Installazione di Workspace ONE Access Connector (solo Workspace ONE Access Cloud)

Per installare i servizi Sincronizzazione directory, Autenticazione utente, Autenticazione Kerberos o App virtuale, eseguire il programma di installazione di Workspace ONE Access Connector su un server Windows in grado di soddisfare tutti i requisiti e selezionare i servizi che si desidera installare.

Importante: Workspace ONE Access Connector 22.05 è compatibile solo con Workspace ONE Access Cloud. Non è compatibile con l'appliance virtuale di Workspace ONE Access in locale.

È possibile scegliere tra un'installazione rapida e predefinita, che utilizza i valori predefiniti per la maggior parte delle impostazioni, e un'installazione personalizzata che consente di configurare svariate impostazioni.

Installazione predefinita	Installazione personalizzata
Utilizza le seguenti porte predefinite: Servizio di autenticazione degli utenti: 8090 Servizio Sincronizzazione directory: 8080 Servizio di autenticazione Kerberos: 443 Servizio App virtuale: 8008 Nota: Queste sono le porte su cui sono eseguiti i servizi. La connettività in entrata è richiesta solo per la porta del servizio di autenticazione Kerberos.	Consente di specificare porte personalizzate per i servizi Enterprise Nota: Queste sono le porte su cui sono eseguiti i servizi. La connettività in entrata è richiesta solo per la porta del servizio di autenticazione Kerberos.
Genera automaticamente un certificato autofirmato per il connettore	Consente di installare un certificato SSL attendibile per il connettore (richiesto dal servizio di autenticazione Kerberos)
	Consente di caricare certificati root attendibili nella truststore
	Consente di configurare un server proxy
	Consente di configurare un server syslog

Indipendentemente dal tipo di installazione scelta, è possibile eseguire nuovamente il programma di installazione in un secondo momento e modificare tutte le impostazioni in base alle necessità.

Durante l'installazione, anche OpenJDK 11 viene installato sul server.

Prerequisiti

Vedere Prerequisiti per l'installazione di Workspace ONE Access Connector (solo Workspace ONE Access Cloud).
Come parte del processo di installazione, è possibile scaricare i file dalla console di Workspace ONE Access. Potrebbe essere necessario utilizzare un browser diverso da Internet Explorer per scaricare i file. Le impostazioni predefinite di Internet Explorer potrebbero impedire il download dei file.

Procedura

Scaricare il programma di installazione di Workspace ONE Access Connector e un file di configurazione dalla console di Workspace ONE Access.
1. Accedere alla console di Workspace ONE Access come amministratore del dominio di sistema.
  
  Suggerimento: Nelle distribuzioni cloud, l'amministratore del dominio di sistema è l'amministratore di cui si ricevono le credenziali quando si ottiene il tenant di Workspace ONE Access.
2. Passare alla pagina Connettori.
  In un tenant cloud di Workspace ONE Access con l'interruttore Nuova navigazione attivato, passare a Integrazioni > Connettori. Se l'interruttore Nuova navigazione è disattivato, passare a Gestione identità e accessi > Configura > Connettori.
3. Fare clic su Nuovo.
4. Se viene visualizzata la finestra di dialogo Conferma utilizzo connettore, rivedere le informazioni e selezionare Workspace ONE Access Connector più recente.
  Attenzione:
  - Workspace ONE Access Connector 22.05 è compatibile solo con Workspace ONE Access Cloud. Non è compatibile con l'appliance virtuale di Workspace ONE Access in locale.
  - Workspace ONE Access Connector 22.05 non supporta l'integrazione con VMware ThinApp.
  - L'integrazione con Horizon Cloud Service on Microsoft Azure con Universal Broker viene configurata dalla console di amministrazione di Horizon Cloud e non richiede il servizio App virtuale.
  Nota: La finestra di dialogo Conferma utilizzo connettore viene visualizzata la prima volta che si installa un nuovo connettore nel tenant. Se si desidera modificare la selezione in un secondo momento, è possibile utilizzare il pulsante Reimposta selezione connettore, la quale viene visualizzata successivamente nella pagina Connettori o Connettori legacy. Vedere Reimpostazione della selezione del connettore in Workspace ONE Access per ulteriori informazioni.
  
  Viene visualizzata la procedura guidata Aggiungi nuovo connettore.
5. Nella pagina Scarica il programma di installazione della procedura guidata Aggiungi nuovo connettore, fare clic su VAI A MYVMWARE:COM.
  In una nuova finestra viene visualizzata la pagina Web VMware Customer Connect. Tenere aperta la procedura guidata poiché si ritornerà ad essa dopo aver scaricato il programma di installazione.
6. Accedere a VMware Customer Connect e scaricare il file Workspace-ONE-Access-Connector-Installer-22.05.exe dalla pagina di download di Workspace ONE Access Connector.
7. Tornare alla console di Workspace ONE Access e fare clic su Avanti nella pagina Scarica il programma di installazione della procedura guidata Aggiungi nuovo connettore.
8. Generare il file di configurazione creando una password e facendo clic su Scarica il file di configurazione.
  Il file di configurazione viene utilizzato per stabilire la comunicazione tra i servizi Enterprise installati e il tenant di Workspace ONE Access. Per impostazione predefinita, il file è denominato es-config.json.
  Importante:
  - La password deve contenere almeno 14 caratteri e includere almeno un numero, un carattere maiuscolo e un carattere speciale. Sono consentiti solo i seguenti caratteri speciali:
    @ ! , # $ { } ( ) _ + . < > ? *
    Tutti i caratteri devono essere caratteri ASCII visibili e stampabili.
  - Prendere nota della password. È necessario immettere la password e il percorso del file di configurazione quando si esegue il programma di installazione del connettore.
    Il file di configurazione e la relativa password saranno inoltre necessari per gli aggiornamenti futuri del connettore. Salvare la password in modo sicuro per un uso futuro. Se non si dispone della password quando si aggiorna il connettore, è possibile generare un nuovo file di configurazione.
  Attenzione: Il file di configurazione contiene informazioni riservate quali l'URL del tenant, l'ID del tenant, l'ID client e il segreto del client per ciascun servizio Enterprise, nonché l'hash della password. È di fondamentale importanza non condividere il file né esporlo pubblicamente.
9. Dopo aver scaricato il file di configurazione, fare clic su Avanti nella procedura guidata.
Copiare i file del programma di installazione e di configurazione nel server Windows in cui si desidera installare i servizi.
Fare doppio clic sul file del programma di installazione per eseguire l'installazione guidata di Workspace ONE Access Connector.
Il programma di installazione verifica i prerequisiti nel server. Se .NET Framework non è installato o non corrisponde alla versione necessaria, viene richiesto di installarlo e riavviare il server. Al termine dell'installazione di .NET Framework, eseguire nuovamente il programma di installazione per riprendere il processo di installazione.
Attenzione: Non riavviare il sistema se si sta installando il connettore in un server di Connector 19.03.x. come parte del processo di migrazione del connettore. Se lo si riavvia, la versione 19.03.x di Connector diventerà inutilizzabile. Riavviare il sistema solo dopo aver completato l'intero processo di migrazione del connettore.
Nella pagina di benvenuto, seguire il collegamento alle Note di rilascio e rivedere le note di rilascio e la Matrice di interoperabilità dei prodotti VMware prima di fare clic su Avanti.
Quando viene visualizzata la Domanda, confermare di aver letto le note di rilascio e di aver controllato la matrice di interoperabilità, quindi fare clic su Sì.
Leggere e accettare il contratto di licenza, quindi fare clic su Avanti.
Selezionare i servizi da installare.

Per impostazione predefinita, i servizi vengono installati in C:\Programmi. Per modificare la cartella di installazione, fare clic su Modifica e selezionare la cartella.
Fare clic su Avanti.
Nella pagina Specifica file di configurazione, eseguire le azioni seguenti.
1. Selezionare il file di configurazione scaricato dalla console di Workspace ONE Access.
  Se il file di configurazione si trova nella stessa cartella del programma di installazione e ha il nome predefinito es-config.json, viene visualizzato automaticamente nella casella di testo.
2. Immettere la password impostata per il file di configurazione durante la sua generazione.
3. Se si desidera installare il connettore in modalità FIPS, selezionare la casella di controllo Abilita FIPS.
  FIPS è l'acronimo di Federal Information Processing Standard, che specifica i requisiti di sicurezza per i moduli crittografici. Prima di selezionare questa opzione, vedere Workspace ONE Access Connector e la modalità FIPS (solo Workspace ONE Access FedRAMP) per informazioni sui requisiti relativi alla modalità FIPS.
  Attenzione:
  - Workspace ONE Access Connector in modalità FIPS è supportato solo con i tenant di Workspace ONE Access FedRAMP. Gli altri tipi di tenant e le installazioni locali di Workspace ONE Access non supportano il connettore in modalità FIPS.
  - Se si esegue la migrazione dalla versione 19.03.x legacy di Connector alla versione 22.05, non selezionare l'opzione Abilita FIPS. La modalità FIPS non è supportata se si esegue la migrazione o l'aggiornamento alla versione 22.05 di Connector. È supportata solo per le installazioni di nuovi connettori.
  - Dopo l'installazione, non è possibile passare dalla modalità FIPS alla modalità non FIPS o dalla modalità non FIPS alla modalità FIPS. Assicurarsi quindi di scegliere l'opzione corretta.
Selezionare tra installazione Predefinita o Personalizzata.
Se è stata selezionata l'opzione di installazione Predefinita, attenersi alla seguente procedura.
1. (Solo servizio di autenticazione Kerberos e App virtuale) Nella pagina di selezione dell'account del servizio, specificare il nome utente e la password dell'account utente del dominio da utilizzare per eseguire il servizio di autenticazione Kerberos.
  
  Immettere il Nome utente nel formato DOMAIN\Username, ad esempio EXAMPLE\administrator. In alternativa, fare clic su Sfoglia e selezionare il dominio e l'utente.
  
  Se non è possibile individuare i domini o gli utenti quando si fa clic su Sfoglia, digitarli nella casella di testo nel formato specificato sopra.
  
  Importante: Il servizio di autenticazione Kerberos supporta solo i seguenti caratteri speciali nella password dell'account utente del dominio:
  ! ( & % @ / = ? * , .
  
  Se la password contiene altri caratteri speciali, l'installazione del servizio Autenticazione Kerberos non riesce.
  
  Nota: Viene visualizzata la pagina di selezione dell'account del servizio solo se si stanno installando i servizi di autenticazione Kerberos o App virtuale.
2. Fare clic su Avanti.
3. Nella pagina che indica che è tutto pronto per installare il programma, controllare le selezioni effettuate e fare clic su Installa.
  
  L'installazione richiede alcuni minuti.
  Attenzione: Al termine del processo di installazione, potrebbe essere richiesto di riavviare il sistema. Non riavviare il sistema se si sta installando il connettore in un server di Connector 19.03.x. come parte del processo di migrazione del connettore. Riavviare il sistema solo dopo aver completato l'intero processo di migrazione del connettore.
Se è stata selezionata l'opzione di installazione Personalizzata, attenersi alla seguente procedura.
1. Nella pagina di selezione delle informazioni sul server proxy, specificare un server proxy se necessario.
  I servizi Enterprise accedono ai servizi Web su Internet. Se la configurazione di rete consente di accedere a Internet tramite un proxy HTTP, è necessario specificare il server proxy. Per informazioni sui proxy supportati, vedere Requisiti di sistema di Workspace ONE Access Connector 22.05 (solo Workspace ONE Access Cloud).
  È inoltre possibile specificare un elenco di host non proxy che devono essere raggiunti direttamente senza passare attraverso il server proxy.
  1. Selezionare la casella di controllo Abilita proxy.
  2. Immettere il nome host, specificato come nome di dominio completo (FQDN) o l'indirizzo IP del server proxy.
  3. Specificare la porta del server proxy.
  4. Se si desidera specificare tutti gli host non proxy, ovvero gli host che devono essere raggiunti direttamente senza passare attraverso il server proxy, immettere il nome di dominio completo o l'indirizzo IP nella casella di testo Host non proxy. Utilizzare il formato seguente, con ciascuna voce separata da |:
    host1|host2
  5. Se il server proxy richiede l'autenticazione, selezionare Di base e immettere il nome utente e la password per il server proxy.
2. Fare clic su Avanti.
3. Nella pagina di selezione del server syslog, se si desidera utilizzare uno o più server syslog esterni per archiviare i messaggi degli eventi a livello di applicazione, selezionare l'opzione Abilita syslog e specificare l'indirizzo IP o il nome di dominio completo e la porta di ogni server syslog.
  
  Per specificare un singolo disco di sistema, utilizzare il formato seguente:
  
  host:port
  
  Per specificare più dischi di sistema, utilizzare il formato seguente:
  
  host:port,host:port,host:port
  
  dove host è il nome di dominio completo o l'indirizzo IP del disco di sistema e porta è il numero della porta. Ad esempio:
  
  syslog1.example.com:54
  
  oppure
  
  syslog1.example.com:514,syslog2.example.com:601,syslog3.example.com:163
  
  Nota: Nei server syslog vengono esportati solo gli eventi a livello di applicazione. Gli eventi del sistema operativo non sono esportati.
4. Fare clic su Avanti.
5. Nella pagina di installazione dei certificati root attendibili, caricare i certificati CA (autorità di certificazione) root o intermedi nella truststore, se necessario.
  Il connettore sarà in grado di stabilire connessioni protette a server e client la cui catena di certificati include uno di questi certificati. Gli scenari per il caricamento dei certificati nel truststore includono:
  - (Solo servizio di autenticazione Kerberos) Se si distribuiscono più istanze del servizio di autenticazione Kerberos dietro un bilanciamento del carico, è necessario installare il certificato CA radice del bilanciamento del carico nelle istanze del connettore per stabilire la relazione di attendibilità tra i connettori e il bilanciamento del carico.
  - (Solo servizio App virtuale) Se si creano raccolte di app virtuali da integrare con VMware Horizon, Horizon Cloud Service on Microsoft Azure con Single-Pod Broker o Horizon Cloud Service on IBM Cloud e i server di Horizon dispongono di certificati autofirmati, è necessario caricare la catena di certificati nelle istanze del connettore in cui è installato il servizio App virtuale per stabilire una relazione di attendibilità tra i connettori e i server di connessione di Horizon. Se i server di Horizon dispongono di certificati firmati da un'autorità di certificazione pubblica, non è necessario caricare i certificati nell'archivio attendibilità del connettore. È consigliabile utilizzare certificati firmati da un'autorità di certificazione pubblica.
  È inoltre possibile caricare i certificati root attendibili in un secondo momento, dopo l'installazione.
6. Fare clic su Avanti.
7. Controllare le porte predefinite su cui sono eseguiti i servizi Enterprise e specificare porte diverse nel caso in cui alcune di esse siano già utilizzate da altre applicazioni.
  
  La porta del servizio Autenticazione Kerberos richiede la connettività in entrata. Le porte dei servizi Autenticazione utente, Sincronizzazione directory e App virtuale non richiedono la connettività in entrata.
8. (Solo servizio di autenticazione Kerberos) Nella pagina del certificato SSL per il servizio di autenticazione Kerberos, selezionare il certificato da utilizzare per il server del connettore.
  Il servizio di autenticazione Kerberos richiede un certificato SSL attendibile firmato da un'autorità di certificazione pubblica o interna. Se durante l'installazione non si carica un certificato SSL attendibile, viene generato automaticamente un certificato autofirmato. È possibile caricare un certificato SSL attendibile in un secondo momento.
  - Per caricare un certificato SSL attendibile, selezionare la casella di controllo per la selezione di un proprio certificato SSL, fare clic su Sfoglia e selezionare il file del certificato.
    Il file del certificato deve essere in formato PEM o PFX. Se si carica un file PEM, caricare anche la chiave privata. Se si carica un file PFX, specificare anche la password del certificato. Per informazioni sui requisiti dei certificati, vedere Caricamento di un certificato SSL per il servizio di autenticazione Kerberos (solo Workspace ONE Access Cloud).
  - Per utilizzare il certificato autofirmato generato automaticamente, deselezionare la casella di controllo per la selezione di un proprio certificato SSL.
    Nota: Per utilizzare il certificato autofirmato generato da Workspace ONE Access, sarà necessario aggiungere il certificato root generato da Workspace ONE Access ai truststore dei client. Dopo l'installazione, il certificato radice root_ca.per è disponibile in INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf.
    Anche se è possibile utilizzare il certificato autofirmato a scopo di test, è consigliabile utilizzare certificati SSL attendibili firmati da un'autorità di certificazione pubblica o interna per la produzione.
9. Fare clic su Avanti.
10. (Solo servizio di autenticazione Kerberos e App virtuale) Nella pagina di selezione dell'account del servizio, specificare il nome utente e la password dell'account utente del dominio da utilizzare per eseguire il servizio di autenticazione Kerberos.
  
  Importante: Il servizio di autenticazione Kerberos supporta solo i seguenti caratteri speciali nella password dell'account utente del dominio:
  ! ( & % @ / = ? * , .
  
  Se la password contiene altri caratteri speciali, l'installazione del servizio Autenticazione Kerberos non riesce.
  
  Immettere il Nome utente nel formato DOMAIN\Username, ad esempio EXAMPLE\administrator. In alternativa, fare clic su Sfoglia e selezionare il dominio e l'utente.
  
  Nota: Se non è possibile individuare i domini o gli utenti quando si fa clic su Sfoglia, digitarli nella casella di testo nel formato specificato sopra.
  
  Nota: Viene visualizzata la pagina di selezione dell'account del servizio solo se si stanno installando i servizi di autenticazione Kerberos o App virtuale.
11. Nella pagina che indica che è tutto pronto per installare il programma, controllare le selezioni effettuate e fare clic su Installa.
  L'installazione richiede alcuni minuti.
  Attenzione: Al termine del processo di installazione, potrebbe essere richiesto di riavviare il sistema. Non riavviare il sistema se si sta installando il connettore in un server di Connector 19.03.x. come parte del processo di migrazione del connettore. Riavviare il sistema solo dopo aver completato l'intero processo di migrazione del connettore.
Una volta completata l'installazione, verificare che i servizi siano in esecuzione sul server Windows.
Nomi dei servizi:
- Servizio Sincronizzazione directory di VMware
- Servizio di autenticazione degli utenti di VMware
- Servizio di autenticazione Kerberos di VMware
- Servizio App virtuale di VMware
Passare alla console di Workspace ONE Access e aggiornare la pagina Connettori per verificare che i nuovi servizi vengano visualizzati e abbiano stato attivo.
Se l'installazione non riesce, eliminare sia il programma di installazione che il file di configurazione scaricati dalla console di Workspace ONE Access, quindi rieseguire dall'inizio il processo di installazione.

risultati

Una volta completata correttamente l'installazione, i servizi Enterprise installati vengono registrati nel tenant di Workspace ONE Access e visualizzati nella pagina Connettori della console di Workspace ONE Access.

Ad esempio:

Nella pagina sono elencati il connettore e tutti i servizi installati. Lo stato è Attivo, l'integrità è verde e la versione è 22.05.

Operazioni successive

Nella console di Workspace ONE Access, configurare i servizi Enterprise installati. Per informazioni sull'integrazione delle directory utilizzando il servizio Sincronizzazione directory, vedere Integrazione delle directory con VMware Workspace ONE Access. Per informazioni sulla configurazione dell'autenticazione mediante il servizio di autenticazione degli utenti o il servizio di autenticazione Kerberos, vedere Gestione dei metodi di autenticazione degli utenti in VMware Workspace ONE Access. Per informazioni sull'integrazione delle app virtuali di Horizon, Horizon Cloud Service on Microsoft Azure con Single-Pod Broker o Horizon Cloud Service on IBM Cloud e Citrix che utilizzano il servizio App virtuale, vedere Configurazione delle risorse in VMware Workspace ONE Access.
(Solo servizio di autenticazione Kerberos) Se si utilizza il certificato autofirmato generato da Workspace ONE Access per il servizio Autenticazione Kerberos, è necessario aggiungere il certificato root generato da Workspace ONE Access ai truststore dei client. Il certificato root root_ca.per si trova in INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf.
Anche se è possibile utilizzare il certificato autofirmato a scopo di test, è consigliabile utilizzare certificati SSL attendibili firmati da un'autorità di certificazione pubblica o interna per la produzione. Vedere Caricamento di un certificato SSL per il servizio di autenticazione Kerberos (solo Workspace ONE Access Cloud).