Pour déployer Workspace ONE Access Connector, qui inclut les services de synchronisation d'annuaire, d'authentification utilisateur et d'authentification Kerberos sous forme de composants, assurez-vous que votre serveur Windows répond aux exigences. Certaines exigences varient selon le service que vous installez.
Nombre de serveurs
Vous pouvez installer les services de synchronisation d'annuaire, d'authentification utilisateur et d'authentification Kerberos ensemble sur un seul serveur Windows ou les installer sur des serveurs distincts dans n'importe quelle combinaison, selon vos préférences. Pour installer tous les services ensemble, vous avez besoin d'un serveur plus puissant. Pour installer les services séparément, vous devez obtenir plusieurs serveurs.
Plusieurs serveurs sont nécessaires si vous souhaitez configurer la haute disponibilité pour l'un des services.
En outre, tenez compte du fait que le service d'authentification Kerberos requiert une connectivité entrante, contrairement aux autres services.
Configuration matérielle requise
Assurez-vous que le serveur Windows répond à la configuration matérielle requise suivante.
- Système d'exploitation : Windows Server 2012 R2 Standard 64 bits ou version ultérieure
- Processeur : Intel(R) Xeon(R) CPU E5-2650 [email protected] GHz (2 processeurs) x64 bits ou version ultérieure
| Taille du déploiement | Configuration matérielle requise | Nombre d'utilisateurs et de groupes |
|---|---|---|
| Petite | 2 vCPU, 8 Go de RAM, 40 Go d'espace disque Allocation de mémoire Java pour le service de synchronisation d'annuaire : xmx=4g |
Jusqu'à 50 000 utilisateurs et 500 groupes |
| Moyenne | 4 vCPU, 8 Go de RAM, 40 Go d'espace disque Allocation de mémoire Java pour le service de synchronisation d'annuaire : xmx=4g |
Jusqu'à 100 000 utilisateurs et 1 000 groupes |
| Grande | 8 vCPU, 12 Go de RAM, 40 Go d'espace disque Allocation de mémoire Java pour le service de synchronisation d'annuaire : xmx=8g |
Jusqu'à 200 000 utilisateurs et 2 000 groupes |
| Taille du déploiement | Configuration matérielle requise pour le serveur du service d'authentification Kerberos ou du service d'authentification utilisateur | Service d'authentification utilisateur | Service d'authentification Kerberos |
|---|---|---|---|
| Petite/Moyenne/Grande | 2 vCPU, 4 Go de RAM, 40 Go d'espace disque Allocation de mémoire Java pour le service d'authentification utilisateur ou le service d'authentification Kerberos : xmx=1g |
Authentifications de mot de passe : 390 - 480/min Flux actif de WSFed : 720 - 900/min |
Authentifications Kerberos : 420 - 480/min |
| Taille du déploiement | Configuration matérielle requise | Synchronisation de l'annuaire |
|---|---|---|
| Petite | 2 vCPU, 8 Go de RAM, 40 Go d'espace disque Allocation de mémoire Java : Service de synchronisation d'annuaire : xmx=4g Service d'authentification Kerberos : xmx=1g Service d'authentification utilisateur : xmx=1g |
Jusqu'à 50 000 utilisateurs et 500 groupes |
| Moyenne | 4 vCPU, 8 Go de RAM, 40 Go d'espace disque Allocation de mémoire Java : Service de synchronisation d'annuaire : xmx=4g Service d'authentification Kerberos : xmx=1g Service d'authentification utilisateur : xmx=1g |
Jusqu'à 100 000 utilisateurs et 1 000 groupes |
| Grande | 8 vCPU, 16 Go de RAM, 40 Go d'espace disque Allocation de mémoire Java : Service de synchronisation d'annuaire : xmx=8g Service d'authentification Kerberos : xmx=1g Service d'authentification utilisateur : xmx=1g |
Jusqu'à 200 000 utilisateurs et 2 000 groupes |
- Les besoins en mémoire incluent le système d'exploitation et les composants de connecteur VMware. Si vous prévoyez d'exécuter d'autres applications ou services sur le serveur, ajustez les besoins en mémoire en conséquence.
- L'allocation de mémoire Java indiquée pour chaque service fait référence à la mémoire du segment de mémoire Java. Par défaut, 4 Go sont alloués au service de synchronisation d'annuaire, 1 Go au service d'authentification utilisateur et 1 Go au service d'authentification Kerberos. Reportez-vous à la section Augmentation de la mémoire Java des services d'entreprise pour plus d'informations sur l'allocation de mémoire.
- Les groupes répertoriés pour le service de synchronisation d'annuaire sont tous à un niveau, chaque groupe contenant 500 utilisateurs et chaque utilisateur étant associé à 5 groupes.
- Les déploiements effectués avec des groupes de grande taille ou des groupes imbriqués requièrent davantage de mémoire.
Configuration logicielle requise
Assurez-vous que le serveur Windows répond à la configuration logicielle requise suivante.
| Condition | Notes |
|---|---|
| Windows Server 2019 Windows Server 2016 ou Windows Server 2012 R2 ou Windows Server 2008 R2 |
|
| Installer les PowerShell sur le serveur |
Note : PowerShell version 4.0 est requis si vous effectuez l’installation sur Windows Server 2008 R2.
|
| Installez .NET Framework 4.6.2 |
Conditions requises pour le réseau
Pour configurer les ports répertoriés ci-dessous, l'ensemble du trafic est unidirectionnel (sortant) allant du composant source vers le composant de destination. Un proxy sortant ou tout autre logiciel ou matériel de gestion de connexion ne doit pas se terminer ni rejeter la connexion sortante à partir du Workspace ONE Access Connector. La connexion sortante doit rester ouverte à tout moment.
| Source | Destination | Port | Protocole | Notes |
|---|---|---|---|---|
| Workspace ONE Access Connector | Service Workspace ONE Access (cloud) Hôte du service Workspace ONE Access (installations sur site) |
443 | HTTPS | Port par défaut, requis S'applique au service de synchronisation d'annuaire, au service d'authentification utilisateur et au service d'authentification Kerberos |
| Workspace ONE Access Connector | Équilibrage de charge du service Workspace ONE Access (installations sur site) | 443 | HTTPS | S'applique au service de synchronisation d'annuaire, au service d'authentification utilisateur et au service d'authentification Kerberos |
| Navigateurs | Workspace ONE Access Connector | 443 | HTTPS | Requis pour le service d'authentification Kerberos |
| Workspace ONE Access Connector | Active Directory | 389, 636, 3268, 3269 | Ports par défaut, configurables S'applique au service de synchronisation d'annuaire. S'applique également au service d'authentification utilisateur si l'authentification par mot de passe est utilisée. |
|
| Workspace ONE Access Connector | Serveur DNS | 53 | TCP/UDP | Chaque instance du connecteur doit avoir accès au serveur DNS sur le port 53 et autoriser le trafic SSH entrant sur le port 22. S'applique au service de synchronisation d'annuaire, au service d'authentification utilisateur et au service d'authentification Kerberos. |
| Workspace ONE Access Connector | Contrôleur de domaine | 88, 464, 135, 445 | TCP/UDP | S'applique au service de synchronisation d'annuaire et au service d'authentification Kerberos |
| Workspace ONE Access Connector | Système RSA SecurID | 5500 | Port par défaut, configurable S'applique au service d'authentification utilisateur si RSA SecurID est utilisé |
|
| Workspace ONE Access Connector | serveur syslog | 514 | UDP | Port par défaut, configurable Port du serveur Syslog externe, si configuré. S'applique au service de synchronisation d'annuaire, au service d'authentification utilisateur et au service d'authentification Kerberos |
Adresses IP du service cloud Workspace ONE Access
Reportez-vous à la section https://kb.vmware.com/s/article/68035 pour obtenir la liste des adresses IP du service cloud Access Workspace ONE auxquelles Workspace ONE Access Connector doit avoir accès.
Conditions requises pour les enregistrements DNS et les adresses IP
Le connecteur doit disposer d'une entrée DNS et d'une adresse IP statique. Avant de commencer votre installation, procurez-vous l'enregistrement DNS et l'adresse IP pour utiliser et configurer les paramètres réseau du serveur Windows.
Veillez à sélectionner un nom d'hôte approprié et convivial pour le serveur du connecteur si vous prévoyez d'installer le service d'authentification Kerberos. Le nom d'hôte de Workspace ONE Access Connector est visible aux utilisateurs finaux lorsque l'authentification Kerberos est configurée.
La configuration de la recherche inversée est facultative. Lorsque vous réalisez la recherche inversée, vous devez définir un enregistrement PTR sur le serveur DNS afin que le connecteur utilise la configuration réseau adéquate.
Vous pouvez utiliser la liste suivante d’exemples d’enregistrements DNS. Remplacez les informations de l'exemple par les informations de votre environnement. Cet exemple montre des enregistrements DNS et des adresses IP qui utilisent la résolution.
| Nom de domaine | Type de ressource | Adresse IP |
|---|---|---|
| myconnector.example.com | Aoû | 10.28.128.3 |
Cet exemple montre des enregistrements DNS et des adresses IP qui utilisent la résolution inverse
| Adresse IP | Type de ressource | Nom d'hôte |
|---|---|---|
| 10.28.128.3 | PTR | myconnector.example.com |
Après avoir terminé la configuration DNS, vérifiez que la résolution DNS inverse est configurée correctement. Par exemple, la commande host IPaddress doit être résolue en recherche de nom DNS.
Équilibrage de charge
Un équilibrage de charge est requis si vous souhaitez configurer la haute disponibilité pour l'authentification Kerberos.
Synchronisation de l'heure
La configuration de la synchronisation de l'heure sur toutes les instances du connecteur et du service Workspace ONE Access est requise pour qu'un déploiement de Workspace ONE Access fonctionne correctement. Configurez la synchronisation de l'heure au moyen d'un serveur NTP.
