Progettazione di Workspace ONE Access per VMware Cloud Foundation

Workspace ONE Access in modalità VMware Cloud Foundation fornisce servizi di gestione di identità e accessi a componenti specifici nell'SDDC, ad esempio vRealize Suite.

Workspace ONE Access fornisce le seguenti funzionalità:

Integrazione della directory per autenticare gli utenti con un provider di identità (IdP), ad esempio Active Directory o LDAP.
Più metodi di autenticazione.
Criteri di accesso costituiti da regole per specificare i criteri che gli utenti devono soddisfare per l'autenticazione.

L'istanza di Workspace ONE Access integrata con vRealize Suite Lifecycle Manager fornisce servizi di gestione delle identità e degli accessi alle soluzioni vRealize Suite che vengono eseguite in un'istanza di VMware Cloud Foundation o che devono essere disponibili tra le istanze di VMware Cloud Foundation.

Per la progettazione della gestione delle identità per un prodotto vRealize Suite, vedere Soluzioni convalidate di VMware Cloud Foundation .

Per la gestione delle identità e degli accessi per componenti diversi da vRealize Suite, ad esempio NSX, è possibile distribuire un'istanza di Workspace ONE Access autonoma. Vedere Gestione delle identità e degli accessi per VMware Cloud Foundation.

Progettazione logica per Workspace ONE Access

Per fornire servizi di gestione delle identità e degli accessi ai componenti SDDC supportati, come i componenti di vRealize Suite, questo progetto utilizza un'istanza di Workspace ONE Access distribuita su un segmento di rete NSX.

La distribuzione di Workspace ONE Access è costituita da un nodo primario. È connesso a vRealize Suite Lifecycle Manager e componenti aggiuntivi di vRealize Suite. — Figura 1. Progettazione logica per Workspace ONE Access standard

Tabella 1. Componenti logici di Workspace ONE Access standard
Istanze di VMware Cloud Foundation con una singola zona di disponibilità	Istanze di VMware Cloud Foundation con più zone di disponibilità
Un'istanza di Workspace ONE Access a nodo singolo distribuita su un segmento NSX con supporto overlay (consigliato) o VLAN. Le soluzioni SDDC portabili tra le istanze di VMware Cloud Foundation sono integrate con l'istanza di Workspace ONE Access nella prima istanza di VMware Cloud Foundation.	Un'istanza di Workspace ONE Access a nodo singolo distribuita su un segmento NSX con supporto overlay (consigliato) o VLAN. Le soluzioni SDDC portabili tra le istanze di VMware Cloud Foundation sono integrate con l'istanza di Workspace ONE Access nella prima istanza di VMware Cloud Foundation. Una regola di vSphere DRS dovrebbe-essere-eseguita-negli-host-del-gruppo assicura che, in condizioni operative normali, il nodo Workspace ONE Access venga eseguito in un host ESXi di gestione nella prima zona di disponibilità.

Il cluster di Workspace ONE Access è costituito da un nodo primario e da due nodi secondari e il carico viene bilanciato utilizzando un bilanciamento del carico di NSX. È connesso a vRealize Suite Lifecycle Manager e componenti aggiuntivi di vRealize Suite. — Figura 2. Progettazione logica per Workspace ONE Access in cluster

Tabella 2. Componenti logici di Workspace ONE Access in cluster
Istanze di VMware Cloud Foundation con una singola zona di disponibilità	Istanze di VMware Cloud Foundation con più zone di disponibilità
Un cluster di Workspace ONE Access a tre nodi dietro un bilanciamento del carico di NSX e distribuito in un segmento NSX con supporto overlay (consigliato) o VLAN viene distribuito nella prima istanza di VMware Cloud Foundation. Tutti i servizi e i database di Workspace ONE Access vengono configurati per l'alta disponibilità utilizzando una configurazione del cluster nativo. Le soluzioni dell'SDDC portabili tra istanze di VMware Cloud Foundation sono integrate con questo cluster di Workspace ONE Access. Ogni nodo del cluster a tre nodi è configurato come connettore per tutti i provider di identità pertinenti vSphere HA protegge i nodi di Workspace ONE Access. Regole anti-affinità di vSphere DRS garantiscono che i nodi di Workspace ONE Access vengano eseguiti in host ESXi diversi. L'istanza di Workspace ONE Access a nodo singolo aggiuntivo viene distribuita in un segmento NSX supportato da overlay (consigliato) o da VLAN in tutte le altre istanze di VMware Cloud Foundation.	Un cluster di Workspace ONE Access a tre nodi dietro un bilanciamento del carico NSX e distribuito in un segmento NSX con supporto di overlay (consigliato) o VLAN. Tutti i servizi e i database di Workspace ONE Access vengono configurati per l'alta disponibilità utilizzando una configurazione del cluster nativo. Le soluzioni dell'SDDC portabili tra istanze di VMware Cloud Foundation sono integrate in questo cluster di Workspace ONE Access. Ogni nodo del cluster a tre nodi è configurato come connettore per tutti i provider di identità pertinenti vSphere HA protegge i nodi di Workspace ONE Access. Una regola di anti-affinità di vSphere DRS garantisce che i nodi di Workspace ONE Access vengano eseguiti in host ESXi diversi. Una regola di vSphere DRS dovrebbe-essere-eseguita-negli-host-del-gruppo assicura che, in condizioni operative normali, i nodi di Workspace ONE Access funzionano su host ESXi di gestione nella prima zona di disponibilità. L'istanza di Workspace ONE Access a nodo singolo aggiuntivo viene distribuita in un segmento NSX supportato da overlay (consigliato) o da VLAN in tutte le altre istanze di VMware Cloud Foundation.

Considerazioni sul dimensionamento per Workspace ONE Access per VMware Cloud Foundation

Quando si distribuisce Workspace ONE Access, si sceglie di distribuire l'appliance con una dimensione adatta alla scalabilità dell'ambiente. L'opzione selezionata determina il numero di CPU e la quantità di memoria dell'appliance.

Per il dimensionamento dettagliato in base al profilo complessivo dell'istanza di VMware Cloud Foundation che si intende distribuire, vedere Cartella di lavoro di pianificazione e preparazione di VMware Cloud Foundation.

Tabella 3. Considerazioni sul dimensionamento per Workspace ONE Access
Dimensione appliance Workspace ONE Access	Limiti supportati
Molto piccolo	3.000 utenti 30 gruppi
Piccolo	5.000 utenti 50 gruppi
Media	10.000 utenti 100 gruppi Un requisito minimo per vRealize Automation
Grande	25.000 utenti 250 gruppi
Molto grande	50.000 utenti 500 gruppi
Grandissimo	100.000 utenti 1.000 gruppi

Progettazione della rete per Workspace ONE Access

Per l'accesso sicuro all'interfaccia utente e all'API di Workspace ONE Access, distribuire i nodi su un segmento di rete NSX con supporto overlay o VLAN.

Segmento di rete

Questa progettazione di rete include le seguenti funzionalità:

Tutti i componenti di Workspace ONE Access dispongono dell'accesso instradato alla VLAN di gestione tramite il gateway di livello 0 nell'istanza di NSX per il dominio di gestione.
Il routing verso la rete di gestione e altre reti esterne è dinamico e si basa sul protocollo BGP (Border Gateway Protocol).

I nodi di Workspace ONE Access sono collegati al segmento di rete NSX tra istanze, che è collegato alla rete di gestione attraverso i gateway NSX di livello 0 e di livello 1. — Figura 3. Progettazione di rete per Workspace ONE Access standard

I nodi del cluster di Workspace ONE Access sono collegati al segmento di rete NSX tra istanze, che è collegato alla rete di gestione attraverso i gateway NSX di livello 0 e di livello 1. — Figura 4. Progettazione di rete per Workspace ONE Access in cluster

Bilanciamento del carico

Una distribuzione del cluster di Workspace ONE Access richiede un bilanciamento del carico per gestire le connessioni ai servizi di Workspace ONE Access.

I servizi di bilanciamento del carico vengono forniti da NSX. Durante la distribuzione del cluster di Workspace ONE Access o della scalabilità orizzontale di una distribuzione standard, vRealize Suite Lifecycle Manager e SDDC Manager si coordinano per automatizzare la configurazione del bilanciamento del carico di NSX. Il bilanciamento del carico è configurato con le seguenti impostazioni:

Tabella 4. Configurazione del bilanciamento del carico di Workspace ONE Access in cluster
Elemento di bilanciamento del carico	Impostazioni
Monitoraggio del servizio	Utilizzare gli intervalli e i timeout predefiniti: Intervallo di monitoraggio: 3 secondi Periodo di timeout di inattività: 10 secondi Salita/discesa: 3 secondi Richiesta HTTP: Metodo HTTP: Get Versione richiesta HTTP: 1.1 URL richiesta: /SAAS/API/1.0/REST/system/health/heartbeat. Risposta HTTP: Codice di risposta HTTP: 200 Corpo della risposta HTTP: OK Configurazione SSL: SSL server: abilitato Certificato client: certificato cluster tra istanze di Workspace ONE Access Profilo SSL: default-balanced-server-ssl-profil.
Pool di server	Algoritmo LEAST_CONNECTION. Impostare la modalità di conversione SNAT su Mappa automatica per il pool. Membri statici: Nome: IP nome host: Indirizzo IP Porta: 443 Peso: 1 Stato: abilitato Impostare il monitoraggio del servizio precedente.
Profilo applicazione HTTP	Timeout 3.600 secondi (60 minuti). X-Forwarded-For Inserisci
Profilo di persistenza cookie	Nome cookie JSESSIONID. Modalità cookie Riscrivi
Server virtuale	Tipo HTTP L7 Porta 443 IP IP cluster Workspace ONE Access Persistenza Superiore al profilo di persistenza dei cookie. Profilo applicazione Superiore al profilo di applicazione HTTP. Pool di server Superiore al pool di server

Progettazione dell'integrazione per Workspace ONE Access con VMware Cloud Foundation

È possibile integrare i componenti dell'SDDC supportati con il cluster di Workspace ONE Access per abilitare l'autenticazione attraverso i servizi di gestione delle identità e degli accessi.

Dopo l'integrazione, è possibile effettuare la configurazione della sicurezza delle informazioni e del controllo degli accessi per i prodotti dell'SDDC integrati.

Tabella 5. Integrazione dell'SDDC di Workspace ONE Access
Componente dell'SDDC	Integrazione	Considerazioni
vCenter Server	Non supportato	Per i servizi di directory è necessario connettersi vCenter Server direttamente ad Active Directory. Vedere Gestione delle identità e degli accessi per VMware Cloud Foundation.
SDDC Manager	Non supportato	SDDC Manager utilizza vCenter Single Sign-On. Per i servizi directory è necessario connettersi vCenter Server direttamente ad Active Directory
NSX	Supportato	Se si intende scalare orizzontalmente a un ambiente con più istanze di VMware Cloud Foundation, ad esempio per il ripristino di emergenza, è necessario distribuire un'istanza di Workspace ONE Access standard aggiuntiva in ogni istanza di VMware Cloud Foundation. L'istanza di Workspace ONE Access utilizzata da componenti protetti nelle istanze di VMware Cloud Foundation potrebbe eseguire il failover tra le posizioni fisiche, il che influirà sull'autenticazione di NSX nella prima istanza di VMware Cloud Foundation. Vedere Gestione delle identità e degli accessi per VMware Cloud Foundation.
vRealize Suite Lifecycle Manager	Supportato	nessuna.

Vedere Soluzioni convalidate di VMware Cloud Foundation per la progettazione dei componenti specifici di vRealize Suite, inclusa la gestione delle identità.

Modello di distribuzione per Workspace ONE Access

Workspace ONE Access viene distribuito come appliance virtuale in formato OVA che è possibile distribuire e gestire da vRealize Suite Lifecycle Manager insieme ad altri prodotti vRealize Suite. L'appliance di Workspace ONE Access include i servizi di gestione delle identità e degli accessi.

Tipo di distribuzione

La scelta del tipo di distribuzione, standard o cluster, dipende dagli obiettivi di progettazione della disponibilità e del numero di utenti che il sistema e le soluzioni SDDC integrate devono supportare. È possibile distribuire Workspace ONE Access nel cluster di vSphere di gestione predefinito.

Tabella 6. Attributi della topologia di Workspace ONE Access
Tipo di distribuzione	Descrizione	Vantaggio	Svantaggi
Standard (opzione consigliata)	Nodo singolo Bilanciamento del carico di NSX distribuito automaticamente.	Può essere scalato orizzontale in un cluster a 3 nodi dietro un bilanciamento del carico di NSX Può utilizzare al meglio vSphere HA per il ripristino dopo che si è verificato un errore. Consuma meno risorse.	Non fornisce l'alta disponibilità per i connettori del provider di identità.
Cluster	Distribuzione di un cluster di tre nodi mediante il database PostgreSQL interno. Bilanciamento del carico di NSX distribuito automaticamente.	Offre alta disponibilità per i connettori del provider di identità.	Può richiedere un intervento manuale dopo un errore. Utilizza risorse aggiuntive.

Requisiti di progettazione di Workspace ONE Access e consigli per VMware Cloud Foundation

Considerare i requisiti di posizionamento, rete, dimensionamento e alta disponibilità per l'utilizzo di Workspace ONE Access per la gestione delle identità e degli accessi delle soluzioni dell'SDDC su un cluster di gestione standard o esteso in VMware Cloud Foundation. Applicare procedure consigliate simili per fare in modo che Workspace ONE Access funzioni in modo ottimale.

Requisiti di progettazione di Workspace ONE Access

È necessario soddisfare i seguenti requisiti di progettazione di Workspace ONE Access per VMware Cloud Foundation, considerare i cluster standard o estesi. Per la federazione di NSX sono presenti requisiti aggiuntivi.

Tabella 7. Requisiti di progettazione di Workspace ONE Access per VMware Cloud Foundation
ID requisito	Requisiti di progettazione	Giustificazione	Implicazione
VCF-WSA-REQD-ENV-001	Creare un ambiente globale in vRealize Suite Lifecycle Manager per supportare la distribuzione di Workspace ONE Access.	vRealize Suite Lifecycle Manager richiede un ambiente globale per distribuire Workspace ONE Access.	nessuna.
VCF-WSA-REQD-SEC-001	Importare certificati firmati dall'autorità di certificazione nel repository Locker per le operazioni del ciclo di vita del prodotto Workspace ONE Access.	È possibile fare riferimento e utilizzare i certificati firmati dall'autorità di certificazione durante le operazioni del ciclo di vita del prodotto, come la distribuzione e la sostituzione dei certificati.	Quando si utilizza l'API, è necessario specificare l'ID Locker del certificato da utilizzare nel payload JSON.
VCF-WSA-REQD-CFG-001	Distribuire un'istanza di Workspace ONE Access di dimensioni appropriate in base al modello di distribuzione selezionato utilizzando vRealize Suite Lifecycle Manager in modalità VMware Cloud Foundation.	L'istanza di Workspace ONE Access viene gestita da vRealize Suite Lifecycle Manager e importata nell'inventario di SDDC Manager.	nessuna.
VCF-WSA-REQD-CFG-002	Posizionare le appliance Workspace ONE Access in un segmento di rete NSX con supporto overlay o con supporto VLAN.	Fornisce un modello di distribuzione coerente per le applicazioni di gestione in un ambiente con una o più istanze di VMware Cloud Foundation.	È necessario utilizzare un'implementazione in NSX per supportare questa configurazione di rete.
VCF-WSA-REQD-CFG-003	Utilizzare il database PostgreSQL incorporato con Workspace ONE Access.	Elimina la necessità di servizi di database esterni.	nessuna.
VCF-WSA-REQD-CFG-004	Aggiungere un gruppo di macchine virtuali per Workspace ONE Access e impostare le regole della macchina virtuale per riavviare il gruppo di macchine virtuali Workspace ONE Access prima di tutte le macchine virtuali dipendenti per l'autenticazione.	È possibile definire l'ordine di avvio delle macchine virtuali relativo alla dipendenza del servizio. L'ordine di avvio assicura che vSphere HA attivi le macchine virtuali Workspace ONE Access in un ordine che rispetti le dipendenze del prodotto.	nessuna.
VCF-WSA-REQD-CFG-005	Connettere l'istanza di Workspace ONE Access a un provider di identità upstream supportato.	È possibile integrare la directory aziendale con Workspace ONE Access per sincronizzare utenti e gruppi con i servizi di gestione di identità e di accesso di Workspace ONE Access.	nessuna.
VCF-WSA-REQD-CFG-006	Se si utilizza Workspace ONE Access in cluster, configurare il secondo e il terzo connettore nativo che corrispondono al secondo e al terzo nodo del cluster Workspace ONE Access per supportare l'alta disponibilità di directory.	L'aggiunta di connettori nativi supplementari offre ridondanza e migliora le prestazioni grazie al bilanciamento del carico delle richieste di autenticazione.	Ciascuno dei nodi del cluster Workspace ONE Access deve far parte del dominio Active Directory per poter utilizzare Active Directory con Autenticazione Windows integrata con il connettore nativo.
VCF-WSA-REQD-CFG-007	Se si utilizza Workspace ONE Access in cluster, utilizzare il bilanciamento del carico NSX configurato da SDDC Manager su un gateway di livello 1 dedicato.	Durante la distribuzione di Workspace ONE Access utilizzando vRealize Suite Lifecycle Manager, SDDC Manager automatizza la configurazione di un bilanciamento del carico NSX per Workspace ONE Access per facilitare la scalabilità orizzontale.	È necessario utilizzare il bilanciamento del carico configurato da SDDC Manager e l'integrazione con vRealize Suite Lifecycle Manager.

Tabella 8. Requisiti di progettazione di Workspace ONE Access per i cluster estesi in VMware Cloud Foundation
ID requisito	Requisiti di progettazione	Giustificazione	Implicazione
VCF-WSA-REQD-CFG-008	Aggiungere le appliance Workspace ONE Access al gruppo di macchine virtuali per la prima zona di disponibilità.	Garantisce che per impostazione predefinita, i nodi del cluster Workspace ONE Access siano attivi in un host nella prima zona di disponibilità.	Se l'istanza di Workspace ONE Access viene distribuita dopo la creazione del cluster gestione esteso, è necessario aggiungere manualmente le appliance al gruppo di macchine virtuali. Workspace ONE Access in cluster potrebbe richiedere un intervento manuale dopo un guasto della zona di disponibilità attiva.

Tabella 9. Requisiti di progettazione di Workspace ONE Access per la federazione di NSX in VMware Cloud Foundation
ID requisito	Requisiti di progettazione	Giustificazione	Implicazione
VCF-WSA-REQD-CFG-009	Configurare le impostazioni DNS per Workspace ONE Access in modo che utilizzi i server DNS in ogni istanza di VMware Cloud Foundation.	Migliora la resilienza se si verifica un'interruzione dei servizi esterni per un'istanza di VMware Cloud Foundation.	nessuna.
VCF-WSA-REQD-CFG-010	Configurare le impostazioni di NTP nei nodi cluster Workspace ONE Access in modo che utilizzino i server NTP in ogni istanza di VMware Cloud Foundation.	Migliora la resilienza se si verifica un'interruzione dei servizi esterni per un'istanza di VMware Cloud Foundation.	Se si scala da una distribuzione con una singola istanza di VMware Cloud Foundation a una con più istanze di VMware Cloud Foundation, è necessario aggiornare le impostazioni NTP in Workspace ONE Access.

Consigli di progettazione di Workspace ONE Access

Nella progettazione di Workspace ONE Access per VMware Cloud Foundation è possibile applicare determinate procedure consigliate.

Tabella 10. Consigli per la progettazione di Workspace ONE Access per VMware Cloud Foundation
ID consiglio	Consigli di progettazione	Giustificazione	Implicazione
VCF-WSA-RCMD-CFG-001	Proteggere tutti i nodi di Workspace ONE Access utilizzando vSphere HA.	Supporta l'alta disponibilità per Workspace ONE Access.	Nessuna per le distribuzioni standard. Le distribuzioni di Workspace ONE Access in cluster potrebbe richiedere un intervento in caso di errore di un host ESXi.
VCF-WSA-RCMD-CFG-002	Quando si utilizza Active Directory come provider di identità, utilizzare Active Directory su LDAP come opzione di connessione ai servizi Directory.	Il connettore Workspace ONE Access nativo (incorporato) esegue il binding ad Active Directory su LDAP utilizzando un'autenticazione di binding standard.	In una foresta multidominio, in cui l'istanza Workspace ONE Access si connette a un sottodominio, i gruppi di sicurezza di Active Directory devono avere portata globale. Pertanto, i membri aggiunti al gruppo di sicurezza globale di Active Directory devono risiedere nello stesso dominio di Active Directory. Se è richiesta l'autenticazione a più di un dominio Active Directory, sono necessarie altre directory Workspace ONE Access.
VCF-WSA-RCMD-CFG-003	Quando si utilizza Active Directory come provider di identità, utilizzare un account utente di Active Directory con un accesso minimo di sola lettura ai DN di base di utenti e gruppi come account di servizio per il bind di Active Directory.	Offre le seguenti funzionalità di controllo degli accessi: Workspace ONE Access si connette ad Active Directory con il set minimo di autorizzazioni necessarie per effettuare il bind e la query della directory. È possibile introdurre una maggiore responsabilità nel tracciare le interazioni richiesta-risposta tra Workspace ONE Access e Active Directory.	È necessario gestire il ciclo di vita della password di questo account. Se è richiesta l'autenticazione a più di un dominio Active Directory, sono necessari account aggiuntivi per il collegamento del connettore Workspace ONE Access a ciascun dominio Active Directory tramite LDAP.
VCF-WSA-RCMD-CFG-004	Configurare la sincronizzazione della directory per sincronizzare solo i gruppi necessari per le soluzioni SDDC integrate.	Limita il numero di gruppi replicati necessari per ogni prodotto. Riduce l'intervallo di replica per le informazioni sul gruppo.	È necessario gestire i gruppi della directory aziendale selezionati per la sincronizzazione con Workspace ONE Access.
VCF-WSA-RCMD-CFG-005	Attivare la sincronizzazione dei membri del gruppo della directory aziendale quando un gruppo viene aggiunto alla directory di Workspace ONE Access.	Se attivata, i membri dei gruppi della directory aziendale vengono sincronizzati con la directory di Workspace ONE Access quando vengono aggiunti i gruppi. Quando questa opzione è disattivata, i nomi dei gruppi vengono sincronizzati con la directory, ma i membri del gruppo non vengono sincronizzati finché il gruppo non viene abilitato a un'applicazione o il nome del gruppo non viene aggiunto a un criterio di accesso.	nessuna.
VCF-WSA-RCMD-CFG-006	Abilitare Workspace ONE Access in modo che sincronizzi i membri del gruppo nidificati per impostazione predefinita.	Consente a Workspace ONE Access di aggiornare e memorizzare nella cache l'appartenenza dei gruppi senza dover chiedere alla directory aziendale.	Le modifiche all'appartenenza al gruppo non vengono riflesse fino all'evento di sincronizzazione successivo.
VCF-WSA-RCMD-CFG-007	Aggiungere un filtro alle impostazioni della directory di Workspace ONE Access per escludere gli utenti dalla replica della directory.	Limita il numero di utenti replicati per Workspace ONE Access all'interno della scala massima.	Per garantire che gli account utente replicati siano gestiti entro i limiti massimi, è necessario definire uno schema di filtraggio adatto all'organizzazione in base agli attributi della directory.
VCF-WSA-RCMD-CFG-008	Configurare gli attributi mappati inclusi quando un utente viene aggiunto alla directory di Workspace ONE Access.	È possibile configurare gli attributi utente minimi richiesti ed estesi per sincronizzare gli account utente della directoy per Workspace ONE Access da utilizzare come fonte di autenticazione per le soluzioni vRealize Suite tra istanze.	Gli account utente nella directory aziendale dell'organizzazione devono avere i seguenti attributi obbligatori mappati: `firstname`, ad esempio, `givenname` per Active Directory `lastName`, ad esempio, `sn` per Active Directory `email`, ad esempio, `mail` per Active Directory `userName`, ad esempio, `sAMAccountName` per Active Directory Se si richiede agli utenti di accedere con un identificatore univoco alternativo, ad esempio `userPrincipalName`, è necessario mappare l'attributo e aggiornare le preferenze di gestione delle identità e degli accessi.
VCF-WSA-RCMD-CFG-009	Configurare la frequenza di sincronizzazione della directory di Workspace ONE Access in base a una pianificazione ricorrente, ad esempio 15 minuti.	Assicura che tutte le modifiche alle appartenenze ai gruppi nella directory aziendale siano disponibili per le soluzioni integrate in modo tempestivo.	Pianificare l'intervallo di sincronizzazione in modo che sia più lungo del tempo di sincronizzazione dalla directory aziendale. Se gli utenti e i gruppi sono in fase di sincronizzazione in Workspace ONE Access al momento in cui è prevista la sincronizzazione successiva, la nuova sincronizzazione inizia immediatamente dopo la fine dell'iterazione precedente. Con questa pianificazione, il processo è continuo.
VCF-WSA-RCMD-SEC-001	Creare gruppi di sicurezza corrispondenti nei servizi Directory aziendali per questi ruoli di Workspace ONE Access: Amministratore con privilegi avanzati Amministratori directory Amministratori di sola lettura	Semplifica la gestione dei ruoli di Workspace ONE Access per gli utenti.	È necessario impostare l'intervallo appropriato di sincronizzazione della directory in Workspace ONE Access per garantire che le modifiche siano disponibili in un periodo di tempo ragionevole. È necessario creare il gruppo di sicurezza all'esterno dello stack dell'SDDC.
VCF-WSA-RCMD-SEC-002	Configurare un criterio di password per gli utenti della directory locale di Workspace ONE Access, admin e configadmin.	È possibile impostare un criterio per gli utenti della directory locale di Workspace ONE Access che soddisfi i criteri aziendali e gli standard normativi. Il criterio della password è applicabile solo agli utenti della directory locale e non influisce sulla directory dell'organizzazione.	È necessario impostare il criterio in conformità con i criteri dell'organizzazione e gli standard normativi, come applicabili. È necessario applicare il criterio della password ai nodi del cluster Workspace ONE Access.