ディレクトリ同期サービス、ユーザー認証サービス、Kerberos 認証サービス、または仮想アプリケーション サービスをインストールするには、すべての要件を満たす Windows Server 上で Workspace ONE Access Connector インストーラを実行し、インストールするサービスを選択します。

ほとんどの設定にデフォルト値を使用するデフォルトのクイック インストールを使用するか、各種の設定を構成できるカスタム インストールを使用するかを選択できます。

デフォルトのインストール カスタムのインストール
次のデフォルト ポートを使用します。
  • ユーザー認証サービス:8090
  • ディレクトリ同期サービス:8080
  • Kerberos 認証サービス:443
  • 仮想アプリケーション サービス:8008
注: サービスはこれらのポートで実行されます。Kerberos 認証サービス ポートにのみ、受信接続が必要です。
サービスのカスタム ポートを指定できます
注: サービスはこれらのポートで実行されます。Kerberos 認証サービス ポートにのみ、受信接続が必要です。
コネクタの自己署名証明書を自動生成します コネクタの信頼される SSL 証明書をインストールできます(Kerberos 認証サービスに必要)
信頼されるルート証明書をトラストストアにアップロードできます。証明書をトラストストアにアップロードするシナリオは次のとおりです。
  • (オンプレミスのインストールのみ)自己署名証明書がオンプレミスの Workspace ONE Access サービス インスタンスにある場合は、エンタープライズ サービスと Workspace ONE Access サービス インスタンス間の信頼を確立するためにルート証明書および中間証明書(必要な場合)をアップロードする必要があります。
  • (Kerberos 認証サービスのみ)ロード バランサの背後に Kerberos 認証サービスの複数のインスタンスを展開する場合は、コネクタ インスタンスにロード バランサのルート CA 証明書をインストールして、コネクタとロード バランサ間の信頼を確立する必要があります。
  • (仮想アプリケーション サービスのみ)仮想アプリケーションのコレクションを作成して、VMware Horizon、シングル ポッド ブローカを使用した Horizon Cloud Service on Microsoft Azure、または Horizon Cloud Service on IBM Cloud に統合し、Horizon Server に自己署名証明書がある場合は、仮想アプリケーション サービスがインストールされているコネクタ インスタンスに証明書チェーンをアップロードして、コネクタと Horizon Connection Server 間の信頼を確立する必要があります。
プロキシ サーバを構成できます
Syslog サーバを構成できます
Citrix 仮想アプリケーションのコレクションのマルチサイトの集約とキーワード フィルタリングに関連するオプションを選択できます

選択したインストールのタイプに関係なく、後でインストーラを再度実行し、すべての設定を変更することができます。

インストール中に、OpenJDK 11 もサーバにインストールされます。

前提条件

  • Workspace ONE Access Connector をインストールするための前提条件を参照してください。
  • インストール プロセスの一部として、Workspace ONE Access コンソールからファイルをダウンロードします。ファイルをダウンロードするには、Internet Explorer 以外のブラウザが必要になる場合があります。デフォルトの Internet Explorer 設定では、ファイルをダウンロードできないことがあります。

手順

  1. Workspace ONE Access コンソールから Workspace ONE Access Connector インストーラと構成ファイルをダウンロードします。
    1. システム ドメインの管理者として Workspace ONE Access コンソールにログインします。
      ヒント: クラウド展開の場合、システム ドメイン管理者は、 Workspace ONE Access テナントの取得時に認証情報を受け取る管理者です。オンプレミス展開の場合、システム ドメイン管理者は Workspace ONE Access インスタンスのインストール時に作成される管理者ユーザーです。
    2. [統合] > [コネクタ] の順に選択します。
    3. [新規] をクリックします。
    4. [コネクタ使用量の確認] ダイアログ ボックスが表示されたら、情報を確認し、[最新の Workspace ONE Access Connector] を選択します。
      注: Workspace ONE Access サービスに新しいコネクタを初めてインストールした場合、 [コネクタ使用量の確認] ダイアログ ボックスが表示されます。

      Workspace ONE Access オンプレミスのみ)後で選択内容を変更する場合は、後に [コネクタ] ページまたは [レガシー コネクタ] ページに表示される [コネクタ選択のリセット] オプションを使用できます。詳細については、Workspace ONE Access での [コネクタ選択のリセット]を参照してください。

      [新しいコネクタを追加] ウィザードが起動します。

    5. [新しいコネクタを追加] ウィザードの [インストーラをダウンロード] ページで、[myvmware.com に移動します。] をクリックします。
      新しいウィンドウに VMware Customer Connect の Web ページが表示されます。インストーラをダウンロードした後にウィザードに戻るため、ウィザードは開いたままにしておきます。
    6. VMware Customer Connect にログインし、Workspace ONE Access Connector のダウンロード ページから Workspace-ONE-Access-Connector-Installer-22.09.exe ファイルをダウンロードします。
    7. Workspace ONE Access コンソールに戻り、[新しいコネクタを追加] ウィザードの [インストーラをダウンロード] ページで [次へ] をクリックします。
    8. パスワードを作成して構成ファイルを生成し、[構成ファイルをダウンロード] をクリックします。
      構成ファイルは、インストールするエンタープライズ サービスと Workspace ONE Access テナントとの間の通信を確立するために使用されます。このファイルは、デフォルトで es-config.json という名前になっています。
      重要:
      • パスワードは 14 文字以上で、1 つ以上の数字、1 つ以上の大文字、1 つ以上の特殊文字を含める必要があります。次の特殊文字のみを使用できます。

        @ ! , # $ { } ( ) _ + . < > ? *

        すべての文字は、表示および印字可能な ASCII 文字である必要があります。

      • パスワードをメモしておきます。コネクタ インストーラを実行するときに、パスワードと構成ファイルへのパスを入力する必要があります。

        構成ファイルとそのパスワードは、将来のコネクタのアップグレードにも必要です。パスワードは、後で使用できるように安全な方法で保存します。コネクタをアップグレードするときにパスワードがない場合は、新しい構成ファイルを生成できます。

      注意: 構成ファイルには、テナント URL、テナント ID、各エンタープライズ サービスのクライアント ID とクライアント シークレット、パスワード ハッシュなどの機密情報が含まれています。ファイルを共有したり、公開したりしないようにすることが重要です。
    9. 構成ファイルをダウンロードした後、ウィザードで [次へ] をクリックします。
  2. インストーラおよび構成ファイルを、サービスのインストール先となる Windows Server にコピーします。
  3. インストーラ ファイルをダブルクリックして、Workspace ONE Access Connector のインストール ウィザードを実行します。
    インストーラは、サーバ上の前提条件を確認します。.NET Framework がインストールされていない、または必要なバージョンと一致しない場合は、インストールしてサーバを再起動するように求められます。.NET Framework のインストールが完了したら、インストーラを再度実行してインストール プロセスを再開します。
    注意: コネクタの移行の一環として 19.03.x Connector サーバにコネクタをインストールする場合は、システムを再起動しないでください。これを行うと、19.03.x コネクタが使用できなくなります。コネクタの移行プロセス全体が完了した後にのみ、システムを再起動します。
  4. [ようこそ] ページで [次へ] をクリックします。
    ""
  5. 使用許諾契約書を読んで同意し、[次へ] をクリックします。
    [使用許諾契約書に同意します] オプションが選択されています。
  6. インストールするサービスを選択します。
    すべてのサービスが選択されています。
    デフォルトでは、サービスは C:\Program Files にインストールされます。インストール フォルダを変更するには、 [変更] をクリックしてフォルダを選択します。
  7. [次へ] をクリックします。
  8. [構成ファイルの指定] ページで、次のアクションを実行します。
    1. Workspace ONE Access コンソールからダウンロードした構成ファイルを選択します。
      構成ファイルがインストーラと同じフォルダにあり、名前がデフォルトの es-config.json である場合、テキスト ボックスに自動的に表示されます。
    2. 構成ファイルの生成時に設定したパスワードを入力します。
    3. コネクタを FIPS モードでインストールする場合は、[FIPS を有効にする] チェック ボックスをオンにします。
      FIPS とは、暗号モジュールのセキュリティ要件を規定する連邦情報処理標準を指します。このオプションを選択する前に、FIPS モードの要件について、 Workspace ONE Access Connector と FIPS モード(Workspace ONE Access FedRAMP のみ)を参照してください。
      注意:
      • FIPS モードの Workspace ONE Access Connector は、Workspace ONE Access FedRAMP テナントでのみサポートされます。他のタイプのテナントおよびオンプレミスの Workspace ONE Access インストールでは、FIPS モードのコネクタはサポートされません。
      • レガシー 19.03 x 以前のコネクタから 22.09 コネクタに移行する場合は、[FIPS を有効にする] オプションを選択しないでください。移行シナリオでは FIPS モードはサポートされません。
      • インストール後に、FIPS モードから非 FIPS モードに、または非 FIPS モードから FIPS モードに変更することはできません。必要に応じて決めてください。

    [FIPS を有効にする] オプションが選択されています。
  9. [デフォルト] または [カスタム] のインストールを選択します。
    [デフォルト] オプションが選択されています。
  10. [デフォルト] のインストールを選択した場合は、次の手順を実行します。
    1. (Kerberos 認証サービスおよび仮想アプリケーション サービスのみ)[サービス アカウントの指定] ページで、Kerberos 認証サービスと仮想アプリケーション サービスを実行するために使用するドメイン ユーザー アカウントのユーザー名とパスワードを指定します。

      DOMAIN\Username の形式で [ユーザー名] を入力します(例:EXAMPLE\administrator)。または、[参照] をクリックして、ドメインとユーザーを選択します。

      [参照] をクリックしてもドメインまたはユーザーが見つからない場合は、指定された形式でテキスト ボックスに入力します。

      重要: Kerberos 認証サービスは、ドメイン ユーザー アカウントのパスワードに次の特殊文字のみをサポートします。

      ! ( & % @ / = ? * , .

      それ以外の特殊文字がパスワードに含まれている場合、Kerberos 認証サービスのインストールに失敗します。

      重要: Workspace ONE Access Connector 22.09.1.0 では、仮想アプリケーション サービスはドメイン ユーザー アカウントのパスワードで # 文字をサポートしていません。
      ""
      注: [サービス アカウントの指定] ページは、Kerberos 認証サービスまたは仮想アプリケーション サービスをインストールしている場合にのみ表示されます。
    2. [次へ] をクリックします。
    3. [プログラムをインストールする準備ができました] 画面で、選択内容を確認し、[インストール] をクリックします。
      サービスがポートとともに一覧表示されます。プロキシ サーバと Syslog サーバが構成されていません。SSL 証明書は自己署名されています。
      インストールには数分かかります。
      注意: インストール プロセスの最後に、システムを再起動するよう求めるプロンプトが表示される場合があります。コネクタの移行の一環として 19.03.x Connector サーバにコネクタをインストールする場合は、システムを再起動しないでください。コネクタの移行プロセス全体が完了した後にのみ、システムを再起動します。
  11. [カスタム] のインストールを選択した場合は、次の手順を実行します。
    1. [プロキシ サーバ情報の指定] ページで、必要に応じてプロキシ サーバを入力します。
      エンタープライズ サービスは、インターネット上の Web サービスにアクセスします。ネットワークが HTTP プロキシ経由でインターネットにアクセスするように構成されている場合は、プロキシ サーバを入力する必要があります。サポートされるプロキシの詳細については、 Workspace ONE Access Connector 22.09 のシステム要件を参照してください。

      プロキシ サーバを経由せずに直接接続する必要がある非プロキシ ホストのリストを指定することもできます。

      1. [プロキシを有効にする] チェック ボックスを選択します。
      2. プロキシ サーバのホスト名を入力(完全修飾ドメイン名 (FQDN) または IP アドレスとして指定)します。
      3. プロキシ サーバのポートを入力します。
      4. プロキシ サーバを経由せずに直接接続する必要がある非プロキシ ホストを指定する場合は、[非プロキシ ホスト] テキスト ボックスに FQDN または IP アドレスを入力します。次の形式を使用します。各エントリは | で区切ります。

        host1|host2

      5. プロキシ サーバで認証が必要な場合は [基本] を選択し、プロキシ サーバのユーザー名とパスワードを入力します。
      [プロキシを有効にする] オプションが選択されています。
    2. [次へ] をクリックします。
    3. 1 台以上の外部 Syslog サーバを使用してアプリケーションレベルのイベント メッセージを保存する場合は、[Syslog サーバの指定] ページで、[Syslog を有効にする] オプションを選択し、各 Syslog サーバの IP アドレスまたは FQDN、およびポートを入力します。

      単一の Syslog サーバを指定するには、次の形式を使用します。

      host:port

      複数の Syslog サーバを指定するには、次の形式を使用します。

      host:port,host:port,host:port

      host は、Syslog サーバの完全修飾ドメイン名または IP アドレス、port はポート番号です。例:

      syslog1.example.com:54

      または

      syslog1.example.com:514,syslog2.example.com:601,syslog3.example.com:163

      [Syslog を有効にする] オプションが選択されています。
      注: アプリケーションレベルのイベントのみが Syslog サーバにエクスポートされます。オペレーティング システムのイベントはエクスポートされません。
    4. [次へ] をクリックします。
    5. (仮想アプリケーション サービスのみ)[Citrix 構成] ページで、マルチサイトの集約またはキーワード フィルタリングが構成されている Citrix 環境と Workspace ONE Access を統合する場合は、シナリオに適用するオプションを選択します。
      どの Citrix 構成オプションも選択されていません。
      • [Citrix StoreFront の制限付き PowerShell セッションを有効にする]

        このオプションは、Citrix 環境で StoreFront でリモートで実行できる PowerShell コマンドが制限されている場合にのみ選択します。このオプションを選択する場合は、StoreFront に PowerShell セッション構成ファイルを作成して、仮想アプリケーション サービスがマルチサイトの集約とキーワード フィルタリングに必要な制限されたコマンドを実行できるようにする必要もあります。[構成名] テキスト ボックスに、セッション構成ファイルの作成時に指定した構成名を拡張子なしで入力します。名前には英数字のみを使用できます。

      • [Citrix キーワード フィルタリングを有効にします]

        StoreFront でキーワード フィルタリングが有効になっている場合は、このオプションを選択します。

        Workspace ONE Access でキーワード フィルタリングをサポートするには、Citrix 環境に StoreFront でリモートで実行できる PowerShell コマンドに対する制限があってはなりません。すなわち、[Citrix StoreFront の制限付き PowerShell セッションを有効にする] オプションを選択して、仮想アプリケーション サービスが制限されたコマンドを実行できるように PowerShell セッション構成ファイルを設定する必要があります。

      • [StoreFront モジュールの Citrix 自動ロードを無効にする]

        仮想アプリケーション サービスは、キーワード フィルタリングをサポートするために StoreFront に特定のモジュールをロードします。仮想アプリケーション サービスでモジュールをロードしない場合は、このオプションを選択します。必要なコマンドは、制限付きの PowerShell セッション構成の設定を介して実行されます。

      詳細については、『Workspace ONE Access でのリソースのセットアップ』のWorkspace ONE Access での Citrix マルチサイトの集約およびキーワード フィルタリングの構成を参照してください。

    6. [信頼されるルート証明書のインストール] ページで、必要に応じてルートまたは中間 CA 証明書をトラストストアにアップロードします。
      コネクタは、証明書チェーンにこれらの証明書のいずれかが含まれているサーバおよびクライアントとの安全な接続を確立できます。証明書をトラストストアにアップロードするシナリオは次のとおりです。
      • (オンプレミスのインストールのみ)インストールした自己署名証明書がオンプレミスの Workspace ONE Access サービス インスタンスにある場合は、エンタープライズ サービスと Workspace ONE Access サービス インスタンス間の信頼を確立するためにルート証明書および中間証明書(必要な場合)をアップロードする必要があります。
      • (Kerberos 認証サービスのみ)ロード バランサの背後に Kerberos 認証サービスの複数のインスタンスを展開する場合は、コネクタ インスタンスにロード バランサのルート CA 証明書をインストールして、コネクタとロード バランサ間の信頼を確立する必要があります。
      • (仮想アプリケーション サービスのみ)仮想アプリケーションのコレクションを作成して、VMware Horizon、シングル ポッド ブローカを使用した Horizon Cloud Service on Microsoft Azure、または Horizon Cloud Service on IBM Cloud に統合し、Horizon Server に自己署名証明書がある場合は、仮想アプリケーション サービスがインストールされているコネクタ インスタンスに証明書チェーンをアップロードして、コネクタと Horizon Connection Server 間の信頼を確立する必要があります。Horizon Server にパブリック認証局によって署名された証明書がある場合は、コネクタ トラストストアに証明書をアップロードする必要はありません。パブリック認証局によって署名された証明書を使用することを強くお勧めします。

      信頼されるルート証明書は、インストール後にアップロードすることもできます。

      ""
    7. [次へ] をクリックします。
    8. エンタープライズ サービスが実行されているデフォルトのポートを確認し、これらのポートが他のアプリケーションによって使用されている場合は別のポートを指定します。

      Kerberos 認証サービス ポートには、受信接続が必要です。ユーザー認証、ディレクトリ同期、および仮想アプリケーションの各サービス ポートには、受信接続は必要ありません。

      例のポートは、ディレクトリ同期の場合は 8080、ユーザー認証の場合は 8090、Kerberos 認証の場合は 443、仮想アプリケーション サービスの場合は 8008 です。
    9. (Kerberos 認証サービスのみ)[Kerberos 認証サービスの SSL 証明書] ページで、コネクタ サーバに使用する証明書を選択します。
      Kerberos 認証サービスでは、パブリックまたは内部 CA によって署名された信頼される SSL 証明書が必要です。信頼される SSL 証明書をインストール時にアップロードしない場合、自己署名証明書が自動生成されます。信頼される SSL 証明書は、後でアップロードできます。
      • 信頼される SSL 証明書をアップロードするには、[独自の SSL 証明書を使用しますか? ] チェック ボックスを選択し、[参照] をクリックして証明書ファイルを選択します。

        証明書ファイルは PEM または PFX 形式である必要があります。PEM ファイルをアップロードする場合は、プライベート キーもアップロードします。PFX ファイルをアップロードする場合は、証明書のパスワードも指定します。証明書の要件については、Kerberos 認証サービスの SSL 証明書のアップロードを参照してください。

      • 自動生成された自己署名証明書を使用するには、[独自の SSL 証明書を使用しますか? ] チェック ボックスをオンにします。
        注: Workspace ONE Access で生成された自己署名証明書を使用する場合は、 Workspace ONE Access で生成されたルート証明書をクライアントのトラストストアに追加する必要があります。ルート証明書 root_ca.per は、インストール後に INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf から取得することができます。

        自己署名証明書はテスト目的で使用できますが、本番環境では、パブリックまたは内部 CA によって署名された信頼される SSL 証明書を使用することをお勧めします。

      「独自の SSL 証明書を使用しますか?」オプションが選択されています。
    10. [次へ] をクリックします。
    11. (Kerberos 認証サービスおよび仮想アプリケーション サービスのみ)[サービス アカウントの指定] ページで、Kerberos 認証サービスと仮想アプリケーション サービスを実行するために使用するドメイン ユーザー アカウントのユーザー名とパスワードを指定します。
      重要: Kerberos 認証サービスは、ドメイン ユーザー アカウントのパスワードに次の特殊文字のみをサポートします。

      ! ( & % @ / = ? * , .

      それ以外の特殊文字がパスワードに含まれている場合、Kerberos 認証サービスのインストールに失敗します。

      重要: Workspace ONE Access Connector 22.09.1.0 では、仮想アプリケーション サービスはドメイン ユーザー アカウントのパスワードで # 文字をサポートしていません。

      DOMAIN\Username の形式で [ユーザー名] を入力します(例:EXAMPLE\administrator)。または、[参照] をクリックして、ドメインとユーザーを選択します。

      ""
      注: [参照] をクリックしてもドメインまたはユーザーが見つからない場合は、上で指定した形式でテキスト ボックスに入力します。
      注: [サービス アカウントの指定] ページは、Kerberos 認証サービスまたは仮想アプリケーション サービスをインストールしている場合にのみ表示されます。
    12. [プログラムをインストールする準備ができました] 画面で、選択内容を確認し、[インストール] をクリックします。
      インストールには数分かかります。
      注意: インストール プロセスの最後に、システムを再起動するよう求めるプロンプトが表示される場合があります。コネクタの移行の一環として 19.03.x Connector サーバにコネクタをインストールする場合は、システムを再起動しないでください。コネクタの移行プロセス全体が完了した後にのみ、システムを再起動します。
  12. インストールが正常に完了したら、サービスが Windows Server で実行されていることを確認します。
    サービス名:
    • VMware ディレクトリ同期サービス
    • VMware ユーザー認証サービス
    • VMware Kerberos 認証サービス
    • VMware 仮想アプリケーション サービス
  13. Workspace ONE Access コンソールに移動し、[コネクタ] ページを更新して、新しいサービスが表示され、アクティブな状態になっていることを確認します。
    インストールが失敗した場合は、 Workspace ONE Access コンソールからダウンロードしたインストーラと構成ファイルの両方を削除してから、インストール プロセスを再度開始します。

結果

インストールに成功すると、インストールしたエンタープライズ サービスが Workspace ONE Access テナントに登録され、Workspace ONE Access コンソールの [コネクタ] ページに表示されます。

例:


[コネクタ] ページには、コネクタとインストールされているすべてのサービスが表示されます。ステータスはアクティブ、健全性は緑、バージョンは 22.09 です。

次のタスク

  • Workspace ONE Access コンソールで、インストールしたエンタープライズ サービスを構成します。ディレクトリ同期サービスを使用したディレクトリの統合の詳細については、『VMware Workspace ONE Access とのディレクトリ統合』を参照してください。ユーザー認証サービスまたは Kerberos 認証サービスを使用した認証の構成の詳細については、『VMware Workspace ONE Access でのユーザー認証方法の管理』を参照してください。仮想アプリケーション サービスを使用した Horizon、シングル ポッド ブローカを使用した Horizon Cloud Service on Microsoft Azure、Horizon Cloud Service on IBM Cloud、Citrix または ThinApp 仮想アプリケーションの統合については、『VMware Workspace ONE Access でのリソースのセットアップ』を参照してください。
  • (Kerberos 認証サービスのみ)Workspace ONE Access が生成した自己署名証明書を Kerberos 認証サービスに使用している場合、Workspace ONE Access が生成したルート証明書をクライアントのトラストストアに追加する必要があります。ルート証明書 root_ca.per は、INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf から取得することができます。

    自己署名証明書はテスト目的で使用できますが、本番環境では、パブリックまたは内部 CA によって署名された信頼される SSL 証明書を使用することをお勧めします。Kerberos 認証サービスの SSL 証明書のアップロードを参照してください。