Agregar o modificar servicios empresariales en Workspace ONE Access Connector (solo Workspace ONE Access en la nube)

Puede actualizar la instalación de Workspace ONE AccessConnector para agregar o modificar servicios empresariales en cualquier momento. Vuelva a ejecutar el instalador para realizar cambios.

Puede realizar los siguientes cambios:

Agregar los servicios de sincronización de directorios, autenticación de usuario, autenticación Kerberos o aplicaciones virtuales
Especificar puertos personalizados para cada servicio
Configurar un servidor proxy
Configurar un servidor syslog
Instalar certificados raíz de confianza
(Solo el servicio de autenticación Kerberos) Instalar un certificado SSL de confianza para el servicio de autenticación Kerberos
(Solo servicios de aplicaciones virtuales y de autenticación Kerberos) Configure los servicios de aplicaciones virtuales y autenticación Kerberos para que se ejecuten como una cuenta de usuario de dominio

Nota: También puede eliminar un servicio del conector. Para ello, vuelva a ejecutar el instalador, ya que no puede eliminar un servicio al mismo tiempo que agrega y modifica servicios. Consulte Eliminar un servicio empresarial de Workspace ONE Access Connector (solo Workspace ONE Access en la nube).

Requisitos previos

Tenga en cuenta que, en una instalación de conector, todos los servicios empresariales se conectan al mismo arrendatario de Workspace ONE Access. Cuando se modifica una instalación existente para agregar un servicio, se utiliza automáticamente el archivo de configuración que se descargó del arrendatario para la instalación original.
Si desea modificar la configuración existente, primero suspenda los servicios empresariales desde la consola de Workspace ONE Access. En un arrendatario de nube Workspace ONE Access con la opción Nueva navegación activada, vaya a la página Integraciones > Conectores. En un arrendatario con la opción Nueva navegación desactivada, vaya a la página Administración de acceso e identidad > Configurar > Conectores. Haga clic en el nombre del conector y haga clic en Administrar, y haga clic en los botones de opción para suspender cada servicio.

Procedimiento

Inicie sesión en el servidor Windows en el que se instaló Workspace ONE Access Connector.
Vaya a la carpeta que contiene el instalador del conector y haga doble clic en el archivo Installer.exe de Workspace ONE Access Connector.
En la página de bienvenida, haga clic en Siguiente.
En la página Mantenimiento del programa, seleccione la opción Agregar o quitar servicios y, a continuación, haga clic en Siguiente.
En la página Selección del servicio, seleccione los servicios que desea agregar (si los hay) y haga clic en Siguiente.
Si se muestra la página Especificar archivo de configuración, seleccione el mismo archivo de configuración que descargó del arrendatario de Workspace ONE Access para la instalación original.
La página Especificar archivo de configuración solo se muestra si se seleccionaron servicios para agregar.

Realice los cambios en las páginas correspondientes del asistente.

Opción	Acción
Actualizar los puertos en los que se ejecutan los servicios empresariales	En la página Especificar puertos, introduzca el puerto para cada servicio. La conectividad de entrada solo es necesaria para el puerto del servicio de autenticación Kerberos. No se requiere para los puertos del servicio de autenticación de usuario y del servicio de sincronización de directorios. Puertos predeterminados: Servicio de autenticación de usuario: 8090 Servicio de sincronización de directorios: 8080 Servicio de autenticación Kerberos: 443 Servicio de aplicaciones virtuales: 8008
Cargar un certificado SSL de confianza para el servidor del conector	En la página Instalar certificados SSL, active la casilla ¿Desea utilizar su propio certificado SSL?, haga clic en Examinar y seleccione el certificado. El formato del archivo de certificado debe ser PEM o PFX. Si el formato del archivo es PEM, cargue también el archivo de clave. Si el formato del archivo es PFX, introduzca también la contraseña del certificado. Para obtener más información sobre los requisitos de certificados, consulte Cargar un certificado SSL para el servicio de autenticación Kerberos (solo Workspace ONE Access en la nube). Importante: Se requiere un certificado SSL de confianza para el servicio de autenticación Kerberos. Cuando no se carga un certificado SSL de confianza, se genera automáticamente un certificado autofirmado. Para utilizar este certificado autofirmado generado de Workspace ONE Access, deberá agregar el certificado raíz generado por Workspace ONE Access a los almacenes de confianza de los clientes. Puede obtener el certificado raíz, root_ca.per, de `INSTALLDIR`\Workspace ONE Access\Kerberos Auth Service\conf después de la instalación. Si bien se puede utilizar el certificado autofirmado con fines de prueba, para la fase producción se recomienda usar certificados SSL de confianza firmados por una entidad de certificación (CA) pública o interna.
Cargar o eliminar certificados raíz de confianza desde el almacén de confianza	En la página Instalar certificados raíz de confianza: Para cargar un certificado, haga clic en Examinar y seleccione el certificado. Para eliminar un certificado, selecciónelo y haga clic en Eliminar. Para ver un certificado instalado, haga clic en Ver certificado. El conector podrá establecer conexiones seguras con los servidores cuya cadena de certificados incluya alguno de los certificados agregados al almacén de confianza. Algunos de los escenarios para cargar certificados al almacén de confianza son: (Solo el servicio de autenticación Kerberos) Si implementa varias instancias del servicio de autenticación Kerberos detrás de un equilibrador de carga, debe instalar el certificado de CA raíz del equilibrador de carga en las instancias del conector para establecer la confianza entre los conectores y el equilibrador de carga. (Solo servicio de aplicaciones virtuales) Si crea colecciones de aplicaciones virtuales para integrarlas con VMware Horizon, Horizon Cloud Service on Microsoft Azure con agente de pod único u Horizon Cloud Service on IBM Cloud, y los servidores de Horizon tienen certificados autofirmados, debe cargar la cadena de certificados en las instancias del conector en las que está instalado el servicio de aplicaciones virtuales para establecer la confianza entre los conectores y las instancias de Horizon Connection Server. Si los servidores de Horizon tienen certificados firmados por una CA pública, no es necesario que cargue los certificados en el almacén de confianza del conector. Se recomienda encarecidamente utilizar certificados firmados por una CA pública.
Especificar un servidor proxy	En la página Especificar información del servidor proxy, introduzca un servidor proxy si es necesario. Los servicios empresariales acceden a servicios web en Internet. Si la configuración de red proporciona acceso a Internet a través de un proxy HTTP, debe introducir un servidor proxy. Consulte Requisitos del sistema de Workspace ONE Access Connector 22.05 (solo Workspace ONE Access en la nube) para obtener información acerca de los proxies compatibles. También puede especificar una lista de hosts que no son de proxy, los hosts que se deben alcanzar directamente sin pasar por el servidor proxy. Active la casilla Habilitar proxy. Escriba el nombre de host, especificado como un nombre de dominio completo (FQDN) o la dirección IP del servidor proxy. Introduzca el puerto del servidor proxy. Si desea especificar cualquier host que no sea de proxy, hosts a los que deba accederse directamente sin pasar por el servidor proxy, introduzca el FQDN y los puertos en el cuadro de texto Hosts que no son de proxy. Utilice el siguiente formato, con cada entrada separada por `\|`: `host1\|host2` Si el servidor proxy requiere autenticación, seleccione Básica, e introduzca el nombre de usuario y la contraseña del servidor proxy.
Especificar un servidor syslog externo para almacenar mensajes de eventos en el nivel de aplicación	En la página Especificar información del servidor syslog, active la casilla Habilitar syslog e introduzca la dirección IP o el FQDN y el puerto del servidor syslog. Para especificar un único servidor syslog, utilice el siguiente formato: `host`:`port` Para especificar varios servidores syslog, utilice el siguiente formato: `host`:`port`,`host`:`port`,`host`:`port` donde `host` es el nombre de dominio completo o la dirección IP del servidor syslog y `puerto` es el número de puerto. Por ejemplo: syslog1.example.com:54 o syslog1.example.com:514,syslog2.example.com:601,syslog3.example.com:163 Nota: Solo los eventos en el nivel de aplicación se exportan al servidor syslog. Los eventos del sistema operativo no se exportan.
Para especificar o cambiar la cuenta de usuario de dominio utilizada para ejecutar los servicios de autorización Kerberos y aplicaciones virtuales	Se requiere una cuenta de usuario de dominio para ejecutar los servicios de autorización Kerberos y aplicaciones virtuales. En la página Cuenta de servicio, introduzca el nombre de usuario y la contraseña de la cuenta de usuario de dominio con el formato `DOMAIN\username`, como `EXAMPLE\administrator`. También puede hacer clic en Examinar y seleccionar el dominio y el usuario. Si no puede encontrar dominios o usuarios al hacer clic en Examinar, escríbalos en el cuadro de texto en el formato especificado anteriormente. Importante: El servicio de autenticación Kerberos solo admite los siguientes caracteres especiales en la contraseña de la cuenta de usuario de dominio: `! ( & % @ / = ? * , .` Si la contraseña contiene otros caracteres especiales, se produce un error en la instalación del servicio de autenticación Kerberos.

En la página Listo para instalar el programa, revise sus selecciones y haga clic en Instalar.

Importante: Si cargó algún certificado, asegúrese de seleccionar la opción para reiniciar todos los servicios.

Qué hacer a continuación

Se actualizará la instalación. Los nuevos servicios se registran con el arrendatario de Workspace ONE Access. Actualice la página Conectores en la consola de Workspace ONE Access para ver la lista actualizada de servicios.