Vous pouvez mettre à jour votre installation de Workspace ONE Access Connector à tout moment pour ajouter ou modifier des services d'entreprise. Exécutez de nouveau le programme d'installation pour apporter des modifications.

Vous pouvez apporter les modifications suivantes :

  • Ajouter le service de synchronisation d'annuaire, d'authentification utilisateur, d'authentification Kerberos ou d'applications virtuelles
  • Spécifier des ports personnalisés pour chaque service
  • Configurer un serveur proxy
  • Configurer un serveur Syslog
  • Installer des certificats racines approuvés
  • (Service d'authentification Kerberos uniquement) Installation d'un certificat SSL approuvé pour le service d'authentification Kerberos
  • (Services d'authentification Kerberos et d'applications virtuelles uniquement) Configurer les services d'authentification Kerberos et d'applications virtuelles pour qu'ils s'exécutent comme compte d'utilisateur de domaine
  • (Service d'applications virtuelles uniquement) Configurez les paramètres des collections d'applications virtuelles Citrix liées à l'agrégation multisite et au filtrage par mots clés.
Note : Vous pouvez également supprimer un service du connecteur. Pour supprimer un service, exécutez de nouveau le programme d'installation, car vous ne pouvez pas supprimer un service en même temps que l'ajout et la modification de services. Reportez-vous à la section Suppression d'un service d'entreprise de Workspace ONE Access Connector.

Conditions préalables

  • Sachez que tous les services d'entreprise dans une installation de connecteur sont connectés au même locataire Workspace ONE Access. Lorsque vous modifiez une installation existante pour ajouter un service, le fichier de configuration que vous avez téléchargé à partir du locataire pour l'installation d'origine est utilisé automatiquement.
  • Si vous modifiez la configuration existante, interrompez d'abord les services d'entreprise depuis la console Workspace ONE Access. Accédez à la page Intégrations > Connecteurs, sélectionnez le connecteur, cliquez sur Gérer et utilisez l'option en regard de chaque nom de service pour interrompre le service.

Procédure

  1. Connectez-vous au serveur Windows sur lequel Workspace ONE Access Connector est installé.
  2. Accédez au dossier contenant le programme d'installation du connecteur et double-cliquez sur le fichier Workspace ONE Access Connector Installer.exe.
  3. Sur la page de bienvenue, cliquez sur Suivant.
  4. Sur la page Maintenance du programme, sélectionnez l'option Ajout/Suppression de services, puis cliquez sur Suivant.
  5. Sur la page Sélection des services, sélectionnez les services que vous souhaitez ajouter, le cas échéant, puis cliquez sur Suivant.
  6. Si la page Spécifier le fichier de configuration s'affiche, sélectionnez le même fichier de configuration que celui que vous avez téléchargé à partir du locataire Workspace ONE Access pour l'installation d'origine.
    La page Spécifier le fichier de configuration s'affiche uniquement si vous avez sélectionné des services à ajouter.
  7. Apportez vos modifications sur les pages appropriées de l'assistant.
    Option Action
    Pour mettre à jour les ports sur lesquels les services d'entreprise s'exécutent Sur la page Spécifier les ports, entrez le port de chaque service. La connectivité entrante est requise uniquement pour le port du service d'authentification Kerberos. Elle n'est pas requise pour les ports des services d'authentification utilisateur et de synchronisation d'annuaire.

    Ports par défaut :

    • Service d'authentification utilisateur : 8090
    • Service de synchronisation d'annuaire : 8080
    • Service d'authentification Kerberos : 443
    • Service d'applications virtuelles : 8008
    Pour charger un certificat SSL approuvé pour le serveur du connecteur Sur la page Installer des certificats SSL, cochez la case Voulez-vous utiliser votre propre certificat SSL ?, cliquez sur Parcourir et sélectionnez le certificat.

    Le fichier de certificat doit être au format PEM ou PFX. Si le fichier est au format PEM, chargez également le fichier de clé. Si le fichier est au format PFX, entrez également le mot de passe du certificat.

    Pour plus d'informations sur les conditions requises pour les certificats, reportez-vous à la section Téléchargement d'un certificat SSL pour le service d'authentification Kerberos.

    Important : Un certificat SSL approuvé est requis pour le service d'authentification Kerberos. Si vous ne chargez pas un certificat SSL approuvé, un certificat auto-signé est généré automatiquement. Pour utiliser ce certificat auto-signé généré par Workspace ONE Access, vous devrez ajouter le certificat racine généré par Workspace ONE Access aux magasins d'approbations des clients. Vous pouvez obtenir le certificat racine, root_ca.per, depuis INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf après l'installation.

    Bien que vous puissiez utiliser le certificat auto-signé à des fins de test, il est recommandé d'utiliser des certificats SSL approuvés signés par une autorité de certification publique ou interne pour l'utilisation en production.
    Pour charger ou supprimer des certificats racines approuvés depuis le magasin d'approbations Sur la page Installer des certificats racines approuvés :
    • Pour charger un certificat, cliquez sur Parcourir et sélectionnez le certificat.
    • Pour supprimer un certificat, sélectionnez le certificat et cliquez sur Supprimer.
    • Pour afficher un certificat installé, cliquez sur Afficher le certificat.

    Le connecteur sera en mesure d'établir des connexions sécurisées à des serveurs dont la chaîne de certificat contient l'un des certificats que vous ajoutez au magasin d'approbations. Les scénarios de chargement de certificats dans le magasin d'approbations sont les suivants :

    • (Installations sur site uniquement) Si votre instance du service Workspace ONE Access sur site dispose d'un certificat auto-signé que vous avez installé, vous devez charger sa racine et, si nécessaire, le certificat intermédiaire afin d'établir une relation de confiance entre les services d'entreprise et l'instance du service Workspace ONE Access.
    • (Service d'authentification Kerberos uniquement) Si vous déployez plusieurs instances du service d'authentification Kerberos derrière un équilibrage de charge, vous devez installer le certificat d'autorité de certification racine de l'équilibrage de charge sur les instances du connecteur afin d'établir une relation de confiance entre les connecteurs et l'équilibrage de charge.
    • (Service d'applications virtuelles uniquement) Si vous créez des collections d'applications virtuelles à intégrer à VMware Horizon, Horizon Cloud Service on Microsoft Azure avec un broker à espace unique ou Horizon Cloud Service on IBM Cloud, et que les instances d'Horizon Server disposent de certificats auto-signés, vous devez télécharger la chaîne de certificats vers les instances de connecteur sur lesquelles le service d'applications virtuelles est installé pour établir la relation de confiance entre les connecteurs et les instances d'Horizon Connection Server. Toutes les instances d'Horizon Server disposent de certificats signés par une autorité de certification publique. Vous n'avez pas besoin de télécharger les certificats vers le magasin d'approbations du connecteur. Il est fortement recommandé d'utiliser des certificats signés par une autorité de certification publique.
    Pour spécifier un serveur proxy Sur la page Spécifier les informations du serveur proxy, entrez un serveur proxy si nécessaire. Les services d'entreprise accèdent aux services Web sur Internet. Si votre configuration réseau fournit un accès à Internet via un proxy HTTP, vous devez entrer un serveur proxy. Pour plus d'informations sur les proxys pris en charge, reportez-vous à la section Configuration système requise de Workspace ONE Access Connector 22.09.

    Vous pouvez également spécifier une liste d'hôtes de serveur non-proxy auxquels vous devez accéder directement sans passer par le serveur proxy.

    1. Cochez la case Activer le proxy.
    2. Entrez le nom d'hôte, spécifié sous la forme d'un nom de domaine complet (FQDN) ou d'une adresse IP du serveur proxy.
    3. Entrez le port du serveur proxy.
    4. Si vous souhaitez spécifier des hôtes de serveur non-proxy auxquels vous devez accéder directement sans passer par le serveur proxy, entrez le nom de domaine complet et les ports dans la zone de texte Hôtes de serveur non-proxy. Utilisez le format suivant, avec chaque entrée séparée par | :

      host1|host2

    5. Si le serveur proxy nécessite une authentification, sélectionnez Standard, puis entrez le nom d'utilisateur et le mot de passe du serveur proxy.
    Pour spécifier un serveur Syslog externe afin de stocker des messages d'événement au niveau de l'application Sur la page Spécifier les informations sur le serveur Syslog, cochez la case Activer Syslog et entrez l'adresse IP ou le nom de domaine complet du serveur Syslog, ainsi que le port.

    Pour spécifier un seul serveur Syslog, utilisez le format suivant :

    host:port

    Pour spécifier plusieurs serveurs Syslog, utilisez le format suivant :

    host:port,host:port,host:port

    host est le nom de domaine complet ou l'adresse IP du serveur Syslog et port est le numéro de port. Par exemple :

    syslog1.example.com:54

    ou

    syslog1.example.com:514,syslog2.example.com:601,syslog3.example.com:163
    Note : Seuls les événements au niveau de l'application sont exportés vers le serveur Syslog. Les événements du système d'exploitation ne sont pas exportés.
    Pour spécifier ou modifier le compte d'utilisateur de domaine utilisé pour exécuter les services d'authentification Kerberos et d'applications virtuelles

    Un compte d'utilisateur de domaine est requis pour exécuter les services d'authentification Kerberos et d'applications virtuelles.

    Sur la page Compte de service, entrez le nom d'utilisateur et le mot de passe du compte d'utilisateur de domaine au format DOMAIN\username., par exemple EXAMPLE\administrator. Vous pouvez également cliquer sur Parcourir et sélectionner le domaine et l'utilisateur.

    Si vous ne parvenez pas à localiser des domaines ou des utilisateurs lorsque vous cliquez sur Parcourir, tapez-les dans la zone de texte au format spécifié ci-dessus.

    Important : Le service d'authentification Kerberos prend uniquement en charge les caractères spéciaux suivants dans le mot de passe du compte d'utilisateur de domaine :

    ! ( & % @ / = ? * , .

    Si le mot de passe contient d'autres caractères spéciaux, l'installation du service d'authentification Kerberos échoue.

    Important : Dans Workspace ONE Access Connector 22.09.1.0, le service d'applications virtuelles ne prend pas en charge le caractère # dans le mot de passe du compte d'utilisateur de domaine.
    Pour configurer les paramètres des collections d'applications virtuelles Citrix Si vous intégrez Workspace ONE Access à un environnement Citrix sur lequel l'agrégation multisite ou le filtrage par mots clés est activé, sélectionnez les options qui s'appliquent à votre scénario sur la page Configuration de Citrix.
    • Activer la session PowerShell en mode restreint de Citrix StoreFront

      Sélectionnez cette option uniquement si votre environnement Citrix limite les commandes PowerShell qui peuvent être exécutées sur StoreFront à distance. Si vous sélectionnez cette option, vous devez également créer un fichier de configuration de session PowerShell sur StoreFront pour permettre au service d'applications virtuelles d'exécuter les commandes limitées requises pour l'agrégation multisite et le filtrage par mots clés. Dans la zone de texte Nom de la configuration, entrez le nom de configuration que vous avez spécifié lors de la création du fichier de configuration de session, sans l'extension. Seuls les caractères alphanumériques sont autorisés dans le nom.

    • Activer le filtrage par mots clés Citrix

      Sélectionnez cette option si le filtrage par mots clés est activé sur StoreFront. Pour que Workspace ONE Access prenne en charge le filtrage par mots clés, votre environnement Citrix ne doit présenter aucune restriction sur les commandes PowerShell pouvant être exécutées sur StoreFront à distance, ou vous devez sélectionner l'option Activer la session PowerShell en mode restreint de Citrix StoreFront et configurer un fichier de configuration de session PowerShell pour permettre au service d'applications virtuelles d'exécuter des commandes limitées.

    • Désactiver le chargement automatique Citrix des modules StoreFront

      Le service d'applications virtuelles charge certains modules dans StoreFront pour prendre en charge le filtrage par mots clés. Si vous ne souhaitez pas que le service d'applications virtuelles charge les modules, sélectionnez cette option. Les commandes requises seront ensuite exécutées via la configuration de la configuration de session PowerShell en mode restreint.

    Pour plus d'informations, reportez-vous à la section Configuration de l'agrégation multisite et du filtrage par mots clés Citrix dans Workspace ONE Access dans Configuration des ressources dans Workspace ONE Access.
  8. Sur la page Prêt à installer le programme, vérifiez vos sélections, puis cliquez sur Installer.
    Important : Si vous avez téléchargé des certificats, veillez à sélectionner l'option de redémarrage de tous les services.

Que faire ensuite

L'installation est mise à jour. Les nouveaux services sont enregistrés dans le locataire Workspace ONE Access. Actualisez la page Connecteurs dans la console Workspace ONE Access pour afficher la liste mise à jour des services.