ディレクトリ同期サービス、ユーザー認証サービス、Kerberos 認証サービス、および仮想アプリケーション サービスをコンポーネントとして含む Workspace ONE Access Connector を展開するには、Windows Server が必要な要件を満たしていることを確認します。いくつかの要件は、インストールするサービスによって異なります。
Workspace ONE Access サービスとコネクタ間の互換性
Workspace ONE Access Connector は、Workspace ONE Access クラウド サービスまたはオンプレミスの Workspace ONE Access サービス仮想アプライアンスで使用できます。
Workspace ONE Access クラウド サービスでは、サポートされているすべてのバージョンのコネクタを使用できます。ただし、最新バージョンのコネクタを使用することをお勧めします。
Workspace ONE Access オンプレミスのインストールでは、Workspace ONE Access サービスのバージョンと同じまたはそれ以下のサポートされているコネクタ バージョンを使用できます。たとえば、Workspace ONE Access 22.09 サービスでは、Connector 22.09 以前のバージョンを使用できます。サービス バージョンよりも新しいバージョンのコネクタを使用することはできません。たとえば、22.09 Connector を 21.08 サービスと併用することはできません。互換性のある最新バージョンのコネクタを使用することをお勧めします。
サポートされるバージョンの詳細については、https://www.vmware.com/support/policies/lifecycle.htmlを参照してください。
必要なサーバの数
ディレクトリ同期サービス、ユーザー認証サービス、Kerberos 認証サービス、および仮想アプリケーション サービスを 1 台の Windows Server にまとめてインストールすることも、必要に応じて任意の組み合わせで別々のサーバにインストールすることもできます。すべてのサービスをまとめてインストールするには、よりパワーのあるサーバが必要です。サービスを個別にインストールするには、複数の サーバを取得する必要があります。
いずれかのサービスに対して高可用性を設定する場合は、複数のサーバが必要です。
また、他のサービスでは必要ありませんが、Kerberos 認証サービスではインバウンド接続が必要であることも考慮してください。
ハードウェア要件
Windows Server が次のハードウェア要件を満たしていることを確認します。
- プロセッサ:Inte(R)Xeon(R) CPU E5-2650 [email protected] GHZ(2 プロセッサ)x64 ビット プロセッサ以上
展開サイズ | ディレクトリ同期サービス サーバのハードウェア要件 | ユーザーとグループの数 |
---|---|---|
小 | 2 つの vCPU、8 GB RAM、40 GB のディスク容量 ディレクトリ同期サービスの Java メモリ割り当て:xmx=4g |
最大 50,000 ユーザーおよび 500 グループ |
中 | 4 つの vCPU、8 GB RAM、40 GB のディスク容量 ディレクトリ同期サービスの Java メモリ割り当て:xmx=4g |
最大 100,000 ユーザーおよび 1,000 グループ |
大 | 8 つの vCPU、12 GB RAM、40 GB のディスク容量 ディレクトリ同期サービスの Java メモリ割り当て:xmx=8g |
最大 200,000 ユーザーおよび 2,000 グループ |
展開サイズ | ユーザー認証サービスまたは Kerberos 認証サービス サーバのハードウェア要件 | ユーザー認証サービス | Kerberos 認証サービス |
---|---|---|---|
小/中/大 | 2 つの vCPU、4 GB RAM、40 GB のディスク容量 ユーザー認証サービスまたは Kerberos 認証サービスの Java メモリ割り当て:xmx=1g |
パスワード認証:390 ~ 480/min WSFed アクティブ フロー:720 ~ 900/min |
Kerberos 認証:420 ~ 480/min |
展開サイズ | 仮想アプリケーション サービス サーバのハードウェア要件 | 仮想アプリケーションと資格の数 |
---|---|---|
小/中/大 | 2 つの vCPU、4 GB RAM、40 GB のディスク容量 仮想アプリケーション サービスの Java メモリ割り当て:xmx=1g |
資格の数が 125,000 の仮想アプリケーションを最大 500 個 |
展開サイズ | ハードウェア要件 | ユーザーとグループの数 |
---|---|---|
小 | 4 つの vCPU、12 GB RAM、50 GB のディスク容量 [Java メモリ割り当て:] ディレクトリ同期サービス:xmx=4g Kerberos 認証サービス:xmx=1g ユーザー認証サービス:xmx=1g 仮想アプリケーション サービス:xmx=1g |
最大 100,000 ユーザーおよび 1,000 グループ |
中 | 8 つの vCPU、16 GB RAM、50 GB のディスク容量 [Java メモリ割り当て:] ディレクトリ同期サービス:xmx=8g Kerberos 認証サービス:xmx=1g ユーザー認証サービス:xmx=1g 仮想アプリケーション サービス:xmx=2g |
最大 200,000 ユーザーおよび 2,000 グループ |
大 | 12 の vCPU、32 GB RAM、80 GB のディスク容量 [Java メモリ割り当て:] ディレクトリ同期サービス:xmx=12g Kerberos 認証サービス:xmx=1g ユーザー認証サービス:xmx=1g 仮想アプリケーション サービス:xmx=2g |
最大 300,000 ユーザーおよび 3,000 グループ |
- メモリ要件には、OS と VMware Connector コンポーネントが含まれます。サーバで他のアプリケーションまたはサービスを実行する予定がある場合は、それに応じて要件を調整します。
- 各サービスについて一覧表示される Java メモリ割り当ては、Java ヒープ メモリを指します。デフォルトでは、4 GB がディレクトリ同期サービスに、1 GB がユーザー認証サービスに、1 GB が Kerberos 認証サービスに、1 GB が仮想アプリケーション サービスに割り当てられます。メモリの割り当て方法については、Workspace ONE Access Connector エンタープライズ サービスの Java メモリを増やすを参照してください。
- ディレクトリ同期サービスについて一覧表示されるグループはすべて 1 つのレベルで、各グループには 500 ユーザーが含まれ、各ユーザーは 5 つのグループに関連付けられています。
- 大規模なグループまたはネストされたグループの展開には、より多くのメモリが必要です。
- Citrix 統合の場合、各リソースで最大 630 のユーザーまたはグループ資格がサポートされます。
ソフトウェア要件
Windows Server が次のソフトウェア要件を満たしていることを確認します。
要件 | メモ |
---|---|
Windows Server の次のバージョンのいずれか:
|
すべてのエンタープライズ サービス(ディレクトリ同期サービス、ユーザー認証サービス、Kerberos 認証サービス、および仮想アプリケーション サービス)は、Windows Server 2022 で実行されているコネクタにインストールできます。 |
PowerShell | デフォルトでは、Windows Server には PowerShell が含まれています。 |
.NET Framework 4.8 以降 | デフォルトでは、Windows Server には .NET Framework が含まれています。Workspace ONE Access Connector には .NET Framework 4.8 以降が必要です。.NET Framework がインストールされていないか、必要なバージョンと一致しない場合、インストール中に正しいバージョンをインストールするように求められます。 |
Citrix Studio (Citrix PowerShell SDK) | 仮想アプリケーション サービスをインストールし、Citrix 仮想アプリケーションとデスクトップを統合する場合にのみ必要です。Citrix Studio には、Workspace ONE Access との Citrix 統合に必要な PowerShell SDK が含まれています。Citrix Studio バージョンが Citrix 展開バージョンと互換性がある必要があります。Citrix Studio は、Workspace ONE Access Connector のインストール前またはインストール後にインストールできます。Citrix Studio のインストールの詳細については、Citrix のドキュメントを参照してください。 |
ネットワーク要件
次の表は、コネクタのポート要件を示しています。最新のポート情報については、https://ports.vmware.com/home/Workspace-ONE-Access を参照してください。
リストされているポートを構成するために、すべてのトラフィックはソース コンポーネントからターゲット コンポーネントへの一方向(アウトバウンド)です。アウトバウンド プロキシまたはその他の接続管理ソフトウェアやハードウェアは、Workspace ONE Access Connector からのアウトバウンド接続を終了または拒否してはなりません。アウトバウンド接続は常に開いたままにしておく必要があります。
ソース | ターゲット | ポート | プロトコル | メモ |
---|---|---|---|---|
Workspace ONE Access Connector | Workspace ONE Access サービス(クラウド) Workspace ONE Access サービス ホスト(オンプレミスのインストール) |
443 | HTTPS | デフォルトのポート。必須。 ディレクトリ同期サービス、ユーザー認証サービス、Kerberos 認証サービス、および仮想アプリケーション サービスに適用されます。 |
Workspace ONE Access Connector | Workspace ONE Access サービスのロード バランサ(オンプレミスのインストール) | 443 | HTTPS | ディレクトリ同期サービス、ユーザー認証サービス、Kerberos 認証サービス、および仮想アプリケーション サービスに適用されます。 |
ブラウザ | Workspace ONE Access Connector | 443 | HTTPS | Kerberos 認証サービスに必要です。 |
Workspace ONE Access Connector | Active Directory | 389、636、3268、3269 | デフォルトのポート。これらのポートは構成可能です。 ディレクトリ同期サービスに適用されます。また、パスワード認証が使用されている場合は、ユーザー認証サービスにも適用されます。 |
|
Workspace ONE Access Connector | DNS サーバ | 53 | TCP/UDP | すべてのコネクタ インスタンスは、ポート 53 で DNS サーバにアクセスできる必要があります。 ディレクトリ同期サービス、ユーザー認証サービス、Kerberos 認証サービス、および仮想アプリケーション サービスに適用されます。 |
Workspace ONE Access Connector | ドメイン コントローラ | 88、464、135、445 | TCP/UDP | ディレクトリ同期サービスおよび Kerberos 認証サービスに適用されます。 |
Workspace ONE Access Connector | RSA SecurID サーバ | 5555 | デフォルトのポート。このポートは構成可能です。 RSA SecurID が使用されている場合は、ユーザー認証サービスに適用されます。 |
|
Workspace ONE Access Connector | Syslog サーバ | 514 | UDP | デフォルトのポート。このポートは構成可能です。 外部 Syslog サーバ用のポート(構成されている場合)。ディレクトリ同期サービス、ユーザー認証サービス、Kerberos 認証サービス、および仮想アプリケーション サービスに適用されます。 |
Workspace ONE Access Connector | Horizon Connection Server | 443 | VMware Horizon 統合の場合。 仮想アプリケーション サービスにのみ適用されます。 |
|
Workspace ONE Access Connector | Citrix StoreFront サーバ | Citrix StoreFront サーバ用に構成されたポート | Citrix 展開環境との統合の場合。 仮想アプリケーション サービスにのみ適用されます。 |
|
Workspace ONE Access Connector | Citrix XenApp または XenDesktop サーバ | 443 | Citrix 展開環境との統合の場合。 仮想アプリケーション サービスにのみ適用されます。 |
|
ブラウザ | Horizon および Citrix 仮想アプリケーションのコレクション用に構成されたクライアント アクセスの FQDN | クライアント アクセスの FQDN 用に構成されたポート | 仮想アプリケーション サービスにのみ適用されます。 |
Workspace ONE Access クラウド IP アドレス
Workspace ONE Access Connector がアクセスする必要がある Workspace ONE Access クラウド サービスの IP アドレスのリストについては、https://kb.vmware.com/s/article/68035を参照してください。
DNS レコードおよび IP アドレスの要件
コネクタには DNS エントリおよび固定 IP アドレスが必要です。インストールを開始する前に、使用する DNS レコードと IP アドレスを取得し、Windows Server のネットワーク設定を行います。
Kerberos 認証サービスをインストールする場合、コネクタ サーバには適切でわかりやすいホスト名を選択します。Workspace ONE Access Connector のホスト名は、Kerberos 認証を構成するときにエンド ユーザーに表示されます。
オプションで逆引きの構成が可能です。逆引きを実装する場合には、DNS サーバに PTR レコードを定義して、コネクタが正しいネットワーク構成を使用するようにする必要があります。
以下の DNS レコードのサンプル リストを使用できます。サンプル リストの情報を、それぞれの環境に合わせて書き換えてください。次のサンプルには、DNS の正引きレコードと IP アドレスが記載されています。
ドメイン名 | リソース タイプ | IP アドレス |
---|---|---|
myconnector.example.com | A | 10.28.128.3 |
次のサンプルには、DNS の逆引きレコードと IP アドレスが記載されています。
IP アドレス | リソース タイプ | ホスト名 |
---|---|---|
10.28.128.3 | PTR | myconnector.example.com |
DNS 構成の終了後に、DNS の逆引きが正しく構成されていることを確認します。たとえば、コマンド host IPaddress は DNS 名を解決する必要があります。
ロード バランサ
Kerberos 認証に高可用性を構成する場合は、Workspace ONE Access Connector のロード バランサが必要です。
時刻同期
Workspace ONE Access 展開環境を正しく機能させるには、すべての Workspace ONE Access サービスとコネクタのインスタンスで時刻同期を構成する必要があります。NTP サーバを使用して時刻同期を設定します。
コネクタの場合は、コネクタ サーバで時刻同期を構成します。
プロキシ要件
コネクタは、インターネット上で Web サービスにアクセスします。ネットワークが HTTP プロキシ経由でインターネットにアクセスするように構成されている場合は、プロキシ サーバを構成する必要があります。インストール時またはインストール後に、Workspace ONE Access Connector インストーラにプロキシ サーバ情報を入力します。
Workspace ONE Access Connector は、次のタイプのプロキシをサポートしています。
- 非認証 HTTP プロキシ
- 非認証 HTTPS (SSL) プロキシ
- 認証済み HTTPS (SSL) プロキシ