Чтобы установить службы синхронизации каталогов, проверки подлинности пользователей или проверки подлинности Kerberos, запустите программу установки Workspace ONE Access Connector на соответствующем всем требованиям сервере Windows и выберите службы, которые нужно установить.

Можно выбрать быструю установку по умолчанию, в которой используются значения по умолчанию для большинства параметров, или выборочную установку, которая позволяет настраивать различные параметры.

Установка по умолчанию Выборочная установка
Использует следующие порты по умолчанию:
  • Служба проверки подлинности пользователей: 8090
  • Служба синхронизации каталогов: 8080
  • Служба проверки подлинности Kerberos: 443
Примечание: Это порты, на которых выполняются корпоративные службы. Входящие подключения нужны только для порта службы проверки подлинности Kerberos.
Позволяет указать настраиваемые порты для корпоративных служб
Примечание: Это порты, на которых выполняются корпоративные службы. Входящие подключения нужны только для порта службы проверки подлинности Kerberos.
Автоматически создает самозаверяющий сертификат для соединителя Позволяет установить доверенный SSL-сертификат для соединителя (обязателен для службы проверки подлинности Kerberos)
Позволяет отправить доверенные корневые сертификаты в хранилище доверия
Примечание: Если в экземпляре локальной службы Workspace ONE используется самозаверяющий сертификат, который вы установили, его и, при необходимости, промежуточный сертификат необходимо передать в корневой каталог, чтобы установить доверие между корпоративными службами и экземпляром службы Workspace ONE Access.
Позволяет настроить прокси-сервер
Позволяет настроить сервер системного журнала

Вне зависимости от типа выбранной установки можно снова запустить установщик и, при необходимости, изменить все настройки.

Необходимые условия

Процедура

  1. Загрузите установщик Workspace ONE Access Connector и файл конфигурации из консоли Workspace ONE Access.
    1. а. Войдите в консоль Workspace ONE Access в качестве администратора домена системы.
      Совет: При облачных развертываниях администратором домена системы является администратор, учетные данные которого предоставляются при получении арендатора Workspace ONE Access. При локальных развертываниях администратором домена системы является администратор, созданный при установке экземпляра Workspace ONE Access.
    2. б. Перейдите на страницу Управление учетными данными и доступом > Настройка > Соединители.
    3. в. Нажмите кнопку Создать.
    4. г. Просмотрите информацию в диалоговом окне «Подтверждение использования виртуальных приложений», а затем выберите Workspace ONE Access Connector 20.10.
      Откроется диалоговое окно «Подтверждение использования виртуальных приложений». Доступные варианты: Workspace ONE Access Connector 20.10 или устаревшие соединители.
      Осторожно!: Workspace ONE Access Connector 20.10 не поддерживает виртуальные приложения (интеграции с Horizon, Horizon Cloud, Citrix и ThinApp). Не устанавливайте Connector 20.10, если планируете интегрировать виртуальные приложения. Чтобы использовать виртуальные приложения, выберите Устаревшие соединители и установите Connector 19.03.0.1 или более ранних версий. Для интеграции приложений и настольных компьютеров Horizon, Horizon Cloud или Citrix используйте VMware Identity Manager Connector (Windows) версии 19.03.0.1. Для интеграции пакетных приложений ThinApp используйте VMware Identity Manager Connector (Linux) версии 2018.8.1.0.
      Примечание: При первой установке нового соединителя в арендаторе откроется диалоговое окно «Подтверждение использования виртуальных приложений». Чтобы позже изменить выбранный вариант, можно использовать кнопку Сброс использования виртуальных приложений, которая появится на странице «Соединители» или «Устаревшие соединители». Дополнительные сведения см. в разделе Сброс параметра использования виртуальных приложений в Workspace ONE Access.
    5. д. Просмотрите сведения в диалоговом окне подтверждения, а затем щелкните Продолжить в любом случае, если необходимо продолжить.
      Откроется мастер добавления нового соединителя.
    6. е. В мастере добавления нового соединителя щелкните ПЕРЕЙТИ НА MYVMWARE.COM.
      В новом окне откроется веб-страница My VMware. Не закрывайте мастер, чтобы вернуться к нему после загрузки установщика.
    7. ё. На странице https://my.vmware.com выполните вход с помощью учетной записи My VMware и загрузите файл Workspace ONE Access Connector Installer.exe.
    8. ж. Вернитесь в консоль Workspace ONE Access и нажмите кнопку Далее в мастере добавления нового соединителя.
    9. з. Сгенерируйте файл конфигурации, создав пароль и нажав кнопку Загрузить файл конфигурации.
      Длина пароля должна составлять минимум 14 символов. Он должен включать в себя прописные буквы, строчные буквы, цифры и специальные символы. Не используйте символы & или %. Все символы должны быть видимыми, печатаемыми символами ASCII.
      Файл конфигурации используется для создания связи между устанавливаемыми корпоративными службами и арендатором Workspace ONE Access. По умолчанию файл называется es-config.json.
      Осторожно!: Файл конфигурации содержит конфиденциальную информацию, например URL-адрес клиента, идентификатор арендатора, идентификатор клиента и секретный ключ клиента для каждой из корпоративных служб, а также хэш пароля. Очень важно не предоставлять общий доступ к файлу и не публиковать его.
    10. и. После загрузки файла конфигурации нажмите кнопку Далее в мастере.
  2. Скопируйте установщик и файлы конфигурации на сервер Windows, на котором необходимо установить службы.
  3. Дважды щелкните файл установщика, чтобы запустить мастер установки Workspace ONE Access Connector.
  4. На странице приветствия нажмите кнопку Далее.
    Установщик проверит наличие предварительных условий на сервере. Если не установлена платформа .NET Framework, появится запрос о ее установке и перезапуске сервера. После перезапуска запустите установщик, чтобы возобновить процесс установки.
  5. Прочтите и примите лицензионное соглашение, а затем нажмите кнопку Далее.
    Мастер установки — лицензионное соглашение
  6. Выберите устанавливаемые службы.
    Мастер установки — страница выбора служб
    По умолчанию службы устанавливаются в папку C:\Program Files. Чтобы изменить папку установки, нажмите кнопку Изменить и выберите нужную папку.
  7. Нажмите кнопку Далее.
  8. Если на сервере Windows не установлена последняя основная версия Java Runtime Environment (JRE™), отобразится следующее всплывающее окно.
    Мастер установки — сообщение об установке Java
    Чтобы установить JRE, нажмите Да. Установка займет несколько минут. Существующие версии JRE не удаляются при установке требуемой версии.
  9. На странице «Выбор файла конфигурации» выберите файл конфигурации, загруженный из консоли Workspace ONE Access, введите заданный вами пароль и нажмите кнопку Далее.
    Если файл конфигурации находится в той же папке, что и программа установки, и имеет имя по умолчанию es-config.json, он автоматически отображается в текстовом поле.
    Мастер установки — страница файла конфигурации
  10. Выберите тип установки — По умолчанию или Выборочная установка.
    Мастер установки — выбор типа установки
  11. Если выбрана установка По умолчанию, выполните следующие действия.
    1. а. На странице «Укажите учетную запись службы» укажите имя пользователя и пароль учетной записи пользователя домена, который будет использоваться для запуска службы проверки подлинности Kerberos (только для службы проверки подлинности Kerberos).
      Введите значение параметра Имя пользователя в формате DOMAIN\Username, например EXAMPLE\administrator. Кроме того, можно нажать кнопку Обзор, а затем выбрать домен и пользователя.

      Если не удается найти домены или пользователей при нажатии кнопки Обзор, введите их в текстовом поле в указанном выше формате.

      Важно!: Служба проверки подлинности Kerberos поддерживает только следующие специальные символы в пароле учетной записи пользователя домена: @!*. Если пароль содержит другие специальные символы, установка службы проверки подлинности Kerberos завершается сбоем.
      Мастер установки — страница учетной записи пользователя домена
      Примечание: Страница «Укажите учетную запись службы» отображается только в том случае, если устанавливается служба проверки подлинности Kerberos.
    2. б. Нажмите кнопку Далее.
    3. в. На странице «Готово к установке программы» проверьте выбранные параметры и нажмите кнопку Установить.
      Мастер установки — страница «Готово к установке»
      Установка займет несколько минут.
  12. Если выбрана Выборочная установка, выполните следующие действия.
    1. а. На странице «Укажите сведения о прокси-сервере» укажите прокси-сервер, если это необходимо.
      Веб-службы для доступа к корпоративным службам в Интернете. Если конфигурация сети обеспечивает доступ к Интернету через прокси-сервер HTTP, необходимо указать прокси-сервер.

      Кроме того, можно указать список узлов без прокси-сервера, т. е. узлов, к которым следует получать непосредственный доступ без использования прокси-сервера.

      1. Установите флажок Включить прокси-сервер.
      2. Введите имя узла, указанное в качестве полного доменного имени (FQDN), или IP-адрес прокси-сервера.
      3. Укажите порт прокси-сервера.
      4. Если необходимо указать узлы без прокси-сервера, т. е. узлы, к которым нужно получить непосредственный доступ без использования прокси-сервера, введите полное доменное имя (FQDN) или IP-адрес в текстовом поле Узлы без прокси-сервера. Используйте следующий формат, разделяя записи символами |:

        host1|host2

      5. Если для прокси-сервера требуется проверка подлинности, выберите Basic/Windows и введите имя пользователя и пароль для прокси-сервера.
      Мастер установки — страница прокси-сервера
    2. б. Нажмите кнопку Далее.
    3. в. Чтобы использовать один или несколько внешних серверов системного журнала для хранения сообщений о событиях уровня приложений, на странице «Укажите сервер системного журнала» выберите параметр Включить системный журнал и введите IP-адрес или полное доменное имя (FQDN) и порт каждого сервера системного журнала.

      Чтобы указать отдельный сервер системного журнала, используйте следующий формат:

      host:port

      Чтобы указать несколько серверов системного журнала, используйте следующий формат:

      host:port,host:port,host:port

      Здесь host — это полное доменное имя или IP-адрес сервера системного журнала, а port — это номер порта. Пример:

      syslog1.example.com:54

      или

      syslog1.example.com:514,syslog2.example.com:601,syslog3.example.com:163
      Мастер установки — страница сервера системного журнала
      Примечание: На серверы системного журнала экспортируются только события уровня приложений. События операционной системы не экспортируются.
    4. г. Нажмите кнопку Далее.
    5. д. При необходимости на странице «Установка доверенных корневых сертификатов» отправьте корневой или промежуточный сертификат центра сертификации в хранилище доверия.
      Соединитель сможет установить безопасные подключения к серверам и клиентам, цепочка сертификатов которых включает в себя любой из таких сертификатов. Ниже перечислены сценарии отправки сертификатов в хранилище доверия.
      • Если в экземпляре локальной службы Workspace ONE Access используется самозаверяющий сертификат, который вы установили, его и, при необходимости, промежуточный сертификат следует передать в корневой каталог, чтобы установить доверие между корпоративными службами и экземпляром службы Workspace ONE Access (только для локальной установки).
      • При развертывании нескольких экземпляров службы проверки подлинности Kerberos за пределами подсистемы балансировки нагрузки в экземплярах соединителя необходимо установить сертификат корневого центра сертификации подсистемы балансировки нагрузки, чтобы установить доверие между соединителями и подсистемой балансировки нагрузки (только для службы проверки подлинности Kerberos).

      Кроме того, доверенные корневые сертификаты можно отправить позже (после установки).

      Мастер установки — страница «Доверенный корневой сертификат»
    6. е. Нажмите кнопку Далее.
    7. ё. Просмотрите порты по умолчанию, на которых выполняются корпоративные службы, и укажите другие, если эти используются другими приложениями.

      Входящие подключения нужны только для порта службы проверки подлинности Kerberos. Они не являются обязательными для портов службы проверки подлинности пользователя или службы синхронизации каталогов.

      Мастер установки — страница «Порты»
    8. ж. На странице «Сертификат SSL для службы проверки подлинности Kerberos» выберите сертификат, который будет использоваться для сервера соединителя (только для службы проверки подлинности Kerberos).
      Для службы проверки подлинности Kerberos требуется доверенный сертификат SSL, подписанный общедоступным или внутренним центром сертификации. Если доверенный сертификат SSL не отправлен при установке, автоматически создается самозаверяющий сертификат. Вы можете отправить доверенный сертификат SSL позже.
      • Чтобы отправить доверенный сертификат SSL, установите флажок Хотите ли вы воспользоваться собственным сертификатом SSL?, нажмите кнопку Обзор и выберите файл сертификата.

        Файл сертификата должен быть в формате PEM или PFX. При отправке PEM-файла также загрузите закрытый ключ. При отправке PFX-файла также укажите пароль сертификата. Дополнительные сведения о требованиях для сертификатов см. в разделе Отправка сертификата SSL для Workspace ONE Access Connector (только для службы проверки подлинности Kerberos).

      • Чтобы использовать автоматически созданный самозаверяющий сертификат, снимите флажок Хотите ли вы воспользоваться собственным сертификатом SSL?.
        Примечание: Если используется созданный Workspace ONE Access самозаверяющий сертификат, необходимо добавить корневой сертификат, созданный Workspace ONE Access, в хранилища доверия клиентов. Корневой сертификат root_ca.per из папки INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf можно получить после установки.

        Хотя для тестирования можно использовать самозаверяющий сертификат, в производственной среде рекомендуется применять доверенные сертификаты SSL, подписанные общедоступным или внутренним центром сертификации.

      Мастер установки — страница выбора сертификата
    9. з. Нажмите кнопку Далее.
    10. и. На странице «Укажите учетную запись службы» укажите имя пользователя и пароль учетной записи пользователя домена, который будет использоваться для запуска службы проверки подлинности Kerberos (только для службы проверки подлинности Kerberos).
      Введите значение параметра Имя пользователя в формате DOMAIN\Username, например EXAMPLE\administrator. Кроме того, можно нажать кнопку Обзор, а затем выбрать домен и пользователя.

      Если не удается найти домены или пользователей при нажатии кнопки Обзор, введите их в текстовом поле в указанном выше формате.

      Важно!: Служба проверки подлинности Kerberos поддерживает только следующие специальные символы в пароле учетной записи пользователя домена: @!*. Если пароль содержит другие специальные символы, установка службы проверки подлинности Kerberos завершается сбоем.
      Мастер установки — страница пользователя домена
      Примечание: Страница «Укажите учетную запись службы» отображается только в том случае, если устанавливается служба проверки подлинности Kerberos.
    11. й. На странице «Готово к установке программы» проверьте выбранные параметры и нажмите кнопку Установить.
      Установка займет несколько минут.
  13. После успешного завершения установки убедитесь, что на сервере Windows запущены службы.
    Имена служб:
    • Служба синхронизации каталогов VMware
    • Служба проверки подлинности пользователей VMware
    • Служба проверки подлинности Kerberos VMware
  14. Перейдите в консоль Workspace ONE Access и обновите страницу Управление учетными данными и доступом > Настройка > Соединители. Убедитесь, что новые службы отображаются и находятся в активном состоянии.
    В случае неудачной установки удалите как установщик, так и файл конфигурации, загруженный из консоли Workspace ONE Access, а затем запустите процесс установки еще раз.

Результаты

После успешной установки устанавливаемые корпоративные службы будут зарегистрированы в арендаторе Workspace ONE Access и будут отображаться на странице «Соединители» в консоли Workspace ONE Access.

Пример:

Дальнейшие действия

  • В консоли Workspace ONE Access настройте установленные корпоративные службы. Сведения об интеграции каталогов с помощью службы синхронизации каталогов см. в разделе Интеграция каталога с помощью Workspace ONE Access. Дополнительные сведения о настройке проверки подлинности с помощью службы проверки подлинности пользователей или Kerberos см. в разделе Управление методами проверки подлинности пользователей в Workspace ONE Access.
  • При использовании самозаверяющего сертификата, созданного для службы проверки подлинности Kerberos с помощью Workspace ONE Access, необходимо добавить корневой сертификат, созданный Workspace ONE Access, в хранилища доверия клиентов (только для службы проверки подлинности Kerberos). Корневой сертификат root_ca.per можно получить из папки INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf.

    Хотя для тестирования можно использовать самозаверяющий сертификат, в производственной среде рекомендуется применять доверенные сертификаты SSL, подписанные общедоступным или внутренним центром сертификации. См. Отправка сертификата SSL для Workspace ONE Access Connector (только для службы проверки подлинности Kerberos).