Instalar Workspace ONE Access Connector

Para instalar los servicios de sincronización de directorios, autenticación de usuario, autenticación Kerberos o aplicaciones virtuales, ejecute el instalador de Workspace ONE Access Connector en un servidor Windows que cumpla con todos los requisitos y seleccione los servicios que desea instalar.

Puede elegir entre una instalación predeterminada rápida que utilice valores predeterminados en la mayoría de los ajustes o una instalación personalizada que permita la configuración de varias opciones.

Instalación predeterminada	Instalación personalizada
Usa los siguientes puertos predeterminados: Servicio de autenticación de usuario: 8090 Servicio de sincronización de directorios: 8080 Servicio de autenticación Kerberos: 443 Servicio de aplicaciones virtuales: 8008 Nota: Los servicios se ejecutan en estos puertos. Solo el puerto del servicio de autenticación Kerberos requiere conectividad entrante.	Permite especificar puertos personalizados para los servicios. Nota: Los servicios se ejecutan en estos puertos. Solo el puerto del servicio de autenticación Kerberos requiere conectividad entrante.
Genera automáticamente un certificado autofirmado para el conector.	Permite instalar un certificado SSL de confianza para el conector (obligatorio en el servicio de autenticación Kerberos).
	Permite cargar certificados raíz de confianza en el almacén de confianza. Algunos de los escenarios para cargar certificados al almacén de confianza son: (Solo instalaciones locales) Si la instancia de servicio local de Workspace ONE Access tiene un certificado autofirmado, debe cargar su certificado raíz y, si es necesario, su certificado intermedio para establecer la confianza entre los servicios empresariales y la instancia de servicio de Workspace ONE Access. (Solo el servicio de autenticación Kerberos) Si implementa varias instancias del servicio de autenticación Kerberos detrás de un equilibrador de carga, debe instalar el certificado de CA raíz del equilibrador de carga en las instancias del conector para establecer la confianza entre los conectores y el equilibrador de carga. (Solo servicio de aplicaciones virtuales) Si crea colecciones de aplicaciones virtuales para integrarlas con VMware Horizon, Horizon Cloud Service on Microsoft Azure con agente de pod único u Horizon Cloud Service on IBM Cloud, y los servidores de Horizon tienen certificados autofirmados, debe cargar la cadena de certificados en las instancias del conector en las que está instalado el servicio de aplicaciones virtuales para establecer la confianza entre los conectores y las instancias de Horizon Connection Server.
	Permite configurar un servidor proxy.
	Permite configurar un servidor syslog.
	Permite seleccionar opciones relacionadas con la agregación de varios sitios y el filtrado de palabras clave para las colecciones de aplicaciones virtuales de Citrix

Independientemente del tipo de instalación que elija, puede volver a ejecutar el instalador más adelante y modificar todos los ajustes.

Durante la instalación, OpenJDK 11 también se instala en el servidor.

Requisitos previos

Consulte Requisitos previos para instalar Workspace ONE Access Connector.
Descargue los archivos de la consola de Workspace ONE Access como parte del proceso de instalación. Es posible que deba utilizar un navegador distinto de Internet Explorer para descargar los archivos, ya que la configuración predeterminada de Internet Explorer puede impedir la descarga.

Procedimiento

Descargue el instalador de Workspace ONE Access Connector y un archivo de configuración de la consola de Workspace ONE Access.
1. Inicie sesión en la consola de Workspace ONE Access como administrador del dominio del sistema.
  
  Sugerencia: En las implementaciones de nube, el administrador del dominio del sistema es el administrador cuyas credenciales se reciben al obtener el arrendatario de Workspace ONE Access. En las implementaciones locales, el administrador del dominio del sistema es el usuario administrador que se crea al instalar una instancia de Workspace ONE Access.
2. Seleccione Integraciones > Conectores.
3. Haga clic en Nuevo.
  Aparece el asistente Agregar nuevo conector.
4. En la página Descargar instalador del asistente, haga clic en IR A MYVMWARE.COM.
  La página web de VMware Customer Connect aparece en una nueva ventana. Mantenga el asistente abierto, ya que volverá a él después de descargar el instalador.
5. Inicie sesión en VMware Customer Connect y descargue el archivo Workspace-ONE-Access-Connector-Installer-23.09.exe desde la página de descarga de Workspace ONE Access Connector.
6. Vuelva a la consola de Workspace ONE Access y haga clic en Siguiente en la página Descargar instalador del asistente Agregar nuevo conector.
7. Genere el archivo de configuración. Para ello, cree una contraseña y haga clic en Descargar el archivo de configuración.
  El archivo de configuración se utiliza para establecer la comunicación entre los servicios empresariales que se instalen y el arrendatario de Workspace ONE Access. El nombre predeterminado del archivo es es-config.json.
  Importante:
  - La contraseña debe tener un mínimo de 14 caracteres e incluir al menos un número, un carácter en mayúscula y un carácter especial. Solo se permiten los siguientes caracteres especiales:
    @ ! , # $ { } ( ) _ + . < > ? *
    Todos los caracteres deben ser caracteres ASCII visibles imprimibles.
  - Anote la contraseña. Debe introducir la contraseña y la ruta de acceso al archivo de configuración cuando ejecute el instalador del conector.
    El archivo de configuración y su contraseña también son necesarios para futuras actualizaciones del conector. Guarde la contraseña de forma segura para usarla en el futuro. Si no tiene la contraseña al actualizar el conector, puede generar un nuevo archivo de configuración.
  Precaución: El archivo de configuración contiene información confidencial, como la URL de arrendatario, el identificador de arrendatario, el identificador de cliente y el secreto de cliente para cada uno de los servicios empresariales, así como el hash de contraseña. Es fundamental que no comparta el archivo ni lo exponga públicamente.
8. Después de descargar el archivo de configuración, haga clic en Siguiente en el asistente.
Copie el archivo instalador y el archivo de configuración en el servidor Windows en el que desea instalar los servicios.
Haga doble clic en el archivo del instalador para ejecutar el asistente de instalación de Workspace ONE Access Connector.
El instalador comprueba los requisitos en el servidor. Si .NET Framework no está instalado o no coincide con la versión requerida, se le pedirá que lo instale y que reinicie el servidor. Una vez completada la instalación de .NET Framework, vuelva a ejecutar el instalador para reanudar el proceso de instalación.
En la página de bienvenida, haga clic en Siguiente.
Lea y acepte el acuerdo de licencia, y haga clic en Siguiente.
Seleccione los servicios que desea instalar.

De forma predeterminada, los servicios se instalan en C:\Archivos de programa. Para cambiar la carpeta de instalación, haga clic en Cambiar y seleccione la carpeta.
Haga clic en Siguiente.
En la página Especificar archivo de configuración, realice las siguientes acciones.
1. Seleccione el archivo de configuración que ha descargado de la consola de Workspace ONE Access.
  Si el archivo de configuración se encuentra en la misma carpeta que el instalador y tiene el nombre predeterminado es-config.json, se mostrará automáticamente en el cuadro de texto.
2. Introduzca la contraseña que estableció para el archivo de configuración al generarlo.
3. Si desea instalar el conector en modo FIPS, seleccione la casilla de verificación Habilitar FIPS.
  FIPS hace referencia al Estándar federal de procesamiento de información, que especifica los requisitos de seguridad para los módulos criptográficos. Antes de seleccionar esta opción, consulte Workspace ONE Access Connector y el modo FIPS (solo Workspace ONE Access FedRAMP) para conocer los requisitos del modo FIPS.
  Precaución:
  - Workspace ONE Access Connector en modo FIPS solo es compatible con arrendatarios de Workspace ONE Access FedRAMP. Los otros tipos de arrendatarios e instalaciones locales de Workspace ONE Access no admiten Connector en modo FIPS.
  - No seleccione la opción Habilitar FIPS si va a migrar desde conectores heredados de la versión 19.03.x o versiones anteriores a Connector 23.09. El modo FIPS no se admite en un escenario de migración.
  - Después de la instalación, no puede cambiar del modo FIPS al modo no FIPS o del modo no FIPS al modo FIPS. Tome su decisión según corresponda.
Seleccione la instalación Predeterminada o Personalizada.
Si seleccionó la instalación Predeterminada, siga estos pasos.
1. (Solo servicio de autenticación Kerberos y servicio de aplicaciones virtuales) En la página Especificar cuenta de servicio, especifique el nombre de usuario y la contraseña de la cuenta de usuario de dominio que se va a utilizar para ejecutar el servicio de autenticación Kerberos y el servicio de aplicaciones virtuales.
  
  Escriba el Nombre de usuario con el formato DOMAIN\username, como EXAMPLE\administrator. También puede hacer clic en Examinar y seleccionar el dominio y el usuario.
  
  Si no puede encontrar dominios o usuarios al hacer clic en Examinar, escríbalos en el cuadro de texto en el formato requerido.
  
  Importante: El servicio de autenticación Kerberos solo admite los siguientes caracteres especiales en la contraseña de la cuenta de usuario de dominio:
  ! ( & % @ / = ? * , . #
  
  Si la contraseña contiene otros caracteres especiales, se produce un error en la instalación del servicio de autenticación Kerberos.
  
  Nota: La página Especificar cuenta de servicio solo aparece si se está instalando el servicio de autenticación Kerberos o el servicio de aplicaciones virtuales.
2. Haga clic en Siguiente.
3. En la página Listo para instalar el programa, revise sus selecciones y haga clic en Instalar.
  
  La instalación tarda unos minutos.
  Precaución: Al final del proceso de instalación, es posible que se le solicite reiniciar el sistema. No reinicie el sistema si va a instalar Connector en un servidor de Connector 19.03.x como parte de la migración del conector. Reinicie el sistema solo después de que se complete todo el proceso de migración del conector.
Si seleccionó la instalación Personalizada, siga estos pasos.
1. En la página Especificar información del servidor proxy, introduzca un servidor proxy si es necesario.
  Los servicios empresariales acceden a servicios web en Internet. Si la configuración de red proporciona acceso a Internet a través de un proxy HTTP, debe introducir un servidor proxy. Consulte Requisitos de los sistemas Workspace ONE Access Connector 23.09 para obtener información acerca de los proxies compatibles.
  También puede especificar una lista de hosts que no son de proxy, los hosts que se deben alcanzar directamente sin pasar por el servidor proxy.
  1. Active la casilla Habilitar proxy.
  2. Escriba el nombre de host, especificado como un nombre de dominio completo (FQDN) o la dirección IP del servidor proxy.
  3. Introduzca el puerto del servidor proxy.
  4. Si desea especificar cualquier host que no sea de proxy, hosts a los que deba accederse directamente sin pasar por el servidor proxy, introduzca el FQDN o la dirección IP en el cuadro de texto Hosts que no son de proxy. Utilice el siguiente formato, con cada entrada separada por |:
    host1|host2
  5. Si el servidor proxy requiere autenticación, seleccione Básica, e introduzca el nombre de usuario y la contraseña del servidor proxy.
2. Haga clic en Siguiente.
3. En la página Especificar servidor syslog, si desea utilizar uno o más servidores syslog externos para almacenar los mensajes de eventos en el nivel de la aplicación, seleccione la opción Habilitar syslog e introduzca cada dirección IP o FQDN, y puerto, del servidor syslog.
  
  Para especificar un único servidor syslog, utilice el siguiente formato:
  
  host:puerto
  
  Para especificar varios servidores syslog, utilice el siguiente formato:
  
  host:puerto,host:puerto,host:puerto
  
  donde host es el nombre de dominio completo o la dirección IP del servidor syslog y puerto es el número de puerto. Por ejemplo:
  
  syslog1.example.com:54
  
  o
  
  syslog1.example.com:514,syslog2.example.com:601,syslog3.example.com:163
  
  Nota: Solo los eventos en el nivel de aplicación se exportan a los servidores syslog. Los eventos del sistema operativo no se exportan.
4. Haga clic en Siguiente.
5. (Solo el servicio de aplicaciones virtuales) En la página Configuración de Citrix, si tiene pensado integrar Workspace ONE Access con un entorno de Citrix que tenga configurada la agregación de varios sitios o el filtrado de palabras clave, seleccione las opciones que se aplican a su escenario.
  - Habilitar sesión de PowerShell restringida de Citrix StoreFront
    Seleccione esta opción solo si el entorno de Citrix restringe los comandos de PowerShell que se pueden ejecutar en StoreFront de forma remota. Si selecciona esta opción también debe crear un archivo de configuración de sesión de PowerShell en StoreFront para permitir que el servicio de aplicaciones virtuales ejecute los comandos limitados necesarios para la agregación de varios sitios y el filtrado de palabras clave. En el cuadro de texto Nombre de la configuración, introduzca el nombre de la configuración que especificó al crear el archivo de configuración de sesión, sin la extensión. Solo se permiten caracteres alfanuméricos en el nombre.
  - Deshabilitar la carga automática de módulos de StoreFront de Citrix
    El servicio de aplicaciones virtuales carga ciertos módulos en StoreFront para admitir el filtrado de palabras clave. Si no desea que el servicio de aplicaciones virtuales cargue los módulos, seleccione esta opción. Los comandos requeridos se ejecutarán a través de la configuración de la sesión de PowerShell restringida.
  Consulte Configurar la agregación de varios sitios y el filtrado de palabras clave de Citrix en Workspace ONE Access en Configurar recursos en Workspace ONE Access para obtener más información.
6. En la página Instalar certificados raíz de confianza, cargue certificados de CA intermedios o raíz en el almacén de confianza, si es necesario.
  El conector podrá establecer conexiones seguras con los servidores y los clientes cuya cadena de certificados incluya alguno de estos certificados. Algunos de los escenarios para cargar certificados al almacén de confianza son:
  - (Solo las instalaciones locales) Si la instancia de servicio local de Workspace ONE Access tiene un certificado autofirmado que instaló, debe cargar su certificado raíz y, si es necesario, su certificado intermedio para establecer la confianza entre los servicios empresariales y la instancia de servicio de Workspace ONE Access.
  - (Solo el servicio de autenticación Kerberos) Si implementa varias instancias del servicio de autenticación Kerberos detrás de un equilibrador de carga, debe instalar el certificado de CA raíz del equilibrador de carga en las instancias del conector para establecer la confianza entre los conectores y el equilibrador de carga.
  - (Solo servicio de aplicaciones virtuales) Si crea colecciones de aplicaciones virtuales para integrarlas con VMware Horizon, Horizon Cloud Service on Microsoft Azure con agente de pod único u Horizon Cloud Service on IBM Cloud, y los servidores de Horizon tienen certificados autofirmados, debe cargar la cadena de certificados en las instancias del conector en las que está instalado el servicio de aplicaciones virtuales para establecer la confianza entre los conectores y las instancias de Horizon Connection Server. Si los servidores de Horizon tienen certificados firmados por una CA pública, no es necesario que cargue los certificados en el almacén de confianza del conector. Se recomienda encarecidamente utilizar certificados firmados por una CA pública.
  También puede cargar certificados raíz de confianza más adelante, después de la instalación.
7. Haga clic en Siguiente.
8. Revise los puertos predeterminados en los que se ejecutan los servicios empresariales y especifique puertos diferentes si otras aplicaciones utilizan estos puertos.
  
  El puerto del servicio de autenticación Kerberos requiere conectividad entrante. Los puertos de autenticación de usuario, sincronización de directorios y aplicaciones virtuales no requieren conectividad entrante.
9. (Solo el servicio de autenticación Kerberos) En la página Certificado SSL para el servicio de autenticación Kerberos, seleccione el certificado que desea utilizar para el servidor del conector.
  Se requiere un certificado SSL de confianza firmado por una entidad de certificación pública o interna para el servicio de autenticación Kerberos. Cuando no se carga un certificado SSL de confianza durante la instalación, se genera automáticamente un certificado autofirmado. Puede cargar un certificado SSL de confianza más adelante.
  - Para cargar un certificado SSL de confianza, active la casilla ¿Desea utilizar su propio certificado SSL?, haga clic en Examinar y seleccione el archivo de certificado.
    El formato del archivo de certificado debe ser PEM o PFX. Si carga un archivo PEM, también debe cargar la clave privada. Si carga un archivo PFX, también debe especificar la contraseña del certificado. Para obtener información sobre los requisitos de certificados, consulte Cargar un certificado SSL para el servicio de autenticación Kerberos.
  - Para utilizar el certificado autofirmado generado automáticamente, desactive la casilla ¿Desea utilizar su propio certificado SSL?.
    Nota: Si utiliza el certificado autofirmado generado de Workspace ONE Access, deberá agregar el certificado raíz generado por Workspace ONE Access a los almacenes de confianza de los clientes. Puede obtener el certificado raíz, root_ca.per, de INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf después de la instalación.
    Si bien se puede utilizar el certificado autofirmado con fines de prueba, se recomienda utilizar certificados SSL de confianza firmados por una entidad de certificación pública o interna para la fase de producción.
10. Haga clic en Siguiente.
11. (Solo servicio de autenticación Kerberos y servicio de aplicaciones virtuales) En la página Especificar cuenta de servicio, especifique el nombre de usuario y la contraseña de la cuenta de usuario de dominio que se va a utilizar para ejecutar el servicio de autenticación Kerberos y el servicio de aplicaciones virtuales.
  
  Importante: El servicio de autenticación Kerberos solo admite los siguientes caracteres especiales en la contraseña de la cuenta de usuario de dominio:
  ! ( & % @ / = ? * , . #
  
  Si la contraseña contiene otros caracteres especiales, se produce un error en la instalación del servicio de autenticación Kerberos.
  
  Escriba el Nombre de usuario con el formato DOMAIN\username, como EXAMPLE\administrator. También puede hacer clic en Examinar y seleccionar el dominio y el usuario.
  
  Nota: Si no puede encontrar dominios o usuarios al hacer clic en Examinar, escríbalos en el cuadro de texto en el formato especificado anteriormente.
  
  Nota: La página Especificar cuenta de servicio solo aparece si se está instalando el servicio de autenticación Kerberos o el servicio de aplicaciones virtuales.
12. En la página Listo para instalar el programa, revise sus selecciones y haga clic en Instalar.
  La instalación tarda unos minutos.
  Precaución: Al final del proceso de instalación, es posible que se le solicite reiniciar el sistema. No reinicie el sistema si va a instalar Connector en un servidor de Connector 19.03.x como parte de la migración del conector. Reinicie el sistema solo después de que se complete todo el proceso de migración del conector.
Una vez completada correctamente la instalación, compruebe que los servicios se ejecuten en el servidor Windows.
Nombres de servicios:
- Servicio de sincronización de directorios de VMware
- Servicio de autenticación de usuario de VMware
- Servicio de autenticación Kerberos de VMware
- Servicio de aplicaciones virtuales de VMware
Vaya a la consola de Workspace ONE Access y actualice la página Conectores para comprobar que los nuevos servicios aparezcan y estén en estado Activo.
Si se produce un error en la instalación, elimine el instalador y el archivo de configuración que descargó de la consola de Workspace ONE Access y, a continuación, vuelva a iniciar el proceso de instalación.

Resultados

Después de una instalación correcta, los servicios empresariales instalados se registran en el arrendatario de Workspace ONE Access y se muestran en la página Conectores de la consola de Workspace ONE Access.

Por ejemplo:

La página Conectores enumera el conector y todos los servicios instalados. El estado es Activo, de color verde, y la versión es 23.09.

Qué hacer a continuación

En la consola de Workspace ONE Access, configure los servicios empresariales que instaló. Para obtener información sobre cómo integrar directorios mediante el servicio de sincronización de directorios, consulte Integración de directorios con VMware Workspace ONE Access. Para obtener información sobre cómo configurar la autenticación mediante el servicio de autenticación de usuario o de autenticación Kerberos, consulte Administrar los métodos de autenticación de usuario en VMware Workspace ONE Access. Para obtener información sobre la integración de Horizon, Horizon Cloud Service on Microsoft Azure con agente de pod único u Horizon Cloud Service on IBM Cloud, Citrix o aplicaciones virtuales de ThinApp mediante el servicio de aplicaciones virtuales, consulte Configurar recursos en VMware Workspace ONE Access.
(Solo el servicio de autenticación Kerberos) Si utiliza el certificado autofirmado generado por Workspace ONE Access para el servicio de autenticación Kerberos, debe agregar el certificado raíz generado por Workspace ONE Access a los almacenes de confianza de los clientes. Puede obtener el certificado raíz, root_ca.per, de INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf.
Si bien se puede utilizar el certificado autofirmado con fines de prueba, se recomienda utilizar certificados SSL de confianza firmados por una entidad de certificación pública o interna para la fase de producción. Consulte Cargar un certificado SSL para el servicio de autenticación Kerberos.