Elementi di progettazione di Workspace ONE Access per VMware Cloud Foundation

Utilizzare questo elenco di requisiti e consigli di riferimento relativi a Workspace ONE Access in un ambiente con una o più istanze di VMware Cloud Foundation. Gli elementi di progettazione considerano anche se il dominio di gestione ha una o più zone di disponibilità.

Per i dettagli completi sulla progettazione, vedere Progettazione di Workspace ONE Access per VMware Cloud Foundation.

Tabella 1. Requisiti di progettazione di Workspace ONE Access per VMware Cloud Foundation
ID requisito	Requisiti di progettazione	Giustificazione	Implicazione
VCF-WSA-REQD-ENV-001	Creare un ambiente globale in vRealize Suite Lifecycle Manager per supportare la distribuzione di Workspace ONE Access.	vRealize Suite Lifecycle Manager richiede un ambiente globale per distribuire Workspace ONE Access.	nessuna.
VCF-WSA-REQD-SEC-001	Importare certificati firmati dall'autorità di certificazione nel repository Locker per le operazioni del ciclo di vita del prodotto Workspace ONE Access.	È possibile fare riferimento e utilizzare i certificati firmati dall'autorità di certificazione durante le operazioni del ciclo di vita del prodotto, come la distribuzione e la sostituzione dei certificati.	Quando si utilizza l'API, è necessario specificare l'ID Locker del certificato da utilizzare nel payload JSON.
VCF-WSA-REQD-CFG-001	Distribuire un'istanza di Workspace ONE Access di dimensioni appropriate in base al modello di distribuzione selezionato utilizzando vRealize Suite Lifecycle Manager in modalità VMware Cloud Foundation.	L'istanza di Workspace ONE Access viene gestita da vRealize Suite Lifecycle Manager e importata nell'inventario di SDDC Manager.	nessuna.
VCF-WSA-REQD-CFG-002	Posizionare le appliance Workspace ONE Access in un segmento di rete NSX con supporto overlay o con supporto VLAN.	Fornisce un modello di distribuzione coerente per le applicazioni di gestione in un ambiente con una o più istanze di VMware Cloud Foundation.	È necessario utilizzare un'implementazione in NSX per supportare questa configurazione di rete.
VCF-WSA-REQD-CFG-003	Utilizzare il database PostgreSQL incorporato con Workspace ONE Access.	Elimina la necessità di servizi di database esterni.	nessuna.
VCF-WSA-REQD-CFG-004	Aggiungere un gruppo di macchine virtuali per Workspace ONE Access e impostare le regole della macchina virtuale per riavviare il gruppo di macchine virtuali Workspace ONE Access prima di tutte le macchine virtuali dipendenti per l'autenticazione.	È possibile definire l'ordine di avvio delle macchine virtuali relativo alla dipendenza del servizio. L'ordine di avvio assicura che vSphere HA attivi le macchine virtuali Workspace ONE Access in un ordine che rispetti le dipendenze del prodotto.	nessuna.
VCF-WSA-REQD-CFG-005	Connettere l'istanza di Workspace ONE Access a un provider di identità upstream supportato.	È possibile integrare la directory aziendale con Workspace ONE Access per sincronizzare utenti e gruppi con i servizi di gestione di identità e di accesso di Workspace ONE Access.	nessuna.
VCF-WSA-REQD-CFG-006	Se si utilizza Workspace ONE Access in cluster, configurare il secondo e il terzo connettore nativo che corrispondono al secondo e al terzo nodo del cluster Workspace ONE Access per supportare l'alta disponibilità di directory.	L'aggiunta di connettori nativi supplementari offre ridondanza e migliora le prestazioni grazie al bilanciamento del carico delle richieste di autenticazione.	Ciascuno dei nodi del cluster Workspace ONE Access deve far parte del dominio Active Directory per poter utilizzare Active Directory con Autenticazione Windows integrata con il connettore nativo.
VCF-WSA-REQD-CFG-007	Se si utilizza Workspace ONE Access in cluster, utilizzare il bilanciamento del carico NSX configurato da SDDC Manager su un gateway di livello 1 dedicato.	Durante la distribuzione di Workspace ONE Access utilizzando vRealize Suite Lifecycle Manager, SDDC Manager automatizza la configurazione di un bilanciamento del carico NSX per Workspace ONE Access per facilitare la scalabilità orizzontale.	È necessario utilizzare il bilanciamento del carico configurato da SDDC Manager e l'integrazione con vRealize Suite Lifecycle Manager.

Tabella 2. Requisiti di progettazione di Workspace ONE Access per i cluster estesi in VMware Cloud Foundation
ID requisito	Requisiti di progettazione	Giustificazione	Implicazione
VCF-WSA-REQD-CFG-008	Aggiungere le appliance Workspace ONE Access al gruppo di macchine virtuali per la prima zona di disponibilità.	Garantisce che per impostazione predefinita, i nodi del cluster Workspace ONE Access siano attivi in un host nella prima zona di disponibilità.	Se l'istanza di Workspace ONE Access viene distribuita dopo la creazione del cluster gestione esteso, è necessario aggiungere manualmente le appliance al gruppo di macchine virtuali. Workspace ONE Access in cluster potrebbe richiedere un intervento manuale dopo un guasto della zona di disponibilità attiva.

Tabella 3. Requisiti di progettazione di Workspace ONE Access per la federazione di NSX in VMware Cloud Foundation
ID requisito	Requisiti di progettazione	Giustificazione	Implicazione
VCF-WSA-REQD-CFG-009	Configurare le impostazioni DNS per Workspace ONE Access in modo che utilizzi i server DNS in ogni istanza di VMware Cloud Foundation.	Migliora la resilienza se si verifica un'interruzione dei servizi esterni per un'istanza di VMware Cloud Foundation.	nessuna.
VCF-WSA-REQD-CFG-010	Configurare le impostazioni di NTP nei nodi cluster Workspace ONE Access in modo che utilizzino i server NTP in ogni istanza di VMware Cloud Foundation.	Migliora la resilienza se si verifica un'interruzione dei servizi esterni per un'istanza di VMware Cloud Foundation.	Se si scala da una distribuzione con una singola istanza di VMware Cloud Foundation a una con più istanze di VMware Cloud Foundation, è necessario aggiornare le impostazioni NTP in Workspace ONE Access.

Tabella 4. Consigli per la progettazione di Workspace ONE Access per VMware Cloud Foundation
ID consiglio	Consigli di progettazione	Giustificazione	Implicazione
VCF-WSA-RCMD-CFG-001	Proteggere tutti i nodi di Workspace ONE Access utilizzando vSphere HA.	Supporta l'alta disponibilità per Workspace ONE Access.	Nessuna per le distribuzioni standard. Le distribuzioni di Workspace ONE Access in cluster potrebbe richiedere un intervento in caso di errore di un host ESXi.
VCF-WSA-RCMD-CFG-002	Quando si utilizza Active Directory come provider di identità, utilizzare Active Directory su LDAP come opzione di connessione ai servizi Directory.	Il connettore Workspace ONE Access nativo (incorporato) esegue il binding ad Active Directory su LDAP utilizzando un'autenticazione di binding standard.	In una foresta multidominio, in cui l'istanza Workspace ONE Access si connette a un sottodominio, i gruppi di sicurezza di Active Directory devono avere portata globale. Pertanto, i membri aggiunti al gruppo di sicurezza globale di Active Directory devono risiedere nello stesso dominio di Active Directory. Se è richiesta l'autenticazione a più di un dominio Active Directory, sono necessarie altre directory Workspace ONE Access.
VCF-WSA-RCMD-CFG-003	Quando si utilizza Active Directory come provider di identità, utilizzare un account utente di Active Directory con un accesso minimo di sola lettura ai DN di base di utenti e gruppi come account di servizio per il bind di Active Directory.	Offre le seguenti funzionalità di controllo degli accessi: Workspace ONE Access si connette ad Active Directory con il set minimo di autorizzazioni necessarie per effettuare il bind e la query della directory. È possibile introdurre una maggiore responsabilità nel tracciare le interazioni richiesta-risposta tra Workspace ONE Access e Active Directory.	È necessario gestire il ciclo di vita della password di questo account. Se è richiesta l'autenticazione a più di un dominio Active Directory, sono necessari account aggiuntivi per il collegamento del connettore Workspace ONE Access a ciascun dominio Active Directory tramite LDAP.
VCF-WSA-RCMD-CFG-004	Configurare la sincronizzazione della directory per sincronizzare solo i gruppi necessari per le soluzioni SDDC integrate.	Limita il numero di gruppi replicati necessari per ogni prodotto. Riduce l'intervallo di replica per le informazioni sul gruppo.	È necessario gestire i gruppi della directory aziendale selezionati per la sincronizzazione con Workspace ONE Access.
VCF-WSA-RCMD-CFG-005	Attivare la sincronizzazione dei membri del gruppo della directory aziendale quando un gruppo viene aggiunto alla directory di Workspace ONE Access.	Se attivata, i membri dei gruppi della directory aziendale vengono sincronizzati con la directory di Workspace ONE Access quando vengono aggiunti i gruppi. Quando questa opzione è disattivata, i nomi dei gruppi vengono sincronizzati con la directory, ma i membri del gruppo non vengono sincronizzati finché il gruppo non viene abilitato a un'applicazione o il nome del gruppo non viene aggiunto a un criterio di accesso.	nessuna.
VCF-WSA-RCMD-CFG-006	Abilitare Workspace ONE Access in modo che sincronizzi i membri del gruppo nidificati per impostazione predefinita.	Consente a Workspace ONE Access di aggiornare e memorizzare nella cache l'appartenenza dei gruppi senza dover chiedere alla directory aziendale.	Le modifiche all'appartenenza al gruppo non vengono riflesse fino all'evento di sincronizzazione successivo.
VCF-WSA-RCMD-CFG-007	Aggiungere un filtro alle impostazioni della directory di Workspace ONE Access per escludere gli utenti dalla replica della directory.	Limita il numero di utenti replicati per Workspace ONE Access all'interno della scala massima.	Per garantire che gli account utente replicati siano gestiti entro i limiti massimi, è necessario definire uno schema di filtraggio adatto all'organizzazione in base agli attributi della directory.
VCF-WSA-RCMD-CFG-008	Configurare gli attributi mappati inclusi quando un utente viene aggiunto alla directory di Workspace ONE Access.	È possibile configurare gli attributi utente minimi richiesti ed estesi per sincronizzare gli account utente della directoy per Workspace ONE Access da utilizzare come fonte di autenticazione per le soluzioni vRealize Suite tra istanze.	Gli account utente nella directory aziendale dell'organizzazione devono avere i seguenti attributi obbligatori mappati: `firstname`, ad esempio, `givenname` per Active Directory `lastName`, ad esempio, `sn` per Active Directory `email`, ad esempio, `mail` per Active Directory `userName`, ad esempio, `sAMAccountName` per Active Directory Se si richiede agli utenti di accedere con un identificatore univoco alternativo, ad esempio `userPrincipalName`, è necessario mappare l'attributo e aggiornare le preferenze di gestione delle identità e degli accessi.
VCF-WSA-RCMD-CFG-009	Configurare la frequenza di sincronizzazione della directory di Workspace ONE Access in base a una pianificazione ricorrente, ad esempio 15 minuti.	Assicura che tutte le modifiche alle appartenenze ai gruppi nella directory aziendale siano disponibili per le soluzioni integrate in modo tempestivo.	Pianificare l'intervallo di sincronizzazione in modo che sia più lungo del tempo di sincronizzazione dalla directory aziendale. Se gli utenti e i gruppi sono in fase di sincronizzazione in Workspace ONE Access al momento in cui è prevista la sincronizzazione successiva, la nuova sincronizzazione inizia immediatamente dopo la fine dell'iterazione precedente. Con questa pianificazione, il processo è continuo.
VCF-WSA-RCMD-SEC-001	Creare gruppi di sicurezza corrispondenti nei servizi Directory aziendali per questi ruoli di Workspace ONE Access: Amministratore con privilegi avanzati Amministratori directory Amministratori di sola lettura	Semplifica la gestione dei ruoli di Workspace ONE Access per gli utenti.	È necessario impostare l'intervallo appropriato di sincronizzazione della directory in Workspace ONE Access per garantire che le modifiche siano disponibili in un periodo di tempo ragionevole. È necessario creare il gruppo di sicurezza all'esterno dello stack dell'SDDC.
VCF-WSA-RCMD-SEC-002	Configurare un criterio di password per gli utenti della directory locale di Workspace ONE Access, admin e configadmin.	È possibile impostare un criterio per gli utenti della directory locale di Workspace ONE Access che soddisfi i criteri aziendali e gli standard normativi. Il criterio della password è applicabile solo agli utenti della directory locale e non influisce sulla directory dell'organizzazione.	È necessario impostare il criterio in conformità con i criteri dell'organizzazione e gli standard normativi, come applicabili. È necessario applicare il criterio della password ai nodi del cluster Workspace ONE Access.