In questo passaggio viene scaricato e installato un Workspace ONE Access Connector in locale. Viene creata una password che verrà archiviata nel file di configurazione scaricato con il programma di installazione di Workspace ONE Access Connector.

Il Workspace ONE Access Connector installato in questa attività viene utilizzato per sincronizzare in modo continuativo i gruppi e gli utenti dell'Active Directory aziendale con il tenant di Workspace ONE Access. L'istanza del tenant di Workspace ONE Access viene creata e configurata come parte del workflow di federazione self-service. Esso agisce come Identity Broker (provider di servizi) per il provider di identità e non è coinvolto nell'autenticazione effettiva dell'utente.
Nota: Per impostazione predefinita, il Workspace ONE Access Connector sincronizza i nuovi gruppi e utenti aggiunti nell'Active Directory dell'azienda una volta alla settimana. Dopo la federazione, è possibile modificare la frequenza di sincronizzazione o eseguire la sincronizzazione manualmente.

In questa attività viene configurata una password utilizzata per crittografare i contenuti del file di configurazione scaricato con il programma di installazione di Workspace ONE Access Connector. Quando si esegue il programma di installazione, viene richiesto di specificare la posizione del file di configurazione scaricato e la password per decrittografare il contenuto del file e recuperare i dettagli della connessione del tenant di Workspace ONE Access. Il connettore utilizza questi dettagli per stabilire una comunicazione sicura con l'istanza di Workspace ONE Access.

Per completare questo passaggio, è necessario uscire dal workflow di federazione self-service e completare l'installazione e la configurazione di Workspace ONE Access Connector in un computer Windows locale.
Nota: Se l'azienda utilizza un provider di identità di terze parti per l'autenticazione degli utenti, la configurazione della federazione richiede di creare un'installazione predefinita del Workspace ONE Access Connector con il servizio di autenticazione utente e il servizio di sincronizzazione della directory. Per questo tipo di installazione, non è necessario installare Kerberos Auth Service. Se l'azienda non utilizza un provider di identità basato su SAML 2.0 per l'autenticazione utente, è possibile utilizzare i metodi di autenticazione supportati dal Workspace ONE Access Connector. È possibile installare Kerberos Auth Service e utilizzarlo per l'autenticazione utente basata sul cloud. Per informazioni dettagliate sull'installazione, vedere Installazione di VMware Workspace ONE Access Connector.
  • Internamente, il connettore stabilisce una connessione intranet con l'Active Directory aziendale.
    Nota: Se si utilizzano criteri di protezione per controllare l'accesso al computer che ospita l'Active Directory aziendale, assicurarsi di includere il computer in cui si installa Workspace ONE Access Connector nell'elenco degli elementi consentiti dell'host di Active Directory.
  • Esternamente, il connettore stabilisce una connessione in uscita sicura a un'istanza ospitata di un tenant di VMware Workspace ONE Access creato per l'azienda come parte del processo di federazione self-service.
  • L'istanza ospitata del tenant di Workspace ONE Access agisce come Identity Broker (provider di servizi) per il provider di identità SAML 2.0 di terze parti. Non è coinvolto nell'autenticazione effettiva dell'utente.
  • Se si utilizza il metodo di autenticazione basato su Workspace ONE Access, il tenant di Workspace ONE Access esegue l'autenticazione degli utenti direttamente rispetto alla propria Active Directory aziendale tramite il connettore locale.
Importante: Il tenant di Workspace ONE Access o Workspace ONE Access Connector non memorizzano in maniera permanente le credenziali degli utenti.

Prerequisiti

  • Per procedere con questo passaggio, è necessario aver completato il Passaggio 1 della federazione guidata self-service.
  • Assicurarsi di avere accesso a una macchina su cui è installato MS Windows Server 2008 o versione successiva.
  • Assicurarsi di poter accedere all'Active Directory aziendale dalla macchina Windows host.
  • Il computer Windows host deve avere un indirizzo IP statico e un nome di dominio completo (FQDN) risolvibile dal DNS.
  • Il connettore deve disporre dell'accesso di rete ad Active Directory sulle porte 389/636.
  • Verificare che il firewall aziendale sia configurato per stabilire una connessione in uscita da Workspace ONE Access Connector alla porta 443 per l'interazione con il servizio tenant Workspace ONE Access ospitato.
  • Se si dispone già del file di installazione di Workspace ONE Access Connector, verificare di disporre della versione più recente.

Procedura

  1. Nella sezione Installa Workspace ONE Access Connector, fare clic su Inizia.
    La sezione Imposta password connettore viene espansa.
  2. Selezionare una delle opzioni per generare una password e salvarla.
    Importante: La password generata in questo passaggio viene archiviata nel file di configurazione scaricato con il programma di installazione di Workspace ONE Access Connector. È necessario fornire questa password durante l'installazione del connettore per verificare che l'utente che ha creato il file di configurazione coincida con l'utente che installa il connettore. Assicurarsi che la password creata sia archiviata in modo sicuro e accessibile.
  3. Fare clic su Avanti.
    La sezione Scarica programma di installazione e configurazione viene espansa.
  4. Scaricare il programma di installazione di Workspace ONE Access Connector.
    Nota: Per scaricare il file di installazione di Workspace ONE Access Connector è necessario un account My VMware.
    Se è necessario eseguire il programma di installazione in un computer diverso da quello da cui si accede al workflow di federazione self-service, copiare il collegamento al programma di installazione di Workspace ONE Access Connector. È quindi possibile aprire il collegamento in una finestra del browser nel computer Windows di destinazione.
  5. Scaricare il file di configurazione crittografato.
    Attenzione: Il file di configurazione contiene informazioni sensibili, come l'URL del tenant, l'ID del tenant, l'ID client e il segreto client per ciascuno dei servizi per l'azienda, nonché l'hash della password. È di fondamentale importanza non condividere il file né esporlo pubblicamente.
  6. Sul server di Windows, aprire la posizione del file del programma di installazione.
  7. Eseguire il programma di installazione di Workspace ONE Access Connector in qualità di amministratore.
  8. Nella pagina Benvenuto fare clic su Avanti.
  9. Leggere e accettare il contratto di licenza e fare clic su Avanti.
  10. Selezionare Servizio sincronizzazione directory e Servizio autenticazione utenti per l'installazione.
  11. Fare clic su Avanti.
    Per impostazione predefinita, i servizi vengono installati in C:\Program Files. Per cambiare la cartella di installazione, fare clic su Modifica e selezionare una nuova cartella.
  12. Nella pagina Specifica file di configurazione:
    1. Selezionare il file di configurazione scaricato dal passaggio Installa Workspace ONE Access Connector > Scarica programma di installazione e file di configurazione del workflow di federazione self-service.
    1. Immettere la password impostata per il file di configurazione.
    2. Fare clic su Avanti.
  13. Per questo esempio, selezionare la voce del menu di installazione Predefinito e fare di nuovo clic su Avanti.
    Nota: Se la configurazione dell'host del server Windows utilizza un proxy normale o autenticato, è necessario selezionare la voce del menu di installazione Personalizzato. Se si decide di passare da un'installazione predefinita del connettore non proxy a una configurazione di installazione personalizzata con proxy, è possibile eseguire di nuovo il programma di installazione e apportare le modifiche necessarie.
  14. Nella pagina Inizio installazione del programma, controllare le selezioni effettuate e fare clic su Installa.
    L'installazione richiederà alcuni minuti.
  15. Al termine dell'installazione, verificare che i servizi installati siano in esecuzione nel server Windows.
    I seguenti servizi devono essere in esecuzione nel server Windows.
    • Servizio sincronizzazione directory VMware
    • Servizio autenticazione utenti VMware
    Dopo l'installazione, i servizi dell'azienda installati vengono registrati nel Workspace ONE Access tenant.
  16. Aprire Cloud Services Console e accedere all'organizzazione della federazione di ACME.
  17. Passare a Installa Workspace ONE Access Connector > Esegui programma di installazione e configurazione e fare clic su Controlla connessione.
    Lo stato della connessione cambia in Connector installato correttamente.
    Importante: Se lo stato della connessione non diventa Connector installato correttamente, fare riferimento a Risoluzione dei problemi della federazione e risolvere il problema. Se il problema persiste, è possibile inoltrare un ticket di supporto tramite l'assistenza di VMware Cloud Services.
  18. Fare clic su Continua.

risultati

Viene visualizzata la pagina iniziale del workflow di federazione self-service.

Operazioni successive

Il passaggio successivo della configurazione della federazione self-service consiste nel sincronizzare gruppi e utenti tra l'Active Directory aziendale e il tenant di Workspace ONE Access.