Pour déployer Workspace ONE Access Connector, qui comprend les services de synchronisation d'annuaire, d'authentification utilisateur, d'authentification Kerberos et d'applications virtuelles sous forme de composants, assurez-vous que votre serveur Windows répond à la configuration requise. Certaines configurations requises varient selon le service que vous installez.

Compatibilité entre le service Workspace ONE Access et le connecteur

Vous pouvez utiliser Workspace ONE Access Connector avec le service cloud Workspace ONE Access ou avec le dispositif virtuel du service Workspace ONE Access sur site.

Avec le service cloud Workspace ONE Access, vous pouvez utiliser toutes les versions prises en charge du connecteur. Cependant, il est recommandé d'utiliser la dernière version du connecteur.

Avec le service Workspace ONE Access sur site, vous pouvez utiliser des versions du connecteur prises en charge qui sont égales ou inférieures à la version du service. Par exemple, avec le service Workspace ONE Access 21.08, vous pouvez utiliser Connector 21.08 et versions antérieures. Vous ne pouvez pas utiliser une version de Connector supérieure à la version du service. Par exemple, vous ne pouvez pas utiliser Connector 21.08 avec le service 20.10. Il est recommandé d'utiliser la dernière version disponible du connecteur.

Pour plus d'informations sur les versions prises en charge, reportez-vous à https://www.vmware.com/support/policies/lifecycle.html.

Nombre de serveurs requis

Vous pouvez installer les services de synchronisation d'annuaire, d'authentification utilisateur et d'applications virtuelles ensemble sur un seul serveur Windows ou les installer sur des serveurs distincts dans n'importe quelle combinaison, selon vos préférences. Pour installer tous les services ensemble, vous avez besoin d'un serveur plus puissant. Pour installer les services séparément, vous devez obtenir plusieurs serveurs.

Plusieurs serveurs sont nécessaires si vous souhaitez configurer la haute disponibilité pour l'un des services.

En outre, tenez compte du fait que le service d'authentification Kerberos requiert une connectivité entrante, contrairement aux autres services.

Important : Si vous installez plusieurs services sur un seul serveur, assurez-vous que celui-ci répond aux conditions requises de mémoire, de calcul et de stockage spécifiées dans les recommandations de dimensionnement. En particulier, si vous installez les services de synchronisation d'annuaire et d'applications virtuelles sur le même serveur, vous devez vous assurer que le serveur dispose de suffisamment de mémoire et de vCPU pour les deux services. Pour plus d'informations, reportez-vous aux recommandations de dimensionnement.

Configuration matérielle requise

Assurez-vous que le serveur Windows répond à la configuration matérielle requise suivante.

  • Processeur : Intel(R) Xeon(R) CPU E5-2650 [email protected] GHz (2 processeurs) x64 bits ou version ultérieure
Tableau 1. Recommandations de dimensionnement pour le service de synchronisation d'annuaire uniquement
Taille du déploiement Configuration matérielle requise pour le serveur du service de synchronisation d'annuaire Nombre d'utilisateurs et de groupes
Petite

2 vCPU, 8 Go de RAM, 40 Go d'espace disque

Allocation de mémoire Java pour le service de synchronisation d'annuaire : xmx=4g

Jusqu'à 50 000 utilisateurs et 500 groupes
Moyenne

4 vCPU, 8 Go de RAM, 40 Go d'espace disque

Allocation de mémoire Java pour le service de synchronisation d'annuaire : xmx=4g

Jusqu'à 100 000 utilisateurs et 1 000 groupes
Grande

8 vCPU, 12 Go de RAM, 40 Go d'espace disque

Allocation de mémoire Java pour le service de synchronisation d'annuaire : xmx=8g

Jusqu'à 200 000 utilisateurs et 2 000 groupes
Tableau 2. Recommandations de dimensionnement pour le service d'authentification utilisateur ou le service d'authentification Kerberos uniquement
Taille du déploiement Configuration matérielle requise pour le serveur du service d'authentification utilisateur ou du service d'authentification Kerberos Service d'authentification utilisateur Service d'authentification Kerberos
Petite/Moyenne/Grande

2 vCPU, 4 Go de RAM, 40 Go d'espace disque

Allocation de mémoire Java pour le service d'authentification utilisateur ou le service d'authentification Kerberos : xmx=1g

Authentifications de mot de passe : 390 - 480/min

Flux actif de WSFed : 720 - 900/min

Authentifications Kerberos : 420 - 480/min
Note : Les nœuds du service d'authentification utilisateur et du service d'authentification Kerberos ne sont pas évolutifs verticalement. Pour obtenir un meilleur débit, ajoutez des nœuds supplémentaires.
Tableau 3. Recommandations de dimensionnement pour le service d'applications virtuelles uniquement
Taille du déploiement Configuration matérielle requise pour le serveur du service d'applications virtuelles Nombre d'applications virtuelles et de droits
Petite/Moyenne/Grande

2 vCPU, 4 Go de RAM, 40 Go d'espace disque

Allocation de mémoire Java pour le service d'applications virtuelles : xmx=1g

Jusqu'à 500 applications virtuelles avec 125 000 droits
Note : Pour les intégrations Citrix, un maximum de 630 droits d'utilisateur ou de groupe est pris en charge pour chaque ressource.
Tableau 4. Recommandations de dimensionnement pour tous les services installés sur un seul serveur
Taille du déploiement Configuration matérielle requise Nombre d'utilisateurs et de groupes
Petite

4 vCPU, 12 Go de RAM, 50 Go d'espace disque

Allocation de mémoire Java :

Service de synchronisation d'annuaire : xmx=4g

Service d'authentification Kerberos : xmx=1g

Service d'authentification utilisateur : xmx=1g

Service d'applications virtuelles : xmx=1g

Jusqu'à 100 000 utilisateurs et 1 000 groupes
Moyenne

8 vCPU, 16 Go de RAM, 50 Go d'espace disque

Allocation de mémoire Java :

Service de synchronisation d'annuaire : xmx=8g

Service d'authentification Kerberos : xmx=1g

Service d'authentification utilisateur : xmx=1g

Service d'applications virtuelles : xmx=2g

Jusqu'à 200 000 utilisateurs et 2 000 groupes
Grande

12 vCPU, 32 Go de RAM, 80 Go d'espace disque

Allocation de mémoire Java :

Service de synchronisation d'annuaire : xmx=12g

Service d'authentification Kerberos : xmx=1g

Service d'authentification utilisateur : xmx=1g

Service d'applications virtuelles : xmx=2g

Jusqu'à 300 000 utilisateurs et 3 000 groupes
Note :
  • Les besoins en mémoire incluent le système d'exploitation et les composants de connecteur VMware. Si vous prévoyez d'exécuter d'autres applications ou services sur le serveur, ajustez les besoins en mémoire en conséquence.
  • L'allocation de mémoire Java indiquée pour chaque service fait référence à la mémoire du segment de mémoire Java. Par défaut, 4 Go sont alloués au service de synchronisation d'annuaire, 1 Go au service d'authentification utilisateur, 1 Go au service d'authentification Kerberos et 1 Go au service d'applications virtuelles. Reportez-vous à la section Augmentation de la mémoire Java des services d'entreprise de Workspace ONE Access Connector pour plus d'informations sur l'allocation de mémoire.
  • Les groupes répertoriés pour le service de synchronisation d'annuaire sont tous à un niveau, chaque groupe contenant 500 utilisateurs et chaque utilisateur étant associé à 5 groupes.
  • Les déploiements effectués avec des groupes de grande taille ou des groupes imbriqués requièrent davantage de mémoire.
  • Pour les intégrations Citrix, un maximum de 630 droits d'utilisateur ou de groupe est pris en charge pour chaque ressource.

Configuration logicielle requise

Assurez-vous que le serveur Windows répond à la configuration logicielle requise suivante.

Condition Notes

Windows Server 2019 ou

Windows Server 2016 ou

Windows Server 2012 R2

PowerShell Les serveurs Windows incluent PowerShell par défaut.
.NET Framework 4.8 ou version ultérieure Les serveurs Windows comprennent par défaut .NET Framework. Workspace ONE Access Connector nécessite .NET Framework 4.8 ou version ultérieure. Si.NET Framework n'est pas installé ou ne correspond pas à la version requise, le programme d'installation du connecteur vous invite à installer la version appropriée pendant l'installation.
Citrix Studio (Citrix PowerShell SDK) Requis uniquement si vous installez le service d'applications virtuelles et que vous prévoyez d'intégrer des applications et des postes de travail virtuels Citrix. Citrix Studio inclut PowerShell SDK, qui est requis pour l'intégration de Citrix à Workspace ONE Access. La version de Citrix Studio est compatible avec votre version de déploiement Citrix. Vous pouvez installer Citrix Studio avant ou après avoir installé Workspace ONE Access Connector. Pour plus d'informations sur l'installation de Citrix Studio, consultez la documentation.

Conditions requises pour le réseau

Le tableau ci-dessous répertorie les conditions requises de ports pour le connecteur. Pour obtenir les informations les plus à jour, reportez-vous à la page https://ports.vmware.com/home/Workspace-ONE-Access.

Pour configurer les ports répertoriés, l'ensemble du trafic est unidirectionnel (sortant) allant du composant source vers le composant de destination. Un proxy sortant ou tout autre logiciel ou matériel de gestion de connexion ne doit pas se terminer ni rejeter la connexion sortante à partir de Workspace ONE Access Connector. La connexion sortante doit rester ouverte à tout moment.

Source Destination Port Protocole Notes
Workspace ONE Access Connector Service Workspace ONE Access (cloud)

Hôte du service Workspace ONE Access (installations sur site)

443 HTTPS Port par défaut, requis

S'applique au service de synchronisation d'annuaire, au service d'authentification utilisateur, au service d'authentification Kerberos et au service d'applications virtuelles

Workspace ONE Access Connector Équilibrage de charge du service Workspace ONE Access (installations sur site) 443 HTTPS S'applique au service de synchronisation d'annuaire, au service d'authentification utilisateur, au service d'authentification Kerberos et au service d'applications virtuelles
Navigateurs Workspace ONE Access Connector 443 HTTPS Requis pour le service d'authentification Kerberos
Workspace ONE Access Connector Active Directory 389, 636, 3268, 3269 Ports par défaut, configurables

S'applique au service de synchronisation d'annuaire. S'applique également au service d'authentification utilisateur si l'authentification par mot de passe est utilisée.

Workspace ONE Access Connector Serveur DNS 53 TCP/UDP Chaque instance du connecteur doit avoir accès au serveur DNS sur le port 53 et autoriser le trafic SSH entrant sur le port 22.

S'applique au service de synchronisation d'annuaire, au service d'authentification utilisateur, au service d'authentification Kerberos et au service d'applications virtuelles.

Workspace ONE Access Connector Contrôleur de domaine 88, 464, 135, 445 TCP/UDP S'applique au service de synchronisation d'annuaire et au service d'authentification Kerberos
Workspace ONE Access Connector serveur RSA SecurID 5555 Port par défaut, configurable

S'applique au service d'authentification utilisateur si RSA SecurID est utilisé

Workspace ONE Access Connector Serveur Syslog 514 UDP Port par défaut, configurable

Port du serveur Syslog externe, si configuré. S'applique au service de synchronisation d'annuaire, au service d'authentification utilisateur, au service d'authentification Kerberos et au service d'applications virtuelles

Workspace ONE Access Connector Horizon Connection Server 443 Pour les intégrations VMware Horizon

S'applique uniquement au service d'applications virtuelles

Workspace ONE Access Connector Serveur Citrix StoreFront Port configuré pour le serveur Citrix StoreFront Pour l'intégration aux déploiements Citrix

S'applique uniquement au service d'applications virtuelles

Workspace ONE Access Connector Serveur Citrix XenApp ou XenDesktop 443 Pour l'intégration aux déploiements Citrix

S'applique uniquement au service d'applications virtuelles

Navigateurs Noms de domaine complets d'accès du client configurés pour les collections d'applications virtuelles Horizon et Citrix Ports configurés pour les noms de domaine complets d'accès du client S'applique uniquement au service d'applications virtuelles

Adresses IP du cloud Workspace ONE Access

Reportez-vous à la section https://kb.vmware.com/s/article/68035 pour obtenir la liste des adresses IP du service cloud Workspace ONE Access auxquelles Workspace ONE Access Connector doit avoir accès.

Conditions requises pour les enregistrements DNS et les adresses IP

Le connecteur doit disposer d'une entrée DNS et d'une adresse IP statique. Avant de commencer votre installation, procurez-vous l'enregistrement DNS et l'adresse IP pour utiliser et configurer les paramètres réseau du serveur Windows.

Veillez à sélectionner un nom d'hôte approprié et convivial pour le serveur du connecteur si vous prévoyez d'installer le service d'authentification Kerberos. Le nom d'hôte de Workspace ONE Access Connector est visible aux utilisateurs finaux lorsque l'authentification Kerberos est configurée.

La configuration de la recherche inversée est facultative. Lorsque vous réalisez la recherche inversée, vous devez définir un enregistrement PTR sur le serveur DNS afin que le connecteur utilise la configuration réseau adéquate.

Vous pouvez utiliser la liste suivante d’exemples d’enregistrements DNS. Remplacez les informations de l'exemple par les informations de votre environnement. Cet exemple montre des enregistrements DNS et des adresses IP qui utilisent la résolution.

Tableau 5. Exemple d'enregistrements DNS et d'adresses IP qui utilisent la résolution
Nom de domaine Type de ressource Adresse IP
myconnector.example.com Aoû 10.28.128.3

Cet exemple montre des enregistrements DNS et des adresses IP qui utilisent la résolution inverse

Tableau 6. Exemple d'enregistrements DNS et d'adresses IP qui utilisent la résolution inverse
Adresse IP Type de ressource Nom d'hôte
10.28.128.3 PTR myconnector.example.com

Après avoir terminé la configuration DNS, vérifiez que la résolution DNS inverse est configurée correctement. Par exemple, la commande host IPaddress doit être résolue en recherche de nom DNS.

Équilibrage de charge

Un équilibrage de charge est requis si vous souhaitez configurer la haute disponibilité pour l'authentification Kerberos.

Synchronisation de l'heure

La configuration de la synchronisation de l'heure sur toutes les instances du connecteur et du service Workspace ONE Access est requise pour qu'un déploiement de Workspace ONE Access fonctionne correctement. Configurez la synchronisation de l'heure au moyen d'un serveur NTP.

Configuration requise du proxy

Le connecteur accède aux services Web sur Internet. Si votre configuration réseau fournit un accès à Internet via un proxy HTTP, vous devez configurer un serveur proxy. Entrez les informations du serveur proxy dans le programme d'installation de Workspace ONE Access Connector pendant l'installation ou après celle-ci.

Workspace ONE Access Connector 21.08 prend en charge les types de proxys suivants :

  • Proxys HTTP non authentifiés
  • Proxys HTTPS (SSL) non authentifiés
  • Proxys HTTPS (SSL) authentifiés
Note : Autorisez uniquement la gestion du trafic Internet sur votre serveur proxy. Pour vous assurer que le serveur proxy est correctement configuré, définissez le paramètre du trafic interne sur no-proxy dans le domaine.