VMware Cloud Foundation の Workspace ONE Access の設計

Workspace ONE Access の論理設計

この設計では、vRealize Suite コンポーネントなどのサポート対象の SDDC コンポーネントに ID およびアクセス管理サービスを提供するために、NSX ネットワークセグメントに展開された Workspace ONE Access インスタンスを使用します。

Workspace ONE Access の展開は、1 つのプライマリノードで構成されます。これは vRealize Suite Lifecycle Manager およびアドオンの vRealize Suite コンポーネントに接続されます。 — 図 1. 標準 Workspace ONE Access の論理設計

表 1. 標準 Workspace ONE Access の論理コンポーネント
単一のアベイラビリティゾーンがある VMware Cloud Foundation インスタンス	複数のアベイラビリティゾーンがある VMware Cloud Foundation インスタンス
オーバーレイでバッキングされた（推奨）または VLAN でバッキングされた NSX セグメントに展開された単一ノードの Workspace ONE Access インスタンス。 VMware Cloud Foundation インスタンス間で移動可能な SDDC ソリューションは、最初の VMware Cloud Foundation インスタンスの Workspace ONE Access インスタンスと統合されます。	オーバーレイでバッキングされた（推奨）または VLAN でバッキングされた NSX セグメントに展開された単一ノードの Workspace ONE Access インスタンス。 VMware Cloud Foundation インスタンス間で移動可能な SDDC ソリューションは、最初の VMware Cloud Foundation インスタンスの Workspace ONE Access インスタンスと統合されます。グループ内のホストで実行する必要がある vSphere DRS ルールを使用すると、通常の動作条件下で、Workspace ONE Access ノードが最初のアベイラビリティゾーンの管理 ESXi ホスト上で実行されます。

Workspace ONE Access クラスタは、1 つのプライマリノードと 2 つのセカンダリノードで構成され、NSX ロードバランサを使用してロードバランシングされます。これは vRealize Suite Lifecycle Manager およびアドオンの vRealize Suite コンポーネントに接続されます。 — 図 2. クラスタ化された Workspace ONE Access の論理設計

表 2. クラスタ化された Workspace ONE Access の論理コンポーネント
単一のアベイラビリティゾーンがある VMware Cloud Foundation インスタンス	複数のアベイラビリティゾーンがある VMware Cloud Foundation インスタンス
オーバーレイでバッキングされた（推奨）または VLAN でバッキングされた NSX セグメントに展開された、NSX ロードバランサの背後にある 3 ノード Workspace ONE Access クラスタは、最初の VMware Cloud Foundation インスタンスに展開されます。すべての Workspace ONE Access サービスとデータベースは、ネイティブクラスタ構成を使用して高可用性を実現するように構成されます。VMware Cloud Foundation インスタンス間で移動可能な SDDC ソリューションは、この Workspace ONE Access クラスタと統合されます。 3 ノードクラスタの各ノードは、関連する ID プロバイダへのコネクタとして構成されます vSphere HA は、Workspace ONE Access ノードを保護します。 vSphere DRS 非アフィニティルールは、Workspace ONE Access ノードが異なる ESXi ホストで実行されるようにします。追加の単一ノード Workspace ONE Access インスタンスは、他のすべての VMware Cloud Foundation インスタンスのオーバーレイでバッキングされた（推奨）または VLAN でバッキングされた NSX セグメントに展開されます。	NSX ロードバランサの背後にあり、オーバーレイによってバッキングされた（推奨）または VLAN によってバッキングされた NSX セグメントに展開された 3 ノード Workspace ONE Access クラスタ。すべての Workspace ONE Access サービスとデータベースは、ネイティブクラスタ構成を使用して高可用性を実現するように構成されます。VMware Cloud Foundation インスタンス間で移動可能な SDDC ソリューションは、この Workspace ONE Access クラスタと統合されます。 3 ノードクラスタの各ノードは、関連する ID プロバイダへのコネクタとして構成されます vSphere HA は、Workspace ONE Access ノードを保護します。 vSphere DRS 非アフィニティルールは、Workspace ONE Access ノードが異なる ESXi ホストで実行されるようにします。グループ内のホストで実行する必要がある vSphere DRS ルールを使用すると、通常の動作条件下で、Workspace ONE Access ノードが最初のアベイラビリティゾーンの管理 ESXi ホスト上で実行されます。追加の単一ノード Workspace ONE Access インスタンスは、他のすべての VMware Cloud Foundation インスタンスのオーバーレイでバッキングされた（推奨）または VLAN でバッキングされた NSX セグメントに展開されます。

VMware Cloud Foundation の Workspace ONE Access のサイジングに関する考慮事項

Workspace ONE Access を展開する場合は、環境の規模に適したサイズのアプライアンスを展開することを選択します。選択したオプションによって、アプライアンスの CPU の数とメモリ容量が決まります。

展開する VMware Cloud Foundation インスタンスの全体的なプロファイルに応じたサイジングの詳細については、「VMware Cloud Foundation プランニングおよび準備ワークブック」を参照してください。

表 3. Workspace ONE Access のサイジングに関する考慮事項
Workspace ONE Access アプライアンスのサイズ	サポートされる制限
極小規模	3,000 ユーザー 30 グループ
小	5,000 ユーザー 50 グループ
中	10,000 ユーザー 100 グループ vRealize Automation の最小要件
大	25,000 ユーザー 250 グループ
Extra Large	50,000 ユーザー 500 グループ
超特大	100,000 ユーザー 1,000 グループ

Workspace ONE Access のネットワーク設計

Workspace ONE Access のユーザーインターフェイスと API に安全にアクセスするには、オーバーレイでバッキングされた、または VLAN でバッキングされた NSX ネットワークセグメントにノードを展開します。

ネットワークセグメント

このネットワーク設計では次の機能が提供されます。

すべての Workspace ONE Access コンポーネントは、管理ドメインの NSX インスタンスの Tier-0 ゲートウェイを介して管理 VLAN にルーティングされたアクセス権を持ちます。
管理ネットワークとその他の外部ネットワークへのルーティングは動的で、ボーダーゲートウェイプロトコル (BGP) に基づいています。

Workspace ONE Access ノードは、NSX Tier-0 および Tier-1 ゲートウェイを介して管理ネットワークに接続されているクロスインスタンス NSX ネットワークセグメントに接続されます。 — 図 3. 標準 Workspace ONE Access のネットワーク設計

Workspace ONE Access クラスタノードは、NSX Tier-0 および Tier-1 ゲートウェイを介して管理ネットワークに接続されているクロスインスタンス NSX ネットワークセグメントに接続されます。 — 図 4. クラスタ化された Workspace ONE Access のネットワーク設計

ロードバランシング

Workspace ONE Access クラスタの展開では、Workspace ONE Access サービスへの接続を管理するためにロードバランサが必要です。

ロードバランシングサービスは、NSX によって提供されます。Workspace ONE Access クラスタの展開中、または標準展開のスケールアウト中に、vRealize Suite Lifecycle Manager と SDDC Manager が連携して、NSX ロードバランサの構成を自動化します。ロードバランサは、次の設定で構成されます。

表 4. クラスタ化された Workspace ONE Access ロードバランサの構成
ロードバランサの要素	設定
サービスの監視	デフォルトの間隔とタイムアウトを使用します。監視間隔：3 秒アイドルタイムアウト期間：10 秒起動/停止：3 秒 HTTP 要求： HTTP メソッド：Get HTTP 要求バージョン：1.1 要求 URL：/SAAS/API/1.0/REST/system/health/heartbeat。 HTTP 応答： HTTP 応答コード：200 HTTP 応答本文：OK SSL 構成：サーバ SSL：有効クライアント証明書：クロスインスタンス Workspace ONE Access クラスタ証明書 SSL プロファイル：default-balanced-server-ssl-profil。
サーバプール	LEAST_CONNECTION アルゴリズム。プールの SNAT 変換モードを自動マップに設定します。静的メンバー：名前：ホスト名 IP アドレス： IP アドレスポート：443 重み付け：1 状態：有効上記のサービスモニターを設定します。
HTTP アプリケーションプロファイル	タイムアウト 3,600 秒（60 分）。 X-Forwarded-For 挿入
Cookie パーシステンスプロファイル	Cookie 名 JSESSIONID。 Cookie モード書き換え
仮想サーバ	HTTP タイプ L7 ポート 443 IP Workspace ONE Access クラスタ IP アドレスパーシステンス上記の Cookie パーシステンスプロファイル。アプリケーションプロファイル上記の HTTP アプリケーションプロファイル。サーバプール上記のサーバプール

Workspace ONE Access と VMware Cloud Foundation の統合設計

サポートされている SDDC コンポーネントを Workspace ONE Access クラスタと統合して、ID およびアクセス管理サービスを介した認証を有効にします。

統合後、統合された SDDC 製品の情報セキュリティとアクセスコントロールの設定を構成できます。

表 5. Workspace ONE Access の SDDC 統合
SDDC コンポーネント	統合	検討事項
vCenter Server	サポート対象外	ディレクトリサービスについては、vCenter Server を Active Directory に直接接続する必要があります。VMware Cloud Foundation のための ID およびアクセス管理を参照してください。
SDDC Manager	サポート対象外	SDDC Manager は vCenter Single Sign-On を使用します。ディレクトリサービスについては、vCenter Server を Active Directory に直接接続する必要があります
NSX	サポート	ディザスタリカバリなどの目的で、複数の VMware Cloud Foundation インスタンスがある環境にスケールアウトする場合は、各 VMware Cloud Foundation インスタンスに Workspace ONE Access の標準インスタンスを追加で展開する必要があります。VMware Cloud Foundation インスタンス間で保護されたコンポーネントによって活用される Workspace ONE Access インスタンスが物理的な場所間でフェイルオーバーする場合があります。これは、最初の VMware Cloud Foundation インスタンスの NSX への認証に影響します。VMware Cloud Foundation のための ID およびアクセス管理を参照してください。
vRealize Suite Lifecycle Manager	サポート	なし。

ID 管理を含む特定の vRealize Suite コンポーネントの設計については、「VMware Cloud Foundation の検証済みソリューション」を参照してください。

Workspace ONE Access の展開モデル

Workspace ONE Access は、OVA 形式の仮想アプライアンスとして配布され、vRealize Suite Lifecycle Manager から他の vRealize Suite 製品と一緒に展開および管理できます。Workspace ONE Access アプライアンスには、ID およびアクセス管理サービスが含まれています。

展開タイプ

システムおよび統合 SDDC ソリューションがサポートする必要がある可用性とユーザー数の設計目標に従って、展開タイプ（標準またはクラスタ）を考慮します。デフォルトの管理 vSphere クラスタに Workspace ONE Access を展開します。

表 6. Workspace ONE Access のトポロジ属性
展開タイプ	説明	メリット	デメリット
標準（推奨）	単一ノード NSX ロードバランサが自動的に展開されます。	NSX ロードバランサの背後の 3 ノードクラスタにスケールアウトできます障害が発生した後のリカバリに vSphere HA を活用できます。消費するリソースが少なくなります。	ID プロバイダコネクタに対して高可用性を提供しません。
クラスタ	内部 PostgreSQL データベースを使用した 3 ノードクラスタ展開。 NSX ロードバランサが自動的に展開されます。	ID プロバイダコネクタに対して高可用性を提供します。	障害が発生した後、手動での介入が必要になる場合があります。追加のリソースを消費します。

VMware Cloud Foundation の Workspace ONE Access 設計の要件と推奨事項

Workspace ONE Access の標準またはストレッチ管理クラスタで SDDC ソリューションの ID およびアクセス管理に VMware Cloud Foundation を使用するための配置、ネットワーク、サイジング、および高可用性の要件を考慮します。Workspace ONE Access を最適な方法で動作させるための同様のベストプラクティスを適用します。

Workspace ONE Access 設計の要件

標準クラスタまたはストレッチクラスタを考慮して、VMware Cloud Foundation の Workspace ONE Access 設計で次の設計要件を満たす必要があります。NSX フェデレーションの場合は、さらに追加の要件があります。

表 7. VMware Cloud Foundation の Workspace ONE Access 設計の要件
要件 ID	設計の要件	理由	影響
VCF-WSA-REQD-ENV-001	vRealize Suite Lifecycle Manager でグローバル環境を作成し、Workspace ONE Access の展開をサポートします。	Workspace ONE Access を展開するため、vRealize Suite Lifecycle Manager にはグローバル環境が必要です。	なし。
VCF-WSA-REQD-SEC-001	Workspace ONE Access 製品のライフサイクル操作を行うために、認証局の署名付き証明書を Locker リポジトリにインポートします。	展開や証明書の置き換えなど、製品のライフサイクル操作中に、認証局の署名付き証明書を参照して使用できます。	API を使用するときは、JSON ペイロードで使用する証明書の Locker ID を指定する必要があります。
VCF-WSA-REQD-CFG-001	VMware Cloud Foundation モードで vRealize Suite Lifecycle Manager を使用して、選択した展開モデルに応じて適切なサイズの Workspace ONE Access インスタンスを展開します。	Workspace ONE Access インスタンスは vRealize Suite Lifecycle Manager によって管理され、SDDC Manager インベントリにインポートされます。	なし。
VCF-WSA-REQD-CFG-002	オーバーレイによってバッキングされた、または VLAN によってバッキングされた NSX ネットワークセグメントに Workspace ONE Access アプライアンスを配置します。	単一または複数の VMware Cloud Foundation インスタンスがある環境で、管理アプリケーションに一貫した展開モデルを提供します。	このネットワーク構成をサポートするには、NSX の実装を使用する必要があります。
VCF-WSA-REQD-CFG-003	組み込みの PostgreSQL データベースを Workspace ONE Access とともに使用します。	外部データベースサービスが不要になります。	なし。
VCF-WSA-REQD-CFG-004	Workspace ONE Access 用の仮想マシングループを追加し、仮想マシンルールを設定して、Workspace ONE Access 仮想マシングループを、それに依存する他の仮想マシンより前に、認証のために再起動します。	サービスの依存関係に関する仮想マシンの起動順序を定義できます。起動順序を指定することで、製品の依存関係を考慮した順序で vSphere HA が Workspace ONE Access 仮想マシンをパワーオンします。	なし。
VCF-WSA-REQD-CFG-005	Workspace ONE Access インスタンスを、サポートされているアップストリーム ID プロバイダに接続します。	エンタープライズディレクトリを Workspace ONE Access と統合して、ユーザーとグループを Workspace ONE Access の ID およびアクセス管理サービスと同期できます。	なし。
VCF-WSA-REQD-CFG-006	クラスタ化された Workspace ONE Access を使用する場合は、ディレクトリサービスアクセスの高可用性をサポートするため、2 番目と 3 番目の Workspace ONE Access クラスタノードに対応する 2 番目と 3 番目のネイティブコネクタを構成します。	ネイティブコネクタを追加すると、認証要求のロードバランシングによって、冗長性が確保され、パフォーマンスが向上します。	ネイティブコネクタで、統合 Windows 認証とともに Active Directory を使用するには、各 Workspace ONE Access クラスタノードを Active Directory ドメインに参加させる必要があります。
VCF-WSA-REQD-CFG-007	クラスタ化された Workspace ONE Access を使用している場合は、専用の Tier-1 ゲートウェイで SDDC Manager によって構成された NSX ロードバランサを使用します。	vRealize Suite Lifecycle Manager を使用して Workspace ONE Access を展開する際、SDDC Manager は、スケールアウトを容易にするため、Workspace ONE Access の NSX ロードバランサの構成を自動化します。	SDDC Manager によって構成されたロードバランサと、vRealize Suite Lifecycle Manager との統合を使用する必要があります。

表 8. VMware Cloud Foundation でのストレッチクラスタ用 Workspace ONE Access 設計の要件
要件 ID	設計の要件	理由	影響
VCF-WSA-REQD-CFG-008	Workspace ONE Access アプライアンスを最初のアベイラビリティゾーンの仮想マシングループに追加します。	デフォルトで、Workspace ONE Access クラスタノードが最初のアベイラビリティゾーンのホストでパワーオンされるようにします。	ストレッチ管理クラスタの作成後に Workspace ONE Access インスタンスを展開した場合は、アプライアンスを仮想マシングループに手動で追加する必要があります。クラスタ化された Workspace ONE Access では、アクティブなアベイラビリティゾーンで障害が発生した後に、手動による介入が必要になる場合があります。

表 9. VMware Cloud Foundation での NSX フェデレーション用 Workspace ONE Access 設計の要件
要件 ID	設計の要件	理由	影響
VCF-WSA-REQD-CFG-009	各 VMware Cloud Foundation インスタンスで DNS サーバを使用するように、Workspace ONE Access の DNS 設定を構成します。	VMware Cloud Foundation インスタンス用の外部サービスが停止した場合の回復性が向上します。	なし。
VCF-WSA-REQD-CFG-010	各 VMware Cloud Foundation インスタンスで NTP サーバを使用するように、Workspace ONE Access クラスタノードの NTP 設定を構成します。	VMware Cloud Foundation インスタンス用の外部サービスが停止した場合の回復性が向上します。	単一の VMware Cloud Foundation インスタンスを使用する環境から、複数の VMware Cloud Foundation インスタンスを使用する環境に拡張する場合は、Workspace ONE Access の NTP 設定を更新する必要があります。

Workspace ONE Access 設計の推奨事項

VMware Cloud Foundation の Workspace ONE Access の設計では、特定のベストプラクティスを適用できます。

表 10. Workspace ONE Access の VMware Cloud Foundation 設計の推奨事項
推奨 ID	設計の推奨事項	理由	影響
VCF-WSA-RCMD-CFG-001	vSphere HA を使用して、すべての Workspace ONE Access ノードを保護します。	Workspace ONE Access の高可用性をサポートします。	なし（標準の展開の場合）。クラスタ化された Workspace ONE Access 環境では、ESXi ホストの障害が発生した場合、介入が必要になる場合があります。
VCF-WSA-RCMD-CFG-002	Active Directory を ID プロバイダとして使用する場合は、ディレクトリサービスの接続オプションとして LDAP 経由の Active Directory を使用します。	ネイティブの（組み込みの）Workspace ONE Access コネクタは、標準のバインド認証を使用して、LDAP 経由の Active Directory にバインドします。	Workspace ONE Access インスタンスが子ドメインに接続するマルチドメインフォレストでは、Active Directory セキュリティグループに、グローバルスコープが必要です。したがって、Active Directory グローバルセキュリティグループに追加されたメンバーは、同じ Active Directory ドメイン内に含まれている必要があります。複数の Active Directory ドメインへの認証が必要な場合は、追加の Workspace ONE Access ディレクトリが必要です。
VCF-WSA-RCMD-CFG-003	Active Directory を ID プロバイダとして使用する場合は、ユーザーおよびグループのベース DN への読み取り専用アクセス権が少なくともある Active Directory ユーザーアカウントを、Active Directory バインドのサービスアカウントとして使用します。	次のアクセスコントロール機能を提供します。 Workspace ONE Access は、ディレクトリのバインドとクエリに必要な最小限の権限セットを使用して、Active Directory に接続します。 Workspace ONE Access と Active Directory の間での要求/応答のインタラクションを追跡する際の責任を強化できます。	このアカウントのパスワードライフサイクルを管理する必要があります。複数の Active Directory ドメインへの認証が必要な場合は、Workspace ONE Access コネクタが LDAP 経由で各 Active Directory ドメインにバインドするために追加のアカウントが必要です。
VCF-WSA-RCMD-CFG-004	統合 SDDC ソリューションに必要なグループのみを同期するようにディレクトリ同期を構成します。	各製品に必要なレプリケートされたグループの数を制限します。グループ情報のレプリケーション間隔を短縮します。	Workspace ONE Access への同期用に選択したエンタープライズディレクトリからグループを管理する必要があります。
VCF-WSA-RCMD-CFG-005	Workspace ONE Access ディレクトリにグループが追加されたときのエンタープライズディレクトリグループメンバーの同期を有効にします。	有効にすると、エンタープライズディレクトリグループのメンバーは、グループの追加時に Workspace ONE Access ディレクトリと同期されます。無効にすると、グループ名はディレクトリと同期されますが、グループにアプリケーションの使用資格が付与されるか、グループ名がアクセスポリシーに追加されるまで、グループのメンバーは同期されません。	なし。
VCF-WSA-RCMD-CFG-006	ネストされたグループメンバーをデフォルトで同期するように Workspace ONE Access を有効にします。	Workspace ONE Access が、エンタープライズディレクトリに対してクエリを実行せずに、グループのメンバーシップを更新およびキャッシュできるようにします。	グループメンバーシップへの変更は、次の同期イベントまで反映されません。
VCF-WSA-RCMD-CFG-007	Workspace ONE Access ディレクトリ設定にフィルタを追加して、ディレクトリレプリケーションからユーザーを除外します。	最大値の範囲内で、Workspace ONE Access でのレプリケートされたユーザーの数を制限します。	レプリケートされたユーザーアカウントが最大値の範囲内で管理されるようにするには、ディレクトリ属性に基づいて、組織に適したフィルタリングスキーマを定義する必要があります。
VCF-WSA-RCMD-CFG-008	ユーザーが Workspace ONE Access ディレクトリに追加されたときに含まれるマッピングされた属性を構成します。	クロスインスタンス Workspace ONE Access ソリューションの認証ソースとして使用する vRealize Suite のディレクトリユーザーアカウントを同期するように、必要最小限の拡張ユーザー属性を構成できます。	組織のエンタープライズディレクトリのユーザーアカウントには、次の必須属性がマッピングされている必要があります。 `firstname`（Active Directory の `givenname` など） `lastName`（Active Directory の `sn` など） `email`（Active Directory の `mail` など） `userName`（Active Directory の `sAMAccountName` など）別の一意の識別子（`userPrincipalName` など）を使用したログインをユーザーに求める場合は、属性をマッピングし、ID とアクセス管理の設定を更新する必要があります。
VCF-WSA-RCMD-CFG-009	Workspace ONE Access ディレクトリ同期の頻度を、繰り返し実行するスケジュール（15 分など）に設定します。	企業ディレクトリのグループメンバーシップに対する変更が、統合ソリューションでタイムリーに利用できるようにします。	エンタープライズディレクトリから同期する時間よりも長い同期間隔でスケジュール設定します。次回の同期をスケジューリングするときに、ユーザーとグループが Workspace ONE Access に同期されている場合、新しい同期は前の同期の終了直後に開始されます。このスケジュールで、プロセスが継続します。
VCF-WSA-RCMD-SEC-001	これらの Workspace ONE Access ロール用に、対応するセキュリティグループを企業ディレクトリサービスに作成します。スーパー管理者ディレクトリ管理者読み取り専用管理者	ユーザーに対する Workspace ONE Access ロールの管理を効率化します。	妥当な期間内に変更を利用できるようにするため、Workspace ONE Access で、適切なディレクトリ同期間隔を設定する必要があります。 SDDC スタックの外部にセキュリティグループを作成する必要があります。
VCF-WSA-RCMD-SEC-002	Workspace ONE Access ローカルディレクトリユーザー、admin、および configadmin のパスワードポリシーを設定します。	企業のポリシーと規制基準に対応した、Workspace ONE Access ローカルディレクトリユーザーのポリシーを設定できます。パスワードポリシーはローカルディレクトリユーザーにのみ適用され、組織ディレクトリには影響しません。	ポリシーは、組織のポリシーと規制基準に準拠して適切に設定する必要があります。 Workspace ONE Access クラスタノードにパスワードポリシーを適用する必要があります。