Установленную версию Workspace ONE Access Connector можно в любое время обновить, добавив или изменив корпоративные службы. Запустите программу установки еще раз, чтобы внести изменения.

Доступные изменения перечислены ниже.

  • Добавление служб синхронизации каталогов, проверки подлинности пользователей и проверки подлинности Kerberos, а также службы виртуальных приложений
  • Указание пользовательских портов для каждой службы
  • Настройка прокси-сервера
  • Настройка сервера системного журнала
  • Установка доверенных корневых сертификатов
  • Установка доверенного сертификата SSL для службы проверки подлинности Kerberos (только для службы проверки подлинности Kerberos)
  • Настройка службы проверки подлинности Kerberos и службы виртуальных приложений для запуска от имени учетной записи пользователя домена (только для службы проверки подлинности Kerberos и службы виртуальных приложений)
  • Настройка параметров для коллекций виртуальных приложений Citrix, связанных с агрегированием нескольких сайтов и фильтрацией ключевых слов (только для службы виртуальных приложений).
Примечание: Удалить службу можно также из соединителя. Чтобы удалить службу, запустите программу установки еще раз, так как эту операцию невозможно выполнить одновременно с добавлением и изменением служб. См. Удаление корпоративной службы из Workspace ONE Access Connector.

Необходимые условия

  • Обратите внимание, что все корпоративные службы в установленном соединителе подключены к одному и тому же арендатору Workspace ONE Access. При изменении установленной версии для добавления службы автоматически используется файл конфигурации, загруженный из арендатора для исходной установки.
  • В случае изменения существующей конфигурации сначала приостановите корпоративные службы из консоли Workspace ONE Access. Перейдите на страницу Интеграции > Соединители, выберите соединитель, щелкните Управление и приостановите работу службы с помощью переключателя, расположенного рядом с именем каждой службы.

Процедура

  1. Войдите на сервер Windows, на котором установлен Workspace ONE Access Connector.
  2. Перейдите в папку, содержащую программу установки соединителя, и дважды щелкните файл Workspace ONE Access Connector Installer.exe.
  3. На странице приветствия нажмите кнопку Далее.
  4. На странице обслуживания программы выберите параметр Добавить/удалить службы, а затем нажмите кнопку Далее.
  5. На странице выбора службы укажите службы, которые необходимо добавить, а затем нажмите кнопку Далее.
  6. Если отобразится страница «Укажите файл конфигурации», выберите тот же файл конфигурации, который был загружен из арендатора Workspace ONE Access для исходной установки.
    Страница «Укажите файл конфигурации» отображается только в том случае, если выбраны службы для добавления.
  7. Внесите изменения на соответствующих страницах мастера.
    Параметр Действие
    Обновление портов, на которых запущены корпоративные службы На странице «Укажите порты» введите порт для каждой службы. Входящее подключение требуется только для порта службы проверки подлинности Kerberos. Оно не требуется для портов служб проверки подлинности пользователя и синхронизации каталогов.

    Порты по умолчанию.

    • Служба проверки подлинности пользователей: 8090
    • Служба синхронизации каталогов: 8080
    • Служба проверки подлинности Kerberos: 443
    • Служба виртуальных приложений: 8008
    Загрузка доверенного сертификата SSL для сервера соединителя На странице «Установка сертификатов SSL» установите флажок Хотите ли вы воспользоваться собственным сертификатом SSL?, нажмите кнопку Обзор и выберите сертификат.

    Файл сертификата должен быть в формате PEM или PFX. Если файл в формате PEM, потребуется загрузить файл ключа. Если файл в формате PFX, потребуется ввести пароль сертификата.

    Дополнительные сведения о требованиях к сертификатам см. в разделе Отправка сертификата SSL для службы проверки подлинности Kerberos.

    Важно!: Для службы проверки подлинности Kerberos требуется доверенный сертификат SSL. Если доверенный сертификат SSL не загружен, автоматически создается самозаверяющий сертификат. Чтобы использовать этот созданный в Workspace ONE Access самозаверяющий сертификат, понадобится добавить корневой сертификат, созданный Workspace ONE Access, в хранилища доверия клиентов. Корневой сертификат root_ca.per из папки INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf можно получить после установки.

    Несмотря на то что для тестирования можно использовать самозаверяющий сертификат, в производственной среде рекомендуется применять доверенные сертификаты SSL, подписанные общедоступным или внутренним центром сертификации.
    Передача или удаление доверенных корневых сертификатов из хранилища доверия На странице «Установка доверенных корневых сертификатов» выполните следующие действия.
    • Чтобы отправить сертификат, нажмите кнопку Обзор и выберите сертификат.
    • Чтобы удалить сертификат, выберите сертификат и нажмите кнопку Удалить.
    • Чтобы просмотреть установленный сертификат, щелкните элемент Просмотреть сертификат.

    Соединитель сможет установить безопасные подключения к серверам, цепочка сертификатов которых включает в себя любой из таких сертификатов, добавляемых в хранилище доверия. Ниже перечислены сценарии отправки сертификатов в хранилище доверия.

    • Если в экземпляре локальной службы Workspace ONE Access используется самозаверяющий сертификат, который вы установили, его и, при необходимости, промежуточный сертификат необходимо передать в корневой каталог, чтобы установить доверие между корпоративными службами и экземпляром службы Workspace ONE Access (только для локальных установок).
    • При развертывании нескольких экземпляров службы проверки подлинности Kerberos за пределами подсистемы балансировки нагрузки в экземплярах соединителя необходимо установить сертификат корневого центра сертификации подсистемы балансировки нагрузки, чтобы установить доверие между соединителями и подсистемой балансировки нагрузки (только для службы проверки подлинности Kerberos).
    • (Только для службы виртуальных приложений) Если создаются коллекции виртуальных приложений для интеграции с VMware Horizon, Horizon Cloud Service в Microsoft Azure с функцией брокера для отдельных модулей или Horizon Cloud Service в IBM Cloud, а серверы Horizon имеют самозаверяющие сертификаты, необходимо отправить цепочку сертификатов в экземпляры соединителя, в которых установлена служба виртуальных приложений, для установления доверия между соединителями и серверами Horizon Connection Server. Если серверы Horizon имеют сертификаты, подписанные общедоступным центром сертификации, их не нужно отправлять в хранилище доверия соединителя. Настоятельно рекомендуется использовать сертификаты, подписанные общедоступным центром сертификации.
    Указание прокси-сервера При необходимости на странице «Указание сведений о прокси-сервере» введите данные прокси-сервера. Веб-службы для доступа к корпоративным службам в Интернете. Если конфигурация сети обеспечивает доступ к Интернету через прокси-сервер HTTP, необходимо указать прокси-сервер. Дополнительные сведения о поддерживаемых прокси-серверах см. в разделе Системные требования к соединителю Workspace ONE Access Connector 23.09.

    Кроме того, можно указать список узлов без прокси-сервера, т. е. узлов, к которым следует получать непосредственный доступ без использования прокси-сервера.

    1. а.Установите флажок Включить прокси-сервер.
    2. б.Введите имя узла, указанное в качестве полного доменного имени (FQDN), или IP-адрес прокси-сервера.
    3. в.Укажите порт прокси-сервера.
    4. г.Если необходимо указать узлы без прокси-сервера, т. е. узлы, к которым нужно получать непосредственный доступ без использования прокси-сервера, укажите полное доменное имя (FQDN) и порты в текстовом поле Узлы без прокси-сервера. Используйте следующий формат, разделяя записи символами |:

      host1|host2

    5. д.Если для прокси-сервера требуется проверка подлинности, выберите Basic, а затем введите имя пользователя и пароль для прокси-сервера.
    Указание внешнего сервера системного журнала для хранения сообщений о событиях на уровне приложений На странице «Указание сведений о сервере системного журнала» установите флажок Включить системный журнал и введите IP-адрес или полное доменное имя и порт сервера системного журнала.

    Чтобы указать отдельный сервер системного журнала, используйте следующий формат:

    host:port

    Чтобы указать несколько серверов системного журнала, используйте следующий формат:

    host:port,host:port,host:port

    Здесь host — это полное доменное имя или IP-адрес сервера системного журнала, а port — это номер порта. Например:

    syslog1.example.com:54

    или

    syslog1.example.com:514,syslog2.example.com:601,syslog3.example.com:163
    Примечание: На сервер системного журнала экспортируются только события уровня приложений. События операционной системы не экспортируются.
    Указание или изменение учетной записи пользователя домена, используемой для запуска службы проверки подлинности Kerberos и службы виртуальных приложений

    Для запуска службы проверки подлинности Kerberos и службы виртуальных приложений требуется учетная запись пользователя домена.

    На странице «Учетная запись службы» введите имя пользователя и пароль учетной записи пользователя домена в формате DOMAIN\username, например EXAMPLE\administrator. Кроме того, можно нажать кнопку Обзор, а затем выбрать домен и пользователя.

    Если не удается найти домены или пользователей при нажатии кнопки Обзор, введите их в текстовом поле в указанном выше формате.

    Важно!: Служба проверки подлинности Kerberos поддерживает только следующие специальные символы в пароле учетной записи пользователя домена:

    ! ( & % @ / = ? * , . #

    Если пароль содержит другие специальные символы, установка службы проверки подлинности Kerberos завершается сбоем.
    Настройка параметров коллекций виртуальных приложений Citrix При интеграции Workspace ONE Access со средой Citrix, для которой включена функция агрегирования нескольких сайтов или фильтрации ключевых слов, выберите на странице «Конфигурация Citrix» параметры, которые применяются к сценарию.
    • Включить сеанс PowerShell с ограниченным доступом Citrix StoreFront

      Этот параметр следует выбирать, только если среда Citrix ограничивает команды PowerShell, которые можно выполнять удаленно в StoreFront. Если выбран этот параметр, необходимо также создать файл конфигурации сеанса PowerShell в StoreFront, чтобы разрешить службе виртуальных приложений выполнять ограниченные команды, необходимые для агрегирования нескольких сайтов и фильтрации ключевых слов. В текстовом поле Имя конфигурации введите имя конфигурации, указанное при создании файла конфигурации сеанса, без расширения. В имени разрешено использовать только буквенно-цифровые символы.

    • Включить фильтрацию ключевых слов Citrix

      Выберите этот параметр, если фильтрация ключевых слов включена в StoreFront. Для того чтобы служба Workspace ONE Access поддерживала фильтрацию ключевых слов, среда Citrix не должна содержать никаких ограничений для команд PowerShell, которые можно выполнить удаленно в StoreFront, или же следует выбрать параметр Включить сеанс PowerShell с ограниченным доступом Citrix StoreFront и настроить файл конфигурации сеанса PowerShell, чтобы разрешить службе виртуальных приложений выполнять ограниченные команды.

    • Отключить автоматическую загрузку модулей StoreFront для Citrix

      Служба виртуальных приложений загружает определенные модули в StoreFront для поддержки фильтрации ключевых слов. Выберите этот параметр для того, чтобы служба виртуальных приложений не загружала модули. В этом случае необходимые команды будут выполняться с помощью настройки сеанса PowerShell с ограниченным доступом.

    Дополнительные сведения см. в разделе Настройка агрегирования нескольких сайтов Citrix и фильтрация ключевых слов в Workspace ONE Access в разделе Настройка ресурсов в Workspace ONE Access.
  8. На странице «Готово к установке программы» проверьте выбранные параметры и установите флажок Перезапустить уже установленные службы?, а затем нажмите кнопку Установить.
    Важно!: Если вы отправили какие-либо сертификаты, необходимо выбрать команду для перезапуска всех служб.

Дальнейшие действия

Теперь установка обновлена. Новые службы зарегистрированы на арендаторе Workspace ONE Access. Обновите страницу Соединители в консоли Workspace ONE Access, чтобы просмотреть обновленный список служб.