Utilisez cette liste de conditions requises et de recommandations pour référence concernant Workspace ONE Access dans un environnement disposant d'une ou de plusieurs instances de VMware Cloud Foundation. Les éléments de conception déterminent également si le domaine de gestion dispose d'une ou de plusieurs zones de disponibilité.
Pour plus d'informations sur la conception, reportez-vous à la section Conception de Workspace ONE Access pour VMware Cloud Foundation.
ID de conditions requises |
Conditions requises pour la conception |
Justification |
Implication |
---|---|---|---|
VCF-WSA-REQD-ENV-001 |
Créez un environnement global dans vRealize Suite Lifecycle Manager pour prendre en charge le déploiement de Workspace ONE Access. |
Un environnement global est requis par vRealize Suite Lifecycle Manager pour déployer Workspace ONE Access. |
Aucun. |
VCF-WSA-REQD-SEC-001 |
Importez des certificats signés par une autorité de certification dans le référentiel Locker pour les opérations de cycle de vie du produit Workspace ONE Access. |
|
Lorsque vous utilisez l'API, vous devez spécifier l'ID de Locker pour le certificat à utiliser dans la charge utile JSON. |
VCF-WSA-REQD-CFG-001 |
Déployez une instance de
Workspace ONE Access de taille appropriée en fonction du modèle de déploiement que vous avez sélectionné en utilisant
vRealize Suite Lifecycle Manager en mode
VMware Cloud Foundation.
|
L'instance de Workspace ONE Access est gérée par vRealize Suite Lifecycle Manager et importée dans l'inventaire de SDDC Manager. |
Aucun. |
VCF-WSA-REQD-CFG-002 |
Placez les dispositifs Workspace ONE Access sur un segment de réseau NSX reposant sur la superposition ou sur le VLAN. |
Fournit un modèle de déploiement cohérent pour les applications de gestion dans un environnement disposant d'une ou de plusieurs instances de VMware Cloud Foundation. |
Vous devez utiliser une mise en œuvre dans NSX pour prendre en charge cette configuration réseau. |
VCF-WSA-REQD-CFG-003 |
Utilisez la base de données PostgreSQL intégrée avec Workspace ONE Access. |
Ne nécessite pas de services de base de données externes. |
Aucun. |
VCF-WSA-REQD-CFG-004 |
Ajoutez un groupe de VM pour Workspace ONE Access et définissez les règles de celles-ci pour redémarrer le groupe de VM Workspace ONE Access avant les VM qui en dépendent pour l'authentification. |
Vous pouvez définir l'ordre de démarrage des machines virtuelles concernant la dépendance des services. L'ordre de démarrage garantit que vSphere HA met sous tension les machines virtuelles Workspace ONE Access dans un ordre respectant les dépendances du produit. |
Aucun. |
VCF-WSA-REQD-CFG-005 |
Connectez l'instance de Workspace ONE Access à un fournisseur d'identité en amont pris en charge. |
Vous pouvez intégrer votre annuaire d'entreprise à Workspace ONE Access pour synchroniser les utilisateurs et les groupes avec les services de gestion des identités et des accès de Workspace ONE Access. |
Aucun. |
VCF-WSA-REQD-CFG-006 |
Si vous utilisez une instance de Workspace ONE Access en cluster, configurez les deuxième et troisième connecteurs natifs qui correspondent aux deuxième et troisième nœuds de cluster Workspace ONE Access pour prendre en charge la haute disponibilité de l'accès aux services d'annuaire. |
L'ajout de connecteurs natifs supplémentaires fournit une redondance et améliore les performances en équilibrant la charge des demandes d'authentification. |
Chacun des nœuds de cluster Workspace ONE Access doit être joint au domaine Active Directory pour utiliser Active Directory avec l'authentification Windows intégrée avec le connecteur natif. |
VCF-WSA-REQD-CFG-007 |
Si vous utilisez une instance de Workspace ONE Access en cluster, utilisez l'équilibrage de charge NSX configuré par SDDC Manager sur une passerelle de niveau 1 dédiée. |
|
Vous devez utiliser l'équilibrage de charge configuré par SDDC Manager et l'intégration à vRealize Suite Lifecycle Manager. |
ID de conditions requises |
Conditions requises pour la conception |
Justification |
Implication |
---|---|---|---|
VCF-WSA-REQD-CFG-008 |
Ajoutez les dispositifs Workspace ONE Access au groupe de VM pour la première zone de disponibilité. |
Garantit que, par défaut, les nœuds de cluster Workspace ONE Access sont mis sous tension sur un hôte dans la première zone de disponibilité. |
|
ID de conditions requises |
Conditions requises pour la conception |
Justification |
Implication |
---|---|---|---|
VCF-WSA-REQD-CFG-009 |
Configurez les paramètres DNS de Workspace ONE Access afin d'utiliser des serveurs DNS dans chaque instance de VMware Cloud Foundation. |
Améliore la résilience si une panne de services externes se produit pour une instance de VMware Cloud Foundation. |
Aucun. |
VCF-WSA-REQD-CFG-010 |
Configurez les paramètres NTP sur les nœuds de cluster Workspace ONE Access pour utiliser des serveurs NTP dans chaque instance de VMware Cloud Foundation. |
Améliore la résilience si une panne de services externes se produit pour une instance de VMware Cloud Foundation. |
Si vous passez d'un déploiement disposant d'une seule instance de VMware Cloud Foundation à un déploiement doté de plusieurs instances de VMware Cloud Foundation, vous devez mettre à jour les paramètres NTP sur Workspace ONE Access. |
ID de recommandation |
Recommandation en matière de conception |
Justification |
Implication |
---|---|---|---|
VCF-WSA-RCMD-CFG-001 |
Protégez tous les nœuds Workspace ONE Access à l'aide de vSphere HA. |
Prend en charge la haute disponibilité pour Workspace ONE Access. |
Aucun pour les déploiements standard. Les déploiements de Workspace ONE Access en cluster peuvent nécessiter une intervention en cas de panne de l'hôte ESXi. |
VCF-WSA-RCMD-CFG-002 |
Lorsque vous utilisez Active Directory comme fournisseur d'identité, utilisez Active Directory sur LDAP comme option de connexion au service d'annuaire. |
Le connecteur natif (intégré) Workspace ONE Access se lie à Active Directory sur LDAP à l'aide d'une authentification de liaison standard. |
|
VCF-WSA-RCMD-CFG-003 |
Lorsque vous utilisez Active Directory comme fournisseur d'identité, utilisez un compte d'utilisateur Active Directory avec un accès minimal en lecture seule aux DN de base des utilisateurs et des groupes comme compte de service pour la liaison Active Directory. |
Fournit les fonctionnalités de contrôle d'accès suivantes :
|
|
VCF-WSA-RCMD-CFG-004 |
Configurez la synchronisation d'annuaire pour synchroniser uniquement les groupes requis pour les solutions SDDC intégrées. |
|
Vous devez gérer les groupes à partir de votre annuaire d'entreprise sélectionné pour la synchronisation avec Workspace ONE Access. |
VCF-WSA-RCMD-CFG-005 |
Activez la synchronisation des membres du groupe d'annuaires d'entreprise lorsqu'un groupe est ajouté à l'annuaire Workspace ONE Access. |
Lorsque cette option est activée, les membres des groupes d'annuaires d'entreprise sont synchronisés avec l'annuaire Workspace ONE Access lorsque des groupes sont ajoutés. Lorsqu'elle est désactivée, les noms de groupes sont synchronisés avec l'annuaire, mais les membres du groupe ne sont pas synchronisés tant que le groupe n'est pas autorisé à accéder à une application ou que le nom du groupe n'est pas ajouté à une stratégie d'accès. |
Aucun. |
VCF-WSA-RCMD-CFG-006 |
Activez Workspace ONE Access pour synchroniser les membres du groupe imbriqué par défaut. |
Autorise Workspace ONE Access à mettre à jour l'appartenance à des groupes et à la mettre en cache sans interroger votre annuaire d'entreprise. |
Les modifications apportées à l'appartenance au groupe ne sont pas appliquées avant l'événement de synchronisation suivant. |
VCF-WSA-RCMD-CFG-007 |
Ajoutez un filtre aux paramètres de l'annuaire Workspace ONE Access pour exclure des utilisateurs de la réplication d'annuaire. |
Limite le nombre d'utilisateurs répliqués pour Workspace ONE Access dans l'échelle maximale. |
Pour vous assurer que les comptes d'utilisateur répliqués sont gérés dans les limites maximales, vous devez définir un schéma de filtrage qui fonctionne pour votre organisation selon les attributs de votre annuaire. |
VCF-WSA-RCMD-CFG-008 |
Configurez les attributs mappés inclus lorsqu'un utilisateur est ajouté à l'annuaire Workspace ONE Access. |
Vous pouvez configurer les attributs utilisateur minimaux requis et étendus pour synchroniser les comptes d'utilisateur de l'annuaire pour Workspace ONE Access à utiliser comme source d'authentification pour les solutions vRealize Suite de plusieurs instances. |
Les attributs requis suivants doivent être mappés aux comptes d'utilisateur de l'annuaire d'entreprise de votre organisation :
|
VCF-WSA-RCMD-CFG-009 |
Configurez la fréquence de synchronisation de l'annuaire Workspace ONE Access sur une planification récurrente, par exemple, 15 minutes. |
Garantit la disponibilité des modifications apportées aux appartenances au groupes dans l'annuaire d'entreprise pour les solutions intégrées dans les meilleurs délais. |
Planifiez l'intervalle de synchronisation pour qu'il soit plus long que le délai de synchronisation à partir de l'annuaire d'entreprise. Si les utilisateurs et les groupes sont en cours de synchronisation avec Workspace ONE Access lorsque la synchronisation suivante est planifiée, la nouvelle synchronisation démarre immédiatement à la fin de l'itération précédente. Avec cette planification., le processus est continu. |
VCF-WSA-RCMD-SEC-001 |
Créez les groupes de sécurité correspondants dans les services d'annuaire de votre entreprise pour ces rôles Workspace ONE Access :
|
Simplifie la gestion des rôles Workspace ONE Access aux utilisateurs. |
|
VCF-WSA-RCMD-SEC-002 |
Configurez une stratégie de mot de passe pour les utilisateurs de l'annuaire local Workspace ONE Access, admin et configadmin. |
Vous pouvez définir une stratégie pour les utilisateurs de l'annuaire local Workspace ONE Access qui répond aux stratégies et aux normes réglementaires de votre entreprise. La stratégie de mot de passe s'applique uniquement aux utilisateurs de l'annuaire local et n'a aucune incidence sur l'annuaire de votre organisation. |
Vous devez définir la stratégie conformément aux stratégies et aux normes réglementaires de votre organisation, le cas échéant. Vous devez appliquer la stratégie de mot de passe sur les nœuds de cluster Workspace ONE Access. |