Установка Workspace ONE Access Connector (только для Workspace ONE Access Cloud)

Чтобы установить службы синхронизации каталогов, проверки подлинности пользователей и проверки подлинности Kerberos или службу виртуальных приложений, запустите установщик Workspace ONE Access Connector на соответствующем всем требованиям сервере Windows и выберите службы, которые нужно установить.

Важно!: Workspace ONE Access Connector 22.05 совместим только с версией Workspace ONE Access Cloud. Он несовместим с локальным виртуальным устройством Workspace ONE Access.

Можно выбрать быструю установку по умолчанию, в которой используются значения по умолчанию для большинства параметров, или выборочную установку, которая позволяет настраивать различные параметры.

Установка по умолчанию	Выборочная установка
Использует следующие порты по умолчанию: Служба проверки подлинности пользователей: 8090 Служба синхронизации каталогов: 8080 Служба проверки подлинности Kerberos: 443 Служба виртуальных приложений: 8008 Примечание: Это порты, на которых выполняются корпоративные службы. Входящие подключения нужны только для порта службы проверки подлинности Kerberos.	Позволяет указать настраиваемые порты для корпоративных служб Примечание: Это порты, на которых выполняются корпоративные службы. Входящие подключения нужны только для порта службы проверки подлинности Kerberos.
Автоматически создает самозаверяющий сертификат для соединителя	Позволяет установить доверенный SSL-сертификат для соединителя (обязателен для службы проверки подлинности Kerberos)
	Позволяет отправить доверенные корневые сертификаты в хранилище доверия
	Позволяет настроить прокси-сервер
	Позволяет настроить сервер системного журнала

Вне зависимости от типа выбранной установки можно снова запустить установщик и, при необходимости, изменить все настройки.

Во время установки на сервере также устанавливается OpenJDK 11.

Необходимые условия

См. Предварительные требования для установки Workspace ONE Access Connector (только для Workspace ONE Access Cloud).
В ходе установки необходимо загрузить файлы из консоли Workspace ONE Access. Возможно, для загрузки файлов потребуется использовать браузер, отличный от Internet Explorer. Настройки Internet Explorer по умолчанию могут препятствовать загрузке файлов.

Процедура

Загрузите установщик Workspace ONE Access Connector и файл конфигурации из консоли Workspace ONE Access.
1. а. Войдите в консоль Workspace ONE Access в качестве администратора домена системы.
  
  Совет: При облачных развертываниях администратором домена системы является администратор, учетные данные которого предоставляются при получении арендатора Workspace ONE Access.
2. б. Перейдите на страницу Соединители.
  В облачном арендаторе Workspace ONE Access с включенным переключателем Новая навигация перейдите на страницу Интеграции > Соединители. Если параметр Новая навигация отключен, перейдите на страницу Управление учетными данными и доступом > Настройка > Соединители.
3. в. Нажмите кнопку Создать.
4. г. Если откроется окно Подтверждение использования соединителя, просмотрите информацию, а затем выберите Последняя версия Workspace ONE Access Connector.
  Осторожно!:
  - Workspace ONE Access Connector 22.05 совместим только с версией Workspace ONE Access Cloud. Он несовместим с локальным виртуальным устройством Workspace ONE Access.
  - Workspace ONE Access Connector 22.05 не поддерживает интеграцию с VMware ThinApp.
  - Интеграция с Horizon Cloud Service on Microsoft Azure с Universal Broker настраивается из консоли администрирования Horizon Cloud и не требует службы виртуальных приложений.
  Примечание: При первой установке нового соединителя в арендаторе откроется диалоговое окно Подтверждение использования соединителя. Чтобы позже изменить выбранный вариант, можно использовать кнопку Сбросить выбор соединителя, которая впоследствии появится на странице «Соединители» или «Устаревшие соединители». Подробнее см. в разделе Сброс выбора соединителя в Workspace ONE Access.
  
  Откроется мастер добавления нового соединителя.
5. д. В мастере добавления нового соединителя на странице «Загрузить установщик» щелкните ПЕРЕЙТИ НА ПОРТАЛ MYVMWARE.COM.
  В новом окне откроется веб-страница VMware Customer Connect. Не закрывайте мастер, чтобы вернуться к нему после загрузки установщика.
6. е. Войдите в VMware Customer Connect и загрузите файл Workspace-ONE-Access-Connector-Installer-22.05.exe со страницы «Загрузка Workspace ONE Access Connector».
7. ё. Вернитесь в консоль Workspace ONE Access и нажмите кнопку Далее на странице «Загрузите установщик» мастера добавления нового соединителя.
8. ж. Сгенерируйте файл конфигурации, создав пароль и нажав кнопку Загрузить файл конфигурации.
  Файл конфигурации используется для создания связи между устанавливаемыми корпоративными службами и арендатором Workspace ONE Access. По умолчанию файл называется es-config.json.
  Важно!:
  - Длина пароля должна составлять не менее 14 символов, и он должен содержать крайней мере одну цифру, одну прописную букву и один специальный символ. Разрешено использовать только указанные ниже специальные символы.
    @ ! , # $ { } ( ) _ + . < > ? *
    Все символы должны быть видимыми, печатаемыми символами ASCII.
  - Запишите пароль. При запуске установщика соединителя необходимо ввести пароль и путь к файлу конфигурации.
    Файл конфигурации и его пароль также нужны для будущих обновлений соединителя. Сохраните пароль в надежном месте для дальнейшего использования. Если при обновлении соединителя у вас нет пароля, можно создать новый файл конфигурации.
  Осторожно!: Файл конфигурации содержит конфиденциальную информацию, например URL-адрес клиента, идентификатор арендатора, идентификатор клиента и секретный ключ клиента для каждой из корпоративных служб, а также хэш пароля. Очень важно не предоставлять общий доступ к файлу и не публиковать его.
9. з. После загрузки файла конфигурации нажмите кнопку Далее в мастере.
Скопируйте установщик и файлы конфигурации на сервер Windows, на котором необходимо установить службы.
Дважды щелкните файл установщика, чтобы запустить мастер установки Workspace ONE Access Connector.
Установщик проверит наличие предварительных условий на сервере. Если платформа .NET Framework не установлена или не соответствует требуемой версии, появится запрос о ее установке и перезапуске сервера. После завершения установки.NET Framework снова запустите установщик, чтобы возобновить процесс установки.
Осторожно!: Не перезапускайте систему, если соединитель устанавливается на сервере Connector 19.03.x в рамках переноса соединителя. В случае перезапуска соединитель 19.03.x перестанет работать. Перезапустите систему только после завершения всего процесса переноса соединителя.
На странице «Приветствие» перейдите по ссылке в раздел Информация о версии, просмотрите эту информацию, а также раздел Таблица совместимости продуктов VMware и только после этого нажмите кнопку Далее.
При получении запроса Вопрос подтвердите, что прочитали информацию о версии и проверили таблицу совместимости, а затем нажмите кнопку Да.
Прочтите и примите лицензионное соглашение, а затем нажмите кнопку Далее.
Выберите устанавливаемые службы.

По умолчанию службы устанавливаются в папку C:\Program Files. Чтобы изменить папку установки, нажмите кнопку Изменить и выберите нужную папку.
Нажмите кнопку Далее.
На странице «Укажите файл конфигурации» выполните следующие действия.
1. а. Выберите в консоли Workspace ONE Access загруженный файл конфигурации.
  Если файл конфигурации находится в той же папке, что и программа установки, и имеет имя по умолчанию es-config.json, он автоматически отображается в текстовом поле.
2. б. Введите пароль, заданный для файла конфигурации во время его создания.
3. в. Если необходимо установить соединитель в режиме FIPS, установите флажок Включить FIPS.
  FIPS — это сокращение от Federal Information Processing Standard (федеральный стандарт обработки информации). В нем указаны требования по безопасности для криптографических модулей. Перед установкой этого флажка ознакомьтесь на странице Соединитель Workspace ONE Access Connector и режим FIPS (только Workspace ONE Access FedRAMP) с требованиями для режима FIPS.
  Осторожно!:
  - Соединитель Workspace ONE Access Connector в режиме FIPS поддерживается только для арендаторов Workspace ONE Access FedRAMP. Другие типы арендаторов и локальные установки Workspace ONE Access не поддерживают соединитель в режиме FIPS.
  - Не устанавливайте флажок Включить FIPS, если выполняете переход с устаревшего соединителя версии 19.03.x на соединитель 22.05. При миграции на соединитель 22.05 или обновлении до этой версии режим FIPS не поддерживается. Он поддерживается только для новых установок соединителей.
  - После установки перейти из режима FIPS в режим без FIPS или наоборот будет нельзя. Примите решение с учетом приведенной информации.
Выберите тип установки — По умолчанию или Выборочная установка.
Если выбрана установка По умолчанию, выполните следующие действия.
1. а. На странице «Укажите учетную запись службы» укажите имя пользователя и пароль учетной записи пользователя домена, который будет использоваться для запуска службы проверки подлинности Kerberos и службы виртуальных приложений (только для службы проверки подлинности Kerberos и службы виртуальных приложений).
  
  Введите значение параметра Имя пользователя в формате DOMAIN\Username, например EXAMPLE\administrator. Кроме того, можно нажать кнопку Обзор, а затем выбрать домен и пользователя.
  
  Если не удается найти домены или пользователей при нажатии кнопки Обзор, введите их в текстовом поле в указанном выше формате.
  
  Важно!: Служба проверки подлинности Kerberos поддерживает только следующие специальные символы в пароле учетной записи пользователя домена:
  ! ( & % @ / = ? * , .
  
  Если пароль содержит другие специальные символы, установка службы проверки подлинности Kerberos завершается сбоем.
  
  Примечание: Страница «Укажите учетную запись службы» отображается, только если устанавливается служба проверки подлинности Kerberos или служба виртуальных приложений.
2. б. Нажмите кнопку Далее.
3. в. На странице «Готово к установке программы» проверьте выбранные параметры и нажмите кнопку Установить.
  
  Установка займет несколько минут.
  Осторожно!: По завершении процесса установки может отобразиться запрос на перезапуск системы. Не перезапускайте систему, если соединитель устанавливается на сервере Connector 19.03.x в рамках переноса соединителя. Перезапустите систему только после завершения всего процесса переноса соединителя.
Если выбрана Выборочная установка, выполните следующие действия.
1. а. На странице «Укажите сведения о прокси-сервере» укажите прокси-сервер, если это необходимо.
  Веб-службы для доступа к корпоративным службам в Интернете. Если конфигурация сети обеспечивает доступ к Интернету через прокси-сервер HTTP, необходимо указать прокси-сервер. Дополнительные сведения о поддерживаемых прокси-серверах см. в разделе Системные требования к Workspace ONE Access Connector 22.05 (только для Workspace ONE Access Cloud).
  Кроме того, можно указать список узлов без прокси-сервера, т. е. узлов, к которым следует получать непосредственный доступ без использования прокси-сервера.
  1. Установите флажок Включить прокси-сервер.
  2. Введите имя узла, указанное в качестве полного доменного имени (FQDN), или IP-адрес прокси-сервера.
  3. Укажите порт прокси-сервера.
  4. Если необходимо указать узлы без прокси-сервера, т. е. узлы, к которым нужно получить непосредственный доступ без использования прокси-сервера, введите полное доменное имя (FQDN) или IP-адрес в текстовом поле Узлы без прокси-сервера. Используйте следующий формат, разделяя записи символами |:
    host1|host2
  5. Если для прокси-сервера требуется проверка подлинности, выберите Basic, а затем введите имя пользователя и пароль для прокси-сервера.
2. б. Нажмите кнопку Далее.
3. в. Чтобы использовать один или несколько внешних серверов системного журнала для хранения сообщений о событиях уровня приложений, на странице «Укажите сервер системного журнала» выберите параметр Включить системный журнал и введите IP-адрес или полное доменное имя (FQDN) и порт каждого сервера системного журнала.
  
  Чтобы указать отдельный сервер системного журнала, используйте следующий формат:
  
  host:port
  
  Чтобы указать несколько серверов системного журнала, используйте следующий формат:
  
  host:port,host:port,host:port
  
  Здесь host — это полное доменное имя или IP-адрес сервера системного журнала, а port — это номер порта. Например:
  
  syslog1.example.com:54
  
  или
  
  syslog1.example.com:514,syslog2.example.com:601,syslog3.example.com:163
  
  Примечание: На серверы системного журнала экспортируются только события уровня приложений. События операционной системы не экспортируются.
4. г. Нажмите кнопку Далее.
5. д. При необходимости на странице «Установка доверенных корневых сертификатов» отправьте корневой или промежуточный сертификат центра сертификации в хранилище доверия.
  Соединитель сможет установить безопасные подключения к серверам и клиентам, цепочка сертификатов которых включает в себя любой из таких сертификатов. Ниже перечислены сценарии отправки сертификатов в хранилище доверия.
  - При развертывании нескольких экземпляров службы проверки подлинности Kerberos за пределами подсистемы балансировки нагрузки в экземплярах соединителя необходимо установить сертификат корневого центра сертификации подсистемы балансировки нагрузки, чтобы установить доверие между соединителями и подсистемой балансировки нагрузки (только для службы проверки подлинности Kerberos).
  - (Только для службы виртуальных приложений) Если создаются коллекции виртуальных приложений для интеграции с VMware Horizon, Horizon Cloud Service в Microsoft Azure с функцией брокера для отдельных модулей или Horizon Cloud Service в IBM Cloud, а серверы Horizon имеют самозаверяющие сертификаты, необходимо отправить цепочку сертификатов в экземпляры соединителя, в которых установлена служба виртуальных приложений, для установления доверия между соединителями и серверами Horizon Connection Server. Если серверы Horizon имеют сертификаты, подписанные общедоступным центром сертификации, их не нужно отправлять в хранилище доверия соединителя. Настоятельно рекомендуется использовать сертификаты, подписанные общедоступным центром сертификации.
  Кроме того, доверенные корневые сертификаты можно отправить позже (после установки).
6. е. Нажмите кнопку Далее.
7. ё. Просмотрите порты по умолчанию, на которых выполняются корпоративные службы, и укажите другие, если эти используются другими приложениями.
  
  Для порта службы проверки подлинности Kerberos, требуется входящее подключение. Для портов служб проверки подлинности пользователей и синхронизации каталогов, а также службы виртуальных приложений входящее подключение не требуется.
8. ж. На странице «Сертификат SSL для службы проверки подлинности Kerberos» выберите сертификат, который будет использоваться для сервера соединителя (только для службы проверки подлинности Kerberos).
  Для службы проверки подлинности Kerberos требуется доверенный сертификат SSL, подписанный общедоступным или внутренним центром сертификации. Если доверенный сертификат SSL не отправлен при установке, автоматически создается самозаверяющий сертификат. Вы можете отправить доверенный сертификат SSL позже.
  - Чтобы отправить доверенный сертификат SSL, установите флажок Хотите ли вы воспользоваться собственным сертификатом SSL?, нажмите кнопку Обзор и выберите файл сертификата.
    Файл сертификата должен быть в формате PEM или PFX. При отправке PEM-файла также загрузите закрытый ключ. При отправке PFX-файла также укажите пароль сертификата. Дополнительные сведения о требованиях для сертификатов см. в разделе Отправка сертификата SSL для службы проверки подлинности Kerberos (только для Workspace ONE Access).
  - Чтобы использовать автоматически созданный самозаверяющий сертификат, снимите флажок Хотите ли вы воспользоваться собственным сертификатом SSL?.
    Примечание: Если используется созданный в Workspace ONE Access самозаверяющий сертификат, понадобится добавить корневой сертификат, созданный Workspace ONE Access в клиентских хранилищах доверия. Корневой сертификат root_ca.per из папки INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf можно получить после установки.
    Хотя для тестирования можно использовать самозаверяющий сертификат, в производственной среде рекомендуется применять доверенные сертификаты SSL, подписанные общедоступным или внутренним центром сертификации.
9. з. Нажмите кнопку Далее.
10. и. На странице «Укажите учетную запись службы» укажите имя пользователя и пароль учетной записи пользователя домена, который будет использоваться для запуска службы проверки подлинности Kerberos и службы виртуальных приложений (только для службы проверки подлинности Kerberos и службы виртуальных приложений).
  
  Важно!: Служба проверки подлинности Kerberos поддерживает только следующие специальные символы в пароле учетной записи пользователя домена:
  ! ( & % @ / = ? * , .
  
  Если пароль содержит другие специальные символы, установка службы проверки подлинности Kerberos завершается сбоем.
  
  Введите значение параметра Имя пользователя в формате DOMAIN\Username, например EXAMPLE\administrator. Кроме того, можно нажать кнопку Обзор, а затем выбрать домен и пользователя.
  
  Примечание: Если не удается найти домены или пользователей при нажатии кнопки Обзор, введите их в текстовом поле в указанном выше формате.
  
  Примечание: Страница «Укажите учетную запись службы» отображается, только если устанавливается служба проверки подлинности Kerberos или служба виртуальных приложений.
11. й. На странице «Готово к установке программы» проверьте выбранные параметры и нажмите кнопку Установить.
  Установка займет несколько минут.
  Осторожно!: По завершении процесса установки может отобразиться запрос на перезапуск системы. Не перезапускайте систему, если соединитель устанавливается на сервере Connector 19.03.x в рамках переноса соединителя. Перезапустите систему только после завершения всего процесса переноса соединителя.
После успешного завершения установки убедитесь, что на сервере Windows запущены службы.
Имена служб:
- Служба синхронизации каталогов VMware
- Служба проверки подлинности пользователей VMware
- Служба проверки подлинности Kerberos VMware
- Служба виртуальных приложений VMware
Перейдите в консоль Workspace ONE Access и обновите страницу Соединители. Убедитесь, что новые службы отображаются и находятся в активном состоянии.
В случае неудачной установки удалите как установщик, так и файл конфигурации, загруженный из консоли Workspace ONE Access, а затем запустите процесс установки еще раз.

Результаты

После успешной установки устанавливаемые корпоративные службы будут зарегистрированы в арендаторе Workspace ONE Access и будут отображаться на странице «Соединители» в консоли Workspace ONE Access.

Например:

На странице отображаются соединитель и все установленные службы. Состояние — активно, работоспособность — зеленый значок, версия — 22.05.

Дальнейшие действия

В консоли Workspace ONE Access настройте установленные корпоративные службы. Сведения об интеграции каталогов с помощью службы синхронизации каталогов см. в разделе Интеграция каталога с помощью VMware Workspace ONE Access. Дополнительные сведения о настройке проверки подлинности с помощью службы проверки подлинности пользователей или Kerberos см. в разделе Управление методами проверки подлинности пользователей в VMware Workspace ONE Access. Сведения об интеграции Horizon, Horizon Cloud Service в Microsoft Azure с функцией брокера для отдельных модулей или Horizon Cloud Service в IBM Cloud и виртуальных приложений Citrix с помощью службы виртуальных приложений см. в разделе Настройка ресурсов в VMware Workspace ONE Access.
При использовании самозаверяющего сертификата, созданного для службы проверки подлинности Kerberos с помощью Workspace ONE Access, необходимо добавить корневой сертификат, созданный Workspace ONE Access, в хранилища доверия клиентов (только для службы проверки подлинности Kerberos). Корневой сертификат root_ca.per можно получить из папки INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf.
Хотя для тестирования можно использовать самозаверяющий сертификат, в производственной среде рекомендуется применять доверенные сертификаты SSL, подписанные общедоступным или внутренним центром сертификации. См. Отправка сертификата SSL для службы проверки подлинности Kerberos (только для Workspace ONE Access).