Para implementar Workspace ONE Access Connector, que incluye el servicio de sincronización de directorios, el servicio de autenticación de usuario, el servicio de autenticación Kerberos y el servicio de aplicaciones virtuales como componentes, asegúrese de que el servidor Windows cumpla con los requisitos necesarios. Algunos requisitos varían según el servicio que se está instalando.

Compatibilidad entre el servicio de Workspace ONE Access y Connector

Puede usar Workspace ONE Access Connector con el servicio de nube de Workspace ONE Access o con el dispositivo virtual de servicio de Workspace ONE Access local.

Con el servicio de nube de Workspace ONE Access, puede utilizar todas las versiones compatibles de Connector. Sin embargo, se recomienda utilizar la versión más reciente de Connector.

Con una instalación local de Workspace ONE Access, puede utilizar las versiones de Connector compatibles que sean iguales o inferiores a la versión del servicio de Workspace ONE Access. Por ejemplo, con el servicio de Workspace ONE Access 22.09, puede utilizar Connector 22.09 y versiones anteriores. No se puede utilizar una versión de conector que sea superior a la versión del servicio. Por ejemplo, no puede usar Connector 22.09 con el servicio 21.08. Se recomienda utilizar la última versión disponible de Connector.

Para obtener más información sobre las versiones compatibles, consulte https://www.vmware.com/support/policies/lifecycle.html.

Número de servidores necesarios

Puede instalar los servicios de sincronización de directorios, autenticación de usuario, autenticación Kerberos y aplicaciones virtuales juntos en un solo servidor Windows o instalarlos en servidores separados en cualquier combinación, según sus preferencias. Para instalar todos los servicios juntos, necesita un servidor más eficaz. Para instalar los servicios por separado, debe obtener varios servidores.

Si desea configurar la alta disponibilidad para alguno de los servicios, necesita varios servidores.

Tenga en cuenta, también, que el servicio de autenticación Kerberos requiere conectividad entrante, a diferencia de los otros servicios.

Importante: Si instala varios servicios en un solo servidor, asegúrese de que el servidor cumpla los requisitos de memoria, recursos informáticos y almacenamiento especificados en las directrices de tamaño. En particular, si instala los servicios de sincronización de directorios y aplicaciones virtuales en el mismo servidor, debe asegurarse de que el servidor tenga suficiente memoria y vCPU para ambos servicios. Consulte las directrices de tamaño para obtener más información.

Requisitos de hardware

Asegúrese de que el servidor Windows cumpla los siguientes requisitos de hardware.

  • Procesador: CPU Intel(R) Xeon(R) E5-2650 0 de 2,00 GHZ (2 procesadores) de 64 bits o superior
Tabla 1. Directrices de tamaño solo para el servicio de sincronización de directorios
Tamaño de la implementación Requisitos de hardware para el servidor del servicio de sincronización de directorios Número de usuarios y grupos
Pequeño

2 vCPU, 8 GB de RAM, 40 GB de espacio de disco

Asignación de memoria de Java para el servicio de sincronización de directorios: xmx=4g

Hasta 50.000 usuarios y 500 grupos
Mediano

4 vCPU, 8 GB de RAM, 40 GB de espacio de disco

Asignación de memoria de Java para el servicio de sincronización de directorios: xmx=4g

Hasta 100.000 usuarios y 1.000 grupos
Grande

8 vCPU, 12 GB de RAM, 40 GB de espacio de disco

Asignación de memoria de Java para el servicio de sincronización de directorios: xmx=8g

Hasta 200.000 usuarios y 2.000 grupos
Tabla 2. Directrices de tamaño solo para el servicio de autenticación de usuario o el servicio de autenticación Kerberos
Tamaño de la implementación Requisitos de hardware para el servidor del servicio de autenticación de usuario o de autenticación Kerberos Servicio de autenticación de usuario Servicio de autenticación Kerberos
Pequeño/Mediano/Grande

2 vCPU, 4 GB de RAM, 40 GB de espacio de disco

Asignación de memoria de Java para el servicio de autenticación de usuario o el servicio de autenticación Kerberos: xmx=1g

Autenticaciones de contraseñas: 390-480/min

Flujo activo de WSFed: 720-900/min

Autenticaciones Kerberos: 420-480/min
Nota: Los nodos de los servicios de autenticación de usuario y de autenticación Kerberos no se pueden ampliar verticalmente. Para aumentar el rendimiento, agregue más nodos.
Tabla 3. Directrices de tamaño solo para el servicio de aplicaciones virtuales
Tamaño de la implementación Requisitos de hardware para el servidor del servicio de aplicaciones virtuales Número de aplicaciones y autorizaciones virtuales
Pequeño/Mediano/Grande

2 vCPU, 4 GB de RAM, 40 GB de espacio de disco

Asignación de memoria de Java para el servicio de aplicaciones virtuales: xmx = 1g

Hasta 500 aplicaciones virtuales con 125.000 autorizaciones
Nota: Para las integraciones de Citrix, se admite un máximo de 630 autorizaciones de usuario o grupo para cada recurso.
Tabla 4. Directrices de tamaño para todos los servicios instalados en un único servidor
Tamaño de la implementación Requisitos de hardware Número de usuarios y grupos
Pequeño

4 vCPU, 12 GB de RAM, 50 GB de espacio de disco

Asignación de memoria de Java:

Servicio de sincronización de directorios: xmx=4g

Servicio de autenticación Kerberos: xmx=1g

Servicio de autenticación de usuario: xmx=1g

Servicio de aplicaciones virtuales: xmx = 1g

Hasta 100.000 usuarios y 1.000 grupos
Mediano

8 vCPU, 16 GB de RAM, 50 GB de espacio de disco

Asignación de memoria de Java:

Servicio de sincronización de directorios: xmx=8g

Servicio de autenticación Kerberos: xmx=1g

Servicio de autenticación de usuario: xmx=1g

Servicio de aplicaciones virtuales: xmx = 2g

Hasta 200.000 usuarios y 2.000 grupos
Grande

12 vCPU, 32 GB de RAM, 80 GB de espacio de disco

Asignación de memoria de Java:

Servicio de sincronización de directorios: xmx=12g

Servicio de autenticación Kerberos: xmx=1g

Servicio de autenticación de usuario: xmx=1g

Servicio de aplicaciones virtuales: xmx = 2g

Hasta 300.000 usuarios y 3.000 grupos
Nota:
  • Los requisitos de memoria incluyen el sistema operativo y los componentes de conector de VMware. Si planea ejecutar otras aplicaciones o servicios en el servidor, ajuste los requisitos según corresponda.
  • La asignación de memoria de Java indicada para cada servicio hace referencia a la memoria de pila de Java. De forma predeterminada, se asignan 4 GB al servicio de sincronización de directorios, 1 GB al servicio de autenticación de usuario, 1 GB al servicio de autorización Kerberos y 1 GB al servicio de aplicaciones virtuales. Consulte Aumentar la memoria de Java para los servicios empresariales de Workspace ONE Access Connector para obtener información sobre cómo asignar memoria.
  • Los grupos detallados para el servicio de sincronización de directorios son todos de un nivel; cada grupo contiene 500 usuarios y cada usuario está asociado a 5 grupos.
  • Las implementaciones con grupos grandes o grupos anidados requieren más memoria.
  • Para las integraciones de Citrix, se admite un máximo de 630 autorizaciones de usuario o grupo para cada recurso.

Requisitos de software

Asegúrese de que el servidor Windows cumpla los siguientes requisitos de software.

Requisito Notas

Una de las siguientes versiones de Windows Server:

  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016
Todos los servicios empresariales (sincronización de directorios, autenticación de usuario, autenticación Kerberos y servicios de aplicaciones virtuales) se pueden instalar en un conector que se ejecute en Windows Server 2022.
PowerShell Los servidores de Windows incluyen PowerShell de forma predeterminada.
.NET Framework 4.8 o posterior Los servidores de Windows incluyen .NET Framework de forma predeterminada. Workspace ONE Access Connector requiere Microsoft .NET Framework 4.8 o posterior. Si .NET Framework no está instalado o no coincide con la versión requerida, el instalador de Connector le solicitará que instale la versión correcta durante la instalación.
Citrix Studio (Citrix PowerShell SDK) Solo es necesario si va a instalar el servicio de aplicaciones virtuales y tiene planificado integrar aplicaciones y escritorios virtuales de Citrix. Citrix Studio incluye PowerShell SDK, que es necesario para la integración de Citrix con Workspace ONE Access. La versión de Citrix Studio debe ser compatible con la versión de implementación de Citrix. Puede instalar Citrix Studio antes o después de instalar Workspace ONE Access Connector. Para obtener información sobre la instalación de Citrix Studio, consulte la documentación de Citrix.

Requisitos de red

En la siguiente tabla se enumeran los requisitos de puertos para Connector. Para obtener la información más actualizada sobre los puertos, consulte https://ports.vmware.com/home/Workspace-ONE-Access.

Para configurar los puertos detallados, todo el tráfico debe ser unidireccional (saliente) desde el componente de origen hasta el componente de destino. Un servidor proxy saliente o cualquier otro hardware o software de administración de conexión no debe finalizar ni rechazar la conexión saliente desde Workspace ONE Access Connector. La conexión saliente debe permanecer abierta en todo momento.

Origen Destino Puerto Protocolo Notas
Workspace ONE Access Connector Servicio de Workspace ONE Access (en la nube)

Host del servicio de Workspace ONE Access (instalaciones locales)

443 HTTPS

Puerto predeterminado; obligatorio.

Se aplica al servicio de sincronización de directorios, al servicio de autenticación de usuario, al servicio de autenticación Kerberos y al servicio de aplicaciones virtuales.

Workspace ONE Access Connector Equilibrador de carga del servicio de Workspace ONE Access (instalaciones locales) 443 HTTPS Se aplica al servicio de sincronización de directorios, al servicio de autenticación de usuario, al servicio de autenticación Kerberos y al servicio de aplicaciones virtuales.
Navegadores Workspace ONE Access Connector 443 HTTPS Se requiere para el servicio de autenticación Kerberos.
Workspace ONE Access Connector Active Directory 389, 636, 3268, 3269

Puertos predeterminados; estos puertos son configurables.

Se aplica al servicio de sincronización de directorios. También se aplica al servicio de autenticación de usuario si se utiliza la autenticación con contraseña.

Workspace ONE Access Connector Servidor DNS 53 TCP/UDP

Todas las instancias de Connector deben tener acceso al servidor DNS en el puerto 53.

Se aplica al servicio de sincronización de directorios, al servicio de autenticación de usuario, al servicio de autenticación Kerberos y al servicio de aplicaciones virtuales.

Workspace ONE Access Connector Controlador de dominio 88, 464, 135, 445 TCP/UDP Se aplica al servicio de sincronización de directorios y al servicio de autenticación Kerberos.
Workspace ONE Access Connector Servidor RSA SecurID 5555

Puerto predeterminado; este puerto es configurable.

Se aplica al servicio de autenticación de usuario si se utiliza RSA SecurID.

Workspace ONE Access Connector servidor syslog 514 UDP

Puerto predeterminado; este puerto es configurable.

Puerto para el servidor syslog externo (si se configuró). Se aplica al servicio de sincronización de directorios, al servicio de autenticación de usuario, al servicio de autenticación Kerberos y al servicio de aplicaciones virtuales.

Workspace ONE Access Connector Horizon Connection Server 443

Para integraciones de VMware Horizon.

Se aplica solo al servicio de aplicaciones virtuales.

Workspace ONE Access Connector Servidor Citrix StoreFront El puerto configurado para el servidor de Citrix StoreFront

Para la integración con implementaciones de Citrix.

Se aplica solo al servicio de aplicaciones virtuales.

Workspace ONE Access Connector Servidor Citrix XenApp o XenDesktop 443

Para la integración con implementaciones de Citrix.

Se aplica solo al servicio de aplicaciones virtuales.

Navegadores FQDN de acceso de cliente configurados para colecciones de aplicaciones virtuales de Horizon y Citrix Los puertos configurados para los FQDN de acceso de cliente Se aplica solo al servicio de aplicaciones virtuales.

Direcciones IP en la nube de Workspace ONE Access

Consulte https://kb.vmware.com/s/article/68035 para obtener una lista de las direcciones IP del servicio en la nube de Workspace ONE Access a las que Workspace ONE Access Connector debe tener acceso.

Requisitos de las direcciones IP y de los registros DNS

Se requiere una entrada DNS y una dirección IP estática para el conector. Antes de comenzar la instalación, obtenga el registro de DNS y la dirección IP para usar y configurar las opciones de red del servidor Windows.

Asegúrese de seleccionar un nombre de host adecuado y sencillo para el conector si planea instalar el servicio de autenticación Kerberos. Cuando se configura la autenticación Kerberos, los usuarios finales pueden ver el nombre de host de Workspace ONE Access Connector.

La configuración de la búsqueda inversa es opcional. Cuando implemente la búsqueda inversa, debe definir un registro PTR en el servidor DNS para que el conector utilice la configuración de red correcta.

Puede utilizar la siguiente lista de ejemplos de registros de DNS. Sustituya la información de los ejemplos con la información de su entorno. En este ejemplo se muestran los registros de DNS directas y las direcciones IP.

Tabla 5. Ejemplo de registros de DNS directos y direcciones IP
Nombre de dominio Tipo de recurso Dirección IP
miconector.ejemplo.com A 10.28.128.3

En este ejemplo se muestran los registros de DNS inversas y las direcciones IP.

Tabla 6. Ejemplo de registros de DNS inversos y direcciones IP
Dirección IP Tipo de recurso Nombre del host
10.28.128.3 PTR miconector.ejemplo.com

Después de completar la configuración de DNS, compruebe que la búsqueda de DNS inversas está correctamente configurada. Por ejemplo, el comando host IPaddress debe resolverse en la búsqueda del nombre de DNS.

Equilibrador de carga

Para configurar la alta disponibilidad para la autenticación Kerberos, se requiere un equilibrador de carga para Workspace ONE Access Connector.

Sincronización de hora

Es necesario configurar la sincronización de hora en todas las instancias de Workspace ONE Access Connector y el servicio para que una implementación de Workspace ONE Access funcione correctamente. Configure la sincronización de hora mediante un servidor NTP.

Para Connector, configure la sincronización de hora en el servidor de Connector.

Requisitos de proxy

Connector accede a servicios web en Internet. Si la configuración de red proporciona acceso a Internet a través de un proxy HTTP, debe configurar un servidor proxy. Introduzca la información del servidor proxy en el instalador de Workspace ONE Access Connector durante o después de la instalación.

Workspace ONE Access Connector admite los siguientes tipos de proxies:

  • Proxies HTTP sin autenticar
  • Proxies no autenticados HTTPS (SSL)
  • Proxies HTTPS autenticados (SSL)
Nota: Habilite su proxy para gestionar solo el tráfico de Internet. Para garantizar que el proxy se configura correctamente, establezca el parámetro del tráfico interno en la opción sin proxy en el dominio.