Utilizzare questo elenco di requisiti e consigli di riferimento relativi a Workspace ONE Access in un ambiente con una o più istanze di VMware Cloud Foundation. Gli elementi di progettazione considerano anche se il dominio di gestione ha una o più zone di disponibilità.
Per i dettagli completi sulla progettazione, vedere Progettazione di Workspace ONE Access per VMware Cloud Foundation.
ID requisito |
Requisiti di progettazione |
Giustificazione |
Implicazione |
---|---|---|---|
VCF-WSA-REQD-ENV-001 |
Creare un ambiente globale in VMware Aria Suite Lifecycle per supportare la distribuzione di Workspace ONE Access. |
VMware Aria Suite Lifecycle richiede un ambiente globale per distribuire Workspace ONE Access. |
nessuna. |
VCF-WSA-REQD-SEC-001 |
Importare certificati firmati dall'autorità di certificazione nel repository Locker per le operazioni del ciclo di vita del prodotto Workspace ONE Access. |
|
Quando si utilizza l'API, è necessario specificare l'ID Locker del certificato da utilizzare nel payload JSON. |
VCF-WSA-REQD-CFG-001 |
Distribuire un'istanza di
Workspace ONE Access di dimensioni appropriate in base al modello di distribuzione selezionato utilizzando
VMware Aria Suite Lifecycle in modalità
VMware Cloud Foundation.
|
L'istanza di Workspace ONE Access viene gestita da VMware Aria Suite Lifecycle e importata nell'inventario di SDDC Manager. |
nessuna. |
VCF-WSA-REQD-CFG-002 |
Posizionare le appliance Workspace ONE Access in un segmento di rete NSX con supporto overlay o con supporto VLAN. |
Fornisce un modello di distribuzione coerente per le applicazioni di gestione in un ambiente con una o più istanze di VMware Cloud Foundation. |
È necessario utilizzare un'implementazione in NSX per supportare questa configurazione di rete. |
VCF-WSA-REQD-CFG-003 |
Utilizzare il database PostgreSQL incorporato con Workspace ONE Access. |
Elimina la necessità di servizi di database esterni. |
nessuna. |
VCF-WSA-REQD-CFG-004 |
Aggiungere un gruppo di macchine virtuali per Workspace ONE Access e impostare le regole della macchina virtuale per riavviare il gruppo di macchine virtuali Workspace ONE Access prima di tutte le macchine virtuali dipendenti per l'autenticazione. |
È possibile definire l'ordine di avvio delle macchine virtuali relativo alla dipendenza del servizio. L'ordine di avvio assicura che vSphere HA attivi le macchine virtuali Workspace ONE Access in un ordine che rispetti le dipendenze del prodotto. |
nessuna. |
VCF-WSA-REQD-CFG-005 |
Connettere l'istanza di Workspace ONE Access a un provider di identità upstream supportato. |
È possibile integrare la directory aziendale con Workspace ONE Access per sincronizzare utenti e gruppi con i servizi di gestione di identità e di accesso di Workspace ONE Access. |
nessuna. |
VCF-WSA-REQD-CFG-006 |
Se si utilizza Workspace ONE Access in cluster, configurare il secondo e il terzo connettore nativo che corrispondono al secondo e al terzo nodo del cluster Workspace ONE Access per supportare l'alta disponibilità di directory. |
L'aggiunta di connettori nativi supplementari offre ridondanza e migliora le prestazioni grazie al bilanciamento del carico delle richieste di autenticazione. |
Ciascuno dei nodi del cluster Workspace ONE Access deve far parte del dominio Active Directory per poter utilizzare Active Directory con Autenticazione Windows integrata con il connettore nativo. |
VCF-WSA-REQD-CFG-007 |
Se si utilizza Workspace ONE Access in cluster, utilizzare il bilanciamento del carico NSX configurato da SDDC Manager su un gateway di livello 1 dedicato. |
|
È necessario utilizzare il bilanciamento del carico configurato da SDDC Manager e l'integrazione con VMware Aria Suite Lifecycle. |
ID requisito |
Requisiti di progettazione |
Giustificazione |
Implicazione |
---|---|---|---|
VCF-WSA-REQD-CFG-008 |
Aggiungere le appliance Workspace ONE Access al gruppo di macchine virtuali per la prima zona di disponibilità. |
Garantisce che per impostazione predefinita, i nodi del cluster Workspace ONE Access siano attivi in un host nella prima zona di disponibilità. |
|
ID requisito |
Requisiti di progettazione |
Giustificazione |
Implicazione |
---|---|---|---|
VCF-WSA-REQD-CFG-009 |
Configurare le impostazioni DNS per Workspace ONE Access in modo che utilizzi i server DNS in ogni istanza di VMware Cloud Foundation. |
Migliora la resilienza se si verifica un'interruzione dei servizi esterni per un'istanza di VMware Cloud Foundation. |
nessuna. |
VCF-WSA-REQD-CFG-010 |
Configurare le impostazioni di NTP nei nodi cluster Workspace ONE Access in modo che utilizzino i server NTP in ogni istanza di VMware Cloud Foundation. |
Migliora la resilienza se si verifica un'interruzione dei servizi esterni per un'istanza di VMware Cloud Foundation. |
Se si scala da una distribuzione con una singola istanza di VMware Cloud Foundation a una con più istanze di VMware Cloud Foundation, è necessario aggiornare le impostazioni NTP in Workspace ONE Access. |
ID consiglio |
Consigli di progettazione |
Giustificazione |
Implicazione |
---|---|---|---|
VCF-WSA-RCMD-CFG-001 |
Proteggere tutti i nodi di Workspace ONE Access utilizzando vSphere HA. |
Supporta l'alta disponibilità per Workspace ONE Access. |
Nessuna per le distribuzioni standard. Le distribuzioni di Workspace ONE Access in cluster potrebbe richiedere un intervento in caso di errore di un host ESXi. |
VCF-WSA-RCMD-CFG-002 |
Quando si utilizza Active Directory come provider di identità, utilizzare Active Directory su LDAP come opzione di connessione ai servizi Directory. |
Il connettore Workspace ONE Access nativo (incorporato) esegue il binding ad Active Directory su LDAP utilizzando un'autenticazione di binding standard. |
|
VCF-WSA-RCMD-CFG-003 |
Quando si utilizza Active Directory come provider di identità, utilizzare un account utente di Active Directory con un accesso minimo di sola lettura ai DN di base di utenti e gruppi come account di servizio per il binding di Active Directory. |
Offre le seguenti funzionalità di controllo degli accessi:
|
|
VCF-WSA-RCMD-CFG-004 |
Configurare la sincronizzazione della directory per sincronizzare solo i gruppi necessari per le soluzioni SDDC integrate. |
|
È necessario gestire i gruppi della directory aziendale selezionati per la sincronizzazione con Workspace ONE Access. |
VCF-WSA-RCMD-CFG-005 |
Attivare la sincronizzazione dei membri del gruppo della directory aziendale quando un gruppo viene aggiunto alla directory di Workspace ONE Access. |
Se attivata, i membri dei gruppi della directory aziendale vengono sincronizzati con la directory di Workspace ONE Access quando vengono aggiunti i gruppi. Quando questa opzione è disattivata, i nomi dei gruppi vengono sincronizzati con la directory, ma i membri del gruppo non vengono sincronizzati finché il gruppo non viene abilitato a un'applicazione o il nome del gruppo non viene aggiunto a un criterio di accesso. |
nessuna. |
VCF-WSA-RCMD-CFG-006 |
Abilitare Workspace ONE Access in modo che sincronizzi i membri del gruppo nidificati per impostazione predefinita. |
Consente a Workspace ONE Access di aggiornare e memorizzare nella cache l'appartenenza dei gruppi senza dover chiedere alla directory aziendale. |
Le modifiche all'appartenenza al gruppo non vengono riflesse fino all'evento di sincronizzazione successivo. |
VCF-WSA-RCMD-CFG-007 |
Aggiungere un filtro alle impostazioni della directory di Workspace ONE Access per escludere gli utenti dalla replica della directory. |
Limita il numero di utenti replicati per Workspace ONE Access all'interno della scala massima. |
Per garantire che gli account utente replicati siano gestiti entro i limiti massimi, è necessario definire uno schema di filtraggio adatto all'organizzazione in base agli attributi della directory. |
VCF-WSA-RCMD-CFG-008 |
Configurare gli attributi mappati inclusi quando un utente viene aggiunto alla directory di Workspace ONE Access. |
È possibile configurare gli attributi utente minimi richiesti ed estesi per sincronizzare gli account utente della directoy per Workspace ONE Access da utilizzare come fonte di autenticazione per le soluzioni VMware Aria Suite tra istanze. |
Gli account utente nella directory aziendale dell'organizzazione devono avere i seguenti attributi obbligatori mappati:
|
VCF-WSA-RCMD-CFG-009 |
Configurare la frequenza di sincronizzazione della directory di Workspace ONE Access in base a una pianificazione ricorrente, ad esempio 15 minuti. |
Assicura che tutte le modifiche alle appartenenze ai gruppi nella directory aziendale siano disponibili per le soluzioni integrate in modo tempestivo. |
Pianificare l'intervallo di sincronizzazione in modo che sia più lungo del tempo di sincronizzazione dalla directory aziendale. Se gli utenti e i gruppi sono in fase di sincronizzazione in Workspace ONE Access al momento in cui è prevista la sincronizzazione successiva, la nuova sincronizzazione inizia immediatamente dopo la fine dell'iterazione precedente. Con questa pianificazione, il processo è continuo. |
VCF-WSA-RCMD-SEC-001 |
Creare gruppi di sicurezza corrispondenti nei servizi Directory aziendali per questi ruoli di Workspace ONE Access:
|
Semplifica la gestione dei ruoli di Workspace ONE Access per gli utenti. |
|
VCF-WSA-RCMD-SEC-002 |
Configurare un criterio di password per gli utenti della directory locale di Workspace ONE Access, admin e configadmin. |
È possibile impostare un criterio per gli utenti della directory locale di Workspace ONE Access che soddisfi i criteri aziendali e gli standard normativi. Il criterio della password è applicabile solo agli utenti della directory locale e non influisce sulla directory dell'organizzazione. |
È necessario impostare il criterio in conformità con i criteri dell'organizzazione e gli standard normativi, come applicabili. È necessario applicare il criterio della password ai nodi del cluster Workspace ONE Access. |