您可以隨時更新 Workspace ONE Access Connector 安裝,以新增或修改企業服務。再次執行安裝程式以進行任何變更。

您可以進行下列變更:

  • 新增目錄同步、使用者驗證或 Kerberos 驗證服務
  • 為每個服務指定自訂連接埠
  • 設定 Proxy 伺服器
  • 設定 syslog 伺服器
  • 安裝受信任的根憑證
  • (僅限 Kerberos 驗證服務) 安裝 Kerberos 驗證服務的受信任 SSL 憑證
  • (僅限 Kerberos 驗證服務) 將 Kerberos 驗證服務設定為以網域使用者帳戶的身分執行
備註: 您也可以從連接器刪除服務。若要刪除服務,請再次執行安裝程式,因為您無法在新增和修改服務的同時刪除服務。請參閱 從連接器刪除企業服務

必要條件

  • 請注意,連接器安裝中的所有企業服務均連線到相同的 Workspace ONE Access 承租人。當您修改現有安裝以新增服務時,即會自動使用您從原始安裝之承租人下載的組態檔案。
  • 如果您要修改現有的組態,請先從 Workspace ONE Access 主控台暫停企業服務。導覽至身分識別與存取管理 > 設定 > 連接器頁面,按一下連接器,接著按一下管理,然後按一下切換按鈕以暫停每個服務。

程序

  1. 登入安裝 Workspace ONE Access Connector 所在的 Windows Server。
  2. 移至包含連接器安裝程式的資料夾,然後按兩下 Workspace ONE Access Connector Installer.exe 檔案。
  3. 在 [歡迎] 頁面上,按下一步
  4. 在 [程式維護] 頁面上,選取新增/移除服務選項,然後按下一步
  5. 在 [服務選取] 頁面上,選取您要新增的服務 (若有的話),然後按下一步
  6. 如果出現 [指定組態檔案] 頁面,請選取您從原始安裝之 Workspace ONE Access 承租人下載的相同組態檔案。
    僅在您選取要新增的服務時,才會顯示 [指定組態檔案] 頁面。
  7. 在精靈的適當頁面上進行變更。
    選項 動作
    更新企業服務執行所在的連接埠 在 [指定連接埠] 頁面上,輸入每個服務的連接埠。僅 Kerberos 驗證服務連接埠需要輸入連線。使用者驗證服務和目錄同步服務連接埠不需要。

    預設連接埠:

    • 使用者驗證服務:8090
    • 目錄同步服務:8080
    • Kerberos 驗證服務:443
    上傳連接器伺服器的受信任 SSL 憑證 在 [安裝 SSL 憑證] 頁面上,選取是否要使用您自己的 SSL 憑證? 核取方塊,按一下瀏覽,然後選取憑證。

    憑證檔案必須採用 PEM 或 PFX 格式。如果檔案為 PEM 格式,則也必須上傳金鑰檔案。如果檔案為 PFX 格式,則也必須輸入憑證密碼。

    如需有關憑證需求的詳細資訊,請參閱上傳 Workspace ONE Access Connector 的 SSL 憑證 (僅限 Kerberos 驗證服務)

    重要: Kerberos 驗證服務需要受信任的 SSL 憑證。如果您未上傳受信任的 SSL 憑證,則會自動產生自我簽署的憑證。若要使用此 Workspace ONE Access 產生的自我簽署憑證,您必須將 Workspace ONE Access 所產生的根憑證新增至用戶端的信任存放區。安裝後,您可以從 INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf 取得根憑證 root_ca.per

    雖然您可以使用自我簽署的憑證進行測試,但對於生產用途,建議您使用由公用或內部 CA 簽署的受信任 SSL 憑證。
    從信任存放區上傳或移除受信任的根憑證 在 [安裝受信任的根憑證] 頁面上:
    • 若要上傳憑證,請按一下瀏覽,然後選取憑證。
    • 若要移除憑證,請選取憑證,然後按一下移除
    • 若要檢視已安裝的憑證,請按一下檢視憑證

    連接器將能夠對憑證鏈結包含您新增至信任存放區之任何憑證的伺服器建立安全連線。將憑證上傳到信任存放區的案例包括:

    • (僅限內部部署安裝) 如果您的內部部署 Workspace ONE Access 服務執行個體具有您安裝的自我簽署憑證,則您必須上傳其根憑證,並在需要時上傳中繼憑證,以在企業服務與 Workspace ONE Access 服務執行個體之間建立信任。
    • (僅限 Kerberos 驗證服務) 如果您在負載平衡器後方部署 Kerberos 驗證服務的多個執行個體,則必須在連接器執行個體上安裝負載平衡器的根 CA 憑證,才能在連接器與負載平衡器之間建立信任。
    指定 Proxy 伺服器 在 [指定 Proxy 伺服器資訊] 頁面上,視需要輸入 Proxy 伺服器。企業服務會存取網際網路上的 Web 服務。如果您的網路組態透過 HTTP Proxy 提供網際網路存取,則您必須輸入 Proxy 伺服器。

    您也可以指定非 Proxy 主機的清單;這是應直接連線、而不經由 Proxy 伺服器的主機。

    1. 選取啟用 Proxy 核取方塊。
    2. 輸入主機名稱,可指定為完整網域名稱 (FQDN) 或 Proxy 伺服器的 IP 位址。
    3. 輸入 Proxy 伺服器連接埠。
    4. 如果您想要指定任何非 Proxy 主機 (應直接連線、而不經由 Proxy 伺服器的主機),請在非 Proxy 主機文字方塊中輸入 FQDN 和連接埠。請使用下列格式,並以 | 分隔每個項目:

      host1|host2

    5. 如果 Proxy 伺服器需要驗證,請選取基本/Windows,然後輸入 Proxy 伺服器的使用者名稱和密碼。
    指定用於儲存應用程式層級事件訊息的外部 Syslog 伺服器 在 [指定 Syslog 伺服器資訊] 頁面上,選取啟用 Syslog 核取方塊,然後輸入 Syslog 伺服器的 IP 位址或 FQDN 以及連接埠。

    若要指定單一 Syslog 伺服器,請使用下列格式:

    host:port

    若要指定多個 Syslog 伺服器,請使用下列格式:

    host:port,host:port,host:port

    其中,host 是 Syslog 伺服器的完整網域名稱或 IP 位址,而 port 是連接埠號碼。例如:

    syslog1.example.com:54

    syslog1.example.com:514,syslog2.example.com:601,syslog3.example.com:163
    備註: 僅會將應用程式層級的事件匯出至 Syslog 伺服器。作業系統事件則不會匯出。
    指定或變更用來執行 Kerberos 驗證服務的網域使用者帳戶

    需要網域使用者帳戶才能執行 Kerberos 驗證服務。

    在 [服務帳戶] 頁面上,輸入網域使用者帳戶的使用者名稱和密碼。對於使用者名稱,使用以下格式:DOMAIN\username,例如 EXAMPLE\administrator。或者,按一下瀏覽,然後選取網域和使用者。

    當您按一下瀏覽時,如果找不到網域或使用者,請在文字方塊中輸入上述指定格式的網域或使用者。

    重要: Kerberos 驗證服務在網域使用者帳戶密碼中僅支援以下特殊字元: @!*。如果密碼包含任何其他特殊字元,Kerberos 驗證服務安裝將失敗。
  8. 在 [準備安裝程式] 頁面中,檢閱您的選項,然後按一下安裝

下一步

安裝隨即更新。新服務會向 Workspace ONE Access 承租人進行登錄。在 Workspace ONE Access 主控台中,重新整理身分識別與存取管理 > 設定 > 連接器頁面,以檢視更新後的服務清單。