establecer la confianza entre los conectores y el equilibrador de carga.
  - (Solo servicio de aplicaciones virtuales) Si integra Workspace ONE Access con VMware Horizon y utiliza certificados autofirmados temporalmente para realizar pruebas en las instancias de Horizon Connection Server, debe cargar la cadena de certificados en las instancias del conector en las que está instalado el servicio de aplicaciones virtuales para establecer la confianza entre los conectores y las instancias de Horizon Connection Server. Sin embargo, se recomienda utilizar certificados firmados por una CA pública.
  También puede cargar certificados raíz de confianza más adelante, después de la instalación.
6. Haga clic en Siguiente.
7. Revise los puertos predeterminados en los que se ejecutan los servicios empresariales y especifique puertos diferentes si otras aplicaciones utilizan estos puertos.
  
  El puerto del servicio de autenticación Kerberos requiere conectividad entrante. Los puertos de autenticación de usuario, sincronización de directorios y aplicaciones virtuales no requieren conectividad entrante.
8. (Solo el servicio de autenticación Kerberos) En la página Certificado SSL para el servicio de autenticación Kerberos, seleccione el certificado que desea utilizar para el servidor del conector.
  Se requiere un certificado SSL de confianza firmado por una entidad de certificación pública o interna para el servicio de autenticación Kerberos. Cuando no se carga un certificado SSL de confianza durante la instalación, se genera automáticamente un certificado autofirmado. Puede cargar un certificado SSL de confianza más adelante.
  - Para cargar un certificado SSL de confianza, active la casilla ¿Desea utilizar su propio certificado SSL?, haga clic en Examinar y seleccione el archivo de certificado.
    El formato del archivo de certificado debe ser PEM o PFX. Si carga un archivo PEM, también debe cargar la clave privada. Si carga un archivo PFX, también debe especificar la contraseña del certificado. Para obtener información sobre los requisitos de certificados, consulte Cargar un certificado SSL para Workspace ONE Access Connector (solo servicio de autenticación Kerberos).
  - Para utilizar el certificado autofirmado generado automáticamente, desactive la casilla ¿Desea utilizar su propio certificado SSL?.
    Nota: Si utiliza el certificado autofirmado generado de Workspace ONE Access, deberá agregar el certificado raíz generado por Workspace ONE Access a los almacenes de confianza de los clientes. Puede obtener el certificado raíz, root_ca.per, de INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf después de la instalación.
    Si bien se puede utilizar el certificado autofirmado con fines de prueba, se recomienda utilizar certificados SSL de confianza firmados por una entidad de certificación pública o interna para la fase de producción.
9. Haga clic en Siguiente.
10. (Solo servicio de autenticación Kerberos y servicio de aplicaciones virtuales) En la página Especificar cuenta de servicio, especifique el nombre de usuario y la contraseña de la cuenta de usuario de dominio que se va a utilizar para ejecutar el servicio de autenticación Kerberos y el servicio de aplicaciones virtuales.
  
  Importante: El servicio de autenticación Kerberos solo admite los siguientes caracteres especiales en la contraseña de la cuenta de usuario de dominio:
  ! ( & % @ / = ? * , .
  
  Si la contraseña contiene otros caracteres especiales, se produce un error en la instalación del servicio de autenticación Kerberos.
  
  Escriba el Nombre de usuario con el formato DOMAIN\username, como EXAMPLE\administrator. También puede hacer clic en Examinar y seleccionar el dominio y el usuario.
  
  Nota: Si no puede encontrar dominios o usuarios al hacer clic en Examinar, escríbalos en el cuadro de texto en el formato especificado anteriormente.
  
  Nota: La página Especificar cuenta de servicio solo aparece si se está instalando el servicio de autenticación Kerberos o el servicio de aplicaciones virtuales.
11. En la página Listo para instalar el programa, revise sus selecciones y haga clic en Instalar.
  La instalación tarda unos minutos.
  Precaución: Al final del proceso de instalación, es posible que se le solicite reiniciar el sistema. No reinicie el sistema si va a instalar Connector 21.08 en un servidor de Connector 19.03.x como parte de la migración del conector. Reinicie el sistema solo después de que se complete todo el proceso de migración del conector.
Una vez completada correctamente la instalación, compruebe que los servicios se ejecuten en el servidor Windows.
Nombres de servicios:
- Servicio de sincronización de directorios de VMware
- Servicio de autenticación de usuario de VMware
- Servicio de autenticación Kerberos de VMware
- Servicio de aplicaciones virtuales de VMware
Vaya a la consola de Workspace ONE Access y actualice la página Conectores para comprobar que los nuevos servicios aparezcan y estén en estado Activo.
Si se produce un error en la instalación, elimine el instalador y el archivo de configuración que descargó de la consola de Workspace ONE Access y, a continuación, vuelva a iniciar el proceso de instalación.

Resultados

Después de una instalación correcta, los servicios empresariales instalados se registran en el arrendatario de Workspace ONE Access y se muestran en la página Conectores de la consola de Workspace ONE Access.

Por ejemplo:

Todos los servicios de conn1.example.com muestran el estado Activo y verde.

Qué hacer a continuación

En la consola de Workspace ONE Access, configure los servicios empresariales que instaló. Para obtener información sobre cómo integrar directorios mediante el servicio de sincronización de directorios, consulte Integración de directorios con VMware Workspace ONE Access. Para obtener información sobre cómo configurar la autenticación mediante el servicio de autenticación de usuario o de autenticación Kerberos, consulte Administrar los métodos de autenticación de usuario en VMware Workspace ONE Access. Para obtener información sobre la integración de aplicaciones virtuales de Horizon y Citrix con el servicio de aplicaciones virtuales, consulte Configurar recursos en VMware Workspace ONE Access.
(Solo el servicio de autenticación Kerberos) Si utiliza el certificado autofirmado generado por Workspace ONE Access para el servicio de autenticación Kerberos, debe agregar el certificado raíz generado por Workspace ONE Access a los almacenes de confianza de los clientes. Puede obtener el certificado raíz, root_ca.per, de INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf.
Si bien se puede utilizar el certificado autofirmado con fines de prueba, se recomienda utilizar certificados SSL de confianza firmados por una entidad de certificación pública o interna para la fase de producción. Consulte Cargar un certificado SSL para Workspace ONE Access Connector (solo servicio de autenticación Kerberos).