ディレクトリ同期サービス、ユーザー認証サービス、および Kerberos 認証サービスをコンポーネントとして含む Workspace ONE Access Connector を展開するには、Windows サーバが必要な要件を満たしていることを確認します。いくつかの要件は、インストールするサービスによって異なります。

サーバの数

ディレクトリ同期サービス、ユーザー認証サービス、および Kerberos 認証サービスを 1 台の Windows サーバにまとめてインストールすることも、必要に応じて任意の組み合わせで別々のサーバにインストールすることもできます。すべてのサービスをまとめてインストールするには、よりパワーのあるサーバが必要です。サービスを個別にインストールするには、複数のサーバを入手する必要があります。

いずれかのサービスに対して高可用性を設定する場合は、複数のサーバが必要です。

また、他のサービスでは必要ありませんが、Kerberos 認証サービスではインバウンド接続が必要であることも考慮してください。

ハードウェア要件

Windows Server が次のハードウェア要件を満たしていることを確認します。

  • オペレーティング システム:Windows Server 2012R2 Standard 64 ビット以上
  • プロセッサ:Inte(R)Xeon(R) CPU E5-2650 0@2.00 GHZ(2 プロセッサ)x64 ビット プロセッサ以上
表 1. サイズ設定ガイドライン(ディレクトリ同期サービスのみ)
展開サイズ ハードウェア要件 ユーザーとグループの数
2 つの vCPU、8 GB RAM、40 GB のディスク容量

ディレクトリ同期サービスの Java メモリ割り当て:xmx=4g

最大 50,000 ユーザーおよび 500 グループ
4 つの vCPU、8 GB RAM、40 GB のディスク容量

ディレクトリ同期サービスの Java メモリ割り当て:xmx=4g

最大 100,000 ユーザーおよび 1,000 グループ
8 つの vCPU、12 GB RAM、40 GB のディスク容量

ディレクトリ同期サービスの Java メモリ割り当て:xmx=8g

最大 200,000 ユーザーおよび 2,000 グループ
表 2. サイズ設定ガイドライン(ユーザー認証サービスまたは Kerberos 認証サービスのみ)
展開サイズ ユーザー認証または Kerberos 認証サービス サーバのハードウェア要件 ユーザー認証サービス Kerberos 認証サービス
小/中/大 2 つの vCPU、4 GB RAM、40 GB のディスク容量

ユーザー認証サービスまたは Kerberos 認証サービスの Java メモリ割り当て:xmx=1g

パスワード認証:390 ~ 480/min

WSFed アクティブ フロー:720 ~ 900/min

Kerberos 認証:420 ~ 480/min
注: ユーザー認証サービス ノードと Kerberos 認証サービス ノードは垂直方向に拡張できません。スループットを向上させるには、ノードを追加します。
表 3. サイズ設定ガイドライン(単一サーバにインストールされているすべてのサービス)
展開サイズ ハードウェア要件 ディレクトリ同期
2 つの vCPU、8 GB RAM、40 GB のディスク容量

[Java メモリ割り当て:]

ディレクトリ同期サービス:xmx=4g

Kerberos 認証サービス:xmx=1g

ユーザー認証サービス:xmx=1g

最大 50,000 ユーザーおよび 500 グループ
4 つの vCPU、8 GB RAM、40 GB のディスク容量

[Java メモリ割り当て:]

ディレクトリ同期サービス:xmx=4g

Kerberos 認証サービス:xmx=1g

ユーザー認証サービス:xmx=1g

最大 100,000 ユーザーおよび 1,000 グループ
8 つの vCPU、16 GB RAM、40 GB のディスク容量

[Java メモリ割り当て:]

ディレクトリ同期サービス:xmx=8g

Kerberos 認証サービス:xmx=1g

ユーザー認証サービス:xmx=1g

最大 200,000 ユーザーおよび 2,000 グループ
注:
  • メモリ要件には、OS と VMware Connector コンポーネントが含まれます。サーバで他のアプリケーションまたはサービスを実行する予定がある場合は、それに応じて要件を調整します。
  • 各サービスについて一覧表示される Java メモリ割り当ては、Java ヒープ メモリを指します。デフォルトでは、4 GB がディレクトリ同期サービスに、1 GB がユーザー認証サービスに、1 GB が Kerberos 認証サービスに割り当てられます。メモリの割り当て方法については、エンタープライズ サービスの Java メモリを増やすを参照してください。
  • ディレクトリ同期サービスについて一覧表示されるグループはすべて 1 つのレベルで、各グループには 500 ユーザーが含まれ、各ユーザーは 5 つのグループに関連付けられています。
  • 大規模なグループまたはネストされたグループの展開には、より多くのメモリが必要です。

ソフトウェア要件

Windows Server が次のソフトウェア要件を満たしていることを確認します。

要件 メモ

Windows Server 2019

Windows Server 2016 または

Windows Server 2012 R2 または

Windows Server 2008 R2

PowerShell をサーバにインストールする
注: Windows Server 2008 R2 にインストールしている場合は、PowerShell バージョン 4.0 が必要です。
.NET Framework 4.6.2 をインストールする

ネットワーク要件

以下のポートを構成するために、すべてのトラフィックはソース コンポーネントからターゲット コンポーネントへの一方向(アウトバウンド)です。アウトバウンド プロキシまたはその他の接続管理ソフトウェアやハードウェアは、Workspace ONE Access Connector からのアウトバウンド接続を終了または拒否してはなりません。アウトバウンド接続は常に開いたままにしておく必要があります。

vCenter Server の IP アドレス ターゲット ポート プロトコル メモ
Workspace ONE Access Connector Workspace ONE Access サービス(クラウド)

Workspace ONE Access サービス ホスト(オンプレミスのインストール)

443 HTTPS デフォルトのポート。必須

ディレクトリ同期サービス、ユーザー認証サービス、および Kerberos 認証サービスに適用されます

Workspace ONE Access Connector Workspace ONE Access サービスのロード バランサ(オンプレミスのインストール) 443 HTTPS ディレクトリ同期サービス、ユーザー認証サービス、および Kerberos 認証サービスに適用されます
ブラウザ Workspace ONE Access Connector 443 HTTPS Kerberos 認証サービスに必要です
Workspace ONE Access Connector Active Directory 389、636、3268、3269 デフォルトのポート。これらのポートは構成可能です

ディレクトリ同期サービスに適用されます。また、パスワード認証が使用されている場合は、ユーザー認証サービスにも適用されます。

Workspace ONE Access Connector DNS サーバ 53 TCP/UDP すべてのコネクタ インスタンスは、ポート 53 で DNS サーバにアクセスでき、ポート 22 で着信 SSH トラフィックを許可する必要があります。

ディレクトリ同期サービス、ユーザー認証サービス、および Kerberos 認証サービスに適用されます。

Workspace ONE Access Connector ドメイン コントローラ 88、464、135、445 TCP/UDP ディレクトリ同期サービスおよび Kerberos 認証サービスに適用されます
Workspace ONE Access Connector RSA SecurID システム 5500 デフォルトのポート。このポートは構成可能です

RSA SecurID が使用されている場合は、ユーザー認証サービスに適用されます

Workspace ONE Access Connector Syslog サーバ 514 UDP デフォルトのポート。このポートは構成可能です

外部 Syslog サーバ用のポート(構成されている場合)。ディレクトリ同期サービス、ユーザー認証サービス、および Kerberos 認証サービスに適用されます

Workspace ONE Access のクラウド IP アドレス

Workspace ONE Access Connector がアクセスする必要がある Workspace ONE Access クラウド サービスの IP アドレスのリストについては、https://kb.vmware.com/s/article/68035を参照してください。

DNS レコードおよび IP アドレスの要件

コネクタには DNS エントリおよび固定 IP アドレスが必要です。インストールを開始する前に、使用する DNS レコードと IP アドレスを取得し、Windows サーバのネットワーク設定を行います。

Kerberos 認証サービスをインストールする場合、コネクタ サーバには適切でわかりやすいホスト名を選択します。Workspace ONE Access Connector のホスト名は、Kerberos 認証を構成するときにエンド ユーザーに表示されます。

オプションで逆引きの構成が可能です。逆引きを実装する場合には、DNS サーバに PTR レコードを定義して、コネクタが正しいネットワーク構成を使用するようにする必要があります。

以下の DNS レコードのサンプル リストを使用できます。サンプル リストの情報を、それぞれの環境に合わせて書き換えてください。次のサンプルには、DNS の正引きレコードと IP アドレスが記載されています。

表 4. DNS の正引きレコードと IP アドレスの例
ドメイン名 リソース タイプ IP アドレス
myconnector.example.com A 10.28.128.3

次のサンプルには、DNS の逆引きレコードと IP アドレスが記載されています。

表 5. DNS の逆引きレコードと IP アドレスの例
IP アドレス リソース タイプ ホスト名
10.28.128.3 PTR myconnector.example.com

DNS 構成の終了後に、DNS の逆引きが正しく構成されていることを確認します。たとえば、コマンド host IPaddress は DNS 名を解決する必要があります。

ロード バランサ

Kerberos 認証に高可用性を構成する場合は、ロード バランサが必要です。

時刻同期

Workspace ONE Access 展開環境を正しく機能させるには、すべての Workspace ONE Access サービスとコネクタのインスタンスで時刻同期を構成する必要があります。NTP サーバを使用して時刻同期を設定します。