Utilizzare questo elenco di requisiti e consigli di riferimento relativi a Workspace ONE Access in un ambiente con una o più istanze di VMware Cloud Foundation. Gli elementi di progettazione considerano anche se il dominio di gestione ha una o più zone di disponibilità.

Per i dettagli completi sulla progettazione, vedere Progettazione di Workspace ONE Access per VMware Cloud Foundation.

Tabella 1. Requisiti di progettazione di Workspace ONE Access per VMware Cloud Foundation

ID requisito

Requisiti di progettazione

Giustificazione

Implicazione

VCF-WSA-REQD-ENV-001

Creare un ambiente globale in VMware Aria Suite Lifecycle per supportare la distribuzione di Workspace ONE Access.

VMware Aria Suite Lifecycle richiede un ambiente globale per distribuire Workspace ONE Access.

nessuna.

VCF-WSA-REQD-SEC-001

Importare certificati firmati dall'autorità di certificazione nel repository Locker per le operazioni del ciclo di vita del prodotto Workspace ONE Access.

  • È possibile fare riferimento e utilizzare i certificati firmati dall'autorità di certificazione durante le operazioni del ciclo di vita del prodotto, come la distribuzione e la sostituzione dei certificati.

Quando si utilizza l'API, è necessario specificare l'ID Locker del certificato da utilizzare nel payload JSON.

VCF-WSA-REQD-CFG-001

Distribuire un'istanza di Workspace ONE Access di dimensioni appropriate in base al modello di distribuzione selezionato utilizzando VMware Aria Suite Lifecycle in modalità VMware Cloud Foundation.

L'istanza di Workspace ONE Access viene gestita da VMware Aria Suite Lifecycle e importata nell'inventario di SDDC Manager.

nessuna.

VCF-WSA-REQD-CFG-002

Posizionare le appliance Workspace ONE Access in un segmento di rete NSX con supporto overlay o con supporto VLAN.

Fornisce un modello di distribuzione coerente per le applicazioni di gestione in un ambiente con una o più istanze di VMware Cloud Foundation.

È necessario utilizzare un'implementazione in NSX per supportare questa configurazione di rete.

VCF-WSA-REQD-CFG-003

Utilizzare il database PostgreSQL incorporato con Workspace ONE Access.

Elimina la necessità di servizi di database esterni.

nessuna.

VCF-WSA-REQD-CFG-004

Aggiungere un gruppo di macchine virtuali per Workspace ONE Access e impostare le regole della macchina virtuale per riavviare il gruppo di macchine virtuali Workspace ONE Access prima di tutte le macchine virtuali dipendenti per l'autenticazione.

È possibile definire l'ordine di avvio delle macchine virtuali relativo alla dipendenza del servizio. L'ordine di avvio assicura che vSphere HA attivi le macchine virtuali Workspace ONE Access in un ordine che rispetti le dipendenze del prodotto.

nessuna.

VCF-WSA-REQD-CFG-005

Connettere l'istanza di Workspace ONE Access a un provider di identità upstream supportato.

È possibile integrare la directory aziendale con Workspace ONE Access per sincronizzare utenti e gruppi con i servizi di gestione di identità e di accesso di Workspace ONE Access.

nessuna.

VCF-WSA-REQD-CFG-006

Se si utilizza Workspace ONE Access in cluster, configurare il secondo e il terzo connettore nativo che corrispondono al secondo e al terzo nodo del cluster Workspace ONE Access per supportare l'alta disponibilità di directory.

L'aggiunta di connettori nativi supplementari offre ridondanza e migliora le prestazioni grazie al bilanciamento del carico delle richieste di autenticazione.

Ciascuno dei nodi del cluster Workspace ONE Access deve far parte del dominio Active Directory per poter utilizzare Active Directory con Autenticazione Windows integrata con il connettore nativo.

VCF-WSA-REQD-CFG-007

Se si utilizza Workspace ONE Access in cluster, utilizzare il bilanciamento del carico NSX configurato da SDDC Manager su un gateway di livello 1 dedicato.

  • Durante la distribuzione di Workspace ONE Access utilizzando VMware Aria Suite Lifecycle, SDDC Manager automatizza la configurazione di un bilanciamento del carico NSX per Workspace ONE Access per facilitare la scalabilità orizzontale.

È necessario utilizzare il bilanciamento del carico configurato da SDDC Manager e l'integrazione con VMware Aria Suite Lifecycle.

Tabella 2. Requisiti di progettazione di Workspace ONE Access per i cluster estesi in VMware Cloud Foundation

ID requisito

Requisiti di progettazione

Giustificazione

Implicazione

VCF-WSA-REQD-CFG-008

Aggiungere le appliance Workspace ONE Access al gruppo di macchine virtuali per la prima zona di disponibilità.

Garantisce che per impostazione predefinita, i nodi del cluster Workspace ONE Access siano attivi in un host nella prima zona di disponibilità.

  • Se l'istanza di Workspace ONE Access viene distribuita dopo la creazione del cluster gestione esteso, è necessario aggiungere manualmente le appliance al gruppo di macchine virtuali.

  • Workspace ONE Access in cluster potrebbe richiedere un intervento manuale dopo un guasto della zona di disponibilità attiva.

Tabella 3. Requisiti di progettazione di Workspace ONE Access per la federazione di NSX in VMware Cloud Foundation

ID requisito

Requisiti di progettazione

Giustificazione

Implicazione

VCF-WSA-REQD-CFG-009

Configurare le impostazioni DNS per Workspace ONE Access in modo che utilizzi i server DNS in ogni istanza di VMware Cloud Foundation.

Migliora la resilienza se si verifica un'interruzione dei servizi esterni per un'istanza di VMware Cloud Foundation.

nessuna.

VCF-WSA-REQD-CFG-010

Configurare le impostazioni di NTP nei nodi cluster Workspace ONE Access in modo che utilizzino i server NTP in ogni istanza di VMware Cloud Foundation.

Migliora la resilienza se si verifica un'interruzione dei servizi esterni per un'istanza di VMware Cloud Foundation.

Se si scala da una distribuzione con una singola istanza di VMware Cloud Foundation a una con più istanze di VMware Cloud Foundation, è necessario aggiornare le impostazioni NTP in Workspace ONE Access.

Tabella 4. Consigli per la progettazione di Workspace ONE Access per VMware Cloud Foundation

ID consiglio

Consigli di progettazione

Giustificazione

Implicazione

VCF-WSA-RCMD-CFG-001

Proteggere tutti i nodi di Workspace ONE Access utilizzando vSphere HA.

Supporta l'alta disponibilità per Workspace ONE Access.

Nessuna per le distribuzioni standard.

Le distribuzioni di Workspace ONE Access in cluster potrebbe richiedere un intervento in caso di errore di un host ESXi.

VCF-WSA-RCMD-CFG-002

Quando si utilizza Active Directory come provider di identità, utilizzare Active Directory su LDAP come opzione di connessione ai servizi Directory.

Il connettore Workspace ONE Access nativo (incorporato) esegue il binding ad Active Directory su LDAP utilizzando un'autenticazione di binding standard.

  • In una foresta multidominio, in cui l'istanza Workspace ONE Access si connette a un sottodominio, i gruppi di sicurezza di Active Directory devono avere portata globale. Pertanto, i membri aggiunti al gruppo di sicurezza globale di Active Directory devono risiedere nello stesso dominio di Active Directory.

  • Se è richiesta l'autenticazione a più di un dominio Active Directory, sono necessarie altre directory Workspace ONE Access.

VCF-WSA-RCMD-CFG-003

Quando si utilizza Active Directory come provider di identità, utilizzare un account utente di Active Directory con un accesso minimo di sola lettura ai DN di base di utenti e gruppi come account di servizio per il binding di Active Directory.

Offre le seguenti funzionalità di controllo degli accessi:

  • Workspace ONE Access si connette ad Active Directory con il set minimo di autorizzazioni necessarie per effettuare il bind e la query della directory.

  • È possibile introdurre maggiore controllo nel monitoraggio delle interazioni richiesta-risposta tra Workspace ONE Access e Active Directory.

  • È necessario gestire il ciclo di vita della password di questo account.

  • Se è richiesta l'autenticazione in più di un dominio di Active Directory, sono necessari account aggiuntivi per il binding del connettore Workspace ONE Access a ciascun dominio di Active Directory tramite LDAP.

VCF-WSA-RCMD-CFG-004

Configurare la sincronizzazione della directory per sincronizzare solo i gruppi necessari per le soluzioni SDDC integrate.

  • Limita il numero di gruppi replicati necessari per ogni prodotto.

  • Riduce l'intervallo di replica per le informazioni sul gruppo.

È necessario gestire i gruppi della directory aziendale selezionati per la sincronizzazione con Workspace ONE Access.

VCF-WSA-RCMD-CFG-005

Attivare la sincronizzazione dei membri del gruppo della directory aziendale quando un gruppo viene aggiunto alla directory di Workspace ONE Access.

Se attivata, i membri dei gruppi della directory aziendale vengono sincronizzati con la directory di Workspace ONE Access quando vengono aggiunti i gruppi. Quando questa opzione è disattivata, i nomi dei gruppi vengono sincronizzati con la directory, ma i membri del gruppo non vengono sincronizzati finché il gruppo non viene abilitato a un'applicazione o il nome del gruppo non viene aggiunto a un criterio di accesso.

nessuna.

VCF-WSA-RCMD-CFG-006

Abilitare Workspace ONE Access in modo che sincronizzi i membri del gruppo nidificati per impostazione predefinita.

Consente a Workspace ONE Access di aggiornare e memorizzare nella cache l'appartenenza dei gruppi senza dover chiedere alla directory aziendale.

Le modifiche all'appartenenza al gruppo non vengono riflesse fino all'evento di sincronizzazione successivo.

VCF-WSA-RCMD-CFG-007

Aggiungere un filtro alle impostazioni della directory di Workspace ONE Access per escludere gli utenti dalla replica della directory.

Limita il numero di utenti replicati per Workspace ONE Access all'interno della scala massima.

Per garantire che gli account utente replicati siano gestiti entro i limiti massimi, è necessario definire uno schema di filtraggio adatto all'organizzazione in base agli attributi della directory.

VCF-WSA-RCMD-CFG-008

Configurare gli attributi mappati inclusi quando un utente viene aggiunto alla directory di Workspace ONE Access.

È possibile configurare gli attributi utente minimi richiesti ed estesi per sincronizzare gli account utente della directoy per Workspace ONE Access da utilizzare come fonte di autenticazione per le soluzioni VMware Aria Suite tra istanze.

Gli account utente nella directory aziendale dell'organizzazione devono avere i seguenti attributi obbligatori mappati:

  • firstname, ad esempio, givenname per Active Directory

  • lastName, ad esempio, sn per Active Directory

  • email, ad esempio, mail per Active Directory

  • userName, ad esempio, sAMAccountName per Active Directory

  • Se si richiede agli utenti di accedere con un identificatore univoco alternativo, ad esempio userPrincipalName, è necessario mappare l'attributo e aggiornare le preferenze di gestione delle identità e degli accessi.

VCF-WSA-RCMD-CFG-009

Configurare la frequenza di sincronizzazione della directory di Workspace ONE Access in base a una pianificazione ricorrente, ad esempio 15 minuti.

Assicura che tutte le modifiche alle appartenenze ai gruppi nella directory aziendale siano disponibili per le soluzioni integrate in modo tempestivo.

Pianificare l'intervallo di sincronizzazione in modo che sia più lungo del tempo di sincronizzazione dalla directory aziendale. Se gli utenti e i gruppi sono in fase di sincronizzazione in Workspace ONE Access al momento in cui è prevista la sincronizzazione successiva, la nuova sincronizzazione inizia immediatamente dopo la fine dell'iterazione precedente. Con questa pianificazione, il processo è continuo.

VCF-WSA-RCMD-SEC-001

Creare gruppi di sicurezza corrispondenti nei servizi Directory aziendali per questi ruoli di Workspace ONE Access:

  • Amministratore con privilegi avanzati

  • Amministratori directory

  • Amministratori di sola lettura

Semplifica la gestione dei ruoli di Workspace ONE Access per gli utenti.

  • È necessario impostare l'intervallo appropriato di sincronizzazione della directory in Workspace ONE Access per garantire che le modifiche siano disponibili in un periodo di tempo ragionevole.

  • È necessario creare il gruppo di sicurezza all'esterno dello stack dell'SDDC.

VCF-WSA-RCMD-SEC-002

Configurare un criterio di password per gli utenti della directory locale di Workspace ONE Access, admin e configadmin.

È possibile impostare un criterio per gli utenti della directory locale di Workspace ONE Access che soddisfi i criteri aziendali e gli standard normativi.

Il criterio della password è applicabile solo agli utenti della directory locale e non influisce sulla directory dell'organizzazione.

È necessario impostare il criterio in conformità con i criteri dell'organizzazione e gli standard normativi, come applicabili.

È necessario applicare il criterio della password ai nodi del cluster Workspace ONE Access.