Per installare i servizi Sincronizzazione directory, autenticazione degli utenti o autenticazione Kerberos, eseguire il programma di installazione di Workspace ONE Access Connector su un server Windows che soddisfi tutti i requisiti e selezionare i servizi che si desidera installare.

È possibile scegliere tra un'installazione rapida e predefinita, che utilizza i valori predefiniti per la maggior parte delle impostazioni, e un'installazione personalizzata che consente di configurare svariate impostazioni.

Installazione predefinita Installazione personalizzata
Utilizza le seguenti porte predefinite:
  • Servizio di autenticazione degli utenti: 8090
  • Servizio Sincronizzazione directory: 8080
  • Servizio di autenticazione Kerberos: 443
Nota: Queste sono le porte su cui sono eseguiti i servizi. La connettività in entrata è richiesta solo per la porta del servizio di autenticazione Kerberos.
Consente di specificare porte personalizzate per i servizi per l'azienda
Nota: Queste sono le porte su cui sono eseguiti i servizi. La connettività in entrata è richiesta solo per la porta del servizio di autenticazione Kerberos.
Genera automaticamente un certificato autofirmato per il connettore Consente di installare un certificato SSL attendibile per il connettore (richiesto dal servizio di autenticazione Kerberos)
Consente di caricare certificati root attendibili nella truststore
Nota: Se l'istanza del servizio di Workspace ONE Access in locale dispone di un certificato autofirmato installato, è necessario caricarne il certificato root e, se necessario, il certificato intermedio per stabilire il relazione di attendibilità tra i servizi per l'azienda e l'istanza del servizio Workspace ONE Access.
Consente di configurare un server proxy
Consente di configurare un server syslog

Indipendentemente dal tipo di installazione scelta, è possibile eseguire nuovamente il programma di installazione in un secondo momento e modificare tutte le impostazioni in base alle necessità.

Prerequisiti

  • Vedere Prerequisiti per l'installazione di Workspace ONE Access Connector.
  • Come parte del processo di installazione, è possibile scaricare i file dalla console di Workspace ONE Access. Potrebbe essere necessario utilizzare un browser diverso da Internet Explorer per scaricare i file. Le impostazioni predefinite di Internet Explorer potrebbero impedire il download dei file.

Procedura

  1. Scaricare il programma di installazione di Workspace ONE Access Connector e un file di configurazione dalla console di Workspace ONE Access.
    1. Accedere alla console di Workspace ONE Access come amministratore del dominio di sistema.
      Suggerimento: Nelle distribuzioni cloud, l'amministratore del dominio di sistema è l'amministratore di cui si ricevono le credenziali quando si ottiene il tenant di Workspace ONE Access. Nelle distribuzioni locali, l'amministratore del dominio di sistema è l'utente amministratore che viene creato quando si installa un'istanza di Workspace ONE Access.
    2. Passare alla pagina Gestione identità e accessi > Configurazione > Connettori.
    3. Fare clic su Nuovo.
    4. Nella procedura guidata Aggiungi nuovo connettore, fare clic su Vai a myvmware.com.
      In una nuova finestra viene visualizzata la pagina Web My VMware. Tenere aperta la procedura guidata poiché si ritornerà ad essa dopo aver scaricato il programma di installazione.
    5. Accedere a https://my.vmware.com con l'accesso di My VMware e scaricare il file Workspace ONE Access Connector Installer.exe.
    6. Tornare alla console di Workspace ONE Access e fare clic su Avanti nella procedura guidata Aggiungi nuovo connettore.
    7. Generare il file di configurazione creando una password e facendo clic su Scarica il file di configurazione.
      La password deve avere una lunghezza minima di 14 caratteri e includere un carattere maiuscolo, un carattere minuscolo, una numero e un carattere speciale. Tutti i caratteri devono essere caratteri ASCII visibili e stampabili.
      Il file di configurazione viene utilizzato per stabilire la comunicazione tra i servizi per l'azienda installati e il tenant di Workspace ONE Access. Per impostazione predefinita, il file è denominato es-config.json.
      Attenzione: Il file di configurazione contiene informazioni riservate quali l'URL del tenant, l'ID del tenant, l'ID client e il segreto del client per ciascun servizio per l'azienda, nonché l'hash della password. È di fondamentale importanza non condividere il file né esporlo pubblicamente.
    8. Dopo aver scaricato il file di configurazione, fare clic su Avanti nella procedura guidata.
  2. Copiare i file del programma di installazione e di configurazione nel server Windows in cui si desidera installare i servizi.
  3. Fare doppio clic sul file del programma di installazione per eseguire l'installazione guidata di Workspace ONE Access Connector.
  4. Nella pagina di benvenuto fare clic su Avanti.
    Il programma di installazione verifica i prerequisiti nel server. Se .NET Framework non è installato, viene richiesto di installarlo e di riavviare il server. Dopo il riavvio, eseguire nuovamente il programma di installazione per riprendere il processo di installazione.
  5. Leggere e accettare il contratto di licenza, quindi fare clic su Avanti.
    Installazione guidata - contratto di licenza
  6. Selezionare i servizi da installare.
    Installazione guidata - pagina selezione servizi
    Per impostazione predefinita, i servizi vengono installati in C:\Programmi. Per modificare la cartella di installazione, fare clic su Modifica e selezionare la cartella.
  7. Fare clic su Avanti.
  8. Se la versione principale più recente di Java Runtime Environment (JRE™) non è già installata in Windows Server, viene visualizzata la finestra a comparsa seguente.
    Installazione guidata - messaggio installazione Java
    Fare clic su per installare JRE. L'installazione richiede alcuni minuti. Linstallazione della versione richiesta non comporta l'eliminazione delle versioni di JRE esistenti.
  9. Nella pagina di selezione del file di configurazione, selezionare il file di configurazione scaricato dalla console di Workspace ONE Access, immettere la password impostata e fare clic su Avanti.
    Se il file di configurazione si trova nella stessa cartella del programma di installazione e ha il nome predefinito es-config.json, viene visualizzato automaticamente nella casella di testo.
    Installazione guidata - pagina file di configurazione
  10. Selezionare tra installazione Predefinita o Personalizzata.
    Installazione guidata - selezionare tipo di installazione
  11. Se è stata selezionata l'opzione di installazione Predefinita, attenersi alla seguente procedura.
    1. (Solo servizio di autenticazione Kerberos) Nella pagina di selezione dell'account del servizio, specificare il nome utente e la password dell'account utente del dominio da utilizzare per eseguire il servizio di autenticazione Kerberos.
      Installazione guidata - pagina account utente dominio
      Nota: Se non è possibile individuare i domini o gli utenti quando si fa clic su Sfoglia, verificare che tutti i prerequisiti siano soddisfatti.
      Nota: La pagina di selezione dell'account del servizio viene visualizzata solo se si sta installando il servizio di autenticazione Kerberos.
    2. Fare clic su Avanti.
    3. Nella pagina che indica che è tutto pronto per installare il programma, controllare le selezioni effettuate e fare clic su Installa.
      Installazione guidata - pagina pronto per installare
      L'installazione richiede alcuni minuti.
  12. Se è stata selezionata l'opzione di installazione Personalizzata, attenersi alla seguente procedura.
    1. Nella pagina di selezione delle informazioni sul server proxy, specificare un server proxy se necessario.
      I servizi Enterprise accedono ai servizi Web su Internet. Se la configurazione di rete consente di accedere a Internet tramite un proxy HTTP, è necessario specificare il server proxy.
      1. Selezionare la casella di controllo Abilita proxy.
      2. Immettere il nome host o l'indirizzo IP del server proxy.
      3. Specificare la porta del server proxy.
      4. Se il server proxy richiede l'autenticazione, selezionare Di base/Windows e immettere il nome utente e la password per il server proxy.
      Installazione guidata - pagina server proxy
    2. Fare clic su Avanti.
    3. Nella pagina di selezione del server syslog, se si desidera utilizzare un server syslog esterno per archiviare i messaggi degli eventi a livello di applicazione, selezionare l'opzione di abilitazione syslog e specificare l'indirizzo IP o il nome di dominio completo del server syslog, nonché la porta.
      Nota: Nel server syslog vengono esportati solo gli eventi a livello di applicazione. Gli eventi del sistema operativo non sono esportati.
      Installazione guidata - pagina server syslog
    4. Fare clic su Avanti.
    5. Nella pagina di installazione dei certificati root attendibili, caricare i certificati CA (autorità di certificazione) root o intermedi nella truststore, se necessario.
      Il connettore sarà in grado di stabilire connessioni protette a server e client la cui catena di certificati include uno di questi certificati. Gli scenari per il caricamento dei certificati nel truststore includono:
      • (Solo installazioni in locale) Se l'istanza del servizio Workspace ONE Access in locale dispone di un certificato autofirmato installato, è necessario caricarne il certificato root e, se necessario, il certificato intermedio per stabilire il relazione di attendibilità tra i servizi Enterprise e l'istanza del servizio Workspace ONE Access.
      • (Solo servizio di autenticazione Kerberos) Se si distribuiscono più istanze del servizio di autenticazione Kerberos dietro un bilanciamento del carico, è necessario installare il certificato CA root del bilanciamento del carico nelle istanze del connettore per stabilire la relazione di attendibilità tra i connettori e il bilanciamento del carico.

      È inoltre possibile caricare i certificati root attendibili in un secondo momento, dopo l'installazione.

      Installazione guidata - pagina certificati root attendibili
    6. Fare clic su Avanti.
    7. Controllare le porte predefinite su cui sono eseguiti i servizi per l'azienda e specificare porte diverse nel caso in cui alcune di esse siano già utilizzate da altre applicazioni.

      La connettività in entrata è richiesta solo per la porta del servizio di autenticazione Kerberos. Non è necessaria per le porte dei servizi di autenticazione degli utenti e sincronizzazione directory.

      Installazione guidata - pagina porte
    8. (Solo servizio di autenticazione Kerberos) Nella pagina del certificato SSL per il servizio di autenticazione Kerberos, selezionare il certificato da utilizzare per il server del connettore.
      Il servizio di autenticazione Kerberos richiede un certificato SSL attendibile firmato da un'autorità di certificazione pubblica o interna. Se durante l'installazione non si carica un certificato SSL attendibile, viene generato automaticamente un certificato autofirmato. È possibile caricare un certificato SSL attendibile in un secondo momento.
      • Per caricare un certificato SSL attendibile, selezionare la casella di controllo per la selezione di un proprio certificato SSL, fare clic su Sfoglia e selezionare il file del certificato.

        Il file del certificato deve essere in formato PEM o PFX. Se si carica un file PEM, caricare anche la chiave privata. Se si carica un file PFX, specificare anche la password del certificato. Per informazioni sui requisiti dei certificati, vedere Caricamento di un certificato SSL per Workspace ONE Access Connector (solo servizio di autenticazione Kerberos).

      • Per utilizzare il certificato autofirmato generato automaticamente, deselezionare la casella di controllo per la selezione di un proprio certificato SSL.
        Nota: Se si utilizza il certificato autofirmato generato da Workspace ONE Access, sarà necessario aggiungere il certificato root generato da Workspace ONE Access ai truststore dei client. Dopo l'installazione, il certificato root root_ca.per è disponibile in INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf.

        È possibile utilizzare il certificato autofirmato a scopo di testing, ma per l'utilizzo nella produzione è consigliabile usare certificati SSL attendibili firmati da un'autorità di certificazione pubblica o interna.

      Installazione guidata - pagina selezione certificato
    9. Fare clic su Avanti.
    10. (Solo servizio di autenticazione Kerberos) Nella pagina di selezione dell'account del servizio, specificare il nome utente e la password dell'account utente del dominio da utilizzare per eseguire il servizio di autenticazione Kerberos.
      Installazione guidata - pagina utente dominio
      Nota: Se non è possibile individuare i domini o gli utenti quando si fa clic su Sfoglia, verificare che tutti i prerequisiti siano soddisfatti.
      Nota: La pagina di selezione dell'account del servizio viene visualizzata solo se si sta installando il servizio di autenticazione Kerberos.
    11. Nella pagina che indica che è tutto pronto per installare il programma, controllare le selezioni effettuate e fare clic su Installa.
      L'installazione richiede alcuni minuti.
  13. Una volta completata l'installazione, verificare che i servizi siano in esecuzione sul server Windows.
    Nomi dei servizi:
    • Servizio Sincronizzazione directory di VMware
    • Servizio di autenticazione degli utenti di VMware
    • Servizio di autenticazione Kerberos di VMware
  14. Passare alla console di Workspace ONE Access e aggiornare la pagina Gestione identità e accessi > Configurazione > Connettori per verificare che i nuovi servizi vengano visualizzati e siano nello stato attivo.
    Se l'installazione non riesce, eliminare sia il programma di installazione che il file di configurazione scaricati dalla console di Workspace ONE Access, quindi rieseguire dall'inizio il processo di installazione.

risultati

Una volta completata correttamente l'installazione, i servizi per l'azienda installati vengono registrati nel tenant di Workspace ONE Access e visualizzati nella pagina Connettori della console di Workspace ONE Access.

Ad esempio:

Operazioni successive

  • Nella console di Workspace ONE Access, configurare i servizi per l'azienda installati. Per informazioni sull'integrazione delle directory utilizzando il servizio Sincronizzazione directory, vedere Integrazione delle directory con Workspace ONE Access. Per informazioni sulla configurazione dell'autenticazione mediante il servizio di autenticazione degli utenti o il servizio di autenticazione Kerberos, vedere Gestione dei metodi di autenticazione degli utenti in Workspace ONE Access.
  • (Solo servizio di autenticazione Kerberos) Se si utilizza il certificato autofirmato generato da Workspace ONE Access per il servizio Autenticazione Kerberos, è necessario aggiungere il certificato root generato da Workspace ONE Access ai truststore dei client. Il certificato root root_ca.per si trova in INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf.

    È possibile utilizzare il certificato autofirmato a scopo di testing, ma per l'utilizzo nella produzione è consigliabile usare certificati SSL attendibili firmati da un'autorità di certificazione pubblica o interna. Vedere Caricamento di un certificato SSL per Workspace ONE Access Connector (solo servizio di autenticazione Kerberos).