ディレクトリ同期サービス、ユーザー認証サービス、Kerberos 認証サービス、または仮想アプリケーション サービスをインストールするには、すべての要件を満たす Windows Server 上で Workspace ONE Access Connector インストーラを実行し、インストールするサービスを選択します。

ほとんどの設定にデフォルト値を使用するデフォルトのクイック インストールを使用するか、各種の設定を構成できるカスタム インストールを使用するかを選択できます。

デフォルトのインストール カスタムのインストール
次のデフォルト ポートを使用します。
  • ユーザー認証サービス:8090
  • ディレクトリ同期サービス:8080
  • Kerberos 認証サービス:443
  • 仮想アプリケーション サービス:8008
注: これらは、サービスが実行されているポートです。インバウンド接続は、Kerberos 認証サービス ポートにのみ必要です。
エンタープライズ サービスのカスタム ポートを指定できます
注: これらは、サービスが実行されているポートです。インバウンド接続は、Kerberos 認証サービス ポートにのみ必要です。
コネクタの自己署名証明書を自動生成します コネクタの信頼される SSL 証明書をインストールできます(Kerberos 認証サービスに必要)
信頼されるルート証明書をトラストストアにアップロードできます
注: インストールした自己署名証明書がオンプレミスの Workspace ONE Access サービス インスタンスにある場合は、エンタープライズ サービスと Workspace ONE Access サービス インスタンス間の信頼を確立するためにルート証明書および中間証明書(必要な場合)をアップロードする必要があります。
プロキシ サーバを構成できます
Syslog サーバを構成できます

選択したインストールのタイプに関係なく、後でインストーラを再度実行し、必要に応じてすべての設定を変更することができます。

注: インストール中に、OpenJDK 8 もサーバにインストールされます。

前提条件

  • Workspace ONE Access Connector をインストールするための前提条件を参照してください。
  • インストール プロセスの一部として、Workspace ONE Access コンソールからファイルをダウンロードします。ファイルをダウンロードするには、Internet Explorer 以外のブラウザが必要になる場合があります。デフォルトの Internet Explorer 設定では、ファイルをダウンロードできないことがあります。

手順

  1. Workspace ONE Access コンソールから Workspace ONE Access Connector インストーラと構成ファイルをダウンロードします。
    1. システム ドメインの管理者として Workspace ONE Access コンソールにログインします。
      ヒント: クラウド展開の場合、システム ドメイン管理者は、 Workspace ONE Access テナントの取得時に認証情報を受け取る管理者です。オンプレミス展開の場合、システム ドメイン管理者は Workspace ONE Access インスタンスのインストール時に作成される管理者ユーザーです。
    2. [ID とアクセス管理] > [セットアップ] > [コネクタ] ページに移動します。
    3. [新規] をクリックします。
    4. [コネクタを選択] ダイアログ ボックスで情報を確認し、[Workspace ONE Access Connector 21.08] を選択します。
      注意:

      Workspace ONE Access Connector 21.08 は、VMware ThinApp、Horizon Cloud Service on IBM Cloud、またはシングル ポッド ブローカを使用した Horizon Cloud Service on Microsoft Azure との統合をサポートしていません。

      ThinApp パッケージ アプリケーションを統合するには、[レガシー コネクタ] オプションを選択し、VMware Identity Manager Connector 3.3 (Linux) を使用します。

      Universal Broker を使用した Microsoft Azure 上の Horizon Cloud Service との統合は、Horizon Cloud 管理コンソールから構成され、仮想アプリケーション サービスを必要としません。

      注: テナントに新しいコネクタを初めてインストールした場合、 [コネクタを選択] ダイアログ ボックスが表示されます。後で選択内容を変更する場合は、後に [コネクタ] ページまたは [レガシー コネクタ] ページに表示される [コネクタ選択のリセット] オプションを使用できます。詳細については、 Workspace ONE Access での [コネクタ選択のリセット]を参照してください。

      [新しいコネクタを追加] ウィザードが起動します。

    5. [新しいコネクタを追加] ウィザードの [インストーラをダウンロード] ページで [GO TO MYVMWARE.COM] をクリックします。
      新しいウィンドウに My VMware の Web ページが表示されます。インストーラをダウンロードした後にウィザードに戻るため、ウィザードは開いたままにしておきます。
    6. My VMware ログイン認証情報を使用して https://my.vmware.com にログインし、Workspace ONE Access Connector Installer.exe ファイルをダウンロードします。
    7. Workspace ONE Access コンソールに戻り、[新しいコネクタを追加] ウィザードの [インストーラをダウンロード] ページで [次へ] をクリックします。
    8. パスワードを作成して構成ファイルを生成し、[構成ファイルをダウンロード] をクリックします。
      パスワードは 14 文字以上の長さで、大文字、小文字、数字、特殊文字が含まれている必要があります。すべての文字は、表示および印字可能な ASCII 文字である必要があります。
      構成ファイルは、インストールするエンタープライズ サービスと Workspace ONE Access テナントとの間の通信を確立するために使用されます。このファイルは、デフォルトで es-config.json という名前になっています。
      注意: 構成ファイルには、テナント URL、テナント ID、各エンタープライズ サービスのクライアント ID とクライアント シークレット、パスワード ハッシュなどの機密情報が含まれています。ファイルを共有したり、公開したりしないようにすることが重要です。
    9. 構成ファイルをダウンロードした後、ウィザードで [次へ] をクリックします。
  2. インストーラおよび構成ファイルを、サービスのインストール先となる Windows Server にコピーします。
  3. インストーラ ファイルをダブルクリックして、Workspace ONE Access Connector のインストール ウィザードを実行します。
  4. [ようこそ] ページで [次へ] をクリックします。
    インストーラは、サーバ上の前提条件を確認します。.NET Framework がインストールされていない、または必要なバージョンと一致しない場合は、インストールしてサーバを再起動するように求められます。再起動した後にインストーラを再度実行し、インストール プロセスを再開します。
  5. 使用許諾契約書を読んで同意し、[次へ] をクリックします。
    インストール ウィザード - 使用許諾契約書
  6. インストールするサービスを選択します。
    インストール ウィザード - [サービスの選択] ページ
    デフォルトでは、サービスは C:\Program Files にインストールされます。インストール フォルダを変更するには、 [変更] をクリックしてフォルダを選択します。
  7. [次へ] をクリックします。
  8. [構成ファイルの指定] ページで、Workspace ONE Access コンソールからダウンロードした構成ファイルを選択し、設定したパスワードを入力して、[次へ] をクリックします。
    構成ファイルがインストーラと同じフォルダにあり、名前がデフォルトの es-config.json である場合、テキスト ボックスに自動的に表示されます。
    インストール ウィザード - [構成ファイル] ページ
  9. [デフォルト] または [カスタム] のインストールを選択します。
    インストール ウィザード - インストールのタイプを選択
  10. [デフォルト] のインストールを選択した場合は、次の手順を実行します。
    1. (Kerberos 認証サービスおよび仮想アプリケーション サービスのみ)[サービス アカウントの指定] ページで、Kerberos 認証サービスと仮想アプリケーション サービスを実行するために使用するドメイン ユーザー アカウントのユーザー名とパスワードを指定します。

      DOMAIN\Username の形式で [ユーザー名] を入力します(例:EXAMPLE\administrator)。または、[参照] をクリックして、ドメインとユーザーを選択します。

      [参照] をクリックしてもドメインまたはユーザーが見つからない場合は、上で指定した形式でテキスト ボックスに入力します。

      重要: Kerberos 認証サービスでは、ドメイン ユーザー アカウントのパスワードに次の特殊文字のみを使用できます: @!*。それ以外の特殊文字がパスワードに含まれている場合、Kerberos 認証サービスのインストールに失敗します。
      インストール ウィザード - [ドメイン ユーザー アカウント] ページ
      注: [サービス アカウントの指定] ページは、Kerberos 認証サービスまたは仮想アプリケーション サービスをインストールしている場合にのみ表示されます。
    2. [次へ] をクリックします。
    3. [プログラムをインストールする準備ができました] 画面で、選択内容を確認し、[インストール] をクリックします。
      インストール ウィザード - [インストールする準備ができました] ページ
      インストールには数分かかります。
      注意: インストール プロセスの最後に、システムを再起動するよう求めるプロンプトが表示される場合があります。コネクタの移行の一環として 19.03.x Connector サーバに 21.08 Connector をインストールする場合は、システムを再起動しないでください。コネクタの移行プロセス全体が完了した後にのみ、システムを再起動します。
  11. [カスタム] のインストールを選択した場合は、次の手順を実行します。
    1. [プロキシ サーバ情報の指定] ページで、必要に応じてプロキシ サーバを入力します。
      エンタープライズ サービスは、インターネット上の Web サービスにアクセスします。ネットワークが HTTP プロキシ経由でインターネットにアクセスするように構成されている場合は、プロキシ サーバを入力する必要があります。サポートされるプロキシの詳細については、 Workspace ONE Access Connector 21.08 のシステム要件を参照してください。

      プロキシ サーバを経由せずに直接接続する必要がある非プロキシ ホストのリストを指定することもできます。

      1. [プロキシを有効にする] チェック ボックスを選択します。
      2. プロキシ サーバのホスト名を入力(完全修飾ドメイン名 (FQDN) または IP アドレスとして指定)します。
      3. プロキシ サーバのポートを入力します。
      4. プロキシ サーバを経由せずに直接接続する必要がある非プロキシ ホストを指定する場合は、[非プロキシ ホスト] テキスト ボックスに FQDN または IP アドレスを入力します。次の形式を使用します。各エントリは | で区切ります。

        host1|host2

      5. プロキシ サーバで認証が必要な場合は [基本] を選択し、プロキシ サーバのユーザー名とパスワードを入力します。
      インストール ウィザード - [プロキシ サーバ] ページ
    2. [次へ] をクリックします。
    3. 1 台以上の外部 Syslog サーバを使用してアプリケーションレベルのイベント メッセージを保存する場合は、[Syslog サーバの指定] ページで、[Syslog を有効にする] オプションを選択し、各 Syslog サーバの IP アドレスまたは FQDN、およびポートを入力します。

      単一の Syslog サーバを指定するには、次の形式を使用します。

      host:port

      複数の Syslog サーバを指定するには、次の形式を使用します。

      host:port,host:port,host:port

      host は、Syslog サーバの完全修飾ドメイン名または IP アドレス、port はポート番号です。例:

      syslog1.example.com:54

      または

      syslog1.example.com:514,syslog2.example.com:601,syslog3.example.com:163
      インストール ウィザード - [Syslog サーバ] ページ
      注: アプリケーションレベルのイベントのみが Syslog サーバにエクスポートされます。オペレーティング システムのイベントはエクスポートされません。
    4. [次へ] をクリックします。
    5. [信頼されるルート証明書のインストール] ページで、必要に応じてルートまたは中間 CA 証明書をトラストストアにアップロードします。
      コネクタは、証明書チェーンにこれらの証明書のいずれかが含まれているサーバおよびクライアントとの安全な接続を確立できます。証明書をトラストストアにアップロードするシナリオは次のとおりです。
      • (オンプレミスのインストールのみ)インストールした自己署名証明書がオンプレミスの Workspace ONE Access サービス インスタンスにある場合は、エンタープライズ サービスと Workspace ONE Access サービス インスタンス間の信頼を確立するためにルート証明書および中間証明書(必要な場合)をアップロードする必要があります。
      • (Kerberos 認証サービスのみ)ロード バランサの背後に Kerberos 認証サービスの複数のインスタンスを展開する場合は、コネクタ インスタンスにロード バランサのルート CA 証明書をインストールして、コネクタとロード バランサ間の信頼を確立する必要があります。
      • (仮想アプリケーション サービスのみ)Workspace ONE Access と VMware Horizon を統合し、Horizon Connection Server でテスト目的で自己署名証明書を一時的に使用している場合は、仮想アプリケーション サービスがインストールされているコネクタ インスタンスに証明書チェーンをアップロードして、コネクタと Horizon Connection Server 間の信頼を確立する必要があります。ただし、公式の CA によって署名された証明書を使用することをお勧めします。

      信頼されるルート証明書は、インストール後にアップロードすることもできます。

      インストール ウィザード - [信頼されるルート証明書] ページ
    6. [次へ] をクリックします。
    7. エンタープライズ サービスが実行されているデフォルトのポートを確認し、これらのポートが他のアプリケーションによって使用されている場合は別のポートを指定します。

      Kerberos 認証サービス ポートには、受信接続が必要です。ユーザー認証、ディレクトリ同期、および仮想アプリケーションの各サービス ポートには、受信接続は必要ありません。

      インストール ウィザード - [ポート] ページ
    8. (Kerberos 認証サービスのみ)[Kerberos 認証サービスの SSL 証明書] ページで、コネクタ サーバに使用する証明書を選択します。
      Kerberos 認証サービスでは、パブリックまたは内部 CA によって署名された信頼される SSL 証明書が必要です。信頼される SSL 証明書をインストール時にアップロードしない場合、自己署名証明書が自動生成されます。信頼される SSL 証明書は、後でアップロードできます。
      • 信頼される SSL 証明書をアップロードするには、[独自の SSL 証明書を使用しますか? ] チェック ボックスを選択し、[参照] をクリックして証明書ファイルを選択します。

        証明書ファイルは PEM または PFX 形式である必要があります。PEM ファイルをアップロードする場合は、プライベート キーもアップロードします。PFX ファイルをアップロードする場合は、証明書のパスワードも指定します。証明書の要件については、Workspace ONE Access Connector の SSL 証明書のアップロード(Kerberos 認証サービスのみ)を参照してください。

      • 自動生成された自己署名証明書を使用するには、[独自の SSL 証明書を使用しますか? ] チェック ボックスをオンにします。
        注: Workspace ONE Access で生成された自己署名証明書を使用する場合は、 Workspace ONE Access で生成されたルート証明書をクライアントのトラストストアに追加する必要があります。ルート証明書 root_ca.per は、インストール後に INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf から取得することができます。

        自己署名証明書はテスト目的で使用できますが、本番環境では、パブリックまたは内部 CA によって署名された信頼される SSL 証明書を使用することをお勧めします。

      インストール ウィザード - [証明書の選択] ページ
    9. [次へ] をクリックします。
    10. (Kerberos 認証サービスおよび仮想アプリケーション サービスのみ)[サービス アカウントの指定] ページで、Kerberos 認証サービスと仮想アプリケーション サービスを実行するために使用するドメイン ユーザー アカウントのユーザー名とパスワードを指定します。
      重要: Kerberos 認証サービスでは、ドメイン ユーザー アカウントのパスワードに次の特殊文字のみを使用できます: @!*。それ以外の特殊文字がパスワードに含まれている場合、Kerberos 認証サービスのインストールに失敗します。

      DOMAIN\Username の形式で [ユーザー名] を入力します(例:EXAMPLE\administrator)。または、[参照] をクリックして、ドメインとユーザーを選択します。

      インストール ウィザード - [ドメイン ユーザー] ページ
      注: [参照] をクリックしてもドメインまたはユーザーが見つからない場合は、上で指定した形式でテキスト ボックスに入力します。
      注: [サービス アカウントの指定] ページは、Kerberos 認証サービスまたは仮想アプリケーション サービスをインストールしている場合にのみ表示されます。
    11. [プログラムをインストールする準備ができました] 画面で、選択内容を確認し、[インストール] をクリックします。
      インストールには数分かかります。
      注意: インストール プロセスの最後に、システムを再起動するよう求めるプロンプトが表示される場合があります。コネクタの移行の一環として 19.03.x Connector サーバに 21.08 Connector をインストールする場合は、システムを再起動しないでください。コネクタの移行プロセス全体が完了した後にのみ、システムを再起動します。
  12. インストールが正常に完了したら、サービスが Windows Server で実行されていることを確認します。
    サービス名:
    • VMware ディレクトリ同期サービス
    • VMware ユーザー認証サービス
    • VMware Kerberos 認証サービス
    • VMware 仮想アプリケーション サービス
  13. Workspace ONE Access コンソールに移動し、[ID とアクセス管理] > [セットアップ] > [コネクタ] ページを更新して、新しいサービスが表示され、アクティブな状態になっていることを確認します。
    インストールが失敗した場合は、 Workspace ONE Access コンソールからダウンロードしたインストーラと構成ファイルの両方を削除してから、インストール プロセスを再度開始します。

結果

インストールに成功すると、インストールしたエンタープライズ サービスが Workspace ONE Access テナントに登録され、Workspace ONE Access コンソールの [コネクタ] ページに表示されます。

例:


このページには、コネクタ、インストールされているすべてのサービス、アクティブ ステータス、健全性であることを示す緑色、バージョン 21.08.0.0 が一覧表示されます。

次のタスク

  • Workspace ONE Access コンソールで、インストールしたエンタープライズ サービスを構成します。ディレクトリ同期サービスを使用したディレクトリの統合の詳細については、『VMware Workspace ONE Access とのディレクトリ統合』を参照してください。ユーザー認証サービスまたは Kerberos 認証サービスを使用した認証の構成の詳細については、『VMware Workspace ONE Access でのユーザー認証方法の管理』を参照してください。仮想アプリケーション サービスを使用した Horizon と Citrix 仮想アプリケーションの統合の詳細については、『VMware Workspace ONE Access でのリソースのセットアップ』を参照してください。
  • (Kerberos 認証サービスのみ)Workspace ONE Access が生成した自己署名証明書を Kerberos 認証サービスに使用している場合、Workspace ONE Access が生成したルート証明書をクライアントのトラストストアに追加する必要があります。ルート証明書 root_ca.per は、INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf から取得することができます。

    自己署名証明書はテスト目的で使用できますが、本番環境では、パブリックまたは内部 CA によって署名された信頼される SSL 証明書を使用することをお勧めします。Workspace ONE Access Connector の SSL 証明書のアップロード(Kerberos 認証サービスのみ)を参照してください。