È possibile aggiornare l'installazione di Workspace ONE Access Connector per aggiungere o modificare i servizi Enterprise in qualsiasi momento. Eseguire di nuovo il programma di installazione per apportare eventuali modifiche.

È possibile apportare le seguenti modifiche:

  • Aggiungere il servizio Sincronizzazione directory, il servizio di autenticazione degli utenti o il servizio di autenticazione Kerberos
  • Specificare le porte personalizzate per ciascun servizio
  • Configurare un server proxy
  • Configurare un disco di sistema
  • Installare certificati radice attendibili
  • (Solo servizio di autenticazione Kerberos) Installare un certificato SSL attendibile per il servizio di autenticazione Kerberos
  • (Solo servizio di autenticazione Kerberos) Configurare l'esecuzione del servizio di autenticazione Kerberos come account utente del dominio
Nota: È inoltre possibile eliminare un servizio dal connettore. Per eliminare un servizio, eseguire nuovamente il programma di installazione poiché non è possibile eliminare un servizio mentre si stanno aggiungendo e modificando i servizi. Vedere Eliminazione di un servizio per l'azienda dal connettore.

Prerequisiti

  • Tenere presente che tutti i servizi Enterprise presenti in un'installazione del connettore sono connessi allo stesso tenant di Workspace ONE Access. Quando si modifica un'installazione esistente per aggiungere un servizio, viene utilizzato automaticamente il file di configurazione scaricato dal tenant per l'installazione originale.
  • Se si sta modificando la configurazione esistente, sospendere innanzitutto i servizi Enterprise dalla console di Workspace ONE Access. Passare alla pagina Gestione identità e accessi > Configura > Connettori, fare clic sul connettore, su Gestione e quindi utilizzare i pulsanti interruttore per sospendere i singoli servizi.

Procedura

  1. Accedere al server Windows in cui è installato Workspace ONE Access Connector.
  2. Passare alla cartella contenente il programma di installazione del connettore e fare doppio clic sul file Workspace ONE Access Connector Installer.exe.
  3. Nella pagina di benvenuto fare clic su Avanti.
  4. Nella pagina di manutenzione del programma, selezionare l'opzione Aggiungi/Rimuovi servizi e fare clic su Avanti.
  5. Nella pagina di selezione dei servizi, selezionare i servizi che si desidera aggiungere e fare clic su Avanti.
  6. Se viene visualizzata la pagina di selezione del file di configurazione, selezionare lo stesso file di configurazione scaricato dal tenant di Workspace ONE Access per l'installazione originale.
    La pagina di selezione del file di configurazione viene visualizzata solo se sono stati selezionati servizi da aggiungere.
  7. Apportare le modifiche nelle pagine appropriate della procedura guidata.
    Opzione Azione
    Per aggiornare le porte in cui vengono eseguiti i servizi Enterprise Nella pagina di selezione delle porte, immettere la porta di ciascun servizio. La connettività in entrata è necessaria solo per la porta del servizio di autenticazione Kerberos. Non è necessaria per le porte del servizio di autenticazione degli utenti e del servizio Sincronizzazione directory.

    Porte predefinite:

    • Servizio di autenticazione degli utenti: 8090
    • Servizio Sincronizzazione directory: 8080
    • Servizio di autenticazione Kerberos: 443
    Per caricare un certificato SSL attendibile per il server del connettore Nella pagina Installa certificati SSL, selezionare la casella di controllo per la selezione del proprio certificato SSL, fare clic su Sfoglia e selezionare il certificato.

    Il file del certificato deve essere in formato PEM o PFX. Se il file è in formato PEM, caricare anche il file della chiave. Se il file è in formato PFX, immettere anche la password del certificato.

    Per ulteriori informazioni sui requisiti dei certificati, vedere Caricamento di un certificato SSL per Workspace ONE Access Connector (solo servizio di autenticazione Kerberos).

    Importante: Il servizio di autenticazione Kerberos richiede un certificato SSL attendibile. Se non si carica un certificato SSL attendibile, viene generato automaticamente un certificato autofirmato. Per utilizzare il certificato autofirmato generato da Workspace ONE Access, sarà necessario aggiungere il certificato root generato da Workspace ONE Access ai truststore dei client. Dopo l'installazione, il certificato radice root_ca.per è disponibile in INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf.

    È possibile utilizzare il certificato autofirmato a scopo di testing, ma per l'utilizzo nella produzione è consigliabile usare certificati SSL attendibili firmati da un'autorità di certificazione pubblica o interna.
    Per caricare o rimuovere certificati radice attendibili dal truststore Nella pagina di installazione dei certificati radice attendibili:
    • Per caricare un certificato, fare clic su Sfoglia e selezionare il certificato.
    • Per rimuovere un certificato, selezionare il certificato e fare clic su Rimuovi.
    • Per visualizzare un certificato installato, fare clic su Visualizza certificato.

    Il connettore sarà in grado di stabilire connessioni protette ai server la cui catena di certificati includa uno dei certificati aggiunti al truststore. Gli scenari per il caricamento dei certificati nel truststore includono:

    • (Solo installazioni in locale) Se l'istanza del servizio Workspace ONE Access in locale dispone di un certificato autofirmato installato, è necessario caricarne il certificato root e, se necessario, il certificato intermedio per stabilire il relazione di attendibilità tra i servizi Enterprise e l'istanza del servizio Workspace ONE Access.
    • (Solo servizio di autenticazione Kerberos) Se si distribuiscono più istanze del servizio di autenticazione Kerberos dietro un bilanciamento del carico, è necessario installare il certificato CA radice del bilanciamento del carico nelle istanze del connettore per stabilire la relazione di attendibilità tra i connettori e il bilanciamento del carico.
    Per specificare un server proxy Nella pagina di selezione delle informazioni sul server proxy specificare un server proxy se necessario. I servizi Enterprise accedono ai servizi Web su Internet. Se la configurazione di rete consente di accedere a Internet tramite un proxy HTTP, è necessario specificare il server proxy.

    È inoltre possibile specificare un elenco di host non proxy che devono essere raggiunti direttamente senza passare attraverso il server proxy.

    1. Selezionare la casella di controllo Abilita proxy.
    2. Immettere il nome host, specificato come nome di dominio completo (FQDN) o l'indirizzo IP del server proxy.
    3. Specificare la porta del server proxy.
    4. Se si desidera specificare tutti gli host non proxy, ovvero gli host che devono essere raggiunti direttamente senza passare attraverso il server proxy, immettere il nome di dominio completo e le porte nella casella di testo Host non proxy. Utilizzare il formato seguente, con ciascuna voce separata da |:

      host1|host2

    5. Se il server proxy richiede l'autenticazione, selezionare Di base/Windows e immettere il nome utente e la password per il server proxy.
    Per specificare un server syslog esterno per archiviare i messaggi di evento a livello di applicazione Nella pagina di selezione delle informazioni sul disco di sistema, selezionare la casella di controllo Abilita sistema e specificare l'indirizzo IP o il nome di dominio completo del disco di sistema, nonché la porta.

    Per specificare un singolo disco di sistema, utilizzare il formato seguente:

    host:port

    Per specificare più dischi di sistema, utilizzare il formato seguente:

    host:port,host:port,host:port

    dove host è il nome di dominio completo o l'indirizzo IP del disco di sistema e porta è il numero della porta. Ad esempio:

    syslog1.example.com:54

    oppure

    syslog1.example.com:514,syslog2.example.com:601,syslog3.example.com:163
    Nota: Nel disco di sistema vengono esportati solo gli eventi a livello di applicazione. Gli eventi del sistema operativo non sono esportati.
    Per specificare o modificare l'account utente del dominio utilizzato per eseguire il servizio di autenticazione Kerberos

    Per eseguire il servizio di autenticazione Kerberos, è necessario un account utente del dominio.

    Nella pagina Account servizio, immettere il nome utente e la password dell'account utente del dominio. Per il nome utente, utilizzare il formato DOMAIN\username, ad esempio EXAMPLE\administrator. In alternativa, fare clic su Sfoglia e selezionare il dominio e l'utente.

    Se non è possibile individuare i domini o gli utenti quando si fa clic su Sfoglia, digitarli nella casella di testo nel formato specificato sopra.

    Importante: Il servizio Autenticazione Kerberos supporta solo i seguenti caratteri speciali nella password dell'account utente di dominio: @!*. Se la password contiene altri caratteri speciali, l'installazione del servizio Autenticazione Kerberos non riesce.
  8. Nella pagina che indica che è tutto pronto per installare il programma, controllare le selezioni effettuate e fare clic su Installa.

Operazioni successive

L'installazione viene aggiornata. I nuovi servizi vengono registrati nel tenant di Workspace ONE Access. Aggiornare la pagina Gestione identità e accessi > Configura > Connettori nella console di Workspace ONE Access per visualizzare l'elenco dei servizi aggiornato.