Utilisez cette liste de conditions requises et de recommandations pour référence concernant Workspace ONE Access dans un environnement disposant d'une ou de plusieurs instances de VMware Cloud Foundation. Les éléments de conception déterminent également si le domaine de gestion dispose d'une ou de plusieurs zones de disponibilité.

Pour plus d'informations sur la conception, reportez-vous à la section Conception de Workspace ONE Access pour VMware Cloud Foundation.

Tableau 1. Conditions requises pour la conception de Workspace ONE Access pour VMware Cloud Foundation

ID de conditions requises

Conditions requises pour la conception

Justification

Implication

VCF-WSA-REQD-ENV-001

Créez un environnement global dans vRealize Suite Lifecycle Manager pour prendre en charge le déploiement de Workspace ONE Access.

Un environnement global est requis par vRealize Suite Lifecycle Manager pour déployer Workspace ONE Access.

Aucun.

VCF-WSA-REQD-SEC-001

Importez des certificats signés par une autorité de certification dans le référentiel Locker pour les opérations de cycle de vie du produit Workspace ONE Access.

  • Vous pouvez référencer des certificats signés par une autorité de certification et les utiliser pendant les opérations de cycle de vie du produit, telles que le déploiement et le remplacement du certificat.

Lorsque vous utilisez l'API, vous devez spécifier l'ID de Locker pour le certificat à utiliser dans la charge utile JSON.

VCF-WSA-REQD-CFG-001

Déployez une instance de Workspace ONE Access de taille appropriée en fonction du modèle de déploiement que vous avez sélectionné en utilisant vRealize Suite Lifecycle Manager en mode VMware Cloud Foundation.

L'instance de Workspace ONE Access est gérée par vRealize Suite Lifecycle Manager et importée dans l'inventaire de SDDC Manager.

Aucun.

VCF-WSA-REQD-CFG-002

Placez les dispositifs Workspace ONE Access sur un segment de réseau NSX reposant sur la superposition ou sur le VLAN.

Fournit un modèle de déploiement cohérent pour les applications de gestion dans un environnement disposant d'une ou de plusieurs instances de VMware Cloud Foundation.

Vous devez utiliser une mise en œuvre dans NSX pour prendre en charge cette configuration réseau.

VCF-WSA-REQD-CFG-003

Utilisez la base de données PostgreSQL intégrée avec Workspace ONE Access.

Ne nécessite pas de services de base de données externes.

Aucun.

VCF-WSA-REQD-CFG-004

Ajoutez un groupe de VM pour Workspace ONE Access et définissez les règles de celles-ci pour redémarrer le groupe de VM Workspace ONE Access avant les VM qui en dépendent pour l'authentification.

Vous pouvez définir l'ordre de démarrage des machines virtuelles concernant la dépendance des services. L'ordre de démarrage garantit que vSphere HA met sous tension les machines virtuelles Workspace ONE Access dans un ordre respectant les dépendances du produit.

Aucun.

VCF-WSA-REQD-CFG-005

Connectez l'instance de Workspace ONE Access à un fournisseur d'identité en amont pris en charge.

Vous pouvez intégrer votre annuaire d'entreprise à Workspace ONE Access pour synchroniser les utilisateurs et les groupes avec les services de gestion des identités et des accès de Workspace ONE Access.

Aucun.

VCF-WSA-REQD-CFG-006

Si vous utilisez une instance de Workspace ONE Access en cluster, configurez les deuxième et troisième connecteurs natifs qui correspondent aux deuxième et troisième nœuds de cluster Workspace ONE Access pour prendre en charge la haute disponibilité de l'accès aux services d'annuaire.

L'ajout de connecteurs natifs supplémentaires fournit une redondance et améliore les performances en équilibrant la charge des demandes d'authentification.

Chacun des nœuds de cluster Workspace ONE Access doit être joint au domaine Active Directory pour utiliser Active Directory avec l'authentification Windows intégrée avec le connecteur natif.

VCF-WSA-REQD-CFG-007

Si vous utilisez une instance de Workspace ONE Access en cluster, utilisez l'équilibrage de charge NSX configuré par SDDC Manager sur une passerelle de niveau 1 dédiée.

  • Lors du déploiement de Workspace ONE Access à l'aide de vRealize Suite Lifecycle Manager, SDDC Manager automatise la configuration d'un équilibrage de charge NSX pour que Workspace ONE Access facilite la montée en charge.

Vous devez utiliser l'équilibrage de charge configuré par SDDC Manager et l'intégration à vRealize Suite Lifecycle Manager.

Tableau 2. Conditions requises pour la conception de Workspace ONE Access pour les clusters étendus dans VMware Cloud Foundation

ID de conditions requises

Conditions requises pour la conception

Justification

Implication

VCF-WSA-REQD-CFG-008

Ajoutez les dispositifs Workspace ONE Access au groupe de VM pour la première zone de disponibilité.

Garantit que, par défaut, les nœuds de cluster Workspace ONE Access sont mis sous tension sur un hôte dans la première zone de disponibilité.

  • Si l'instance de Workspace ONE Access est déployée après la création du cluster de gestion étendu, vous devez ajouter manuellement les dispositifs au groupe de VM.

  • Une instance de Workspace ONE Access en cluster peut nécessiter une intervention manuelle après une panne de la zone de disponibilité active.

Tableau 3. Conditions requises pour la conception de Workspace ONE Access pour la fédération NSX dans VMware Cloud Foundation

ID de conditions requises

Conditions requises pour la conception

Justification

Implication

VCF-WSA-REQD-CFG-009

Configurez les paramètres DNS de Workspace ONE Access afin d'utiliser des serveurs DNS dans chaque instance de VMware Cloud Foundation.

Améliore la résilience si une panne de services externes se produit pour une instance de VMware Cloud Foundation.

Aucun.

VCF-WSA-REQD-CFG-010

Configurez les paramètres NTP sur les nœuds de cluster Workspace ONE Access pour utiliser des serveurs NTP dans chaque instance de VMware Cloud Foundation.

Améliore la résilience si une panne de services externes se produit pour une instance de VMware Cloud Foundation.

Si vous passez d'un déploiement disposant d'une seule instance de VMware Cloud Foundation à un déploiement doté de plusieurs instances de VMware Cloud Foundation, vous devez mettre à jour les paramètres NTP sur Workspace ONE Access.

Tableau 4. Recommandations pour la conception Workspace ONE Access de VMware Cloud Foundation

ID de recommandation

Recommandation en matière de conception

Justification

Implication

VCF-WSA-RCMD-CFG-001

Protégez tous les nœuds Workspace ONE Access à l'aide de vSphere HA.

Prend en charge la haute disponibilité pour Workspace ONE Access.

Aucun pour les déploiements standard.

Les déploiements de Workspace ONE Access en cluster peuvent nécessiter une intervention en cas de panne de l'hôte ESXi.

VCF-WSA-RCMD-CFG-002

Lorsque vous utilisez Active Directory comme fournisseur d'identité, utilisez Active Directory sur LDAP comme option de connexion au service d'annuaire.

Le connecteur natif (intégré) Workspace ONE Access se lie à Active Directory sur LDAP à l'aide d'une authentification de liaison standard.

  • Dans une forêt à plusieurs domaines, dans laquelle l'instance de Workspace ONE Access se connecte à un domaine enfant, les groupes de sécurité Active Directory doivent présenter une étendue globale. Par conséquent, les membres ajoutés au groupe de sécurité global Active Directory doivent résider dans le même domaine Active Directory.

  • Si l'authentification sur plusieurs domaines Active Directory est requise, des annuaires Workspace ONE Access supplémentaires sont requis.

VCF-WSA-RCMD-CFG-003

Lorsque vous utilisez Active Directory comme fournisseur d'identité, utilisez un compte d'utilisateur Active Directory avec un accès minimal en lecture seule aux DN de base des utilisateurs et des groupes comme compte de service pour la liaison Active Directory.

Fournit les fonctionnalités de contrôle d'accès suivantes :

  • Workspace ONE Access se connecte à Active Directory avec l'ensemble minimal d'autorisations requises pour lier l'annuaire et l'interroger.

  • Vous pouvez ajouter une responsabilité améliorée dans le suivi des interactions demande-réponse entre Workspace ONE Access et Active Directory.

  • Vous devez gérer le cycle de vie du mot de passe de ce compte.

  • Si l'authentification sur plusieurs domaines Active Directory est requis, des comptes supplémentaires sont requis pour la liaison du connecteur Workspace ONE Access à chaque domaine Active Directory sur LDAP.

VCF-WSA-RCMD-CFG-004

Configurez la synchronisation d'annuaire pour synchroniser uniquement les groupes requis pour les solutions SDDC intégrées.

  • Limite le nombre de groupes répliqués requis pour chaque produit.

  • Réduit l'intervalle de réplication pour les informations de groupe.

Vous devez gérer les groupes à partir de votre annuaire d'entreprise sélectionné pour la synchronisation avec Workspace ONE Access.

VCF-WSA-RCMD-CFG-005

Activez la synchronisation des membres du groupe d'annuaires d'entreprise lorsqu'un groupe est ajouté à l'annuaire Workspace ONE Access.

Lorsque cette option est activée, les membres des groupes d'annuaires d'entreprise sont synchronisés avec l'annuaire Workspace ONE Access lorsque des groupes sont ajoutés. Lorsqu'elle est désactivée, les noms de groupes sont synchronisés avec l'annuaire, mais les membres du groupe ne sont pas synchronisés tant que le groupe n'est pas autorisé à accéder à une application ou que le nom du groupe n'est pas ajouté à une stratégie d'accès.

Aucun.

VCF-WSA-RCMD-CFG-006

Activez Workspace ONE Access pour synchroniser les membres du groupe imbriqué par défaut.

Autorise Workspace ONE Access à mettre à jour l'appartenance à des groupes et à la mettre en cache sans interroger votre annuaire d'entreprise.

Les modifications apportées à l'appartenance au groupe ne sont pas appliquées avant l'événement de synchronisation suivant.

VCF-WSA-RCMD-CFG-007

Ajoutez un filtre aux paramètres de l'annuaire Workspace ONE Access pour exclure des utilisateurs de la réplication d'annuaire.

Limite le nombre d'utilisateurs répliqués pour Workspace ONE Access dans l'échelle maximale.

Pour vous assurer que les comptes d'utilisateur répliqués sont gérés dans les limites maximales, vous devez définir un schéma de filtrage qui fonctionne pour votre organisation selon les attributs de votre annuaire.

VCF-WSA-RCMD-CFG-008

Configurez les attributs mappés inclus lorsqu'un utilisateur est ajouté à l'annuaire Workspace ONE Access.

Vous pouvez configurer les attributs utilisateur minimaux requis et étendus pour synchroniser les comptes d'utilisateur de l'annuaire pour Workspace ONE Access à utiliser comme source d'authentification pour les solutions vRealize Suite de plusieurs instances.

Les attributs requis suivants doivent être mappés aux comptes d'utilisateur de l'annuaire d'entreprise de votre organisation :

  • firstname, par exemple givenname pour Active Directory

  • lastName, par exemple sn pour Active Directory

  • email, par exemple mail pour Active Directory

  • userName, par exemplesAMAccountName pour Active Directory

  • Si vous demandez aux utilisateurs de se connecter avec un autre identifiant unique, par exemple, userPrincipalName, vous devez mapper l'attribut et mettre à jour les préférences de gestion des identités et des accès.

VCF-WSA-RCMD-CFG-009

Configurez la fréquence de synchronisation de l'annuaire Workspace ONE Access sur une planification récurrente, par exemple, 15 minutes.

Garantit la disponibilité des modifications apportées aux appartenances au groupes dans l'annuaire d'entreprise pour les solutions intégrées dans les meilleurs délais.

Planifiez l'intervalle de synchronisation pour qu'il soit plus long que le délai de synchronisation à partir de l'annuaire d'entreprise. Si les utilisateurs et les groupes sont en cours de synchronisation avec Workspace ONE Access lorsque la synchronisation suivante est planifiée, la nouvelle synchronisation démarre immédiatement à la fin de l'itération précédente. Avec cette planification., le processus est continu.

VCF-WSA-RCMD-SEC-001

Créez les groupes de sécurité correspondants dans les services d'annuaire de votre entreprise pour ces rôles Workspace ONE Access :

  • Super administrateur

  • Administrateurs d'annuaire

  • Administrateur en lecture seule

Simplifie la gestion des rôles Workspace ONE Access aux utilisateurs.

  • Vous devez définir l'intervalle de synchronisation d'annuaire approprié dans Workspace ONE Access pour vous assurer que les modifications sont disponibles dans un délai raisonnable.

  • Vous devez créer le groupe de sécurité en dehors de la pile du SDDC.

VCF-WSA-RCMD-SEC-002

Configurez une stratégie de mot de passe pour les utilisateurs de l'annuaire local Workspace ONE Access, admin et configadmin.

Vous pouvez définir une stratégie pour les utilisateurs de l'annuaire local Workspace ONE Access qui répond aux stratégies et aux normes réglementaires de votre entreprise.

La stratégie de mot de passe s'applique uniquement aux utilisateurs de l'annuaire local et n'a aucune incidence sur l'annuaire de votre organisation.

Vous devez définir la stratégie conformément aux stratégies et aux normes réglementaires de votre organisation, le cas échéant.

Vous devez appliquer la stratégie de mot de passe sur les nœuds de cluster Workspace ONE Access.