Conception de Workspace ONE Access pour VMware Cloud Foundation

Workspace ONE Access en mode VMware Cloud Foundation fournit des services de gestion des identités et des accès à des composants spécifiques dans le SDDC, tels que vRealize Suite.

Workspace ONE Access offre les fonctionnalités suivantes :

Intégration d'annuaire pour authentifier les utilisateurs par rapport à un fournisseur d'identité (IdP), tel qu'Active Directory ou LDAP.
Plusieurs méthodes d'authentification.
Stratégies d'accès qui se composent de règles pour spécifier les critères que les utilisateurs doivent respecter pour s'authentifier.

L'instance de Workspace ONE Access intégrée à vRealize Suite Lifecycle Manager fournit des services de gestion des identités et des accès pour des solutions vRealize Suite qui s'exécutent dans une instance de VMware Cloud Foundation ou qui doivent être disponibles pour les instances de VMware Cloud Foundation.

Pour la conception de la gestion des identités d'un produit vRealize Suite, reportez-vous à la section VMware Cloud Foundation solutions validées.

Pour la gestion des identités et des accès pour des composants autres que vRealize Suite, tels que NSX, vous pouvez déployer une instance autonome de Workspace ONE Access. Reportez-vous à la section Gestion des identités et des accès pour VMware Cloud Foundation.

Conception logique pour Workspace ONE Access

Pour fournir des services de gestion des identités et des accès aux composants SDDC pris en charge, tels que les composants vRealize Suite, cette conception utilise une instance de Workspace ONE Access déployée sur un segment de réseau NSX.

Le déploiement de Workspace ONE Access se compose d'un nœud principal. Il est connecté à vRealize Suite Lifecycle Manager et aux composants vRealize Suite complémentaires. — Figure 1. Conception logique pour l'instance de Workspace ONE Access standard

Tableau 1. Composants logiques de l'instance de Workspace ONE Access standard
Instances de VMware Cloud Foundation avec une zone de disponibilité unique	Instances de VMware Cloud Foundation avec plusieurs zones de disponibilité
Une instance de Workspace ONE Access à nœud unique déployée sur un segment NSX reposant sur la superposition (recommandé) ou sur le VLAN. Les solutions SDDC mobiles entre les instances de VMware Cloud Foundation sont intégrées à l'instance de Workspace ONE Access dans la première instance de VMware Cloud Foundation.	Une instance de Workspace ONE Access à nœud unique déployée sur un segment NSX reposant sur la superposition (recommandé) ou sur le VLAN. Les solutions SDDC mobiles entre les instances de VMware Cloud Foundation sont intégrées à l'instance de Workspace ONE Access dans la première instance de VMware Cloud Foundation. Une règle vSphere DRS devant s'exécuter sur les hôtes du groupe garantit que, dans des conditions de fonctionnement normales, le nœud Workspace ONE Access s'exécute sur un hôte ESXi de gestion de la première zone de disponibilité.

Le cluster Workspace ONE Access se compose d'un nœud principal et de deux nœuds secondaires et est équilibré en charge à l'aide d'un équilibrage de charge NSX. Il est connecté à vRealize Suite Lifecycle Manager et aux composants vRealize Suite complémentaires. — Figure 2. Conception logique pour l'instance de Workspace ONE Access en cluster

Tableau 2. Composants logiques d'une instance de Workspace ONE Access en cluster
Instances de VMware Cloud Foundation avec une zone de disponibilité unique	Instances de VMware Cloud Foundation avec plusieurs zones de disponibilité
Un cluster Workspace ONE Access à trois nœuds derrière un équilibrage de charge NSX et déployé sur un segment NSX reposant sur la superposition (recommandé) ou sur le VLAN est déployé dans la première instance de VMware Cloud Foundation. Tous les services et toutes les bases de données de Workspace ONE Access sont configurés pour la haute disponibilité à l'aide d'une configuration de cluster natif. Les solutions SDDC mobiles entre les instances de VMware Cloud Foundation sont intégrées à ce cluster Workspace ONE Access. Chaque nœud du cluster à trois nœuds est configuré en tant que connecteur pour tous les fournisseurs d'identité pertinents vSphere HA protège les nœuds Workspace ONE Access. Les règles d'anti-affinité vSphere DRS garantissent que les nœuds Workspace ONE Access s'exécutent sur différents hôtes ESXi. Une instance de Workspace ONE Access à nœud unique supplémentaire est déployée sur un segment NSX reposant sur la superposition (recommandé) ou sur le VLAN dans toutes les autres instances de VMware Cloud Foundation.	Cluster Workspace ONE Access à trois nœuds derrière un équilibrage de charge NSX et déployé sur un segment NSX reposant sur la superposition (recommandé) ou sur le VLAN. Tous les services et toutes les bases de données de Workspace ONE Access sont configurés pour la haute disponibilité à l'aide d'une configuration de cluster natif. Les solutions SDDC mobiles entre les instances de VMware Cloud Foundation sont intégrées à ce cluster Workspace ONE Access. Chaque nœud du cluster à trois nœuds est configuré en tant que connecteur pour tous les fournisseurs d'identité pertinents vSphere HA protège les nœuds Workspace ONE Access. Une règle d'anti-affinité vSphere DRS garantit que les nœuds Workspace ONE Access s'exécutent sur différents hôtes ESXi. Une règle vSphere DRS devant s'exécuter sur les hôtes du groupe garantit que, dans des conditions de fonctionnement normales, les nœuds Workspace ONE Access s'exécutent sur des hôtes ESXi de gestion de la première zone de disponibilité. Une instance de Workspace ONE Access à nœud unique supplémentaire est déployée sur un segment NSX reposant sur la superposition (recommandé) ou sur le VLAN dans toutes les autres instances de VMware Cloud Foundation.

Considérations relatives au dimensionnement de Workspace ONE Access pour VMware Cloud Foundation

Lorsque vous déployez Workspace ONE Access, vous choisissez de déployer le dispositif avec une taille adaptée à l'échelle de votre environnement. L'option que vous sélectionnez détermine le nombre de CPU et la quantité de mémoire du dispositif.

Pour obtenir un dimensionnement détaillé basé sur le profil global de l'instance de VMware Cloud Foundation que vous prévoyez de déployer, reportez-vous à la section Manuel de planification et de préparation de VMware Cloud Foundation.

Tableau 3. Considérations relatives au dimensionnement de Workspace ONE Access
Taille du dispositif Workspace ONE Access	Limites prises en charge
Très petite	3 000 utilisateurs 30 groupes
Petite	5 000 utilisateurs 50 groupes
Moyenne	10 000 utilisateurs 100 groupes Configuration minimale requise pour vRealize Automation
Grande	25 000 utilisateurs 250 groupes
Très grande	50 000 utilisateurs 500 groupes
Très très grande	100 000 utilisateurs 1 000 groupes

Conception de réseau pour Workspace ONE Access

Pour obtenir un accès sécurisé à l'interface utilisateur et à l'API de Workspace ONE Access, déployez les nœuds sur un segment de réseau NSX reposant sur la superposition ou sur le VLAN.

Segment de réseau

Cette conception de réseau dispose des fonctionnalités suivantes :

Tous les composants de Workspace ONE Access disposent d'un accès routé au VLAN de gestion via la passerelle de niveau 0 dans l'instance de NSX pour le domaine de gestion.
Le routage vers le réseau de gestion et d'autres réseaux externes est dynamique et repose sur le protocole BGP (Border Gateway Protocol).

Les nœuds Workspace ONE Access sont connectés au segment de réseau NSX de plusieurs instances, qui est connecté au réseau de gestion via les passerelles NSX de niveau 0 et de niveau 1. — Figure 3. Conception de réseau pour l'instance de Workspace ONE Access standard

Les nœuds de cluster Workspace ONE Access sont connectés au segment de réseau NSX de plusieurs instances, qui est connecté au réseau de gestion via les passerelles NSX de niveau 0 et de niveau 1. — Figure 4. Conception de réseau pour l'instance de Workspace ONE Access en cluster

Équilibrage de charge

Un déploiement de cluster Workspace ONE Access nécessite un équilibrage de charge pour gérer les connexions aux services Workspace ONE Access.

Les services d'équilibrage de charge sont fournis par NSX. Pendant le déploiement du cluster Workspace ONE Access ou la montée en charge d'un déploiement standard, vRealize Suite Lifecycle Manager et SDDC Manager se coordonnent pour automatiser la configuration de l'équilibrage de charge NSX. L'équilibrage de charge est configuré avec les paramètres suivants :

Tableau 4. Configuration de l'équilibrage de charge Workspace ONE Access en cluster
Élément de l'équilibrage de charge	Paramètres
Moniteur de services	Utilisez les intervalles et les délais d'expiration par défaut : Intervalle de surveillance : 3 secondes Délai d'inactivité : 10 secondes Augmentation/diminution : 3 secondes Demande HTTP Méthode HTTP : Get Version de la demande HTTP : 1.1 URL de demande : /SAAS/API/1.0/REST/system/health/heartbeat. Réponse HTTP : Code de réponse HTTP : 200 Corps de la réponse HTTP : OK Configuration SSL : SSL du serveur : activé Certificat client : certificat de cluster Workspace ONE Access de plusieurs instances Profil SSL : default-balanced-server-ssl-profil.
Pool de serveurs	Algorithme LEAST_CONNECTION. Définissez le mode de traduction SNAT sur Mappage automatique pour le pool. Membres statiques : Nom : adresse IP du nom d'hôte : Adresse IP Port : 443 Pondération : 1 État : activé Définissez le moniteur de services ci-dessus.
Profil d'application HTTP	Délai d'expiration 3 600 secondes (60 minutes). X-Forwarded-For Insérer
Profil de persistance des cookies	Nom du cookie JSESSIONID. Mode cookie Réécrire
Serveur virtuel	Type HTTP L7 Port 443 IP Adresse IP du cluster Workspace ONE Access Persistance Profil de persistance des cookies ci-dessus. Profil d'application Profil d'application HTTP ci-dessus. Pool de serveurs Pool de serveurs au-dessus

Conception de l'intégration pour Workspace ONE Access avec VMware Cloud Foundation

Intégrez les composants SDDC pris en charge au cluster Workspace ONE Access pour activer l'authentification via les services de gestion des identités et des accès.

Après l'intégration, les configurations de contrôle d'accès et de sécurité des informations pour les produits SDDC intégrés peuvent être définies.

Tableau 5. Intégration du SDDC Workspace ONE Access
Composant SDDC	Intégration	Critères à prendre en compte
vCenter Server	Non pris en charge	Pour les services d'annuaire, vous devez connecter vCenter Server directement à Active Directory. Reportez-vous à la section Gestion des identités et des accès pour VMware Cloud Foundation.
SDDC Manager	Non pris en charge	SDDC Manager utilise vCenter Single Sign-On. Pour les services d'annuaire, vous devez connecter vCenter Server directement à Active Directory
NSX	Pris en charge	Si vous prévoyez de monter en charge vers un environnement comportant plusieurs instances de VMware Cloud Foundation, par exemple, pour la récupération d'urgence, vous devez déployer une instance standard supplémentaire de Workspace ONE Access dans chaque instance de VMware Cloud Foundation. L'instance de Workspace ONE Access qui est exploitée par les composants protégés pour des instances de VMware Cloud Foundation peut basculer entre des emplacements physiques, ce qui aura une incidence sur l'authentification sur NSX dans la première instance de VMware Cloud Foundation. Reportez-vous à la section Gestion des identités et des accès pour VMware Cloud Foundation.
vRealize Suite Lifecycle Manager	Pris en charge	Aucun.

Reportez-vous à VMware Cloud Foundation solutions validées pour la conception de composants vRealize Suite spécifiques incluant la gestion des identités.

Modèle de déploiement pour Workspace ONE Access

Workspace ONE Access est distribué en tant que dispositif virtuel au format OVA que vous pouvez déployer et gérer à partir de vRealize Suite Lifecycle Manager avec d'autres produits vRealize Suite. Le dispositif Workspace ONE Access inclut des services de gestion des identités et des accès.

Type de déploiement

Tenez compte du type de déploiement, standard ou cluster, en fonction des objectifs de conception pour la disponibilité et le nombre d'utilisateurs que le système et les solutions SDDC intégrées doivent prendre en charge. Déployez Workspace ONE Access sur le cluster vSphere de gestion par défaut.

Tableau 6. Attributs de topologie de Workspace ONE Access
Type de déploiement	Description	Avantage	Inconvénients
Standard (recommandé)	Nœud unique Équilibrage de charge NSX déployé automatiquement.	Peut être monté en charge vers un cluster à 3 nœuds derrière un équilibrage de charge NSX Peut exploiter vSphere HA pour la récupération après une panne. Consomme moins de ressources.	Ne fournit pas de haute disponibilité pour les connecteurs de fournisseur d'identité.
Cluster	Déploiement en cluster à trois nœuds utilisant une base de données PostgreSQL interne. Équilibrage de charge NSX déployé automatiquement.	Fournit une haute disponibilité pour les connecteurs de fournisseur d'identité.	Peut nécessiter une intervention manuelle après une panne. Consomme des ressources supplémentaires.

Conditions requises et recommandations pour la conception de Workspace ONE Access de VMware Cloud Foundation

Tenez compte des conditions requises pour le placement, la mise en réseau, le dimensionnement et la haute disponibilité de l'utilisation de Workspace ONE Access pour la gestion des identités et des accès des solutions SDDC sur un cluster de gestion standard ou étendu dans VMware Cloud Foundation. Appliquez les meilleures pratiques similaires pour que Workspace ONE Access fonctionne de manière optimale.

Conditions requises pour la conception de Workspace ONE Access

Vous devez répondre aux conditions requises suivantes dans votre conception de Workspace ONE Access pour VMware Cloud Foundation en tenant compte des clusters standard ou étendus. Pour la fédération NSX, il existe des conditions requises supplémentaires.

Tableau 7. Conditions requises pour la conception de Workspace ONE Access pour VMware Cloud Foundation
ID de conditions requises	Conditions requises pour la conception	Justification	Implication
VCF-WSA-REQD-ENV-001	Créez un environnement global dans vRealize Suite Lifecycle Manager pour prendre en charge le déploiement de Workspace ONE Access.	Un environnement global est requis par vRealize Suite Lifecycle Manager pour déployer Workspace ONE Access.	Aucun.
VCF-WSA-REQD-SEC-001	Importez des certificats signés par une autorité de certification dans le référentiel Locker pour les opérations de cycle de vie du produit Workspace ONE Access.	Vous pouvez référencer des certificats signés par une autorité de certification et les utiliser pendant les opérations de cycle de vie du produit, telles que le déploiement et le remplacement du certificat.	Lorsque vous utilisez l'API, vous devez spécifier l'ID de Locker pour le certificat à utiliser dans la charge utile JSON.
VCF-WSA-REQD-CFG-001	Déployez une instance de Workspace ONE Access de taille appropriée en fonction du modèle de déploiement que vous avez sélectionné en utilisant vRealize Suite Lifecycle Manager en mode VMware Cloud Foundation.	L'instance de Workspace ONE Access est gérée par vRealize Suite Lifecycle Manager et importée dans l'inventaire de SDDC Manager.	Aucun.
VCF-WSA-REQD-CFG-002	Placez les dispositifs Workspace ONE Access sur un segment de réseau NSX reposant sur la superposition ou sur le VLAN.	Fournit un modèle de déploiement cohérent pour les applications de gestion dans un environnement disposant d'une ou de plusieurs instances de VMware Cloud Foundation.	Vous devez utiliser une mise en œuvre dans NSX pour prendre en charge cette configuration réseau.
VCF-WSA-REQD-CFG-003	Utilisez la base de données PostgreSQL intégrée avec Workspace ONE Access.	Ne nécessite pas de services de base de données externes.	Aucun.
VCF-WSA-REQD-CFG-004	Ajoutez un groupe de VM pour Workspace ONE Access et définissez les règles de celles-ci pour redémarrer le groupe de VM Workspace ONE Access avant les VM qui en dépendent pour l'authentification.	Vous pouvez définir l'ordre de démarrage des machines virtuelles concernant la dépendance des services. L'ordre de démarrage garantit que vSphere HA met sous tension les machines virtuelles Workspace ONE Access dans un ordre respectant les dépendances du produit.	Aucun.
VCF-WSA-REQD-CFG-005	Connectez l'instance de Workspace ONE Access à un fournisseur d'identité en amont pris en charge.	Vous pouvez intégrer votre annuaire d'entreprise à Workspace ONE Access pour synchroniser les utilisateurs et les groupes avec les services de gestion des identités et des accès de Workspace ONE Access.	Aucun.
VCF-WSA-REQD-CFG-006	Si vous utilisez une instance de Workspace ONE Access en cluster, configurez les deuxième et troisième connecteurs natifs qui correspondent aux deuxième et troisième nœuds de cluster Workspace ONE Access pour prendre en charge la haute disponibilité de l'accès aux services d'annuaire.	L'ajout de connecteurs natifs supplémentaires fournit une redondance et améliore les performances en équilibrant la charge des demandes d'authentification.	Chacun des nœuds de cluster Workspace ONE Access doit être joint au domaine Active Directory pour utiliser Active Directory avec l'authentification Windows intégrée avec le connecteur natif.
VCF-WSA-REQD-CFG-007	Si vous utilisez une instance de Workspace ONE Access en cluster, utilisez l'équilibrage de charge NSX configuré par SDDC Manager sur une passerelle de niveau 1 dédiée.	Lors du déploiement de Workspace ONE Access à l'aide de vRealize Suite Lifecycle Manager, SDDC Manager automatise la configuration d'un équilibrage de charge NSX pour que Workspace ONE Access facilite la montée en charge.	Vous devez utiliser l'équilibrage de charge configuré par SDDC Manager et l'intégration à vRealize Suite Lifecycle Manager.

Tableau 8. Conditions requises pour la conception de Workspace ONE Access pour les clusters étendus dans VMware Cloud Foundation
ID de conditions requises	Conditions requises pour la conception	Justification	Implication
VCF-WSA-REQD-CFG-008	Ajoutez les dispositifs Workspace ONE Access au groupe de VM pour la première zone de disponibilité.	Garantit que, par défaut, les nœuds de cluster Workspace ONE Access sont mis sous tension sur un hôte dans la première zone de disponibilité.	Si l'instance de Workspace ONE Access est déployée après la création du cluster de gestion étendu, vous devez ajouter manuellement les dispositifs au groupe de VM. Une instance de Workspace ONE Access en cluster peut nécessiter une intervention manuelle après une panne de la zone de disponibilité active.

Tableau 9. Conditions requises pour la conception de Workspace ONE Access pour la fédération NSX dans VMware Cloud Foundation
ID de conditions requises	Conditions requises pour la conception	Justification	Implication
VCF-WSA-REQD-CFG-009	Configurez les paramètres DNS de Workspace ONE Access afin d'utiliser des serveurs DNS dans chaque instance de VMware Cloud Foundation.	Améliore la résilience si une panne de services externes se produit pour une instance de VMware Cloud Foundation.	Aucun.
VCF-WSA-REQD-CFG-010	Configurez les paramètres NTP sur les nœuds de cluster Workspace ONE Access pour utiliser des serveurs NTP dans chaque instance de VMware Cloud Foundation.	Améliore la résilience si une panne de services externes se produit pour une instance de VMware Cloud Foundation.	Si vous passez d'un déploiement disposant d'une seule instance de VMware Cloud Foundation à un déploiement doté de plusieurs instances de VMware Cloud Foundation, vous devez mettre à jour les paramètres NTP sur Workspace ONE Access.

Recommandations en matière de conception de Workspace ONE Access

Dans votre conception de Workspace ONE Access pour VMware Cloud Foundation, vous pouvez appliquer certaines meilleures pratiques.

Tableau 10. Recommandations pour la conception Workspace ONE Access de VMware Cloud Foundation
ID de recommandation	Recommandation en matière de conception	Justification	Implication
VCF-WSA-RCMD-CFG-001	Protégez tous les nœuds Workspace ONE Access à l'aide de vSphere HA.	Prend en charge la haute disponibilité pour Workspace ONE Access.	Aucun pour les déploiements standard. Les déploiements de Workspace ONE Access en cluster peuvent nécessiter une intervention en cas de panne de l'hôte ESXi.
VCF-WSA-RCMD-CFG-002	Lorsque vous utilisez Active Directory comme fournisseur d'identité, utilisez Active Directory sur LDAP comme option de connexion au service d'annuaire.	Le connecteur natif (intégré) Workspace ONE Access se lie à Active Directory sur LDAP à l'aide d'une authentification de liaison standard.	Dans une forêt à plusieurs domaines, dans laquelle l'instance de Workspace ONE Access se connecte à un domaine enfant, les groupes de sécurité Active Directory doivent présenter une étendue globale. Par conséquent, les membres ajoutés au groupe de sécurité global Active Directory doivent résider dans le même domaine Active Directory. Si l'authentification sur plusieurs domaines Active Directory est requise, des annuaires Workspace ONE Access supplémentaires sont requis.
VCF-WSA-RCMD-CFG-003	Lorsque vous utilisez Active Directory comme fournisseur d'identité, utilisez un compte d'utilisateur Active Directory avec un accès minimal en lecture seule aux DN de base des utilisateurs et des groupes comme compte de service pour la liaison Active Directory.	Fournit les fonctionnalités de contrôle d'accès suivantes : Workspace ONE Access se connecte à Active Directory avec l'ensemble minimal d'autorisations requises pour lier l'annuaire et l'interroger. Vous pouvez ajouter une responsabilité améliorée dans le suivi des interactions demande-réponse entre Workspace ONE Access et Active Directory.	Vous devez gérer le cycle de vie du mot de passe de ce compte. Si l'authentification sur plusieurs domaines Active Directory est requis, des comptes supplémentaires sont requis pour la liaison du connecteur Workspace ONE Access à chaque domaine Active Directory sur LDAP.
VCF-WSA-RCMD-CFG-004	Configurez la synchronisation d'annuaire pour synchroniser uniquement les groupes requis pour les solutions SDDC intégrées.	Limite le nombre de groupes répliqués requis pour chaque produit. Réduit l'intervalle de réplication pour les informations de groupe.	Vous devez gérer les groupes à partir de votre annuaire d'entreprise sélectionné pour la synchronisation avec Workspace ONE Access.
VCF-WSA-RCMD-CFG-005	Activez la synchronisation des membres du groupe d'annuaires d'entreprise lorsqu'un groupe est ajouté à l'annuaire Workspace ONE Access.	Lorsque cette option est activée, les membres des groupes d'annuaires d'entreprise sont synchronisés avec l'annuaire Workspace ONE Access lorsque des groupes sont ajoutés. Lorsqu'elle est désactivée, les noms de groupes sont synchronisés avec l'annuaire, mais les membres du groupe ne sont pas synchronisés tant que le groupe n'est pas autorisé à accéder à une application ou que le nom du groupe n'est pas ajouté à une stratégie d'accès.	Aucun.
VCF-WSA-RCMD-CFG-006	Activez Workspace ONE Access pour synchroniser les membres du groupe imbriqué par défaut.	Autorise Workspace ONE Access à mettre à jour l'appartenance à des groupes et à la mettre en cache sans interroger votre annuaire d'entreprise.	Les modifications apportées à l'appartenance au groupe ne sont pas appliquées avant l'événement de synchronisation suivant.
VCF-WSA-RCMD-CFG-007	Ajoutez un filtre aux paramètres de l'annuaire Workspace ONE Access pour exclure des utilisateurs de la réplication d'annuaire.	Limite le nombre d'utilisateurs répliqués pour Workspace ONE Access dans l'échelle maximale.	Pour vous assurer que les comptes d'utilisateur répliqués sont gérés dans les limites maximales, vous devez définir un schéma de filtrage qui fonctionne pour votre organisation selon les attributs de votre annuaire.
VCF-WSA-RCMD-CFG-008	Configurez les attributs mappés inclus lorsqu'un utilisateur est ajouté à l'annuaire Workspace ONE Access.	Vous pouvez configurer les attributs utilisateur minimaux requis et étendus pour synchroniser les comptes d'utilisateur de l'annuaire pour Workspace ONE Access à utiliser comme source d'authentification pour les solutions vRealize Suite de plusieurs instances.	Les attributs requis suivants doivent être mappés aux comptes d'utilisateur de l'annuaire d'entreprise de votre organisation : `firstname`, par exemple `givenname` pour Active Directory `lastName`, par exemple `sn` pour Active Directory `email`, par exemple `mail` pour Active Directory `userName`, par exemple`sAMAccountName` pour Active Directory Si vous demandez aux utilisateurs de se connecter avec un autre identifiant unique, par exemple, `userPrincipalName`, vous devez mapper l'attribut et mettre à jour les préférences de gestion des identités et des accès.
VCF-WSA-RCMD-CFG-009	Configurez la fréquence de synchronisation de l'annuaire Workspace ONE Access sur une planification récurrente, par exemple, 15 minutes.	Garantit la disponibilité des modifications apportées aux appartenances au groupes dans l'annuaire d'entreprise pour les solutions intégrées dans les meilleurs délais.	Planifiez l'intervalle de synchronisation pour qu'il soit plus long que le délai de synchronisation à partir de l'annuaire d'entreprise. Si les utilisateurs et les groupes sont en cours de synchronisation avec Workspace ONE Access lorsque la synchronisation suivante est planifiée, la nouvelle synchronisation démarre immédiatement à la fin de l'itération précédente. Avec cette planification., le processus est continu.
VCF-WSA-RCMD-SEC-001	Créez les groupes de sécurité correspondants dans les services d'annuaire de votre entreprise pour ces rôles Workspace ONE Access : Super administrateur Administrateurs d'annuaire Administrateur en lecture seule	Simplifie la gestion des rôles Workspace ONE Access aux utilisateurs.	Vous devez définir l'intervalle de synchronisation d'annuaire approprié dans Workspace ONE Access pour vous assurer que les modifications sont disponibles dans un délai raisonnable. Vous devez créer le groupe de sécurité en dehors de la pile du SDDC.
VCF-WSA-RCMD-SEC-002	Configurez une stratégie de mot de passe pour les utilisateurs de l'annuaire local Workspace ONE Access, admin et configadmin.	Vous pouvez définir une stratégie pour les utilisateurs de l'annuaire local Workspace ONE Access qui répond aux stratégies et aux normes réglementaires de votre entreprise. La stratégie de mot de passe s'applique uniquement aux utilisateurs de l'annuaire local et n'a aucune incidence sur l'annuaire de votre organisation.	Vous devez définir la stratégie conformément aux stratégies et aux normes réglementaires de votre organisation, le cas échéant. Vous devez appliquer la stratégie de mot de passe sur les nœuds de cluster Workspace ONE Access.