Workspace ONE Access Connector のインストールを更新して、いつでもエンタープライズ サービスを追加または変更できます。変更を加えるためには、インストーラを再度実行します。

次の変更を行うことができます。

  • ディレクトリ同期サービス、ユーザー認証サービス、Kerberos 認証サービス、または仮想アプリケーション サービスを追加する
  • 各サービスのカスタム ポートを指定する
  • プロキシ サーバを構成する
  • Syslog サーバを構成する
  • 信頼されるルート証明書をインストールする
  • (Kerberos 認証サービスのみ)Kerberos 認証サービス用の信頼される SSL 証明書をインストールする
  • (Kerberos 認証サービスおよび仮想アプリケーション サービスのみ)Kerberos 認証サービスおよび仮想アプリケーション サービスをドメイン ユーザー アカウントとして実行するように構成する
注: コネクタからサービスを削除することもできます。サービスを削除するには、サービスを追加および変更するときにサービスを削除することはできないため、インストーラを再度実行します。 Workspace ONE Access Connector からのエンタープライズ サービスの削除(Workspace ONE Access Cloud のみ)を参照してください。

前提条件

  • コネクタ インストール内のすべてのエンタープライズ サービスが同じ Workspace ONE Access テナントに接続されていることに注意してください。既存のインストールを変更してサービスを追加すると、元のインストールのためにテナントからダウンロードした構成ファイルが自動的に使用されます。
  • 既存の構成を変更する場合は、最初に Workspace ONE Access コンソールからエンタープライズ サービスを一時停止します。[新しいナビゲーション] トグルをオンにした Workspace ONE Access クラウド テナントでは、[統合] > [コネクタ] ページに移動します。[新しいナビゲーション] トグルをオフにしたテナントで、[ID とアクセス管理] > [セットアップ] > [コネクタ] ページに移動します。コネクタ名をクリックして [管理] をクリックし、トグル ボタンをクリックして各サービスを一時停止します。

手順

  1. Workspace ONE Access Connector がインストールされている Windows Server にログインします。
  2. コネクタ インストーラを含むフォルダに移動し、Workspace ONE Access Connector Installer.exe ファイルをダブルクリックします。
  3. [ようこそ] ページで [次へ] をクリックします。
  4. [プログラム メンテナンス] ページで [サービスを追加/削除] オプションを選択し、[次へ] をクリックします。
  5. [サービスの選択] ページで、追加するサービスを選択し(存在する場合)、[次へ] をクリックします。
  6. [構成ファイルの指定] ページが表示された場合は、元のインストール用に Workspace ONE Access テナントからダウンロードした構成ファイルを選択します。
    [構成ファイルの指定] ページは、追加するサービスを選択した場合にのみ表示されます。
  7. ウィザードの適切なページで変更を行います。
    オプション 操作
    エンタープライズ サービスが実行されているポートを更新する [ポートの指定] ページで、各サービスのポートを入力します。インバウンド接続は、Kerberos 認証サービス ポートにのみ必要です。ユーザー認証サービスおよびディレクトリ同期サービス ポートには必要ありません。

    デフォルト ポート:

    • ユーザー認証サービス:8090
    • ディレクトリ同期サービス:8080
    • Kerberos 認証サービス:443
    • 仮想アプリケーション サービス:8008
    コネクタ サーバの信頼される SSL 証明書をアップロードする [SSL 証明書のインストール] ページで、[独自の SSL 証明書を使用しますか?] チェック ボックスを選択し、[参照] をクリックして証明書を選択します。

    証明書ファイルは PEM または PFX 形式である必要があります。ファイルが PEM 形式の場合は、キー ファイルもアップロードします。ファイルが PFX 形式の場合は、証明書のパスワードも入力します。

    証明書の要件については、Kerberos 認証サービスの SSL 証明書のアップロード(Workspace ONE Access Cloud のみ)を参照してください。

    重要: Kerberos 認証サービスには、信頼される SSL 証明書が必要です。信頼される SSL 証明書をアップロードしない場合、自己署名証明書が自動生成されます。この Workspace ONE Access で生成された自己署名証明書を使用するには、 Workspace ONE Access で生成されたルート証明書をクライアントのトラストストアに追加する必要があります。ルート証明書 root_ca.per は、インストール後に INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf から取得することができます。

    自己署名証明書はテスト目的で使用できますが、本番環境では、パブリックまたは内部 CA によって署名された信頼される SSL 証明書を使用することをお勧めします。
    信頼されるルート証明書をトラストストアにアップロードまたは削除する [信頼されるルート証明書のインストール] ページで以下を実行します。
    • 証明書をアップロードするには、[参照] をクリックして証明書を選択します。
    • 証明書を削除するには、証明書を選択して [削除] をクリックします。
    • インストールされている証明書を表示するには、[証明書の表示] をクリックします。

    コネクタは、トラストストアに追加する証明書が証明書チェーンに含まれているサーバとの安全な接続を確立できます。証明書をトラストストアにアップロードするシナリオは次のとおりです。

    • (Kerberos 認証サービスのみ)ロード バランサの背後に Kerberos 認証サービスの複数のインスタンスを展開する場合は、コネクタ インスタンスにロード バランサのルート CA 証明書をインストールして、コネクタとロード バランサ間の信頼を確立する必要があります。
    • (仮想アプリケーション サービスのみ)仮想アプリケーションのコレクションを作成して、VMware Horizon、シングル ポッド ブローカを使用した Horizon Cloud Service on Microsoft Azure、または Horizon Cloud Service on IBM Cloud に統合し、Horizon Server に自己署名証明書がある場合は、仮想アプリケーション サービスがインストールされているコネクタ インスタンスに証明書チェーンをアップロードして、コネクタと Horizon Connection Server 間の信頼を確立する必要があります。Horizon Server にパブリック認証局によって署名された証明書がある場合は、コネクタ トラストストアに証明書をアップロードする必要はありません。パブリック認証局によって署名された証明書を使用することを強くお勧めします。
    プロキシ サーバを指定する [プロキシ サーバ情報の指定] ページで、必要に応じてプロキシ サーバを入力します。エンタープライズ サービスは、インターネット上の Web サービスにアクセスします。ネットワークが HTTP プロキシ経由でインターネットにアクセスするように構成されている場合は、プロキシ サーバを入力する必要があります。サポートされるプロキシの詳細については、Workspace ONE Access Connector 22.05 のシステム要件(Workspace ONE Access Cloud のみ)を参照してください。

    プロキシ サーバを経由せずに直接接続する必要がある非プロキシ ホストのリストを指定することもできます。

    1. [プロキシを有効にする] チェック ボックスを選択します。
    2. プロキシ サーバのホスト名を入力(完全修飾ドメイン名 (FQDN) または IP アドレスとして指定)します。
    3. プロキシ サーバのポートを入力します。
    4. プロキシ サーバを経由せずに直接接続する必要がある非プロキシ ホストを指定する場合は、[非プロキシ ホスト] テキスト ボックスに FQDN とポートを入力します。次の形式を使用します。各エントリは | で区切ります。

      host1|host2

    5. プロキシ サーバで認証が必要な場合は [基本] を選択し、プロキシ サーバのユーザー名とパスワードを入力します。
    アプリケーションレベルのイベント メッセージを保存するための外部 Syslog サーバを指定する [Syslog サーバ情報の指定] ページで、[Syslog を有効にする] チェック ボックスを選択して、Syslog サーバの IP アドレスまたは FQDN、およびポートを入力します。

    単一の Syslog サーバを指定するには、次の形式を使用します。

    host:port

    複数の Syslog サーバを指定するには、次の形式を使用します。

    host:port,host:port,host:port

    host は、Syslog サーバの完全修飾ドメイン名または IP アドレス、port はポート番号です。例:

    syslog1.example.com:54

    または

    syslog1.example.com:514,syslog2.example.com:601,syslog3.example.com:163
    注: アプリケーションレベルのイベントのみが Syslog サーバにエクスポートされます。オペレーティング システムのイベントはエクスポートされません。
    Kerberos 認証サービスおよび仮想アプリケーション サービスを実行するために使用されるドメイン ユーザー アカウントを指定または変更する

    Kerberos 認証サービスおよび仮想アプリケーション サービスを実行するには、ドメイン ユーザー アカウントが必要です。

    [サービス アカウント] ページで、ドメイン ユーザー アカウントのユーザー名とパスワードを DOMAIN\username の形式で入力します(例:EXAMPLE\administrator)。または、[参照] をクリックして、ドメインとユーザーを選択します。

    [参照] をクリックしてもドメインまたはユーザーが見つからない場合は、上で指定した形式でテキスト ボックスに入力します。

    重要: Kerberos 認証サービスは、ドメイン ユーザー アカウントのパスワードに次の特殊文字のみをサポートします。

    ! ( & % @ / = ? * , .

    それ以外の特殊文字がパスワードに含まれている場合、Kerberos 認証サービスのインストールに失敗します。
  8. [プログラムをインストールする準備ができました] 画面で、選択内容を確認し、[インストール] をクリックします。
    重要: 証明書をアップロードした場合は、確実にすべてのサービスを再起動するオプションを選択します。

次のタスク

インストールが更新されます。新しいサービスが Workspace ONE Access テナントに登録されます。Workspace ONE Access コンソールの [コネクタ] ページを更新して、更新されたサービスのリストを表示します。