Requisiti di sistema di Workspace ONE Access Connector 23.09

Compatibilità tra il servizio Workspace ONE Access e Connector

È possibile utilizzare Workspace ONE Access Connector con il servizio Workspace ONE Access Cloud o con l'appliance virtuale del servizio Workspace ONE Access in locale.

Con il servizio Workspace ONE Access Cloud, è possibile utilizzare tutte le versioni supportate del connettore. È tuttavia consigliabile utilizzare la versione più recente del connettore.

Con l'installazione di Workspace ONE Access in locale, è possibile utilizzare versioni del connettore supportate uguali o precedenti alla versione del servizio Workspace ONE Access. Ad esempio, con il servizio Workspace ONE Access 22.09 è possibile utilizzare il connettore 22.09 e versioni precedenti. Non è possibile utilizzare una versione del connettore successiva alla versione del servizio. Ad esempio, non è possibile utilizzare il connettore 22.09 con il servizio 21.08. È consigliabile utilizzare l'ultima versione compatibile del connettore.

Per informazioni sulle versioni supportate, vedere https://www.vmware.com/support/policies/lifecycle.html.

Numero di server necessario

È possibile installare insieme i servizi Sincronizzazione directory, Autenticazione utente, Autenticazione Kerberos e App virtuale su un singolo server Windows o installarli su server separati in qualsiasi combinazione, in base alle proprie preferenze. Per installare tutti i servizi insieme, è necessario un server più potente. Per installare i servizi separatamente, è necessario disporre di più server.

Se si desidera configurare l'alta disponibilità per uno o più di questi servizi, è necessario disporre di più server.

Si consideri inoltre che il servizio di autenticazione Kerberos richiede la connettività in entrata mentre gli altri servizi non la richiedono.

Importante: Se si installano più servizi in un singolo server, assicurarsi che il server soddisfi i requisiti di memoria, calcolo e archiviazione specificati nelle linee guida per il dimensionamento. In particolare, se si installano i servizi Sincronizzazione directory e App virtuale nello stesso server, è necessario assicurarsi che il server di disponga di memoria e di vCPU sufficienti per entrambi i servizi. Per ulteriori informazioni, consultare le linee guida per il dimensionamento.

Requisiti hardware

Assicurarsi che Windows Server soddisfi i requisiti hardware seguenti.

Processore: Inte(R)Xeon(R) CPU E5-2650 0 a 2,00 GHZ (2 processori) x64 bit o superiore

Tabella 1. Linee guida di dimensionamento solo per il servizio Sincronizzazione directory
Dimensioni distribuzione	Requisiti hardware per il server del servizio Sincronizzazione directory	Numero di utenti e gruppi
Piccolo	2 vCPU, 8 GB di RAM, 40 GB di spazio su disco Allocazione della memoria Java per il servizio Sincronizzazione directory: xmx=4g	Fino a 50.000 utenti e 500 gruppi
Media	4 vCPU, 8 GB di RAM, 40 GB di spazio su disco Allocazione della memoria Java per il servizio Sincronizzazione directory: xmx=4g	Fino a 100.000 utenti e 1.000 gruppi
Grande	8 vCPU, 12 GB di RAM, 40 GB di spazio su disco Allocazione della memoria Java per il servizio Sincronizzazione directory: xmx=8g	Fino a 200.000 utenti e 2.000 gruppi

Tabella 2. Linee guida di dimensionamento solo per il servizio di autenticazione degli utenti o per il servizio di autenticazione Kerberos
Dimensioni distribuzione	Requisiti hardware per il server dei servizi Autenticazione utente o Autenticazione Kerberos	Servizio di autenticazione degli utenti	Servizio di autenticazione Kerberos
Piccola/Media/Grande	2 vCPU, 4 GB di RAM, 40 GB di spazio su disco Allocazione della memoria Java per il servizio di autenticazione degli utenti o il servizio di autenticazione Kerberos: xmx=1g	Autenticazioni password: 390 - 480/min Flusso attivo WSFed: 720 - 900/min	Autenticazioni Kerberos: 420 - 480/min

Nota: I nodi dei servizi di autenticazione degli utenti e autenticazione Kerberos non sono scalabili verticalmente. Per una maggiore velocità di trasmissione, aggiungere altri nodi.

Tabella 3. Linee guida di dimensionamento solo per il servizio App virtuale
Dimensioni distribuzione	Requisiti hardware per il server di del servizio App virtuale	Numero di App virtuali e relativi permessi
Piccola/Media/Grande	2 vCPU, 4 GB di RAM, 40 GB di spazio su disco Allocazione della memoria Java per il servizio App virtuale: xmx=1g	Fino a 500 app virtuali con 125.000 permessi

Nota: Per le integrazioni di Citrix, per ogni risorsa è supportato un massimo di 630 permessi di utenti o gruppi.

Tabella 4. Linee guida per il dimensionamento di tutti i servizi installati su un singolo server
Dimensioni distribuzione	Requisiti hardware	Numero di utenti e gruppi
Piccolo	4 vCPU, 12 GB di RAM, 50 GB di spazio su disco Allocazione memoria Java: Servizio Sincronizzazione directory: xmx=4g Servizio Autenticazione Kerberos: xmx=1g Servizio di autenticazione degli utenti: xmx=1g Servizio App virtuale: xmx=1g	Fino a 100.000 utenti e 1.000 gruppi
Media	8 vCPU, 16 GB di RAM, 50 GB di spazio su disco Allocazione memoria Java: Servizio Sincronizzazione directory: xmx=8g Servizio Autenticazione Kerberos: xmx=1g Servizio di autenticazione degli utenti: xmx=1g Servizio App virtuale: xmx=2g	Fino a 200.000 utenti e 2.000 gruppi
Grande	12 vCPU, 32 GB di RAM, 80 GB di spazio su disco Allocazione memoria Java: Servizio Sincronizzazione directory: xmx=12g Servizio Autenticazione Kerberos: xmx=1g Servizio di autenticazione degli utenti: xmx=1g Servizio App virtuale: xmx=2g	Fino a 300.000 utenti e 3.000 gruppi

Nota:

I requisiti di memoria includono il sistema operativo e i componenti di VMware Connector. Se si prevede di eseguire qualsiasi altra applicazione o servizio nel server, adattare i requisiti di conseguenza.
L'allocazione della memoria Java elencata per ciascun servizio fa riferimento alla memoria heap Java. Per impostazione predefinita, vengono allocati 4 GB al servizio Sincronizzazione directory, 1 GB al servizio Autenticazione utente, 1 GB al servizio Autenticazione Kerberos e 1 GB al servizio App virtuale. Per informazioni su come allocare la memoria, vedere Aumento della memoria Java per i servizi Workspace ONE Access Connector Enterprise.
I gruppi elencati per il servizio Sincronizzazione directory sono tutti di un livello, ogni gruppo contiene 500 utenti e ogni utente è associato a 5 gruppi.
Le distribuzioni con gruppi di grandi dimensioni o gruppi nidificati richiedono più memoria.
Per le integrazioni di Citrix, per ogni risorsa è supportato un massimo di 630 permessi di utenti o gruppi.

Requisiti software

Assicurarsi che Windows Server soddisfi i requisiti software seguenti.

Requisito	Note
Una delle versioni seguenti di Windows Server: Windows Server 2022 Windows Server 2019 Windows Server 2016	Tutti i servizi aziendali, ovvero Sincronizzazione directory, Autenticazione utente, Autenticazione Kerberos e App virtuale, possono essere installati in un connettore in esecuzione in Windows Server 2022.
PowerShell	I server Windows includono PowerShell per impostazione predefinita.
.NET Framework 4.8 o versione successiva	I server Windows includono .NET Framework per impostazione predefinita. Workspace ONE Access Connector richiede .NET Framework 4.8 o versione successiva. Se.NET Framework non è installato o non corrisponde alla versione necessaria, il programma di installazione del connettore richiede di installare la versione corretta durante l'installazione.
Citrix Studio (Citrix PowerShell SDK)	Richiesto solo se si installa il servizio App virtuale e si intende integrare i desktop e le app virtuali di Citrix. Citrix Studio include PowerShell SDK, necessario per l'integrazione di Citrix con Workspace ONE Access. La versione di Citrix Studio deve essere compatibile con la versione di distribuzione di Citrix. È possibile installare Citrix Studio prima o dopo l'installazione di Workspace ONE Access Connector. Per maggiori informazioni sull'installazione di Citrix Studio, fare riferimento alla documentazione di Citrix.

Requisiti di rete

Nella tabella seguente sono elencati i requisiti delle porte per il connettore. Per le informazioni più aggiornate sulle porte, vedere https://ports.vmware.com/home/Workspace-ONE-Access.

Per la configurazione delle porte elencate, tutto il traffico deve essere unidirezionale (in uscita) dal componente di origine al componente di destinazione. La connessione in uscita da Workspace ONE Access Connector non deve essere terminata o rifiutata da alcun proxy per in uscita o da qualsiasi altro software o hardware per la gestione della connessione. La connessione in uscita deve rimanere sempre aperta.

Origine	Destinazione	Porta	Protocollo	Note
Workspace ONE Access Connector	Servizio di Workspace ONE Access (cloud) Host servizio Workspace ONE Access (installazioni in locale)	443	HTTPS	Porta predefinita; obbligatoria. Si applica ai servizi Sincronizzazione directory, Autenticazione utente, Autenticazione Kerberos e App virtuale.
Workspace ONE Access Connector	Bilanciamento del carico del servizio di Workspace ONE Access (installazioni in locale)	443	HTTPS	Si applica ai servizi Sincronizzazione directory, Autenticazione utente, Autenticazione Kerberos e App virtuale.
Browser	Workspace ONE Access Connector	443	HTTPS	Obbligatoria per il servizio di autenticazione Kerberos.
Workspace ONE Access Connector	Active Directory	389, 636, 3268, 3269		Porte predefinite; queste porte sono configurabili. Si applica al servizio Sincronizzazione directory. Si applica anche al servizio di autenticazione degli utenti se viene utilizzata l'autenticazione con password.
Workspace ONE Access Connector	Server DNS	53	TCP/UDP	Ogni istanza del connettore deve poter accedere al server DNS nella porta 53. Si applica ai servizi Sincronizzazione directory, Autenticazione utente, Autenticazione Kerberos e App virtuale.
Workspace ONE Access Connector	Controller del dominio	88, 464, 135, 445	TCP/UDP	Si applica al servizio Sincronizzazione directory e al servizio di autenticazione Kerberos.
Workspace ONE Access Connector	Server RSA SecurID	5555		Porta predefinita; questa porta è configurabile. Si applica al servizio di autenticazione degli utenti se si utilizza RSA SecurID.
Workspace ONE Access Connector	server syslog	514	UDP	Porta predefinita; questa porta è configurabile. Porta per server syslog esterno, se configurato. Si applica ai servizi Sincronizzazione directory, Autenticazione utente, Autenticazione Kerberos e App virtuale.
Workspace ONE Access Connector	Horizon Connection Server	443		Per le integrazioni di VMware Horizon. Si applica solo al servizio App virtuale.
Workspace ONE Access Connector	Server Citrix StoreFront	Porta configurata per il server Citrix StoreFront		Per l'integrazione con le distribuzioni Citrix. Si applica solo al servizio App virtuale.
Workspace ONE Access Connector	Server Citrix XenApp o XenDesktop	443		Per l'integrazione con le distribuzioni Citrix. Si applica solo al servizio App virtuale.
Browser	Nomi di dominio completi di accesso al client configurati per le raccolte di app virtuali Horizon e Citrix	Porte configurate per i nomi di dominio completi di accesso al client		Si applica solo al servizio App virtuale.

Indirizzi IP del servizio cloud di Workspace ONE Access

Vedere https://kb.vmware.com/s/article/68035 per l'elenco degli indirizzi IP del servizio cloud di Workspace ONE Access per cui Workspace ONE Access Connector deve disporre dell'accesso.

Requisiti relativi ai record DNS e agli indirizzi IP

Per il connettore sono necessari una voce DNS e un indirizzo IP statico. Prima di iniziare l'installazione, richiedere il record DNS, nonché l'indirizzo IP da utilizzare e configurare le impostazioni di rete di Windows Server.

Assicurarsi di selezionare un nome host appropriato e facile da ricordare per il server del connettore se si desidera installare il servizio di autenticazione Kerberos. Il nome host di Workspace ONE Access Connector è visibile per gli utenti finali quando l'autenticazione Kerberos è configurata.

La configurazione della ricerca inversa è facoltativa. Quando si implementa la ricerca inversa, è necessario definire un record PTR nel server DNS in modo che il connettore utilizzi la configurazione di rete corretta.

È possibile utilizzare l'elenco di record DNS di esempio seguente. Sostituire le informazioni di esempio con le informazioni del proprio ambiente. Questo esempio riporta i record DNS di inoltro e gli indirizzi IP.

Tabella 5. Esempi di record DNS di inoltro e indirizzi IP
Nome di dominio	Tipo di risorsa	Indirizzo IP
myconnector.example.com	Un	10.28.128.3

Questo esempio riporta i record DNS inverso e gli indirizzi IP.

Tabella 6. Esempi di record DNS inversi e indirizzi IP
Indirizzo IP	Tipo di risorsa	Nome host
10.28.128.3	PTR	myconnector.example.com

Dopo aver completato la configurazione DNS, verificare che la ricerca DNS inversa sia configurata correttamente. Ad esempio, il comando host IPaddress deve essere risolto nella ricerca del nome DNS.

Bilanciamento del carico

Se si desidera configurare l'alta disponibilità per l'autenticazione Kerberos, è necessario un bilanciamento del carico per Workspace ONE Access Connector.

Sincronizzazione ora

La configurazione della sincronizzazione dell'ora in tutte le istanze del servizio e del connettore di Workspace ONE Access è necessaria affinché una distribuzione di Workspace ONE Access funzioni correttamente. Configurare la sincronizzazione dell'orario utilizzando un server NTP.

Per il connettore, configurare la sincronizzazione dell'ora nel server del connettore.

Requisiti del proxy

Connector accede ai servizi Web su Internet. Se la configurazione di rete consente di accedere a Internet tramite un proxy HTTP, è necessario configurare un server proxy. Le informazioni del server proxy vengono immesse nel programma di installazione di Workspace ONE Access Connector durante o dopo l'installazione.

Workspace ONE Access Connector supporta i tipi di proxy seguenti:

Proxy HTTP non autenticati
Proxy HTTPS (SSL) non autenticati
Proxy HTTPS (SSL) autenticati

Nota: Consentire al proxy di gestire solo il traffico Internet. Per assicurarsi che il proxy sia configurato correttamente, impostare il parametro per il traffico interno su Nessun proxy all'interno del dominio.