在此步驟中,下載並安裝內部部署 Workspace ONE Access Connector。您將建立一個密碼,該密碼儲存在隨 Workspace ONE Access Connector 安裝程式一起下載的組態檔中。

在此工作中安裝的 Workspace ONE Access Connector 可用於持續將企業 Active Directory 中的群組和使用者與 Workspace ONE Access 承租人進行同步。 Workspace ONE Access 承租人執行個體是在自助服務聯盟工作流程中建立並設定的。它充當身分識別提供者的身分識別代理 (服務提供者),並且不參與實際的使用者驗證。
備註: 依預設, Workspace ONE Access Connector 每週同步企業 Active Directory 中新增的群組和使用者一次。聯盟後,可以修改同步頻率,也可以手動執行同步。

在此工作中,將設定一個密碼,用於加密隨 Workspace ONE Access Connector 安裝程式一起下載的組態檔的內容。執行安裝程式時,系統會提示您輸入已下載組態檔的位置和密碼,以解密檔案內容並取得 Workspace ONE Access 承租人的連線詳細資料。連接器會使用這些詳細資料建立與 Workspace ONE Access 執行個體的安全通訊。

若要完成此步驟,您必須退出自助服務聯盟工作流程,並完成在內部部署 Windows 機器上安裝和設定 Workspace ONE Access Connector。
備註: 如果您的企業使用第三方 IdP 進行使用者驗證,則聯盟設定會要求您建立具有使用者驗證服務和目錄同步服務的 Workspace ONE Access Connector 的預設安裝。對於此類型的設定,無需安裝 Kerberos Auth Service。如果您的企業不使用以 SAML 2.0 為基礎的 IdP 進行使用者驗證,則可以使用 Workspace ONE Access Connector 支援的驗證方法。您可以安裝 Kerberos Auth Service 並將其用於雲端式使用者驗證。如需詳細的安裝資訊,請參閱 安裝 VMware Workspace ONE Access Connector
  • 在內部,連接器會建立與企業 Active Directory 的內部網路連線。
    備註: 如果使用安全性原則控制對主控企業 Active Directory 之機器的存取權,請確保在 AD 主機的允許清單中包括安裝 Workspace ONE Access Connector 的機器。
  • 在外部,連接器會建立與在自助服務聯盟過程中為企業建立之 VMware Workspace ONE Access 承租人的主控執行個體的安全輸出連線。
  • Workspace ONE Access 承租人的主控執行個體充當第三方 SAML 2.0 IdP 的身分識別代理 (服務提供者),它不參與實際的使用者驗證。
  • 如果使用以 Workspace ONE Access 為基礎的驗證方法,則 Workspace ONE Access 承租人將透過內部部署連接器直接針對企業 Active Directory 驗證使用者。
重要: Workspace ONE Access 承租人或 Workspace ONE Access Connector 不會保存任何使用者認證。

必要條件

  • 若要繼續執行此步驟,您必須已完成自助服務聯盟精靈的步驟 1
  • 確認您可以存取已安裝 MS Windows Server 2008 或更新版本的機器。
  • 確認您可以從主機 Windows 電腦存取企業 Active Directory。
  • 主機 Windows 電腦必須具有靜態 IP 位址和可進行 DNS 解析的 FQDN。
  • 連接器必須在連接埠 389/636 上具有對 Active Directory 的網路存取權。
  • 確認已設定您的企業防火牆,以建立從 Workspace ONE Access Connector 至連接埠 443 的輸出連線,進而與主控的 Workspace ONE Access 承租人服務互動。
  • 如果您已有 Workspace ONE Access Connector 安裝檔案,請確認是否為最新版本。

程序

  1. 安裝 Workspace ONE Access Connector 區段中,按一下開始
    此時將展開 設定連接器密碼區段。
  2. 選取其中一個選項來產生並儲存密碼。
    重要: 在此步驟中產生的密碼將儲存在隨 Workspace ONE Access Connector 安裝程式一起下載的組態檔中。必須在連接器安裝期間提供此密碼,才能驗證建立組態檔的使用者是否與安裝連接器的使用者相同。請確保您建立的密碼已安全儲存並可供存取。
  3. 下一步
    此時將展開 下載安裝程式和組態區段。
  4. 下載 Workspace ONE Access Connector 安裝程式。
    備註: 您需要有 My VMware 帳戶,才能下載 Workspace ONE Access Connector 安裝檔案。
    如果必須在與存取自助服務聯盟工作流程的機器不同的機器上執行安裝程式,請複製連結至 Workspace ONE Access Connector 安裝程式。然後,可以在目標 Windows 機器上的瀏覽器視窗中開啟連結。
  5. 檢查您下載的 Workspace ONE Access Connector 安裝程式的版本。如果下載的是 21.08.0.0 或更新版本,請參閱步驟 12 以瞭解其他指示。
  6. 下載加密的組態檔。
    注意: 組態檔包含敏感資訊,例如每個企業服務的承租人 URL、承租人識別碼、用戶端識別碼、用戶端密碼,以及密碼雜湊。請勿共用或公開檔案,這一點至關重要。
  7. 在 Windows Server 上,開啟安裝程式檔案位置。
  8. 以管理員身分執行 Workspace ONE Access Connector 安裝程式。
  9. 歡迎頁面上,按下一步
  10. 閱讀並接受授權合約,然後按下一步
  11. 選取目錄同步服務使用者驗證服務進行安裝。
  12. 如果連接器版本為 21.08.0.0 或更新版本,請取消選取虛擬應用程式服務,如下方螢幕擷取畫面所示。
    Workspace ONE Access Connector 安裝精靈。
    備註: 對於所有其他 Workspace ONE Access Connector 版本,請忽略此步驟。
  13. 下一步
    依預設,這些服務安裝於 C:\Program Files 中。若要變更安裝資料夾,請按一下 變更並選取新資料夾。
  14. 指定組態檔頁面上:
    1. 選取從自助服務聯盟工作流程的安裝 Workspace ONE Access Connector > 下載安裝程式和組態檔步驟下載的組態檔。
    1. 輸入為組態檔設定的密碼。
    2. 下一步
  15. 對於此範例而言,請選取預設安裝功能表項目,然後再次按下一步
    備註: 如果 Windows Server 主機設定使用一般或已驗證的 Proxy,則必須選取 自訂安裝功能表項目。如果決定從非 Proxy 預設連接器安裝切換為 Proxy 自訂安裝設定,則可以再次執行安裝檔案並進行必要的變更。
  16. 準備安裝程式頁面中,檢閱您的選取項目,然後按一下安裝
    安裝需要幾分鐘的時間。
  17. 安裝成功完成後,確認您安裝的服務是否正在 Windows Server 上執行。
    下列服務必須在 Windows Server 上執行。
    • VMware 目錄同步服務
    • VMware 使用者驗證服務
    安裝後,會向 Workspace ONE Access tenant登錄已安裝的企業服務。
  18. 開啟 Cloud Services 主控台,然後登入 ACME 聯盟組織。
  19. 導覽至安裝 Workspace ONE Access Connector > 執行安裝程式和組態,然後按一下檢查連線
    連線狀態將變更為 連接器已成功安裝
    重要: 如果連線狀態未變更為 連接器已成功安裝,請參閱 〈對聯盟進行疑難排解〉並對問題進行疑難排解。如果問題仍存在,可以向 VMware Cloud Services 支援 提出支援票證
  20. 按一下繼續

結果

此時將顯示自助服務聯盟工作流程的首頁。

下一步

自助服務聯盟設定的下一步是在企業 Active Directory 與 Workspace ONE Access 承租人之間同步群組和使用者。