VMware Cloud Foundation の Workspace ONE Access 設計の要素

この要件と推奨事項のリストを、単一または複数の VMware Cloud Foundation インスタンスを使用する環境での Workspace ONE Access に関する参照資料として使用してください。この設計の要素では、管理ドメインに含まれるアベイラビリティゾーンが 1 つか複数かどうかも考慮されます。

設計の詳細については、「VMware Cloud Foundation の Workspace ONE Access の設計」を参照してください。

表 1. VMware Cloud Foundation の Workspace ONE Access 設計の要件
要件 ID	設計の要件	理由	影響
VCF-WSA-REQD-ENV-001	vRealize Suite Lifecycle Manager でグローバル環境を作成し、Workspace ONE Access の展開をサポートします。	Workspace ONE Access を展開するため、vRealize Suite Lifecycle Manager にはグローバル環境が必要です。	なし。
VCF-WSA-REQD-SEC-001	Workspace ONE Access 製品のライフサイクル操作を行うために、認証局の署名付き証明書を Locker リポジトリにインポートします。	展開や証明書の置き換えなど、製品のライフサイクル操作中に、認証局の署名付き証明書を参照して使用できます。	API を使用するときは、JSON ペイロードで使用する証明書の Locker ID を指定する必要があります。
VCF-WSA-REQD-CFG-001	VMware Cloud Foundation モードで vRealize Suite Lifecycle Manager を使用して、選択した展開モデルに応じて適切なサイズの Workspace ONE Access インスタンスを展開します。	Workspace ONE Access インスタンスは vRealize Suite Lifecycle Manager によって管理され、SDDC Manager インベントリにインポートされます。	なし。
VCF-WSA-REQD-CFG-002	オーバーレイによってバッキングされた、または VLAN によってバッキングされた NSX ネットワークセグメントに Workspace ONE Access アプライアンスを配置します。	単一または複数の VMware Cloud Foundation インスタンスがある環境で、管理アプリケーションに一貫した展開モデルを提供します。	このネットワーク構成をサポートするには、NSX の実装を使用する必要があります。
VCF-WSA-REQD-CFG-003	組み込みの PostgreSQL データベースを Workspace ONE Access とともに使用します。	外部データベースサービスが不要になります。	なし。
VCF-WSA-REQD-CFG-004	Workspace ONE Access 用の仮想マシングループを追加し、仮想マシンルールを設定して、Workspace ONE Access 仮想マシングループを、それに依存する他の仮想マシンより前に、認証のために再起動します。	サービスの依存関係に関する仮想マシンの起動順序を定義できます。起動順序を指定することで、製品の依存関係を考慮した順序で vSphere HA が Workspace ONE Access 仮想マシンをパワーオンします。	なし。
VCF-WSA-REQD-CFG-005	Workspace ONE Access インスタンスを、サポートされているアップストリーム ID プロバイダに接続します。	エンタープライズディレクトリを Workspace ONE Access と統合して、ユーザーとグループを Workspace ONE Access の ID およびアクセス管理サービスと同期できます。	なし。
VCF-WSA-REQD-CFG-006	クラスタ化された Workspace ONE Access を使用する場合は、ディレクトリサービスアクセスの高可用性をサポートするため、2 番目と 3 番目の Workspace ONE Access クラスタノードに対応する 2 番目と 3 番目のネイティブコネクタを構成します。	ネイティブコネクタを追加すると、認証要求のロードバランシングによって、冗長性が確保され、パフォーマンスが向上します。	ネイティブコネクタで、統合 Windows 認証とともに Active Directory を使用するには、各 Workspace ONE Access クラスタノードを Active Directory ドメインに参加させる必要があります。
VCF-WSA-REQD-CFG-007	クラスタ化された Workspace ONE Access を使用している場合は、専用の Tier-1 ゲートウェイで SDDC Manager によって構成された NSX ロードバランサを使用します。	vRealize Suite Lifecycle Manager を使用して Workspace ONE Access を展開する際、SDDC Manager は、スケールアウトを容易にするため、Workspace ONE Access の NSX ロードバランサの構成を自動化します。	SDDC Manager によって構成されたロードバランサと、vRealize Suite Lifecycle Manager との統合を使用する必要があります。

表 2. VMware Cloud Foundation でのストレッチクラスタ用 Workspace ONE Access 設計の要件
要件 ID	設計の要件	理由	影響
VCF-WSA-REQD-CFG-008	Workspace ONE Access アプライアンスを最初のアベイラビリティゾーンの仮想マシングループに追加します。	デフォルトで、Workspace ONE Access クラスタノードが最初のアベイラビリティゾーンのホストでパワーオンされるようにします。	ストレッチ管理クラスタの作成後に Workspace ONE Access インスタンスを展開した場合は、アプライアンスを仮想マシングループに手動で追加する必要があります。クラスタ化された Workspace ONE Access では、アクティブなアベイラビリティゾーンで障害が発生した後に、手動による介入が必要になる場合があります。

表 3. VMware Cloud Foundation での NSX フェデレーション用 Workspace ONE Access 設計の要件
要件 ID	設計の要件	理由	影響
VCF-WSA-REQD-CFG-009	各 VMware Cloud Foundation インスタンスで DNS サーバを使用するように、Workspace ONE Access の DNS 設定を構成します。	VMware Cloud Foundation インスタンス用の外部サービスが停止した場合の回復性が向上します。	なし。
VCF-WSA-REQD-CFG-010	各 VMware Cloud Foundation インスタンスで NTP サーバを使用するように、Workspace ONE Access クラスタノードの NTP 設定を構成します。	VMware Cloud Foundation インスタンス用の外部サービスが停止した場合の回復性が向上します。	単一の VMware Cloud Foundation インスタンスを使用する環境から、複数の VMware Cloud Foundation インスタンスを使用する環境に拡張する場合は、Workspace ONE Access の NTP 設定を更新する必要があります。

表 4. Workspace ONE Access の VMware Cloud Foundation 設計の推奨事項
推奨 ID	設計の推奨事項	理由	影響
VCF-WSA-RCMD-CFG-001	vSphere HA を使用して、すべての Workspace ONE Access ノードを保護します。	Workspace ONE Access の高可用性をサポートします。	なし（標準の展開の場合）。クラスタ化された Workspace ONE Access 環境では、ESXi ホストの障害が発生した場合、介入が必要になる場合があります。
VCF-WSA-RCMD-CFG-002	Active Directory を ID プロバイダとして使用する場合は、ディレクトリサービスの接続オプションとして LDAP 経由の Active Directory を使用します。	ネイティブの（組み込みの）Workspace ONE Access コネクタは、標準のバインド認証を使用して、LDAP 経由の Active Directory にバインドします。	Workspace ONE Access インスタンスが子ドメインに接続するマルチドメインフォレストでは、Active Directory セキュリティグループに、グローバルスコープが必要です。したがって、Active Directory グローバルセキュリティグループに追加されたメンバーは、同じ Active Directory ドメイン内に含まれている必要があります。複数の Active Directory ドメインへの認証が必要な場合は、追加の Workspace ONE Access ディレクトリが必要です。
VCF-WSA-RCMD-CFG-003	Active Directory を ID プロバイダとして使用する場合は、ユーザーおよびグループのベース DN への読み取り専用アクセス権が少なくともある Active Directory ユーザーアカウントを、Active Directory バインドのサービスアカウントとして使用します。	次のアクセスコントロール機能を提供します。 Workspace ONE Access は、ディレクトリのバインドとクエリに必要な最小限の権限セットを使用して、Active Directory に接続します。 Workspace ONE Access と Active Directory の間での要求/応答のインタラクションを追跡する際の責任を強化できます。	このアカウントのパスワードライフサイクルを管理する必要があります。複数の Active Directory ドメインへの認証が必要な場合は、Workspace ONE Access コネクタが LDAP 経由で各 Active Directory ドメインにバインドするために追加のアカウントが必要です。
VCF-WSA-RCMD-CFG-004	統合 SDDC ソリューションに必要なグループのみを同期するようにディレクトリ同期を構成します。	各製品に必要なレプリケートされたグループの数を制限します。グループ情報のレプリケーション間隔を短縮します。	Workspace ONE Access への同期用に選択したエンタープライズディレクトリからグループを管理する必要があります。
VCF-WSA-RCMD-CFG-005	Workspace ONE Access ディレクトリにグループが追加されたときのエンタープライズディレクトリグループメンバーの同期を有効にします。	有効にすると、エンタープライズディレクトリグループのメンバーは、グループの追加時に Workspace ONE Access ディレクトリと同期されます。無効にすると、グループ名はディレクトリと同期されますが、グループにアプリケーションの使用資格が付与されるか、グループ名がアクセスポリシーに追加されるまで、グループのメンバーは同期されません。	なし。
VCF-WSA-RCMD-CFG-006	ネストされたグループメンバーをデフォルトで同期するように Workspace ONE Access を有効にします。	Workspace ONE Access が、エンタープライズディレクトリに対してクエリを実行せずに、グループのメンバーシップを更新およびキャッシュできるようにします。	グループメンバーシップへの変更は、次の同期イベントまで反映されません。
VCF-WSA-RCMD-CFG-007	Workspace ONE Access ディレクトリ設定にフィルタを追加して、ディレクトリレプリケーションからユーザーを除外します。	最大値の範囲内で、Workspace ONE Access でのレプリケートされたユーザーの数を制限します。	レプリケートされたユーザーアカウントが最大値の範囲内で管理されるようにするには、ディレクトリ属性に基づいて、組織に適したフィルタリングスキーマを定義する必要があります。
VCF-WSA-RCMD-CFG-008	ユーザーが Workspace ONE Access ディレクトリに追加されたときに含まれるマッピングされた属性を構成します。	クロスインスタンス Workspace ONE Access ソリューションの認証ソースとして使用する vRealize Suite のディレクトリユーザーアカウントを同期するように、必要最小限の拡張ユーザー属性を構成できます。	組織のエンタープライズディレクトリのユーザーアカウントには、次の必須属性がマッピングされている必要があります。 `firstname`（Active Directory の `givenname` など） `lastName`（Active Directory の `sn` など） `email`（Active Directory の `mail` など） `userName`（Active Directory の `sAMAccountName` など）別の一意の識別子（`userPrincipalName` など）を使用したログインをユーザーに求める場合は、属性をマッピングし、ID とアクセス管理の設定を更新する必要があります。
VCF-WSA-RCMD-CFG-009	Workspace ONE Access ディレクトリ同期の頻度を、繰り返し実行するスケジュール（15 分など）に設定します。	企業ディレクトリのグループメンバーシップに対する変更が、統合ソリューションでタイムリーに利用できるようにします。	エンタープライズディレクトリから同期する時間よりも長い同期間隔でスケジュール設定します。次回の同期をスケジューリングするときに、ユーザーとグループが Workspace ONE Access に同期されている場合、新しい同期は前の同期の終了直後に開始されます。このスケジュールで、プロセスが継続します。
VCF-WSA-RCMD-SEC-001	これらの Workspace ONE Access ロール用に、対応するセキュリティグループを企業ディレクトリサービスに作成します。スーパー管理者ディレクトリ管理者読み取り専用管理者	ユーザーに対する Workspace ONE Access ロールの管理を効率化します。	妥当な期間内に変更を利用できるようにするため、Workspace ONE Access で、適切なディレクトリ同期間隔を設定する必要があります。 SDDC スタックの外部にセキュリティグループを作成する必要があります。
VCF-WSA-RCMD-SEC-002	Workspace ONE Access ローカルディレクトリユーザー、admin、および configadmin のパスワードポリシーを設定します。	企業のポリシーと規制基準に対応した、Workspace ONE Access ローカルディレクトリユーザーのポリシーを設定できます。パスワードポリシーはローカルディレクトリユーザーにのみ適用され、組織ディレクトリには影響しません。	ポリシーは、組織のポリシーと規制基準に準拠して適切に設定する必要があります。 Workspace ONE Access クラスタノードにパスワードポリシーを適用する必要があります。