Per distribuire Workspace ONE Access Connector, che include il servizio Sincronizzazione directory, il servizio di autenticazione degli utenti e il servizio di autenticazione Kerberos come componenti, assicurarsi che il server Windows soddisfi i requisiti necessari. Alcuni requisiti variano in base al servizio che si sta installando.

Numero di server

È possibile installare insieme i servizi Sincronizzazione directory, autenticazione degli utenti e autenticazione Kerberos su un singolo server Windows o installarli su server separati in qualsiasi combinazione, in base alle proprie preferenze. Per installare tutti i servizi insieme, è necessario un server più potente. Per installare i servizi separatamente, è necessario disporre di più server.

Se si desidera configurare l'alta disponibilità per uno o più di questi servizi, è necessario disporre di più server.

Si consideri inoltre che il servizio di autenticazione Kerberos richiede la connettività in entrata mentre gli altri servizi non la richiedono.

Requisiti hardware

Assicurarsi che Windows Server soddisfi i requisiti hardware seguenti.

  • Sistema operativo: Windows Server 2012R2 Standard 64 bit o versione successiva
  • Processore: Inte(R)Xeon(R) CPU E5-2650 0 a 2,00 GHZ (2 processori) x64 bit o superiore
Tabella 1. Linee guida di dimensionamento solo per il servizio Sincronizzazione directory
Dimensioni distribuzione Requisiti hardware Numero di utenti e gruppi
Piccolo 2 vCPU, 8 GB di RAM, 40 GB di spazio su disco

Allocazione della memoria Java per il servizio Sincronizzazione directory: xmx=4g

Fino a 50.000 utenti e 500 gruppi
Media 4 vCPU, 8 GB di RAM, 40 GB di spazio su disco

Allocazione della memoria Java per il servizio Sincronizzazione directory: xmx=4g

Fino a 100.000 utenti e 1.000 gruppi
Grande 8 vCPU, 12 GB di RAM, 40 GB di spazio su disco

Allocazione della memoria Java per il servizio Sincronizzazione directory: xmx=8g

Fino a 200.000 utenti e 2.000 gruppi
Tabella 2. Linee guida di dimensionamento solo per il servizio di autenticazione degli utenti o per il servizio di autenticazione Kerberos
Dimensioni distribuzione Requisiti hardware per il server con il servizio Autenticazione utente o Autenticazione Kerberos Servizio di autenticazione degli utenti Servizio di autenticazione Kerberos
Piccola/Media/Grande 2 vCPU, 4 GB di RAM, 40 GB di spazio su disco

Allocazione della memoria Java per il servizio di autenticazione degli utenti o il servizio di autenticazione Kerberos: xmx=1g

Autenticazioni password: 390 - 480/min

Flusso attivo WSFed: 720 - 900/min

Autenticazioni Kerberos: 420 - 480/min
Nota: I nodi dei servizi di autenticazione degli utenti e autenticazione Kerberos non sono scalabili verticalmente. Per una maggiore velocità di trasmissione, aggiungere altri nodi.
Tabella 3. Linee guida per il dimensionamento di tutti i servizi installati su un singolo server
Dimensioni distribuzione Requisiti hardware Sincronizzazione directory
Piccolo 2 vCPU, 8GB di RAM, 40GB di spazio su disco

Allocazione memoria Java:

Servizio Sincronizzazione directory: xmx=4g

Servizio Autenticazione Kerberos: xmx=1g

Servizio di autenticazione degli utenti: xmx=1g

Fino a 50.000 utenti e 500 gruppi
Media 4 vCPU, 8GB di RAM, 40GB di spazio su disco

Allocazione memoria Java:

Servizio Sincronizzazione directory: xmx=4g

Servizio Autenticazione Kerberos: xmx=1g

Servizio di autenticazione degli utenti: xmx=1g

Fino a 100.000 utenti e 1.000 gruppi
Grande 8 vCPU, 16GB di RAM, 40GB di spazio su disco

Allocazione memoria Java:

Servizio Sincronizzazione directory: xmx=8g

Servizio Autenticazione Kerberos: xmx=1g

Servizio di autenticazione degli utenti: xmx=1g

Fino a 200.000 utenti e 2.000 gruppi
Nota:
  • I requisiti di memoria includono il sistema operativo e i componenti di VMware Connector. Se si prevede di eseguire qualsiasi altra applicazione o servizio nel server, adattare i requisiti di conseguenza.
  • L'allocazione della memoria Java elencata per ciascun servizio fa riferimento alla memoria heap Java. Per impostazione predefinita, 4 GB sono allocati per il servizio Sincronizzazione directory, 1 GB al servizio di autenticazione degli utenti e 1 GB al servizio Autenticazione Kerberos. Per informazioni su come allocare la memoria, vedere Aumento della memoria Java per i servizi per l'azienda.
  • I gruppi elencati per il servizio Sincronizzazione directory sono tutti di un livello, ogni gruppo contiene 500 utenti e ogni utente è associato a 5 gruppi.
  • Le distribuzioni con gruppi di grandi dimensioni o gruppi nidificati richiedono più memoria.

Requisiti software

Assicurarsi che Windows Server soddisfi i requisiti software seguenti.

Requisito Note

Windows Server 2019

Windows Server 2016 o

Windows Server 2012 R2 o

Windows Server 2008 R2

Installare PowerShell nel server
Nota: PowerShell versione 4.0 è necessario se si esegue l'installazione in Windows Server 2008 R2.
Installare .NET Framework 4.6.2

Requisiti di rete

Per la configurazione delle porte elencate di seguito, tutto il traffico deve essere unidirezionale (in uscita) dal componente di origine al componente di destinazione. La connessione in uscita da Workspace ONE Access Connector non deve essere terminata o rifiutata da alcun proxy per traffico in uscita o da qualsiasi altro software o hardware per la gestione della connessione. La connessione in uscita deve rimanere sempre aperta.

Origine Destinazione Porta Protocollo Note
Workspace ONE Access Connector Servizio di Workspace ONE Access (cloud)

Host servizio Workspace ONE Access (installazioni in locale)

443 HTTPS Porta predefinita; obbligatoria

Si applica al servizio Sincronizzazione directory, al servizio di autenticazione degli utenti e al servizio di autenticazione Kerberos

Workspace ONE Access Connector Bilanciamento del carico del servizio di Workspace ONE Access (installazioni in locale) 443 HTTPS Si applica al servizio Sincronizzazione directory, al servizio di autenticazione degli utenti e al servizio di autenticazione Kerberos
Browser Workspace ONE Access Connector 443 HTTPS Obbligatorio per il servizio di autenticazione Kerberos
Workspace ONE Access Connector Active Directory 389, 636, 3268, 3269 Porte predefinite; queste porte sono configurabili

Si applica al servizio Sincronizzazione directory. Si applica anche al servizio di autenticazione degli utenti se viene utilizzata l'autenticazione con password.

Workspace ONE Access Connector Server DNS 53 TCP/UDP Ogni istanza del connettore deve poter accedere al server DNS sulla porta 53 e consentire il traffico SSH in ingresso sulla porta 22.

Si applica al servizio Sincronizzazione directory, al servizio di autenticazione degli utenti e al servizio di autenticazione Kerberos.

Workspace ONE Access Connector Controller del dominio 88, 464, 135, 445 TCP/UDP Si applica al servizio Sincronizzazione directory e al servizio di autenticazione Kerberos
Workspace ONE Access Connector Sistema RSA SecurID 5500 Porta predefinita; questa porta è configurabile

Si applica al servizio di autenticazione degli utenti se si utilizza RSA SecurID

Workspace ONE Access Connector server syslog 514 UDP Porta predefinita; questa porta è configurabile

Porta per server syslog esterno, se configurato. Si applica al servizio Sincronizzazione directory, al servizio di autenticazione degli utenti e al servizio di autenticazione Kerberos

Indirizzi IP del cloud di Workspace ONE Access

Vedere https://kb.vmware.com/s/article/68035 per l'elenco degli indirizzi IP del servizio cloud di Workspace ONE Access a cui deve avere accesso Workspace ONE Access Connector.

Requisiti relativi ai record DNS e agli indirizzi IP

Per il connettore sono necessari una voce DNS e un indirizzo IP statico. Prima di iniziare l'installazione, richiedere il record DNS, nonché l'indirizzo IP da utilizzare e configurare le impostazioni di rete di Windows Server.

Assicurarsi di selezionare un nome host appropriato e facile da ricordare per il server del connettore se si desidera installare il servizio di autenticazione Kerberos. Il nome host di Workspace ONE Access Connector è visibile per gli utenti finali quando l'autenticazione Kerberos è configurata.

La configurazione della ricerca inversa è facoltativa. Quando si implementa la ricerca inversa, è necessario definire un record PTR nel server DNS in modo che il connettore utilizzi la configurazione di rete corretta.

È possibile utilizzare l'elenco di record DNS di esempio seguente. Sostituire le informazioni di esempio con le informazioni del proprio ambiente. Questo esempio riporta i record DNS di inoltro e gli indirizzi IP.

Tabella 4. Esempi di record DNS di inoltro e indirizzi IP
Nome di dominio Tipo di risorsa Indirizzo IP
myconnector.example.com Un 10.28.128.3

Questo esempio riporta i record DNS inverso e gli indirizzi IP.

Tabella 5. Esempi di record DNS inversi e indirizzi IP
Indirizzo IP Tipo di risorsa Nome host
10.28.128.3 PTR myconnector.example.com

Dopo aver completato la configurazione DNS, verificare che la ricerca DNS inversa sia configurata correttamente. Ad esempio, il comando host IPaddress deve essere risolto nella ricerca del nome DNS.

Bilanciamento del carico

Se si desidera configurare l'alta disponibilità per l'autenticazione Kerberos, è necessario un bilanciamento del carico.

Sincronizzazione ora

La configurazione della sincronizzazione dell'ora in tutte le istanze del servizio e del connettore di Workspace ONE Access è necessaria affinché una distribuzione di Workspace ONE Access funzioni correttamente. Configurare la sincronizzazione dell'orario utilizzando un server NTP.