Installazione e configurazione di VMware Enterprise Systems …€¦ · Installazione e...

Installazione econfigurazione diVMware EnterpriseSystems ConnectorMAGGIO 2018VMware Identity Manager 3.2VMware Identity ManagerVMware AirWatch 9.3

Installazione e configurazione di VMware Enterprise Systems Connector

VMware, Inc. 2

È possibile consultare la documentazione tecnica più aggiornata sul sito Web all'indirizo:

https://docs.vmware.com/it/

Inoltrare eventuali commenti sulla documentazione al seguente indirizzo:

[email protected]

Copyright © 2017, 2018 VMware Inc. Tutti i diritti sono riservati. Informazioni sul copyright e sui marchi.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware, Inc.P.le Biancamano 820121 Milanotel: 02-6203.2075fax: 02-6203.4000www.vmware.com/it

https://docs.vmware.com/it/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

Contenuti

Installazione e configurazione di VMware Enterprise Systems Connector 5

1 Panoramica di VMware Enterprise Systems Connector 6

Informazioni su VMware Enterprise Systems Connector 6

Requisiti di sistema di Enterprise Systems Connector 8

2 Panoramica dell'architettura di Enterprise Systems Connector 19

Modello di distribuzione SaaS di Enterprise Systems Connector 19

Modello di distribuzione locale di Enterprise Systems Connector 20

Workflow di integrazione del certificato del componente ACC 22

3 Processo di installazione di Enterprise Systems Connector 23

Scelta dei componenti da installare 24

(Solo clienti locali) Installazione del certificato di Secure Channel in AWCM 25

Impostazione delle comunicazioni con AWCM 25

Download del programma di installazione di VMware Enterprise Systems Connector 26

Abilitazione di Enterprise Systems Connector dalla console di AirWatch 27

Esecuzione del programma di installazione di Enterprise Systems Connector 29

Verifica della corretta esecuzione dell'installazione di Enterprise Systems Connector 35

4 Gestione di ACC 37

Aggiornamenti di ACC 37

Esecuzione dell'aggiornamento manuale di ACC 39

Rigenerazione dei certificati 39

5 Configurazione e gestione di VMware Identity Manager Connector 42

Configurazione di VMware Identity Manager Connector 42

Gestione delle impostazioni di amministrazione del connettore di VMware Identity Manager 51

Attivazione delle impostazioni del proxy dopo l'installazione 56

Configurazione della disponibilità elevata per VMware Identity Manager Connector 57

Aggiunta del supporto dell'autenticazione Kerberos alla distribuzione di VMware Identity Manager

Connector 60

Eliminazione di un'istanza di VMware Identity Manager Connector 68

Aggiornamento di VMware Identity Manager Connector 68

6 Migrazione della directory da ACC a VMware Identity Manager Connector 71

Conversione di Altra directory in Active Directory su LDAP o Active Directory (autenticazione

integrata di Windows) 72

VMware, Inc. 3

Interruzione della sincronizzazione della directory di AirWatch con VMware Identity Manager 74

7 Risoluzione dei problemi di Enterprise Systems Connector 75

Reimpostazione della password dell'utente amministratore per VMware Identity Manager

Connector 75


VMware, Inc. 4

Installazione e configurazione diVMware Enterprise Systems Connector

Installazione e configurazione di VMware Enterprise Systems Connector include informazioni sullaconfigurazione di VMware Enterprise Systems Connector basato su Windows™, che offre alleorganizzazioni la possibilità di integrare VMware AirWatch® e VMware Identity Manager™ con i rispettivisistemi aziendali back-end.

Questo documento contiene informazioni sull'installazione di entrambi i componenti diVMware Enterprise Systems Connector, ovvero AirWatch Cloud Connector e VMware Identity ManagerConnector.

Le informazioni si applicano agli scenari di distribuzione SaaS e locale. Le eventuali differenze tra i dueambienti sono evidenziate dalle note contenute nel testo.

DestinatariQueste informazioni sono destinate agli amministratori di sistemi Windows esperti. Si applicano ai clientiSaaS e locali.

Glossario delle pubblicazioni tecniche di VMwareIl sito delle pubblicazioni tecniche di VMware fornisce un glossario di termini che potrebbero risultarepoco familiari. Per le definizioni dei termini utilizzati nella documentazione tecnica di VMware, consultarela pagina http://www.vmware.com/support/pubs.

VMware, Inc. 5

http://www.vmware.com/support/pubs

Panoramica diVMware Enterprise SystemsConnector 1Prima di installare VMware Enterprise Systems Connector, esaminare le informazioni sui requisiti disistema, l'architettura e i modelli di distribuzione.

Questo capitolo include i seguenti argomenti:

n Informazioni su VMware Enterprise Systems Connector

n Requisiti di sistema di Enterprise Systems Connector

Informazioni su VMware Enterprise Systems ConnectorIn VMware AirWatch 9.1 e versioni successive, AirWatch Cloud Connector (ACC) è incluso comecomponente in un nuovo programma di installazione denominato VMware Enterprise Systems Connector.Questo programma di installazione rappresenta il pacchetto del connettore unificato per Workspace ONE,AirWatch e Identity. Include due componenti, ovvero ACC e VMware Identity Manager Connector.

Durante il processo di installazione, è possibile scegliere quali componenti installare.

Per informazioni sugli scenari in cui è consigliabile installare entrambi i componenti, vedere Scelta deicomponenti da installare.

VMware, Inc. 6

Componente AirWatch Cloud ConnectorAirWatch Cloud Connector (ACC) offre alle organizzazioni la possibilità di integrare AirWatch con i lorosistemi aziendali back-end.

ACC viene eseguito nella rete interna e agisce come un proxy che trasmette in modo sicuro le richiesteda AirWatch ai componenti chiave dell'infrastruttura aziendale dell'organizzazione. In questo modo leorganizzazioni possono sfruttare i vantaggi di AirWatch Mobile Device Management (MDM), inesecuzione in qualsiasi configurazione, oltre a quelli dei sistemi LDAP, dell'autorità di certificazione e diposta elettronica, nonché degli altri sistemi interni. Vedere anche Capitolo 2 Panoramica dell'architetturadi Enterprise Systems Connector.

ACC si integra con i componenti interni seguenti.

n Inoltro della posta elettronica (SMTP)

n Servizi directory (LDAP/AD)

n Email Management Exchange 2010 (PowerShell)

n BlackBerry Enterprise Server (BES)

n Servizio Web Lotus Domino (HTTPS)

n Syslog (dati del registro eventi)

I componenti seguenti sono disponibili solo se si acquista il componente aggiuntivo PKI Integration,venduto separatamente.

n Servizi certificati Microsoft (PKI)

n Simple Certificate Enrollment Protocol (SCEP PKI)

n Servizi certificati di terze parti (solo in locale)

Componente VMware Identity Manager ConnectorVMware Identity Manager Connector offre funzionalità di integrazione delle directory, autenticazione degliutenti e integrazione con risorse come Horizon View.

Se si utilizza il componente VMware Identity Manager Connector, nella distribuzione è possibile sfruttarele funzionalità aggiuntive seguenti.

n Metodi di autenticazione basati su VMware Identity Manager Connector, come Password,Autenticazione adattiva RSA, RSA SecurID e Radius

n Autenticazione Kerberos per gli utenti interni

n Integrazione con le risorse seguenti:

n Pool di applicazioni e desktop Horizon View

n Risorse pubblicate da Citrix

n VMware Horizon® Cloud Service™ con infrastruttura ospitata e locale


VMware, Inc. 7

Introduzione

Nota: Per le distribuzioni locali, prima di continuare con questa guida, è consigliabile leggere la guida diAirWatch Cloud Messaging Service (AWCM) ed eseguire le procedure indicate.

Se si è un cliente locale, assicurarsi che AWCM sia installato correttamente, in esecuzione e incomunicazione con AirWatch senza alcun errore.

Requisiti di sistema di Enterprise Systems ConnectorPer distribuire Enterprise Systems Connector, assicurarsi che il sistema in uso soddisfi i requisitinecessari.

Requisiti hardwareUtilizzare i requisiti seguenti come base per la creazione del server Enterprise Systems Connector.

Se si installa solo il componente ACC, utilizzare i requisiti seguenti.

Tavola 1‑1. Requisiti di ACC

Numero di utenti Fino a 10.000 Da 10.000 a 50.000 Da 50.000 a 100.000

Core CPU 2 2 server con carico bilanciatoe 2 core CPU

3 server con carico bilanciatoe 2 core CPU

RAM (GB) per server 4 4 ciascuno 8 ciascuno

Spazio su disco (GB) 50 50 ciascuno 50 ciascuno

Il componente VMware Identity Manager Connector ha i requisiti aggiuntivi seguenti. Se si installanoentrambi i componenti ACC e VMware Identity Manager Connector, aggiungere questi requisiti a quelli diACC.


VMware, Inc. 8

Tavola 1‑2. Requisiti di VMware Identity Manager Connector

Numero di utenti Fino a 1.000Da 1.000 a10.000

Da 10.000 a25.000

Da 25.000 a50.000 Da 50.000 a 100.000

CPU 2 2 server concarico bilanciato,ciascuno con 4CPU

2 server con caricobilanciato, ciascunocon 4 CPU

2 server concarico bilanciato,ciascuno con 4CPU

2 server con caricobilanciato, ciascunocon 4 CPU

RAM (GB) perserver

6 6 ciascuno 8 ciascuno 16 ciascuno 16 ciascuno

Spazio su disco(GB)

50 50 ciascuno 50 ciascuno 50 ciascuno 50 ciascuno

Nota: n Per il componente ACC, il carico del traffico viene automaticamente bilanciato dal componente

AWCM. Non è quindi necessario alcun bilanciamento del carico distinto. Tutte le istanze di ACC cheappartengono allo stesso gruppo di organizzazioni e si connettono allo stesso server AWCM per ladisponibilità elevata riceveranno traffico (configurazione live-live). La modalità di instradamento deltraffico è determinata da AWCM e dipende dal carico corrente.

n Per il componente VMware Identity Manager Connector, vedere Configurazione della disponibilitàelevata per VMware Identity Manager Connector.

n Ogni core CPU deve essere da almeno 2.0 GHz. È necessario un processore Intel.

n I requisiti di spazio su disco includono: 1 GB di spazio su disco per l'applicazioneEnterprise Systems Connector, il sistema operativo Windows e .NET Runtime. La registrazionerichiede ulteriore spazio su disco.

Requisiti softwareAssicurarsi che il server Enterprise Systems Connector soddisfi tutti i requisiti software seguenti.


VMware, Inc. 9

Elenco dicontrollodello stato Requisito Note

Windows Server 2008 R2 o

Windows Server 2012 o

Windows Server 2012 R2 o

Windows Server 2016

Necessario per entrambi i componenti

Installare PowerShell nelserver


Nota: (Componente AirWatch Cloud Connector) PowerShell versione 3.0 osuccessive è necessario se si distribuisce il modello diretto con PowerShell MEMper la posta elettronica. Per verificare quale versione si sta utilizzando, aprirePowerShell ed eseguire il comando $PSVersionTable.

Nota: (Componente VMware Identity Manager Connector) PowerShell versione4.0 è necessario se si esegue l'installazione in Windows Server 2008 R2.

Installare .NET Framework4.6.2


Nota: (Componente AirWatch Cloud Connector) La funzionalità di aggiornamentoautomatico di AirWatch Cloud Connector non funzionerà correttamente finché ilserver Enterprise Systems Connector non viene aggiornato a .NET Framework4.6.2. La funzionalità di aggiornamento automatico non aggiornerà .NETFramework automaticamente. Prima di eseguire un aggiornamento,installare .NET Framework 4.6.2 manualmente nel serverEnterprise Systems Connector.

Requisiti generaliPer fare in modo che l'installazione venga eseguita correttamente, assicurarsi che il serverEnterprise Systems Connector sia configurato con i requisiti generali seguenti.

Elenco dicontrollodello stato Requisito Note

Assicurarsi di poteraccedere in remoto aiserver in cui AirWatch èinstallato

VMware AirWatch consiglia di configurare Gestione connessione Desktop remoto perpoter gestire più server. È possibile scaricare il programma di installazione da https://www.microsoft.com/en-us/download/details.aspx?id=44989.

Le installazioni vengono in genere eseguite in remoto tramite una riunione Web o lacondivisione dello schermo con un consulente di AirWatch. Alcuni clienti fornisconoinoltre AirWatch con credenziali VPN per poter accedere direttamente ancheall'ambiente.

Installazione di Notepad++ (consigliata)

VMware AirWatch consiglia di installare Notepad++.

Account dei servizi perl'autenticazione neisistemi back-end

Convalidare il metodo di connessione di AD mediante lo strumento LDP.exe (vedere http://www.computerperformance.co.uk/ScriptsGuy/ldp.zip), LDAP, BES, PowerShell ecosì via.


VMware, Inc. 10

Requisiti di retePer la configurazione delle porte elencate di seguito, tutto il traffico deve essere unidirezionale (in uscita)dal componente di origine al componente di destinazione.

La connessione in uscita da Enterprise Systems Connector non deve essere terminata o rifiutata da alcunproxy per traffico in uscita o da qualsiasi altro software o hardware per la gestione della connessione. Laconnessione in uscita che deve essere utilizzata da Enterprise Systems Connector deve rimaneresempre aperta.

Nota: Qualsiasi risorsa, come le autorità di certificazione, che si desidera raggiungere con ACC deve farparte dello stesso dominio.

Tavola 1‑3. Requisiti della porta del componente AirWatch Cloud Connector (SaaS)

Elenco dicontrollo

dellostato

Componente diorigine

Componente didestinazione Protocollo Porta Verifica

ServerEnterpriseSystemsConnector

AirWatch AWCM Adesempio:(https://awcm274.awmdm. com)

HTTPS 443 Eseguire la verifica immettendohttps://awcmXXX.awmdm.com/awcm/status e assicurarsi che non sia presentealcun errore di attendibilità del certificato.Sostituire "XXX" con lo stesso numeroutilizzato nell'URL dell'ambiente, adesempio "100" per cn100.


Console di AirWatchAd esempio:(https://cn274.awmdm.com)

HTTP oHTTPS

80 o 443 Eseguire la verifica immettendohttps://cnXXX.awmdm.com e assicurarsiche non sia presente alcun errore diattendibilità del certificato. Sostituire"XXX" con lo stesso numero utilizzatonell'URL dell'ambiente, ad esempio "100"per cn100. Se è abilitato l'aggiornamentoautomatico, ACC deve essere in grado diverificare la disponibilità di eventualiaggiornamenti nella console di AirWatchutilizzando la porta 443.


API di AirWatch Adesempio:(https://as274.awmdm.com)

HTTPS 443 Eseguire la verifica immettendohttps://asXXX.awmdm.com/api/help eassicurarsi che vengano richieste lecredenziali. Sostituire "XXX" con lo stessonumero utilizzato nell'URL dell'ambiente,ad esempio "100" per cn100. L'accesso diACC all'API è necessario per il correttofunzionamento del servizio di diagnosticadi AirWatch.


CRL:http://csc3-2010-crl.verisign.com/CSC3-2010.crl

HTTP 80 Per il corretto funzionamento di diversiservizi


VMware, Inc. 11

Tavola 1‑3. Requisiti della porta del componente AirWatch Cloud Connector (SaaS)(Continua)

Elenco dicontrollo

dellostato



Integrazioni facoltative


SMTP interno SMTP 25


LDAP interno LDAP oLDAPS

389, 636,3268 o3269


SCEP interno HTTP oHTTPS

80 o 443


ADCS interno DCOM 135,1025-5000,49152-65535


BES interno HTTP oHTTPS

80 o 443


Exchange 2010 (oversioni successive)interno

HTTP oHTTPS

80 o 443


VMware, Inc. 12

Tavola 1‑4. Requisiti della porta del componente AirWatch Cloud Connector (in locale)




Server AirWatchCloud Messaging

HTTPS 2001 Telnet da Enterprise Systems Connectoral server AWCM sulla porta o dopol'installazione.

Eseguire la verifica immettendohttps://<AWCM URL>:

2001/awcm/status e assicurarsi che nonsia presente alcun errore di attendibilitàdel certificato.

Se è abilitato l'aggiornamento automatico,ACC deve essere in grado di verificare ladisponibilità di eventuali aggiornamentinella console di AirWatch utilizzando laporta 443.

Se si utilizza ACC con AWCM, sonopresenti più server AWCM e si desideraeseguire il bilanciamento del carico in taliserver, è necessario configurare lapersistenza.

Per ulteriori informazioni sullaconfigurazione delle regole dellapersistenza di AWCM mediante F5,vedere l'articolo della Knowledge Baseseguente: https://support.air-watch.com/articles/115001666028.


Console di AirWatch HTTP oHTTPS

80 o 443 Telnet da Enterprise Systems Connectoralla console sulla porta o dopol'installazione.

Eseguire la verifica immettendohttps://<Console URL> e assicurarsiche non sia presente alcun errore diattendibilità del certificato.

Se è abilitato l'aggiornamento automatico,ACC deve essere in grado di verificare ladisponibilità di eventuali aggiornamentinella console di AirWatch utilizzando laporta 443.


Server API (oqualsiasi componentein cui l'API èinstallata)

HTTPS 443 Eseguire la verifica passando all'URL delserver API.

L'accesso di ACC all'API è necessario peril corretto funzionamento del servizio didiagnostica di AirWatch.


CRL: http://csc3-2010-crl.verisign.com/CSC3-2010.crl

HTTP 80 Per il corretto funzionamento di diversiservizi

Integrazioni facoltative


VMware, Inc. 13

Tavola 1‑4. Requisiti della porta del componente AirWatch Cloud Connector (in locale)(Continua)




SMTP interno SMTP 25


LDAP interno LDAP oLDAPS

389,636,3268 o3269


SCEP interno HTTP oHTTPS

80 o 443


ADCS interno DCOM 135,1025-5000,49152-65535


BES interno HTTP oHTTPS

80 o 443


Exchange 2010 (oversioni successive)interno

HTTP oHTTPS

80 o 443

Tavola 1‑5. Requisiti della porta del componente VMware Identity Manager Connector (SaaSo in locale)

Elenco dicontrollo dellostato


Componente didestinazione Porta Protocollo Note

VMware IdentityManager Connector

ServizioVMware IdentityManager

Host del servizioVMware IdentityManager (installazioniin locale)

443 HTTPS Porta predefinita.Questa porta èconfigurabile.


Programma dibilanciamento delcarico del servizioVMware IdentityManager (installazioniin locale)

443 HTTPS


VMware, Inc. 14

Tavola 1‑5. Requisiti della porta del componente VMware Identity Manager Connector (SaaSo in locale) (Continua)




Browser VMware IdentityManager Connector

8443 HTTPS Portaamministrativa.

Obbligatorio


80 HTTP Obbligatorio


443 HTTPS Questa porta ènecessario solo perun connettoreutilizzato in modalitàin entrata.

Se sul connettore èconfiguratal'autenticazioneKerberos, questaporta è obbligatoria.


Active Directory 389, 636,3268, 3269

Porte predefinite.Queste porte sonoconfigurabili.


Server DNS 53 TCP/UDP Ogni istanza devepoter accedere alserver DNS sullaporta 53 econsentire il trafficoSSH in ingressosulla porta 22.


Controller del dominio 88, 464, 135,445

TCP/UDP


Sistema RSA SecurID 5500 Porta predefinita.Questa porta èconfigurabile.


Server di connessionedi View

389, 443 Accesso alle istanzedi View ConnectionServer per leintegrazioni diHorizon View


VMware, Inc. 15

Tavola 1‑5. Requisiti della porta del componente VMware Identity Manager Connector (SaaSo in locale) (Continua)





Integration Broker 80, 443 Accesso aIntegration Brokerper l'integrazionecon le risorsepubblicate da Citrix.

Importante: Se siinstalla IntegrationBroker nella stessaistanza di WindowsServer in cui èinstallatoEnterprise SystemsConnector, ènecessarioassicurarsi che neibinding del sito Webpredefinito delserver IIS le portedei binding HTTP eHTTPS non siano inconflitto con le porteutilizzate dalcomponenteVMware IdentityManager Connector.

VMware IdentityManager Connectorutilizza sempre laporta 80. Utilizzaanche la porta 443,a meno che durantel'installazione nonvenga configurataun'altra porta.


server syslog 514 UDP Per server syslogesterno, seconfigurato

(Componente VMware Identity Manager Connector ) Indirizzi IPospitati nel cloud di VMware Identity Manager(Clienti SaaS) Vedere nell'articolo 2149884 della Knowledge Base l'elenco di indirizzi IP del servizioVMware Identity Manager a cui VMware Identity Manager Connector deve poter accedere.


VMware, Inc. 16

https://kb.vmware.com/kb/2149884

(Componente VMware Identity Manager Connector ) Requisitirelativi ai record DNS e agli indirizzi IPPer il connettore devono essere disponibili una voce DNS e un indirizzo IP statico. Prima di iniziarel'installazione, richiedere il record DNS, nonché gli indirizzi IP da utilizzare e configurare le impostazioni direte di Windows Server.

La configurazione della ricerca inversa è facoltativa. Quando si implementa la ricerca inversa, ènecessario definire un record PTR nel server DNS in modo che il connettore utilizzi la configurazione direte corretta.

È possibile utilizzare l'elenco di record DNS di esempio seguente. Sostituire le informazioni di esempiocon le informazioni del proprio ambiente. Questo esempio riporta i record DNS di inoltro e gli indirizzi IP.

Tavola 1‑6. Esempi di record DNS di inoltro e indirizzi IP

Nome di dominio Tipo di risorsa Indirizzo IP

myidentitymanager.company.com Un 10.28.128.3

Questo esempio riporta i record DNS inverso e gli indirizzi IP.

Tavola 1‑7. Esempi di record DNS inverso e indirizzi IP

Indirizzo IP Tipo di risorsa Nome host

10.28.128.3 PTR myidentitymanager.company.com

Dopo aver completato la configurazione DNS, verificare che la ricerca DNS inversa sia configuratacorrettamente. Ad esempio, il comando dell'appliance virtuale host IPaddress deve essere risolto sullaricerca del nome DNS.

Nota: Se è presente un programma di bilanciamento del carico con un indirizzo IP virtuale (VIP) primadei server DNS, si noti che VMware Identity Manager non supporta l'utilizzo di un VIP. È possibilespecificare più server DNS separati da una virgola.

Nota: Se si utilizza un server DNS basato su Unix o Linux e si desidera inserire il connettore nel dominiodi Active Directory, assicurarsi che i record di risorse del servizio appropriati (SRV) siano stati creati perogni controller del dominio di Active Directory.

(Componente VMware Identity Manager Connector ) Versioni diActive Directory supportateÈ supportato un ambiente di Active Directory costituito da un singolo dominio di Active Directory, piùdomini in una singola foresta di Active Directory o più domini in più foreste di Active Directory.


VMware, Inc. 17

VMware Identity Manager supporta Active Directory in Windows Server 2008, Windows Server 2008 R2,Windows Server 2012 e Windows Server 2012 R2, con un livello di funzionalità del dominio e dellaforesta di Windows 2003 o versioni successive.

Nota: Per alcune funzioni può essere necessario un livello più elevato. Ad esempio, per consentire agliutenti di cambiare la password di Active Directory da Workspace ONE, il livello di funzionalità del dominiodeve essere Windows 2008 o versione successiva.


VMware, Inc. 18

Panoramica dell'architettura diEnterprise Systems Connector 2Enterprise Systems Connector include due servizi di Windows che possono essere installati in un serverfisico o virtuale che esegue Windows 2008 R2, 2012, 2012 R2 o 2016. Funziona dalla rete interna e puòessere configurato con qualsiasi firewall di applicazione Web o bilanciamento del carico esistente.

Avviando una connessione HTTPS sicura da Enterprise Systems Connector ai servizi di messaggisticaintegrati in AirWatch e VMware Identity Manager, Enterprise Systems Connector può periodicamentetrasmettere informazioni dalle risorse interne, ad esempio AD, LDAP e così via, al prodotto senza alcunamodifica del firewall. Se si intende inoltrare il traffico tramite un proxy in uscita, nella configurazione delconnettore è possibile specificare impostazioni che consentano l'utilizzo del proxy.

Configurazioni supportateUtilizzare Enterprise Systems Connector nelle configurazioni seguenti.

n Utilizzo del trasporto HTTPS

n Supporto del traffico HTTP tramite un proxy in uscita

Questo capitolo include i seguenti argomenti:n Modello di distribuzione SaaS di Enterprise Systems Connector

n Modello di distribuzione locale di Enterprise Systems Connector

n Workflow di integrazione del certificato del componente ACC

Modello di distribuzione SaaS diEnterprise Systems ConnectorIn un modello di distribuzione SaaS, Enterprise Systems Connector si trova nella rete interna e si integracon i sistemi interni consentendo ad AirWatch e a VMware Identity Manager di sfruttarli per diversefunzionalità, ad esempio i servizi directory e certificati.

Il diagramma seguente illustra la distribuzione completa di Enterprise Systems Connector, con entrambi icomponenti ACC e VMware Identity Manager Connector.

VMware, Inc. 19

Figura 2‑1. Distribuzione SaaS di Enterprise Systems Connector

ACC

Internet DMZ

Connettore/i di sistema VMware Enterprise

DirectoryAirWatch

VMware IdentityManager

Connettore VMware Identity Manager

Il diagramma seguente illustra la distribuzione del solo componente ACC.

Figura 2‑2. Distribuzione SaaS di Enterprise Systems Connector (solo ACC)

AirWatch


ACC

Internet DMZ


Directory

Modello di distribuzione locale diEnterprise Systems ConnectorIn un modello di distribuzione locale, Enterprise Systems Connector si trova nella rete interna e comunicacon AWCM e il servizio VMware Identity Manager. AWCM è in genere installato nel server dei servizi deidispositivi di AirWatch.

Il diagramma seguente illustra la distribuzione del componente ACC con un layout di AirWatch localetipico.


VMware, Inc. 20

Figura 2‑3. Modello di distribuzione locale di Enterprise Systems Connector (solo ACC)

ACC

Dispositivo

DMZ

LB

Cluster

AirWatch DS

AirWatch DS443

443


AirWatch DB

Cluster di SQL Server

VMware Identity Manager DB

Directory

Internet

Cluster




Il diagramma seguente illustra la distribuzione dei componenti ACC e VMware Identity ManagerConnector con un layout di AirWatch locale tipico.

Figura 2‑4. Distribuzione locale di Enterprise Systems Connector (ACC e VMware IdentityManager Connector )

ACC

Dispositivo

DMZ

LB

Cluster

AirWatch DS

AirWatch DS

Cluster




443

443


AirWatch DB

Cluster di SQL Server

VMware Identity Manager DB

Directory

Internet

Connettore VMware Identity Manager


VMware, Inc. 21

Workflow di integrazione del certificato del componenteACCI certificati vengono utilizzati per eseguire l'autenticazione della comunicazione tra la console di AirWatche AirWatch Cloud Connector (ACC).

Come generare i certificatin Abilitare ACC e quindi generare i certificati per AirWatch e ACC.

n Entrambi i certificati sono univoci per il gruppo selezionato nella console di AirWatch e si trovanonel server AirWatch.

n Entrambi i certificati vengono generati da un utente root di AirWatch attendibile.

n Installare ACC. Il certificato di ACC generato da AirWatch viene automaticamente inserito in unbundle e installato con ACC.

Come eseguire il routing dei dati in ambienti localin AirWatch invia richieste ad AWCM. Le richieste vengono crittografate tramite SSL utilizzando HTTPS.

n ACC esegue una query in AWCM per individuare le richieste di AirWatch. Le richieste vengonocrittografate tramite SSL utilizzando HTTPS.

n Tutti i dati vengono inviati tramite AWCM.

La configurazione di ACC considera attendibili solo i messaggi firmati dall'ambiente di AirWatch.L'attendibilità è univoca per ogni gruppo.

Per qualsiasi server ACC aggiuntivo configurato nello stesso gruppo di AirWatch nell'ambito di unaconfigurazione a disponibilità elevata, viene generato lo stesso certificato di ACC univoco. Per ulterioriinformazioni sulla disponibilità elevata, fare riferimento alla guida relativa all'architettura consigliata perVMware AirWatch, disponibile nelle AirWatch Resources.

Come proteggere i dati in ambienti localiIl server AirWatch invia ogni richiesta come messaggio crittografato e firmato ad AWCM.

n Le richieste vengono crittografate mediante la chiave pubblica univoca dell'istanza di ACC. Solo ACCpuò decrittografare le richieste.

n Le richieste vengono firmate mediante la chiave privata dell'istanza del server AirWatch che èunivoca per ogni gruppo. ACC considera quindi attendibili solo le richieste provenienti dal serverAirWatch configurato.

n Le risposte che ACC invia al server AirWatch vengono crittografate con la stessa chiave utilizzatanelle richieste e vengono firmate con la chiave privata di ACC.


VMware, Inc. 22

Processo di installazione diEnterprise Systems Connector 3Per configurare e installare Enterprise Systems Connector nella rete interna, è necessario eseguirediverse attività.

Procedura

1 Scelta dei componenti da installare - Determinare se installare solo il componente ACC o entrambi icomponenti ACC e VMware Identity Manager Connector.

2 (Solo clienti locali) Installazione del certificato di Secure Channel in AWCM - I clienti locali devonoinstallare un certificato di Secure Channel per stabilire la sicurezza tra AWCM e i componentiseguenti: console di AirWatch, Servizi dispositivo, API e Portale Self-Service.

3 Impostazione delle comunicazioni con AWCM - I clienti SaaS e locali devono stabilire comunicazionicon AWCM. Eseguendo questa azione è possibile configurare un'istanza di AirWatch in modo cheutilizzi un server AWCM specifico.

4 Download del programma di installazione di VMware Enterprise Systems Connector - È possibilescaricare il programma di installazione di Enterprise Systems Connector dalla pagina CloudConnector della console di AirWatch come illustrato in Abilitazione di Enterprise Systems Connectordalla console di AirWatch. Il programma di installazione è inoltre disponibile nell'Introduzione guidatadi Workspace ONE.

5 Abilitazione di Enterprise Systems Connector dalla console di AirWatch - Prima di installareEnterprise Systems Connector, è innanzitutto necessario abilitarlo, generare i certificati, nonchéselezionare i servizi aziendali e quelli di AirWatch da integrare. Dopo aver completato questopassaggio, è possibile installare Enterprise Systems Connector.

6 Esecuzione del programma di installazione di Enterprise Systems Connector - Eseguire il programmadi installazione di Enterprise Systems Connector nel server configurato che soddisfa tutti iprerequisiti.

7 Verifica della corretta esecuzione dell'installazione di Enterprise Systems Connector - Dopo averinstallato Enterprise Systems Connector, è possibile verificare se l'installazione è stata eseguitacorrettamente nella console di AirWatch.


n Scelta dei componenti da installare

n (Solo clienti locali) Installazione del certificato di Secure Channel in AWCM

VMware, Inc. 23

n Impostazione delle comunicazioni con AWCM

n Download del programma di installazione di VMware Enterprise Systems Connector

n Abilitazione di Enterprise Systems Connector dalla console di AirWatch

n Esecuzione del programma di installazione di Enterprise Systems Connector

n Verifica della corretta esecuzione dell'installazione di Enterprise Systems Connector

Scelta dei componenti da installarePrima di avviare il programma di installazione, decidere se installare solo il componente ACC, colo ilcomponente VMware Identity Manager Connector o entrambi i componenti ACC e VMware IdentityManager Connector, in base alle esigenze dell'azienda.

L'installazione di entrambi i componenti di Enterprise Systems Connector è consigliata per la maggiorparte dei clienti di Workspace ONE. Oltre alle funzionalità di ACC, l'installazione completa include ilsupporto per le funzionalità seguenti.

n Desktop e app virtuali in Workspace ONE

n Autenticazione RSA Secure ID

n Autenticazione integrata di Windows

n Più istanze di Active Directory, attendibili o meno, con VMware Identity Manager

n VMware Identity Manager con più configurazioni directory-gruppo di organizzazioni in AirWatch

n Piattaforma per le funzionalità di integrazione basate su identità

Se è già stata eseguita la distribuzione di Workspace ONE solo con ACC, tale modello continua adessere supportato, ma se si intende sfruttare queste funzionalità, è consigliabile installare la versionecompleta di Enterprise Systems Connector. La migrazione dal modello che include solo ACC a VMwareIdentity Manager Connector disponibile in Enterprise Systems Connector è supportata. Vedere Capitolo 6Migrazione della directory da ACC a VMware Identity Manager Connector.


VMware, Inc. 24

(Solo clienti locali) Installazione del certificato di SecureChannel in AWCMI clienti locali devono installare un certificato di Secure Channel per stabilire la sicurezza tra AWCM e icomponenti seguenti: console di AirWatch, Servizi dispositivo, API e Portale Self-Service.

Importante: Eseguire i passaggi seguenti nel server che esegue AWCM. Evitare di scaricare ilprogramma di installazione in un altro computer e copiarlo nel server AWCM. Se il download nel serverche esegue AWCM non viene eseguito correttamente, contattare il supporto di AirWatch per risolvere ilproblema.

Nota: Se si apportano modifiche al certificato Secure Channel nell'archivio chiavi di AWCM dopo averscaricato e installato AirWatch Tunnel o Enterprise Systems Connector, sarà necessario eseguire ladisinstallazione ed eliminare tutte le cartelle, quindi eseguire nuovamente il download e l'installazione.

Procedura

1 Passare a Gruppi e impostazioni > Tutte le impostazioni > Sistema > Avanzate > Certificato diSecure Channel.

2 Selezionare Scarica programma di installazione di AWCM Secure Channel nella sezioneAirWatch Cloud Messaging per avviare l'installazione dello script di installazione del certificato diSecure Channel.

Il programma di installazione di Secure Channel per Linux viene utilizzato solo per il servizio dinotifica del cloud. AWCM è supportato solo in Windows Server.

3 Copiare lo script di installazione del certificato di Secure Channel nel server AWCM locale, fare cliccon il pulsante destro del mouse e scegliere Esegui come amministratore per eseguire e installareil certificato.

4 Immettere il percorso di Truststore o fare clic su Sfoglia per cercarlo, quindi fare clic su OK.

5 Fare clic su OK nella finestra di dialogo che informa che il certificato è stato aggiunto all'archiviochiavi.

6 Procedere con i passaggi per stabilire le comunicazioni con AWCM.

7 Continuare con i passaggi di installazione di Enterprise Systems Connector.

Impostazione delle comunicazioni con AWCMI clienti SaaS e locali devono stabilire comunicazioni con AWCM. Eseguendo questa azione è possibileconfigurare un'istanza di AirWatch in modo che utilizzi un server AWCM specifico.


VMware, Inc. 25

Procedura

1 Passare a Gruppi e impostazioni > Tutte le impostazioni > Sistema > Avanzate > URL pervisualizzare la sezione AirWatch Cloud Messaging.

Nota: Se si è un cliente SaaS e questa pagina non è visibile nelle impostazioni di sistema, significache queste impostazioni sono già state configurate.

2 Configurare le impostazioni seguenti.

Impostazione Descrizione

Abilita server AirWatch Selezionare questa casella per consentire la connessione tra la console di AirWatch e il serverAWCM.

URL esterno serverAirWatch

Questo campo consente di immettere il nome del server utilizzato dai componenti e daidispositivi esterni (ad esempio, ACC) per comunicare in modo sicuro con AWCM tramite HTTPS.Un esempio di URL di ACC è Acme.com.

Non aggiungere https:// poiché viene presunto dall'applicazione e aggiunto automaticamente.

Porta esterna diAirWatch

Questa è la porta utilizzata dal nome del server indicato sopra per comunicare con AWCM.

Per comunicazioni esterne sicure, utilizzare la porta 443. Se si ignora l'offload di SSL, è possibileche si desideri utilizzare una porta per le comunicazioni non sicure interne, che per impostazionepredefinita è la 2001, ma può essere sostituita da altri numeri di porta.

URL interno serverAWCM

Questo URL consente di raggiungere AWCM dai componenti e dai dispositivi interni (adesempio, la console di amministrazione, i servizi dispositivo e così via). Esempi di URL diAirWatch sono https://Acme.com:2001/awcm o http://AcmeInternal.Local/awcm.

Se il server AWCM e la console di AirWatch sono interni (ovvero si trovano nella stessa rete) e sidesidera ignorare l'offload di SSL, non è necessaria una connessione sicura ed è quindi possibileutilizzare http anziché https. Ad esempio, http://AcmeInternal.Local:2001/awcm. Questo esempiomostra che il server si trova nella rete interna e comunica tramite la porta 2001.

Download del programma di installazione diVMware Enterprise Systems ConnectorIl programma di installazione di VMware Enterprise Systems Connector è disponibile in più posizioni.

n Dalla pagina Gruppi e impostazioni > Tutte le impostazioni > Sistema > Integrazione aziendale >VMware Enterprise Systems Connector nella console di AirWatch, come descritto in Abilitazione diEnterprise Systems Connector dalla console di AirWatch

n Come parte dell'introduzione guidata di Workspace ONE nella console di AirWatch. Per informazionisull'introduzione guidata di Workspace ONE, vedere la guida alla configurazione rapida di VMwareWorkspace ONE.

n Il componente VMware Identity Manager è inoltre disponibile dalla pagina di download del prodottoVMware Identity Manager in My VMware.


VMware, Inc. 26

Abilitazione di Enterprise Systems Connector dallaconsole di AirWatchPrima di installare Enterprise Systems Connector, è innanzitutto necessario abilitarlo, generare icertificati, nonché selezionare i servizi aziendali e quelli di AirWatch da integrare. Dopo aver completatoquesto passaggio, è possibile installare Enterprise Systems Connector.

Nota: Eseguire i passaggi seguenti nel server in cui verrà eseguito Enterprise Systems Connector.Evitare di scaricare il programma di installazione in un altro computer e copiarlo nel serverEnterprise Systems Connector.

Procedura

1 Passare a Gruppi e impostazioni > Tutte le impostazioni > Sistema > Integrazione aziendale >VMware Enterprise Systems Connector.

2 Nella scheda Generale, configurare le impostazioni seguenti.


Abilitare VMware Enterprise SystemsConnector

Selezionare questa casella di controllo per abilitareEnterprise Systems Connector e visualizzare la scheda Generale.

Abilita aggiornamento automatico Selezionare questa casella di controllo per fare in modo cheEnterprise Systems Connector venga aggiornato automaticamente quando èdisponibile una versione più recente. Per ulteriori informazioni relativeall'aggiornamento automatico, vedere la sezione relativa all'opzione diaggiornamento automatico di VMware Enterprise Systems Connector.

3 Nella scheda Avanzate configurare le impostazioni seguenti.


Genera certificati Fare clic su questo pulsante per generare un certificato perEnterprise Systems Connector e il server AirWatch. I certificati vengono generatiper entrambi i componenti e vengono visualizzati nella sezione dei certificati diVMware Enterprise Systems Connector e AirWatch.

Dopo la generazione dei certificati, il pulsante diventa Rigenera. Per ulterioriinformazioni sulla rigenerazione dei certificati, vedere Rigenerazione deicertificati.

Comunicazione con AWCM In Comunicazione con AWCM, selezionare la modalità di comunicazione diEnterprise Systems Connector con AWCM.n Usa URL AWCM esterno - Questa è l'opzione predefinita che verrà applicata

alla maggior parte delle distribuzioni.n Usa URL AWCM interno - Utilizzare questa opzione se le impostazioni di

sicurezza impediscono al server Enterprise Systems Connector di risolverel'URL AWCM esterno. Ad esempio, se Enterprise Systems Connector si trovanella rete interna e il server AWCM è in una rete perimetrale.


VMware, Inc. 27


Servizi aziendali Fare clic sul pulsante Abilitato o Disabilitato per abilitare o disabilitare i serviziaziendali. I servizi selezionati (abilitati) verranno integrati conEnterprise Systems Connector.n BES (per la sincronizzazione dei dati di utenti e dispositivi mobili in

BlackBerry)n Servizi directory (LDAP/AD)n Exchange PowerShell (per determinate istanze di Secure Email Gateway)n SMTP (inoltro della posta elettronica)

AirWatch SaaS consente il recapito della posta elettronica tramite il proprioSMTP, ma qui è possibile abilitare Enterprise Systems Connector per l'utilizzodi un altro server SMTP. Immettere le impostazioni dei server SMTP per laposta elettronica in Gruppi e impostazioni > Tutte le impostazioni >Sistema > Integrazione aziendale > Posta elettronica (SMTP).

n Syslog (protocollo client/server utilizzato per l'integrazione con i dati delregistro eventi di AirWatch)

I componenti seguenti sono disponibili solo se si acquista il componenteaggiuntivo PKI Integration, venduto separatamente.n Servizi certificati Microsoft (PKI)n Simple Certificate Enrollment Protocol (SCEP PKI)n OpenTrust CMS Mobile (servizi certificati di terze parti)n Entrust PKI (servizi certificati di terze parti)n Symantec MPKI (servizi certificati di terze parti)

Poiché non è necessario cercare servizi certificati cloud inEnterprise Systems Connector, se si desidera eseguire l'integrazione con iservizi certificati (come Symantec MPKI) selezionando una delle caselle dicontrollo nella schermata seguente, il servizio selezionato deve essere inlocale e non nel cloud (SaaS).

Servizi di AirWatch Fare clic sul pulsante Abilitato o Disabilitato per abilitare o disabilitare i servizi diAirWatch. I componenti di AirWatch selezionati (abilitati) verranno integrati conEnterprise Systems Connector. AirWatch consiglia di lasciare tutti i serviziabilitati.n Servizi dispositivo (console di amministrazione e tutti i servizi necessari

affinché funzioni, inclusi i servizi di Windows correlati)n Gestione dispositivi (Registrazione, App Catalog e i servizi di Windows

correlati)n Portale Self-Service (inclusi i servizi di Windows correlati)n Tutti gli altri componenti (inclusi i servizi di Windows correlati)

Nota: (Clienti in locale) Se non è ancora stata eseguita l'abilitazione diAWCM per la comunicazione con VMware Enterprise Systems Connector, èpossibile selezionare Scarica programma di installazione di AWCMSecure Channel per passare alla pagina del download.

Nota: (Clienti SaaS) Non è necessario scaricare il programma diinstallazione del certificato di Secure Channel.

4 Fare clic su Salva per salvare tutte le impostazioni.


VMware, Inc. 28

5 Tornare alla scheda Generale e selezionare Scarica programma di installazione di VMwareEnterprise Systems Connector.

Verrà visualizzata una pagina in cui è possibile scaricare il programma di installazione di CloudConnector.

6 Nei campi immettere una password per il certificato di Enterprise Systems Connector. Sarànecessario immettere la password del certificato quando si esegue il programma di installazione diEnterprise Systems Connector.

7 Fare clic su Scarica e salvare il file .exe nel server Enterprise Systems Connector in modo che siapossibile utilizzarlo in un secondo momento.

Esecuzione del programma di installazione diEnterprise Systems ConnectorEseguire il programma di installazione di Enterprise Systems Connector in un'istanza di Windows Serverche soddisfi tutti i requisiti.

Il programma di installazione include i componenti AirWatch Cloud Connector e VMware Identity ManagerConnector. È possibile installare un solo componente o entrambi. Dopo l'installazione iniziale, è possibileeseguire nuovamente il programma di installazione per modificare le funzionalità o aggiornarel'installazione.

Prerequisiti

I prerequisiti seguenti si applicano al componente AirWatch Cloud Connector (ACC).

n Prima di iniziare, i clienti locali devono assicurarsi che il server in cui Enterprise Systems Connectorverrà installato possa raggiungere AWCM passando a https://{url}:port/awcm/status, in cui{url} è l'URL dell'ambiente AirWatch e port è la porta esterna configurata per la comunicazione diAWCM. Lo stato di AWCM non deve includere errori di SSL. Se sono presenti errori, correggerli primadi continuare. In caso contrario, ACC non funzionerà correttamente.

n I clienti SaaS devono assicurarsi che il server in cui Enterprise Systems Connector verrà installatopossa raggiungere AWCM passando a https://awcmXXX.awmdm.com/awcm/status. Sostituire XXXcon lo stesso numero utilizzato nell'URL dell'ambiente, ad esempio "100" per cn100. Lo stato diAWCM non deve includere errori di SSL. Se sono presenti errori, correggerli prima di continuare. Incaso contrario, ACC non funzionerà correttamente.

I prerequisiti seguenti si applicano al componente VMware Identity Manager Connector.

n In Windows Server devono essere disponibili le porte 80 e 8443. Se queste porte sono utilizzate daaltri servizi, non sarà possibile installare il componente VMware Identity Manager Connector.

n Windows Server deve far parte del dominio ed è necessario installare il componente VMware IdentityManager Connector come utente del dominio appartenente al gruppo di amministratori di WindowsServer nei casi seguenti.

n Se si intende connettersi ad Active Directory (autenticazione integrata di Windows)

n Se si intende utilizzare l'autenticazione Kerberos


VMware, Inc. 29

n Se si intende integrare Horizon View con VMware Identity Manager e si desidera utilizzarel'opzione Esegui sincronizzazione delle directory o Configurazione del server di connessione 5.x

In questi casi, è inoltre necessario scegliere di eseguire il servizio IDM Connector come utente deldominio durante l'installazione.

n Affinché il programma di installazione possa accedere ai domini e agli utenti, nonché convalidarlidurante l'installazione, devono essere soddisfatti i requisiti seguenti.

n Il sistema di destinazione deve far parte del dominio.

n Il servizio Browser di computer deve essere abilitato e in esecuzione.

n Il firewall deve essere configurato con un'eccezione per il servizio Browser di computer.

n Nel sistema di destinazione è necessario abilitare NetBIOS su TCP/IP.

n Nella rete deve essere configurato un sistema browser master.

n Nella rete deve essere abilitato il traffico broadcast.

n Il percorso della directory in cui si installa il connettore di VMware Identity Manager non devecontenere spazi, altrimenti l'installazione non riuscirà. Ad esempio, un'installazione in C:\Programmiavrà esito negativo, mentre un'installazione in C:\VMware avrà esito positivo.

Procedura

1 Fare doppio clic sul programma di installazione.

2 Nella schermata iniziale, fare clic su Avanti.

Il programma di installazione verifica i prerequisiti nel server. Se .NET Framework non è installato,verrà richiesto di installarlo e di riavviare il server. Dopo il riavvio, eseguire nuovamente il programmadi installazione di Enterprise Systems Connector per riprendere il processo di installazione.

Se è installata una versione precedente, il programma di installazione la rileva automaticamente eoffre la possibilità di eseguire l'aggiornamento alla versione più recente. Per ulteriori informazionisull'aggiornamento di ACC, vedere Aggiornamenti di ACC. Per ulteriori informazionisull'aggiornamento del connettore di VMware Identity Manager, vedere Aggiornamento di VMwareIdentity Manager Connector.

3 Accettare il contratto di licenza, quindi fare clic su Avanti.

4 Nella pagina Installazione personalizzata, selezionare i componenti da installare.

Per impostazione predefinita, sono selezionati entrambi i componenti AirWatch Cloud Connector eVMware Identity Manager Connector. Per deselezionare un componente, fare clic sulla freccia diespansione e selezionare La funzionalità specificata non sarà disponibile.

Per ulteriori informazioni sui componenti, vedere Scelta dei componenti da installare.


VMware, Inc. 30

5 Selezionare Modifica... per modificare la directory di installazione, se necessario, quindi fare clic su

Avanti.

Nota: Il percorso della directory d'installazione non può contenere spazi, altrimenti l'installazionenon riuscirà. Ad esempio, un'installazione in C:\Programmi avrà esito negativo, mentreun'installazione in C:\VMware avrà esito positivo.

Il componente VMware Identity Manager Connector richiede Java Runtime Environment (JRE™). Sein Windows Server non è installato JRE oppure se la versione installata è precedente a quelladisponibile nel pacchetto del programma di installazione, verrà richiesto di installarlo. Si noti chel'installazione della versione richiesta non comporta l'eliminazione delle versioni di JRE esistenti.

6 Verificare la cartella di destinazione, quindi fare clic su Avanti.

7 Immettere la password del certificato di ACC specificata nella pagina Impostazioni di sistema diAirWatch, quindi fare clic su Avanti.


VMware, Inc. 31

8 Se si desidera inoltrare il traffico di ACC tramite un proxy in uscita, selezionare la casella di controllo

e fornire le informazioni del server proxy.

Se necessario, immettere il nome utente e la password.

Nota: Le impostazioni specificate in questa pagina si applicano solo ad ACC. Le informazioni delserver proxy per VMware Identity Manager Connector verranno immesse separatamente in unsecondo momento.

9 Fare clic su Avanti.


VMware, Inc. 32

10 (Solo VMware Identity Manager Connector) Nella pagina di configurazione di IDM Connector,immettere le informazioni seguenti, quindi fare clic su Avanti.

Opzione Descrizione

Porta di IDM Connector Immettere un numero di porta se si desidera che VMware Identity ManagerConnector venga eseguito su una porta diversa dalla 443.

Si desidera utilizzare il propriocertificato SSL?

Per impostazione predefinita, durante il processo di installazione viene generatoun certificato autofirmato per VMware Identity Manager Connector. È possibileinstallare un certificato firmato in un secondo momento accedendo alle pagine diamministrazione del connettore all'indirizzo https://vidmConnectorHostname:8443/cfg/login e passando alla pagina Installa certificato.

Se si dispone già di un certificato e si desidera installarlo subito, selezionare lacasella di controllo, quindi selezionare il certificato e immettere la password delcertificato. Il formato del certificato deve essere PFX.

Si sta utilizzando un proxy HTTPS? Scegliere di configurare un server proxy HTTPS per le comunicazioni in uscita, senecessario.

Proxy HTTPS: URL del server proxy.

Porta proxy: porta del server proxy HTTPS.

Host senza proxy: host a cui VMware Identity Manager Connector può accederesenza passare attraverso il server proxy. Ad esempio, localhost oppure host chesi trovano nella stessa subnet.


VMware, Inc. 33

11 (Solo VMware Identity Manager Connector) Nella pagina di attivazione di VMware IDM Connector,selezionare la casella di controllo se si desidera attivare subito il connettore.

Opzione Descrizione

Codice di attivazione Se VMware Identity Manager è configurato nel gruppo di organizzazioni diAirWatch da cui è stato scaricato il programma di installazione, in questo campoviene inserito automaticamente il codice di attivazione.

Se il campo non viene compilato automaticamente, generare un codice diattivazione nella console di amministrazione di VMware Identity Manager ecopiarlo e incollarlo qui. Vedere Generazione del codice di attivazione per ilconnettore VMware Identity Manager Connector per informazioni.

Password amministratore Creare una password per le pagine di amministrazione del connettore. È possibileaccedere a queste pagine per raccogliere i bundle dei file di registro e caricarecertificati.

Conferma password Immettere nuovamente la password. Se non si attiva subito VMware Identity Manager Connector, è possibile attivarlo in un secondomomento da https://vidmConnectorHostname:8443. Ad esempio, https://myconnector.example.com:8443.


13 (Solo VMware Identity Manager Connector) Nella pagina Account servizio di IDM Connector,selezionare la casella di controllo se si desidera eseguire il servizio IDM Connector come utente deldominio Windows.

È necessario eseguire il servizio come utente del dominio nei casi seguenti.

n Se si intende connettersi ad Active Directory (autenticazione integrata di Windows)



VMware, Inc. 34


Nota: Per selezionare le opzioni di questa pagina, è necessario eseguire il programma diinstallazione con le credenziali di un utente del dominio che appartiene al gruppo di amministratori diWindows Server.

Nota: Se non è possibile individuare i domini o gli utenti quando si fa clic su Sfoglia, verificare che iprerequisiti siano soddisfatti.


15 Fare clic su Installa per iniziare l'installazione.

Nel programma di installazione viene visualizzata una casella di controllo per l'aggiornamentoautomatico di ACC. Per ulteriori informazioni sull'aggiornamento automatico, vedere la sezionerelativa all'opzione di aggiornamento automatico di ACC.

16 Fare clic su Fine.

Verifica della corretta esecuzione dell'installazione diEnterprise Systems ConnectorDopo aver installato Enterprise Systems Connector, è possibile verificare se l'installazione è stataeseguita correttamente nella console di AirWatch.

Nota: L'opzione Test della connessione si applica solo al componente ACC diEnterprise Systems Connector. Non si applica al componente VMware Identity Manager Connector.


VMware, Inc. 35

Procedura

1 Passare a Gruppi e impostazioni > Tutte le impostazioni > Sistema > Integrazione aziendale >Cloud Connector.

2 Selezionare Test della connessione nella parte inferiore della schermata. Verrà visualizzato ilmessaggio seguente.

3 Se si esegue una migrazione, verificare quali funzionalità sono nuove e sottoporle al test per

verificare la corretta esecuzione della migrazione.

Passi successivi

Dopo aver stabilito che Enterprise Systems Connector è stato installato correttamente, è possibileutilizzarlo per eseguire l'integrazione con l'infrastruttura del servizio di directory.


VMware, Inc. 36

Gestione di ACC 4Questa sezione include informazioni sull'aggiornamento del componente ACC e la rigenerazione deicertificati.


n Aggiornamenti di ACC

n Esecuzione dell'aggiornamento manuale di ACC

n Rigenerazione dei certificati

Aggiornamenti di ACCAggiornare AirWatch Cloud Connector (ACC) dalla console di AirWatch per sfruttare i miglioramenti e lecorrezioni degli errori più recenti. Questo processo può essere automatizzato mediante l'opzione diaggiornamento automatico di ACC oppure può essere eseguito manualmente per le situazioni in cui ilcontrollo amministrativo è prioritario.

Nota: Per informazioni sull'aggiornamento del componente VMware Identity Manager Connector,vedere Aggiornamento di VMware Identity Manager Connector.

Aggiornamento automatico di ACCQuando si installa ACC, la casella di controllo relativa all'aggiornamento automatico è selezionata perimpostazione predefinita. L'aggiornamento automatico consente di aggiornare automaticamente ACC allaversione più recente senza l'intervento dell'utente verificando la disponibilità di versioni più recenti di ACCin AirWatch. Anche se AirWatch consiglia di consentire l'aggiornamento automatico, ovvero di nondeselezionare la casella di controllo, questa opzione è facoltativa per gli ambienti e le situazioni in cui èpreferibile eseguire un aggiornamento manuale.

Nota: L'opzione di aggiornamento automatico si applica solo al componente ACC diEnterprise Systems Connector. Non si applica al componente VMware Identity Manager Connector.

Vantaggi dell'aggiornamento automaticon Non è necessario determinare manualmente se eseguire l'aggiornamento e nemmeno cercare la

versione più recente di ACC. Il software esegue infatti questa operazione al posto dell'utente.

VMware, Inc. 37

n Sono sempre disponibili le funzionalità, i miglioramenti e le correzioni più recenti.

n E, cosa ancora più importante, sono disponibili le informazioni di sicurezza più aggiornate.

Processo di aggiornamentoL'aggiornamento automatico di ACC viene eseguito mediante le cartelle Bank1 e Bank2 che si trovanonella cartella Cloud Connector. AirWatch rileva quale di queste cartelle è vuota e vi salva i file di ACCappropriati oltre a svuotare il contenuto dell'altra cartella. Durante l'aggiornamento successivo, AirWatchripete il processo ad eccezione della cartella alternativa. Questo processo viene ripetuto ogni volta cheuna nuova versione viene aggiornata automaticamente ed è illustrato nella figura Flusso del processo diaggiornamento.

Importante: Non eliminare le cartelle Bank1 e Bank2. Queste cartelle sono infatti necessarie per ilprocesso di aggiornamento automatico di ACC.

Figura 4‑1. Flusso del processo di aggiornamento

Sicurezza dell'aggiornamento automaticoGli aggiornamenti automatici di ACC vengono eseguiti tenendo presente la sicurezza. Ogniaggiornamento viene firmato dalla console di AirWatch e verificato da ACC. Vengono pertanto applicatisolo aggiornamenti attendibili. Il processo di aggiornamento è inoltre trasparente per l'amministratore diAirWatch. ACC verifica la disponibilità di una versione più recente tramite la console di AirWatch sullaporta 443. Viene quindi eseguito un aggiornamento.

Durante l'aggiornamento alla versione più recente, ACC non è disponibile e si verifica una perditatemporanea del servizio di circa 1 minuto. Se sono installati più server ACC, per evitare che tutti i serviziACC siano contemporaneamente non disponibili, AirWatch incorpora nel processo di aggiornamento untimer casuale in modo che le interruzioni dei servizi ACC si verifichino in orari diversi per brevi periodi ditempo.

Se ACC viene aggiornato automaticamente, la versione disponibile in Installazione applicazioni noncambia e rimane elencata la versione originale. La versione presente in Installazione applicazioni cambiasolo quando si esegue il programma di installazione completo di ACC. Il modo migliore per verificare sel'aggiornamento automatico è stato eseguito correttamente consiste nel controllare nei registri di ACCquale versione è in esecuzione.


VMware, Inc. 38

Effetti della disabilitazione dell'aggiornamento automaticoSe si sceglie di disabilitare questa funzionalità e ACC non viene aggiornato, ACC continua a funzionarefinché non si verifica uno degli eventi seguenti.

n ACC viene spento e quindi riacceso (intenzionalmente oppure a causa di un'interruzionedell'alimentazione).

n ACC deve essere reinstallato.

n La console di AirWatch viene aggiornata a una versione successiva.

n I certificati di AirWatch, AWCM o ACC vengono rigenerati. Quando i certificati vengono rigenerati, perriconoscere i nuovi certificati è necessario installare e riavviare la versione più recente di ACC.

Esecuzione dell'aggiornamento manuale di ACCAirWatch non consiglia di eseguire l'aggiornamento manuale di ACC, ma questo metodo è disponibilecome opzione nel caso si adatti meglio alle esigenze dell'ambiente. Per ulteriori informazionisull'alternativa al metodo manuale, vedere Aggiornamento automatico di ACC.

Procedura

1 Assicurarsi che nella console di AirWatch sia disattivato l'aggiornamento automatico. In questo modo,quando la console viene aggiornata, i file .zip di ACC più recenti vengono salvati nel file di registro diACC e l'utente viene informato che ACC necessita di un aggiornamento.

2 Interrompere il servizio AirWatch Cloud Connector.

3 Eseguire una delle procedure seguenti.

a La prima procedura consiste nel decomprimere manualmente i file .zip di ACC nella cartella Bankcitata nel file di registro. Sovrascrivere i file esistenti nella cartella oppure eliminare tutti i file. Alriavvio del servizio Cloud Connector, la versione di ACC verrà aggiornata.

b La seconda procedura consiste nell'utilizzare una delle due cartelle Bank. In questo caso,lasciare il file .config o .config.old disponibile nell'altra cartella Bank in modo che nel file .configstock possano essere ripristinati i valori personalizzati. Decomprimere i file e riavviare il servizioCloud Connector, che verrà eseguito con la versione appena aggiornata.

Rigenerazione dei certificatiPotrebbe essere necessario rigenerare i certificati utilizzati per i server AirWatch e AirWatch CloudConnector (ACC), ad esempio nel caso in cui scadano o se l'organizzazione richiede che la rigenerazionevenga eseguita regolarmente. Il processo è semplice e viene eseguito dalla console di AirWatch, ma ènecessario scaricare ed eseguire nuovamente il programma di installazione di ACC.


VMware, Inc. 39

Il certificato contiene un'identificazione personale e la data di scadenza. Entrambi i dati possono esserecancellati e rigenerati contemporaneamente facendo clic sul pulsante Rigenera certificati ed eseguendole istruzioni visualizzate. Se si rigenerano i certificati, ACC non sarà più in grado di comunicare conAirWatch e sarà necessario eseguire nuovamente la procedura di installazione per consentire a entrambii server di riconoscere i nuovi certificati.

Procedura

1 Passare a Gruppi e impostazioni > Tutte le impostazioni > Sistema > Integrazione aziendale >Cloud Connector. La scheda Avanzate include entrambi i certificati, le identificazioni personali e ledate di scadenza.

2 Fare clic su Rigenera certificati per generare un nuovo certificato per i server ACC e AirWatch.


VMware, Inc. 40

3 Se necessario, immettere il PIN di sicurezza per confermare l'azione e la ricezione del messaggio diavviso. I vecchi certificati vengono eliminati, mentre i nuovi certificati vengono rigenerati insieme alleidentificazioni personali e alle date di scadenza.

Figura 4‑2.

Quando si immette il PIN per confermare, ACC non può più comunicare con il server AirWatch. Perripristinare le comunicazioni tra ACC e il server AirWatch, tornare a Installazione di ACC ed eseguirenuovamente tutti i passaggi. In questo modo, entrambi i server riconosceranno il certificato più recente epotranno riprendere le comunicazioni.


VMware, Inc. 41

Configurazione e gestione diVMware Identity ManagerConnector 5Questa sezione contiene informazioni sulla configurazione di VMware Identity Manager Connector e sullagestione delle impostazioni amministrative. Include inoltre indicazioni sulla configurazione avanzata.

Questo capitolo include i seguenti argomenti:n Configurazione di VMware Identity Manager Connector

n Gestione delle impostazioni di amministrazione del connettore di VMware Identity Manager

n Attivazione delle impostazioni del proxy dopo l'installazione

n Configurazione della disponibilità elevata per VMware Identity Manager Connector

n Aggiunta del supporto dell'autenticazione Kerberos alla distribuzione di VMware Identity ManagerConnector

n Eliminazione di un'istanza di VMware Identity Manager Connector

n Aggiornamento di VMware Identity Manager Connector

Configurazione di VMware Identity Manager ConnectorDopo aver installato il componente VMware Identity Manager Connector, è necessario configurarlo.

La configurazione di VMware Identity Manager Connector comporta l'esecuzione delle attività seguenti.

1 Generare un codice di attivazione e attivare il connettore, se questa operazione non è stata eseguitadurante l'installazione.

2 Configurare una directory.

3 Abilitare gli adattatori di autenticazione nel connettore.

4 Abilitare la modalità in uscita per il connettore.

VMware, Inc. 42

Generazione del codice di attivazione per il connettore VMwareIdentity Manager ConnectorAccedere alla console di amministrazione di VMware Identity Manager e generare un codice diattivazione per VMware Identity Manager Connector. Questo codice di attivazione viene utilizzato perstabilire la comunicazione tra il tenant e l'istanza del connettore.

Nota: Se VMware Identity Manager è configurato nel gruppo di organizzazioni di AirWatch da cui è statoscaricato il programma di installazione, non è necessario generare il codice di attivazione. Se si attiva ilconnettore dal programma di installazione, il codice di attivazione viene inserito automaticamente nelcampo Codice di attivazione. Continuare con il programma di installazione.

Prerequisiti

(Ambienti SaaS) Si dispone dell'URL del tenant di VMware Identity Manager, ad esempiomycompany.vmwareidentity.com. Dopo aver ricevuto la conferma tramite e-mail, passare all'URL deltenant e accedere utilizzando le credenziali di amministratore locale ricevute. Questo amministratore è unutente locale.

Procedura

1 Accedere alla console di amministrazione.

2 (Ambienti SaaS) Fare clic su Accetto per accettare i termini e le condizioni.

3 Selezionare a scheda Gestione identità e accessi.

4 Fare clic su Configura.

5 Nella pagina Connettori, fare clic su Aggiungi connettore.

6 Immettere un nome per connettore.

7 Fare clic su Genera codice di attivazione.

Il codice di attivazione verrà visualizzato nella pagina.


VMware, Inc. 43

8 Copiare il codice di attivazione e salvarlo.

Passi successivi

Se si attiva il componente VMware Identity Manager Connector durante l'esecuzione del programma diinstallazione di Enterprise Systems Connector, copiare e incollare il codice del connettore nella pagina diattivazione di VMware IDM Connector del programma di installazione.

Se si attiva il componente VMware Identity Manager Connector in un secondo momento dopol'installazione, vedere Attivazione di VMware Identity Manager Connector.

Attivazione di VMware Identity Manager ConnectorSe non si attiva VMware Identity Manager Connector dal programma di installazione diEnterprise Systems Connector durante l'installazione, è possibile attivarlo in un secondo momentopassando all'URL https://vidmConnectorHostname:8443.

Prerequisiti

È necessario disporre di un codice di attivazione per il connettore.

Procedura

1 Passare all'URL https://vidmConnectorHostname:8443.

Specificare vidmConnectorHostname come nome di dominio completo. Ad esempio,https://myconnector.example.com:8443.

2 Nella pagina di benvenuto, fare clic su Continua.


VMware, Inc. 44

3 Nella pagina Imposta password, creare una password per le pagine di amministrazione delconnettore, quindi fare clic su Continua.

È possibile accedere a queste pagine per raccogliere i bundle dei file di registro e caricare certificati.

4 Nella pagina Attiva connettore, immettere il codice di attivazione, quindi fare clic su Continua.

Verrà visualizzato il messaggio Configurazione completata che indica che il connettore è statoattivato correttamente.

Configurazione di una directoryDopo aver installato e attivato VMware Identity Manager Connector, configurare una directory nellaconsole di amministrazione di VMware Identity Manager e stabilire la connessione con la directoryaziendale per sincronizzare utenti e gruppi con il servizio.

VMware Identity Manager supporta l'integrazione dei tipi di directory seguenti.

n Active Directory su LDAP

n Active Directory (autenticazione integrata di Windows)

n directory LDAP

Per ulteriori informazioni, vedere l'argomento relativo all'integrazione della directory conVMware Identity Manager prima di configurare la directory. Qui sono elencate le attività di alto livello.

Prerequisiti

I prerequisiti dipendono dal tipo di directory che si sta integrando. Per informazioni, vedere la guidaall'integrazione della directory con VMware Identity Manager.

Procedura

1 Accedere alla console di amministrazione di VMware Identity Manager.

Tip È possibile accedere alla console di amministrazione anche facendo clic sul collegamentoAccedere alla console di amministrazione disponibile nella pagina Configurazione completatavisualizzata dopo l'attivazione del connettore.


VMware, Inc. 45

2 Selezionare gli attributi utente da sincronizzare con la directory.

a Fare clic sulla scheda Gestione identità e accessi, quindi fare clic su Configura.

b Nella scheda Attributi utente, selezionare gli attributi obbligatori e aggiungere attributi aggiuntivi,se necessario.

Se un attributo è contrassegnato come obbligatorio, soltanto gli utenti con quell'attributo sarannosincronizzati con il servizio.

Importante: Tenere presenti le limitazioni seguenti.

n Dopo la creazione della directory, non è possibile rendere obbligatorio un attributo facoltativo.È necessario definire questa impostazione ora.

n Le impostazioni nella pagina Attributi utente si applica a tutte le directory nel servizio.Quando si rende obbligatorio un attributo, considerare l'eventuale effetto che questaoperazione potrebbe avere sulle altre directory.

3 Fare clic su Aggiungi directory e selezionare il tipo di directory che si desidera aggiungere.

4 Eseguire la procedura guidata per immettere le informazioni di configurazione della directory,selezionare gli utenti e i gruppi da sincronizzare e sincronizzare gli utenti con il servizioVMware Identity Manager.

Per informazioni, vedere la sezione relativa alla configurazione della connessione di Active Directorycon il servizio nella guida all'integrazione della directory con VMware Identity Manager.

Passi successivi

Fare clic sulla scheda Utenti e gruppi e verificare che gli utenti siano sincronizzati.

Abilitazione di adattatori di autenticazione in VMware IdentityManager ConnectorSono disponibili diversi adattatori di autenticazione per VMware Identity Manager Connector in modalitàin uscita, inclusi PasswordIdpAdapter, RSAAIdpAdapter, SecurIDAdapter e RadiusAuthAdapter.Configurare e abilitare gli adattatori che si intende utilizzare.

Quando si crea la directory, il metodo di autenticazione Password viene automaticamente abilitato per ladirectory. PasswordIdpAdapter viene configurato con le informazioni specificate per la directory.

Procedura

1 Nella console di amministrazione di VMware Identity Manager, fare clic sulla scheda Gestioneidentità e accessi.

2 Fare clic su Configura, quindi sulla scheda Connettori.

Il connettore distribuito è presente nell'elenco.

3 Fare clic sul collegamento nella colonna Worker.


VMware, Inc. 46

4 Fare clic sulla scheda Adattatori autenticazione.

Tale scheda include un elenco di tutti gli adattatori di autenticazione disponibili per il connettore.

Se è già stata configurata una directory, PasswordIdpAdapter è già configurato e abilitato con leinformazioni di configurazione specificate durante la creazione della directory.

5 Configurare e abilitare gli adattatori di autenticazione che si desidera utilizzare facendo clic sulrelativo collegamento e immettendo le informazioni di configurazione. È necessario abilitare almenoun adattatore di autenticazione.

Per informazioni sulla configurazione di adattatori di autenticazione specifici, vedere la guidaall'amministrazione di VMware Identity Manager.

Ad esempio:


VMware, Inc. 47

Abilitazione della modalità in uscita per VMware Identity ManagerConnectorPer abilitare la modalità di connessione in sola uscita per VMware Identity Manager Connector, associareil connettore al provider di identità integrato.


VMware, Inc. 48

Il provider di identità integrato è disponibile per impostazione predefinita nel servizioVMware Identity Manager e fornisce ulteriori metodi di autenticazione integrati come VMware Verify. Perinformazioni sul provider di identità integrato, vedere la guida all'amministrazione di VMware IdentityManager.

Nota: Il connettore può essere utilizzato nella modalità in uscita e nella modalità normalecontemporaneamente. Anche se si abilita la modalità in uscita, è comunque possibile configurarel'autenticazione Kerberos per gli utenti interni mediante criteri e metodi di autenticazione.

Procedura

1 Nella scheda Gestione identità e accessi della console di amministrazione, fare clic su Gestisci.

2 Fare clic sulla scheda Provider di identità.

3 Fare clic sul collegamento Integrato.

4 Immettere le informazioni seguenti.

Opzione Descrizione

Utenti Selezionare la directory o i domini che utilizzeranno il provider di identitàintegrato.

Rete Selezionare gli intervalli di rete che utilizzeranno il provider di identità integrato.

Connettori Selezionare il connettore che è stato configurato.

Nota: Se in seguito si aggiungeranno altri connettori per la disponibilità elevata,selezionarli e aggiungerli tutti qui per associarli al provider di identità integrato.VMware Identity Manager distribuisce automaticamente il traffico tra tutti iconnettori associati al provider di identità integrato. Non è necessario utilizzare unprogramma di bilanciamento del carico.

Metodi di autenticazione delconnettore

Sono elencati i metodi di distribuzione abilitati per il connettore. Selezionare imetodi di autenticazione che si desidera utilizzare.

L'adattatore PasswordIdpAdapter, che è stato automaticamente configurato eabilitato durante la creazione di una directory, viene visualizzato in questa paginacome Password (distribuzione cloud), a indicare che viene utilizzato con ilconnettore in modalità in uscita.

Ad esempio:


VMware, Inc. 49

5 Fare clic su Salva per salvare la configurazione del provider di identità integrato.

6 Modificare i criteri in modo che utilizzino i metodi di autenticazione abilitati.

a Nella scheda Gestione identità e accessi fare clic su Gestisci.

b Fare clic sulla scheda Criteri e quindi sul criterio che si desidera modificare.

c In Regole del criterio, fare clic sul collegamento nella colonna Metodo di autenticazione per laregola che si desidera modificare.

d Nella pagina Modifica regola del criterio selezionare il metodo di autenticazione che si desiderautilizzare per questa regola.


VMware, Inc. 50

e Fare clic su OK.

f Fare clic su Salva.

Per ulteriori informazioni sulla configurazione dei criteri, vedere la guida all'amministrazione diVMware Identity Manager.

La modalità in uscita del connettore è ora abilitata. Quando un utente accede utilizzando uno dei metodidi autenticazione abilitati per il connettore nella pagina del provider di identità integrato, non è necessarioalcun reindirizzamento HTTP al connettore.

Gestione delle impostazioni di amministrazione delconnettore di VMware Identity ManagerUna volta completata la configurazione iniziale del connettore di VMware Identity Manager, è possibilepassare alle pagine di amministrazione del connettore in qualsiasi momento per installare certificati,gestire password e scaricare file di registro.

Le pagine di amministrazione di VMware Identity Manager Connector sono disponibili all'indirizzohttps://connectorFQDN:8443/cfg/login, ad esempio, https://myconnector.example.com:8443/cfg/login.Accedere come utente amministratore del connettore con la password creata durante l'installazione delconnettore.

Tavola 5‑1. Impostazioni del connettore

Opzione Descrizione

Installa certificati SSL Nelle schede in questa pagina, è possibile installare uncertificato SSL per il connettore, scaricare il certificato rootautofirmato e installare certificati root attendibili.

Nota: La scheda Certificato PassThrough è utilizzato soloquando l'autenticazione del certificato è configurata nelconnettore incorporato in uno scenario di distribuzione DMZ.Non è applicabile in nessun altro scenario. Per informazioni,vedere Distribuzione di VMware Identity Manager in DMZ.

Modifica password Su questa pagina è possibile modificare la passwordamministratore del connettore.

Percorsi dei file di registro In questa pagina, è possibile creare e scaricare un bundle deifile di registro del connettore.

Uso di certificati SSL per il connettoreQuando si VMware Identity Manager installa il connettore, viene generato automaticamente un certificatodel server SSL autofirmato predefinito. È possibile continuare a utilizzare questo certificato autofirmatonella maggior parte degli scenari.


VMware, Inc. 51

Con il connettore distribuito in modalità in uscita, gli utenti finali non accedono al connettore direttamente,pertanto non è richiesta l'installazione di un certificato SSL pubblico firmato dall'autorità di certificazione(CA). Per l'accesso degli amministratori al connettore, è possibile continuare a utilizzare il certificatoautofirmato predefinito oppure utilizzare un certificato generato dalla propria autorità di certificazioneinterna.

Tuttavia, se si abilita KerberosIdpAdapter sul connettore per configurare l'autenticazione Kerberos per gliutenti interni, gli utenti finali stabiliranno connessioni SSL al connettore e pertanto il connettore deveavere un certificato SSL firmato. Utilizzare l'autorità di certificazione interna per generare il certificatoSSL.

Se imposta l'alta disponibilità per l'autenticazione Kerberos, è necessario un bilanciamento del caricodavanti alle istanze del connettore. In questo caso, il bilanciamento del carico e tutte le istanze delconnettore devono avere certificati SSL firmati. Utilizzare l'autorità di certificazione interna per generare icertificati SSL. Per il certificato del bilanciamento del carico, utilizzare il nome host del fornitore di identitàdi Workspace, definito nella pagina di configurazione del fornitore di identità Workspace, come Nomecomune del DN oggetto. Per ciascun certificato di istanza del connettore, utilizzare il nome host delconnettore come Nome comune del DN oggetto. In alternativa, è possibile creare un singolo certificatoutilizzando il nome host del fornitore di identità Workspace come Nome comune del DN oggetto e tutti inomi host dei connettori, nonché il nome host del fornitore di identità Workspace come nomi alternativi dioggetto (SAN).

Installazione di un certificato SSL firmato per il connettoreÈ possibile installare un certificato SSL firmato per il connettore VMware Identity Manager dalle pagine diamministrazione del connettore all'indirizzo https://connectorFQDN:8443/cfg/login.

Vedere Uso di certificati SSL per il connettore per gli scenari in cui è necessario un certificato SSLfirmato.

Prerequisiti

Generare una richiesta di firma certificato (CSR) e ottenere un certificato SSL firmato. Il formato delcertificato deve essere PEM.

Procedura

1 Accedere alle pagine di amministrazione del connettore all'indirizzo https://connectorFQDN:8443/cfg/login come utente amministratore.

2 Fare clic su Installa certificati SSL.

3 Nella scheda Certificato server, selezionare Certificato personalizzato nel campo CertificatoSSL.

4 Nella casella di testo della catena di certificati SSL, incollare i certificati del server, intermedi eradice in questo ordine.

È necessario includere l'intera catena di certificati nell'ordine corretto. Per ciascun certificato, copiaretutto il contenuto presente tra le righe -----BEGIN CERTIFICATE----- ed -----END CERTIFICATE----.


VMware, Inc. 52

5 Nella casella di testo Chiave privata, incollare la chiave privata. Copiare tutto il contenuto presentetra le righe ----BEGIN RSA PRIVATE KEY---- ed ---END RSA PRIVATE KEY----.

6 Fare clic su Aggiungi.

Esempio: esempi di certificati

Esempio di catena di certificati

-----BEGIN CERTIFICATE-----

jlQvt9WdR9Vpg3WQT5+C3HU17bUOwvhp/r0+

...

W53+O05j5xsxzDJfWr1lqBlFF/OkIYCPcyK1

-----END CERTIFICATE-----


WdR9Vpg3WQT5+C3HU17bUOwvhp/rjlQvt90+

...

O05j5xsxzDJfWr1lqBlFF/OkIYCPW53+cyK1



dR9Vpg3WQTjlQvt9W5+C3HU17bUOwvhp/r0+

...

5j5xsxzDJfWr1lqW53+O0BlFF/OkIYCPcyK1


Esempio di chiave privata

-----BEGIN RSA PRIVATE KEY-----

jlQvtg3WQT5+C3HU17bU9WdR9VpOwvhp/r0+

...

...

...

1lqBlFFW53+O05j5xsxzDJfWr/OkIYCPcyK1

-----END RSA PRIVATE KEY-----

Download del certificato CA root autofirmato del connettoreSe si distribuisce il connettore con il certificato SSL autofirmato generato per impostazione predefinitaquando si installa il connettore, installare certificato CA root autofirmato del connettore in tutti i client cheaccedono al connettore. È possibile scaricare il certificato CA root dalla console di amministrazione diVMware Identity Manager.

Procedura

1 Accedere alle pagine di amministrazione del connettore VMware Identity Manager all'indirizzohttps://connectorFQDN:8443/cfg/login come utente amministratore.

2 Fare clic su Installa certificati SSL.


VMware, Inc. 53

3 Nella scheda Certificato server, fare clic sul collegamento nel campo Certificati CA rootautofirmati dell'appliance.

Vengono visualizzati i certificati.

4 Copiare tutto il testo, incluse le righe -----BEGIN CERTIFICATE----- e -----ENDCERTIFICATE-----.

Installazione certificati root attendibili sul connettoreInstallare i certificati root o intermedi che devono essere considerati attendibili dal connettore di VMwareIdentity Manager. Il connettore sarà in grado di stabilire connessioni protette a server la cui catena dicertificati include uno di questi certificati.

Gli scenari in cui è necessario installare i certificati root attendibili nel connettore includono i seguenti:

n Se è stato configurato un bilanciamento del carico per l'alta disponibilità dell'autenticazione Kerberos,installare il certificato CA root del bilanciamento del carico nelle istanze del connettore per stabilirel'attendibilità tra i connettori e il bilanciamento del carico.

n Se sono state integrate risorse pubblicate da Citrix, installare il certificato SSL di Integration Brokernei connettori che comunicheranno con Integration Broker.

Procedura


2 Fare clic su Installa certificati SSL, quindi selezionare la scheda di CA attendibili.

3 Incollare il certificato root o intermedio nella casella di testo.

Includere tutto il contenuto presente tra le righe -----BEGIN CERTIFICATE----- ed -----ENDCERTIFICATE----


Gestione delle password del connettore diVMware Identity ManagerQuando si installa VMware Identity Manager Connector, si crea una password per l'utenteamministratore. È possibile modificare questa password dalle pagine di amministrazione del connettore.

Importante: Assicurarsi di creare password complesse. Le password complesse devono essere almenodi otto caratteri e comprendere lettere maiuscole e minuscole, nonché almeno un numero e un caratterespeciale.

Procedura


2 Fare clic su Modifica password.


VMware, Inc. 54

3 Immettere la vecchia password e quella nuova.

Importante: La password dell'utente amministratore deve contenere almeno 6 caratteri.

4 Fare clic su Salva.

Visualizzazione dei file di registroI file di registro di VMware Identity Manager Connector consentono di eseguire il debug e risolvere iproblemi. I file di registro si trovano nella directoryInstallDirectory\IDMConnector\opt\vmware\horizon\workspace\logs.

I file di registro seguenti sono i più importanti.

Tavola 5‑2. File di registro

ComponentePosizione dei file di registro inWindows Descrizione

Registriconfiguratore

InstallDirectory\IDMConnecto

r\opt\vmware\horizon\workspac

e\logs\configurator.log

Richieste che il configuratore riceve dalclient REST e dall'interfaccia Web.

Registri connettore InstallDirectory\IDMConnecto


e\logs\connector.log

Un record di ogni richiesta ricevutadall'interfaccia Web. Ogni voce del registroinclude anche l'URL della richiesta, ilformato data/ora e le eccezioni. Nessunaazione di sincronizzazione viene registrata.

Registri di ApacheTomcat

InstallDirectory\IDMConnecto


e\logs\catalina.log

I record Apache Tomcat dei messaggi chenon sono registrati in altri file di registro.

È inoltre possibile scaricare un bundle di file di registro dalle pagine di amministrazione di VMwareIdentity Manager Connector.

Download di un bundle di registriÈ possibile scaricare un bundle di file di registro per VMware Identity Manager Connector dalle pagine diamministrazione del connettore. I file di registro consentono di eseguire il debug e risolvere i problemi.

Per raccogliere i registri da ogni istanza del connettore nell'ambiente, accedere alle pagine amministrativeper ogni istanza.

Procedura

1 Accedere alle pagine amministrative di VMware Identity Manager Connector all'indirizzohttps://connectorFQDN:8443/cfg/login come utente amministratore.

2 Fare clic su Percorsi dei file di registro e selezionare Prepara bundle di registri.

Le informazioni vengono raccolte in un file zip che può essere scaricato.

3 Scaricare il bundle di registri.


VMware, Inc. 55

Impostazione del livello di registro del connettore di VMware IdentityManager su DEBUGÈ possibile impostare il livello di registro su DEBUG per registrare informazioni aggiuntive checonsentono di eseguire il debug dei problemi.

Procedura

1 Sul server Windows su cui è installato il connettore, passare alla directoryinstall_dir\IDMConnector\usr\local\horizon\conf\.

2 Aggiornare il livello del registro nei file cfg-log4j.properties e hc-log4j.properties, che sono ifile log4j più comunemente utilizzati per il connettore.

a Modificare il file.

b Nelle righe con il livello di registro impostato su INFO, sostituire INFO con DEBUG.

Ad esempio, cambiare:

rootLogger.level=INFO

in:

rootLogger.level=DEBUG

c Salvare il file.

Non è necessario un riavvio del servizio o del sistema.

Attivazione delle impostazioni del proxy dopol'installazioneSe non sono state configurate le impostazioni del proxy HTTPS per il componente VMware IdentityManager Connector durante l'installazione, è possibile configurarle in un secondo momento creando unfile delle impostazioni proxy.

Procedura

1 Accedere al server Windows.

2 Creare il file seguente:

install_dir\opt\vmware\horizon\workspace\bin\proxySettings.bat

3 Aggiungere la seguente impostazione al file:

set "PROXY_OPTS=-Dhttps.proxyHost=proxyhost -Dhttp.proxyHost=proxyhost -

Dhttps.proxyPort=proxyport -Dhttp.proxyPort=proxyport"

dove proxyhost è il server proxy HTTPS e proxyport è la porta del server proxy HTTPS.

Per specificare host non proxy, host a cui accedere senza passare attraverso il server proxy,aggiungere quanto segue all'impostazione PROXY_OPTS:


VMware, Inc. 56

-Dhttps.nonProxyHosts=hostList -Dhttp.nonProxyHosts=hostList

dove hostList è un elenco di host separati da |. Può inoltre includere caratteri jolly. Ad esempio:

-Dhttps.nonProxyHosts=*.example.com|localhost -Dhttp.nonProxyHosts=*.example.com|

localhost

4 Salvare il file.

5 Eseguire il seguente script per riavviare il servizio.

install_dir\usr\local\horizon\scripts\horizonService.bat restart

Importante: Non riavviare il servizio dal pannello Servizi altrimenti le impostazioni non verrannoaggiornate correttamente.

Configurazione della disponibilità elevata per VMwareIdentity Manager ConnectorÈ possibile configurare VMware Identity Manager Connector per la disponibilità elevata e il failoveraggiungendo più istanze del connettore in un cluster. Se per un motivo qualsiasi una delle istanze delconnettore non è più disponibile, le altre istanze saranno comunque disponibili.

Per creare un cluster, installare nuove istanze del connettore e configurarle esattamente come la primaistanza del connettore.

È quindi necessario associare tutte le istanze dei connettori al provider di identità integrato. Il servizioVMware Identity Manager distribuisce automaticamente il traffico tra tutti i connettori associati al providerdi identità integrato. Non è necessario utilizzare un programma di bilanciamento del carico. Se uno deiconnettori non è più disponibile a causa di un problema di rete, il servizio non indirizza il traffico verso taleconnettore. Quando la connettività viene ripristinata, il servizio riprende a indirizzare il traffico verso ilconnettore.

Dopo aver configurato il cluster del connettore, i metodi di autenticazione abilitati nel connettore sono adisponibilità elevata. Se l'istanza di uno dei connettori non è disponibile, l'autenticazione è comunquedisponibile. Per la sincronizzazione della directory, tuttavia, nel caso di un errore dell'istanza delconnettore, sarà necessario selezionare manualmente un'altra istanza del connettore come connettore disincronizzazione. La sincronizzazione delle directory può essere abilitata solo su un connettore alla volta.

Nota: Questa sezione non si applica alla disponibilità elevata dell'autenticazione Kerberos. Vedere Aggiunta del supporto dell'autenticazione Kerberos alla distribuzione di VMware Identity ManagerConnector.


VMware, Inc. 57

Installazione di istanze aggiuntive di VMware Identity ManagerConnectorDopo aver installato e configurato la prima istanza di VMware Identity Manager Connector, è possibileaggiungere altri connettori per la disponibilità elevata installando nuove istanze del connettore econfigurandole esattamente come l'istanza del primo connettore.

Importante: Le nuove istanze del connettore devono essere attivate in base allo stesso servizioVMware Identity Manager utilizzato dalla prima istanza del connettore.

Prerequisiti

È stata installata e configurata la prima istanza del connettore in base alla procedura descritta in Esecuzione del programma di installazione di Enterprise Systems Connector.

Procedura

1 Installare e configurare una nuova istanza di VMware Identity Manager Connector seguendo leistruzioni seguenti.

n Esecuzione del programma di installazione di Enterprise Systems Connector

n Configurazione di VMware Identity Manager Connector

Importante: È necessario attivare la nuova istanza del connettore in base allo stesso servizioVMware Identity Manager utilizzato dal primo connettore.

2 Associare la nuova istanza di VMware Identity Manager Connector al provider di identità diWorkspace della prima istanza del connettore.

a Nella console di amministrazione di VMware Identity Manager, selezionare la scheda Gestioneidentità e accessi, quindi selezionare la scheda Provider di identità.

b Nella pagina Provider di identità, individuare l'IDP workspace dell'istanza del primo connettore efare clic sul collegamento.

c Nel campo Connettori, selezionare il nuovo connettore.

d Immettere la password del nome distinto di binding e fare clic su Aggiungi connettore.

e Fare clic su Salva.

3 Configurare e abilitare gli adattatori di autenticazione nel nuovo connettore.

Importante: Gli adattatori di autenticazione di tutti i connettori nel cluster devono essere configuratinello stesso modo. In tutti i connettori devono essere abilitati gli stessi metodi di autenticazione.

a Nella scheda Gestione identità e accessi fare clic su Configura, quindi sulla schedaConnettori.

b Fare clic sul collegamento nella colonna Worker del nuovo connettore.


VMware, Inc. 58

c Fare clic sulla scheda Adattatori autenticazione.

Tale scheda include un elenco di tutti gli adattatori di autenticazione disponibili per il connettore.

L'adattatore PasswordIdpAdapter è già configurato e abilitato perché il nuovo connettore è statoassociato alla directory associata al primo connettore.

d Configurare e abilitare gli altri adattatori di autenticazione in modo analogo al primo connettore.Assicurarsi che le informazioni relative alla configurazione siano identiche.

Per informazioni sulla configurazione degli adattatori di autenticazione, vedere la Guidaall'amministrazione di VMware Identity Manager.

Passi successivi

Aggiunta di nuove istanze di VMware Identity Manager Connector al provider di identità integrato

Aggiunta di nuove istanze di VMware Identity Manager Connectoral provider di identità integratoDopo aver distribuito e configurato le nuove istanze di VMware Identity Manager Connector, aggiungerleal provider di identità integrato e abilitare gli stessi metodi di autenticazione abilitati nella prima istanzadel connettore. VMware Identity Manager distribuisce automaticamente il traffico tra tutti i connettoriassociati al provider di identità integrato.

Procedura

1 Nella scheda Gestione identità e accessi della console di amministrazione diVMware Identity Manager, fare clic su Gestione.


3 Fare clic sul collegamento Integrato.

4 Nel campo Connettori, selezionare il nuovo connettore nell'elenco a discesa e fare clic su Aggiungiconnettore.

5 Nella sezione Metodi di autenticazione del connettore abilitare gli stessi metodi di autenticazioneabilitati per il primo connettore.

Il metodo di autenticazione Password (distribuzione cloud) viene configurato e abilitatoautomaticamente. È necessario abilitare gli altri metodi di autenticazione.

Importante: Gli adattatori di autenticazione di tutti i connettori nel cluster devono essere configuratinello stesso modo. In tutti i connettori devono essere abilitati gli stessi metodi di autenticazione.

Per informazioni sulla configurazione di adattatori di autenticazione specifici, vedere la guidaall'amministrazione di VMware Identity Manager.

6 Fare clic su Salva per salvare la configurazione del provider di identità integrato.


VMware, Inc. 59

Abilitazione della sincronizzazione delle directory in un altroconnettore in caso di erroreSe si verifica un errore dell'istanza di un connettore, l'autenticazione viene gestita automaticamentedall'istanza di un altro connettore. Tuttavia, per la sincronizzazione della directory è necessario modificarele impostazioni della directory nel servizio VMware Identity Manager in modo da utilizzare l'istanza di unaltro connettore al posto di quella originale. La sincronizzazione delle directory può essere abilitata solosu un connettore alla volta.

Procedura


2 Selezionare la scheda Gestione identità e accessi, quindi fare clic su Directory.

3 Fare clic sulla directory che era associata all'istanza del connettore originale.

Tip Queste informazioni sono disponibili nella pagina Configura > Connettori.

4 Nella sezione Sincronizzazione e autenticazione directory della pagina della directory, selezionarel'istanza di un altro connettore nell'elenco a discesa Sincronizza connettore.

5 Nella casella di testo Password nome distinto di binding, immettere la password dell'account dibinding di Active Directory.


Aggiunta del supporto dell'autenticazione Kerberos alladistribuzione di VMware Identity Manager ConnectorPer gli utenti interni è possibile aggiungere l'autenticazione Kerberos, che richiede la modalità diconnessione in entrata, alla distribuzione di connettori in modalità di connessione in uscita. Gli stessiconnettori possono essere configurati in modo da utilizzare l'autenticazione Kerberos per gli utenti cheappartengono alla rete interna e un altro metodo di autenticazione per gli utenti che provengono dalla reteinterna. È possibile ottenere questo risultato definendo criteri di autenticazione basati su intervalli di rete.

I requisiti e le considerazioni includono:

n È possibile configurare l'autenticazione Kerberos indipendentemente dal tipo di directory impostata inVMware Identity Manager, Active Directory su LDAP o Active Directory (autenticazione integrata diWindows).

n Il computer Windows in cui è installato il componente connettore di VMware Identity Manager deveappartenere al dominio.

n È necessario installare il componente VMware Identity Manager Connector come utente del dominioche fa parte del gruppo di amministratori del computer Windows e il servizio VMware IDM Connectordeve essere eseguito come utente del dominio Windows.


VMware, Inc. 60

n Ogni connettore su cui è configurata l'autenticazione Kerberos deve avere un certificato SSLattendibile. È possibile ottenere il certificato da un'autorità di certificazione interna. L'autenticazioneKerberos non funziona con i certificati autofirmati.

Certificati SSL attendibili sono obbligatori indipendentemente dal fatto che si attivi Kerberos su unsingolo connettore o su più connettori per l'alta disponibilità.

n Per configurare la disponibilità elevata per l'autenticazione Kerberos, è necessario un programma dibilanciamento del carico.

Configurazione e abilitazione dell'adattatore di autenticazioneKerberosConfigurare e abilitare KerberosIdpAdapter in VMware Identity Manager Connector. Se è stato distribuitoun cluster per la disponibilità elevata, configurare e abilitare l'adattatore in tutti i connettori nel cluster.

Importante: Gli adattatori di autenticazione di tutti i connettori nel cluster devono essere configuratinello stesso modo. In tutti i connettori è necessario abilitare gli stessi metodi di autenticazione.

Quando si configura l'adattatore di autenticazione Kerberos, VMware Identity Manager Connector tenta diinizializzare Kerberos automaticamente. Se il servizio VMware IDM Connector non viene eseguito conprivilegi sufficienti per inizializzare Kerberos, viene visualizzato un messaggio di errore. In questo caso,seguire le istruzioni disponibili in http://kb.vmware.com/kb/2149753 per eseguire uno script perinizializzare Kerberos.

Per ulteriori informazioni sulla configurazione dell'autenticazione Kerberos, vedere la guidaall'amministrazione di VMware Identity Manager.

Prerequisiti

n Il computer Windows in cui VMware Identity Manager Connector è installato deve appartenere aldominio.

n È necessario installare il componente VMware Identity Manager Connector come utente del dominioche fa parte del gruppo di amministratori del computer Windows e il servizio VMware IDM Connectordeve essere eseguito come utente del dominio Windows.

Procedura

1 Nella console di amministrazione di VMware Identity Manager, fare clic sulla scheda Gestioneidentità e accessi.

2 Fare clic su Configura, quindi sulla scheda Connettori.

Sono elencati tutti i connettori distribuiti.

3 Fare clic sul collegamento nella colonna Worker di uno dei connettori.

4 Fare clic sulla scheda Adattatori autenticazione.


VMware, Inc. 61

http://kb.vmware.com/kb/2149753

5 Fare clic sul collegamento KerberosIdpAdapter, quindi configurare e abilitare l'adattatore.

Opzione Descrizione

Nome Il nome predefinito dell'adattatore è KerberosIdpAdapter, ma è possibilemodificarlo.

Attributo UID di directory Attributo dell'account che contiene il nome utente.

Abilita autenticazione di Windows Selezionare questa opzione.

Attiva reindirizzamento Se si dispone di più connettori in un cluster e si intende configurare la disponibilitàelevata di Kerberos utilizzando un programma di bilanciamento del carico,selezionare questa opzione e specificare un valore per Reindirizza nome host.Se la distribuzione include un solo connettore, non è necessario utilizzare leopzioni Attiva reindirizzamento e Reindirizza nome host.

Reindirizza nome host È necessario specificare un valore se è selezionata l'opzione Attivareindirizzamento. Immettere il nome host del connettore. Ad esempio, se il nomehost del connettore è connector1.esempio.com, immettereconnector1.esempio.com nella casella di testo.

Ad esempio:

Per ulteriori informazioni sulla configurazione di KerberosIdPAdapter, vedere la guidaall'amministrazione di VMware Identity Manager.


Nota: Se viene visualizzato un messaggio di errore che indica che l'inizializzazione di Kerberos nonè riuscita, eseguire manualmente lo script di inizializzazione di Kerberos seguendo le istruzionidisponibili in http://kb.vmware.com/kb/2149753, quindi tornare in questa pagina e configurarel'adattatore.

7 Se è stato distribuito un cluster, configurare KerberosIdPAdapter in tutti i connettori nel cluster.

Assicurarsi di configurare l'adattatore in modo identico in tutti i connettori, tranne che per il valore diReindirizza nome Host, che deve essere specifico per ogni connettore.


VMware, Inc. 62

http://kb.vmware.com/kb/2149753

Passi successivi

n Verificare che ogni connettore su cui è abilitato KerberosIdpAdapter disponga di un certificato SSLattendibile. È possibile ottenere il certificato da un'autorità di certificazione interna. L'autenticazioneKerberos non funziona con i certificati autofirmati.

Certificati SSL attendibili sono obbligatori indipendentemente dal fatto che si attivi Kerberos su unsingolo connettore o su più connettori per l'alta disponibilità.

n Configurare la disponibilità elevata per l'autenticazione Kerberos, se necessario. A tale scopo, ènecessario utilizzare un programma di bilanciamento del carico.

Configurazione della disponibilità elevata per l'autenticazioneKerberosPer configurare la disponibilità elevata per l'autenticazione Kerberos, installare un bilanciamento delcarico nel firewall della rete interna e aggiungere le istanze di VMware Identity Manager Connector albilanciamento del carico.

È inoltre necessario configurare determinate impostazioni nel bilanciamento del carico, stabilirel'attendibilità SSL tra il bilanciamento del carico e le istanze del connettore, nonché modificare l'URL diautenticazione del connettore in modo che utilizzi il nome host del bilanciamento del carico.

Configurazione delle impostazioni del programma di bilanciamento delcaricoNel programma di bilanciamento del carico è necessario configurare determinate impostazioni, adesempio impostando correttamente il timeout del programma di bilanciamento del carico e abilitando lesessioni sticky.

Configurare queste impostazioni.

n Timeout del bilanciamento del carico

Perché il VMware Identity Manager Connector funzioni correttamente, potrebbe essere necessarioaumentare il valore di timeout richiesta del bilanciamento del carico dal valore predefinito. Il valore èimpostato in minuti. Se il valore impostato per il timeout è troppo basso, è possibile che vengavisualizzato il messaggio di errore seguente:

Errore 502: Il servizio non è al momento disponibile.

n Abilita sessioni sticky

Se nella distribuzione sono presenti più istanze del connettore, è necessario abilitare l'impostazionerelativa alle sessioni sticky nel bilanciamento del carico. Il bilanciamento del carico collegherà quindiuna sessione utente a una istanza specifica del connettore.


VMware, Inc. 63

Applicazione del certificato root di VMware Identity Manager Connector albilanciamento del caricoQuando VMware Identity Manager Connector è configurato con un bilanciamento del carico, è necessariostabilire una relazione di attendibilità SSL tra il bilanciamento del carico e il connettore. Il certificato root diconnettore deve essere copiato nel bilanciamento del carico come certificato root attendibile.

Il certificato di VMware Identity Manager Connector può essere scaricato dalle pagine di amministrazionedel connettore all'indirizzo https://connectorFQDN:8443/cfg/ssl.

Se il nome di dominio del connettore punta al bilanciamento del carico, il certificato SSL può essereapplicato solo al bilanciamento del carico.

Procedura


2 Selezionare Installa certificati SSL.

3 Nella scheda Certificato server, fare clic sul collegamento nel campo Certificati CA rootautofirmati dell'appliance.

4 Copiare quanto compreso tra le righe -----BEGIN CERTIFICATE----- e -----END CERTIFICATE---- eincollare il certificato root nel percorso corretto di ognuno dei bilanciamenti del carico. Fareriferimento alla documentazione relativa al bilanciamento del carico.

Passi successivi

Copiare e incollare il certificato root di bilanciamento del carico in VMware Identity Manager Connector.


VMware, Inc. 64

Applicazione del certificato root di bilanciamento del carico a VMwareIdentity Manager ConnectorQuando VMware Identity Manager Connector è configurato con un bilanciamento del carico, è necessariostabilire una relazione di attendibilità tra il bilanciamento del carico e il connettore. Oltre a copiare ilcertificato root del connettore nel bilanciamento del carico, è necessario copiare il certificato root delbilanciamento del carico nel connettore.

Procedura

1 Ottenere il certificato root del bilanciamento del carico.

2 Passare alle pagine di amministrazione di VMware Identity Manager Connector all'indirizzohttps://connectorFQDN:8443/cfg/login e accedere come utente amministratore.

3 Selezionare la scheda Installa certificati SSL > CA attendibili.

4 Incollare il testo del certificato del bilanciamento del carico nella casella di testo Certificato root ointermedio.


Sostituzione del nome host del provider di identità del connettore con ilnome host del programma di bilanciamento del caricoDopo aver aggiunto le istanze di VMware Identity Manager Connector al bilanciamento del carico, ènecessario sostituire il nome host del provider di identità nel provider di identità di Workspace di ogniconnettore con il nome host del bilanciamento del carico.

Prerequisiti

Le istanze del connettore vengono configurate con un bilanciamento del carico. Assicurarsi che la portadel bilanciamento del carico sia 443. Non utilizzare 8443 perché è il numero della porta amministrativa.

Procedura



VMware, Inc. 65

2 Selezionare la scheda Gestione identità e accessi.


4 Nella pagina Provider di identità, fare clic sul collegamento del provider di identità di Workspace perl'istanza del connettore.

5 Nella casella di testo Nome host IdP sostituire il nome host del connettore con il nome host delbilanciamento del carico.

Ad esempio, se il nome host del connettore è myconnector e il nome host del bilanciamento delcarico è mylb, sostituire l'URL

myconnector.mycompany.com:port


VMware, Inc. 66

con il seguente:

mylb.mycompany.com:port


VMware, Inc. 67

Eliminazione di un'istanza di VMware Identity ManagerConnectorÈ possibile eliminare un'istanza di VMware Identity Manager Connector dal servizioVMware Identity Manager. L'istanza di connettore non può essere eliminata se è associata a unadirectory.

È ad esempio possibile scegliere di eliminare un'istanza di connettore se si desidera utilizzare lo stessonome host per una nuova istanza di connettore.

Procedura


2 Selezionare la scheda Gestione identità e accessi, quindi fare clic su Configura.

3 Se all'istanza di connettore che si desidera eliminare è associata una directory, eliminare innanzituttola directory.

a Fare clic sul nome della directory nella colonna Directory associata.

b Fare clic su Elimina directory.

4 Nella pagina Configura > Connettori, fare clic sull'icona Elimina accanto all'istanza del connettoreche si desidera eliminare e fare clic su Conferma.

L'istanza di connettore verrà eliminata dal servizio VMware Identity Manager.

5 Disinstallare il componente VMware Identity Manager Connector dall'istanza di Windows Server in cuiè installato.

Aggiornamento di VMware Identity Manager ConnectorPer aggiornare il componente VMware Identity Manager Connector di Enterprise Systems Connector,scaricare il programma di installazione dalla nuova versione della console di AirWatch ed eseguirlo. Nonè necessario disinstallare la vecchia versione.

Dopo l'aggiornamento, non è necessario generare un nuovo codice di attivazione o attivare nuovamenteVMware Identity Manager Connector. La configurazione esistente viene applicata al connettoreaggiornato.

Procedura

1 Accedere alla nuova versione della console di AirWatch.

2 Passare a Gruppi e impostazioni > Tutte le impostazioni > Sistema > Integrazione aziendale >VMware Enterprise Systems Connector.

3 Nella scheda Generale fare clic su Scarica programma di installazione di VMware EnterpriseSystems Connector.

Viene visualizzata la pagina di download del programma di installazione di VMware EnterpriseSystems Connector.


VMware, Inc. 68

4 Creare una password per il certificato e fare clic su Download.

Questa password è necessaria quando si installa il componente ACC.

5 Salvare il file del programma di installazione nel server Windows in cui è installata la versioneprecedente del connettore.

6 Eseguire il programma di installazione e seguire le istruzioni per completare l'aggiornamento.

7 Se viene aggiornato JRE durante l'aggiornamento del connettore, è necessario ripristinare il filecacerts del quale viene eseguito il backup dal programma di installazione durante l'aggiornamento.

Copiare il file opt\vmware\horizon\workspace\install\cacerts.sav nella cartellaJAVA_HOME\lib\security appena creata attribuendo al file il nome cacerts senzal'estensione .sav. Questo file sostituisce il file cacerts già presente nella cartella.

Nota: Durante l'aggiornamento, se il programma di installazione rileva nel server Windows unaversione di JRE precedente a quella disponibile nel pacchetto del programma di installazione, vienerichiesto di installare la nuova versione JRE.

8 Dopo il completamento dell'aggiornamento, riavviare il server Windows.

Il riavvio del server consente di impostare la variabile JAVA_HOME JRE sul JRE più recente cheviene installato con l'aggiornamento e consente al connettore di utilizzare il JRE più recente.

Passi successivi

Dopo l'aggiornamento alla versione 9.2.2, modificare il fileinstall_dir\IDMConnector\usr\local\horizon\conf\runtime-config.properties e cambiare ilvalore della proprietà connector.api.version in 5.

Nota: Questa opzione è necessaria solo quando si aggiorna alla versione 9.2.2 da una versioneprecedente.

Aggiornamento di Java sul server del connettoreIl componente VMware Identity Manager Connector richiede Java Runtime Environment (JRE).

La versione JRE richiesta per il connettore è fornita con il programma di installazione di VMwareEnterprise Systems Connector. Quando si aggiorna il componente di VMware Identity ManagerConnector, viene richiesto di aggiornare anche la versione di JRE. Per informazioni sull'aggiornamento diJRE durante l'esecuzione del programma di installazione, vedere Aggiornamento di VMware IdentityManager Connector.


VMware, Inc. 69

Se si desidera eseguire l'aggiornamento di JRE sul server del connettore in qualsiasi altro momento,eseguire i processi per assicurarsi che di VMware Identity Manager Connector continui a funzionarecorrettamente dopo l'aggiornamento di JRE.

Nota: Se JRE viene aggiornata automaticamente, seguire i passaggi da 3 a 6 dopo l'aggiornamento.

Nota: Questa procedura è applicabile al connettore di VMware Identity Manager versione 3.1 esuccessive.

Procedura

1 Arrestare il servizio del connettore.

2 Installare la nuova versione di JRE.

3 Aggiornare la variabile di ambiente JAVA_HOME in modo che punti al nuovo JRE.

4 Modificare il file %JAVA_HOME%/lib/security/java.security e aggiungere la seguenteimpostazione:

crypto.policy=unlimited

5 Aprire una finestra del prompt dei comandi come amministratore ed eseguire lo script seguente:

install_dir\IDMConnector\usr\local\horizon\scripts\reloadInstalledRootCerts.bat

6 Riavviare il servizio del connettore.


VMware, Inc. 70

Migrazione della directory daACC a VMware Identity ManagerConnector 6I clienti di Workspace ONE che distribuiscono la sincronizzazione di Active Directory conVMware Identity Manager utilizzando solo i connettori ACC esistenti devono eseguire una procedura dimigrazione se desiderano sfruttare la funzionalità aggiuntiva inclusa nel componente VMware IdentityManager Connector di Enterprise Systems Connector. Questa procedura monouso consente di convertirela directory di ACC di tipo Altra directory in una directory di tipo Active Directory su LDAP o ActiveDirectory (autenticazione integrata di Windows), che sono associate a VMware Identity ManagerConnector. L'esecuzione di questa procedura non determina la rimozione della directory esistente, né deipermessi eventualmente associati alla directory.

Nota: Il modello di sincronizzazione e autenticazione della directory solo mediante ACC conVMware Identity Manager è comunque ancora disponibile e supportato semplicemente aggiornando ACCin futuro. La procedura di migrazione è necessaria solo se si desidera sfruttare la nuova funzionalità.

La conversione della directory di tipo Altra directory include le attività seguenti.

1 Convertire la directory di tipo Altra directory in Active Directory su LDAP o Active Directory(autenticazione integrata di Windows).

2 Configurare metodi di autenticazione aggiuntivi del connettore VMware Identity Manager, senecessario. Il metodo di autenticazione Password è disponibile per impostazione predefinita.

3 Modificare il criterio predefinito e tutti gli eventuali criteri personalizzati in modo che utilizzino o ilmetodo di autenticazione di un altro connettore di VMware Identity Manager anziché Password(AirWatch Connector).

4 Interrompere la sincronizzazione di utenti e gruppi da AirWatch alla directory diVMware Identity Manager.

Questo capitolo include i seguenti argomenti:n Conversione di Altra directory in Active Directory su LDAP o Active Directory (autenticazione

integrata di Windows)

n Interruzione della sincronizzazione della directory di AirWatch con VMware Identity Manager

VMware, Inc. 71

Conversione di Altra directory in Active Directory suLDAP o Active Directory (autenticazione integrata diWindows)È possibile convertire una directory di tipo Altra directory, che include gli utenti e i gruppi sincronizzati daAirWatch, in una directory di tipo Active Directory su LDAP o Active Directory (autenticazione integrata diWindows), che sono associate a VMware Identity Manager Connector. Dopo la conversione delladirectory, per sincronizzare utenti e gruppi della directory aziendale con VMware Identity Manager vieneutilizzato VMware Identity Manager Connector anziché ACC.

Prerequisiti

n Installare e attivare il componente VMware Identity Manager Connector diVMware Enterprise Systems Connector in un'istanza di Windows Server.

Per utilizzare alcune funzionalità, Windows Server deve appartenere al dominio ed è necessarioinstallare il componente VMware Identity Manager Connector come utente del dominio che fa partedel gruppo di amministratori in Windows Server, nonché scegliere di eseguire il servizio IDMConnector come utente del dominio di Windows.

Questo requisito si applica ai casi seguenti.

n Se si intende convertire la directory di tipo Altra directory in Active Directory (autenticazioneintegrata di Windows)



n Sono necessarie le informazioni seguenti relative ad Active Directory:

n Se si esegue la conversione in Active Directory su LDAP, è necessario specificare il nome distintodi base, nonché il nome distinto di binding e la password corrispondente. L'uso di un utenteNome distinto di binding con una password che non ha scadenza è consigliato.

n Se si esegue la conversione in Active Directory (autenticazione integrata di Windows), ènecessario specificare l'indirizzo UPN e la password dell'utente di binding del dominio. L'uso diun utente Nome distinto di binding con una password che non ha scadenza è consigliato.

n Se Active Directory richiede l'accesso su SSL o STARTTLS, il certificato CA root del controller deldominio di Active Directory è obbligatorio.

n Per Active Directory (autenticazione integrata di Windows), se sono configurate più foreste diActive Directory e il gruppo Dominio locale contiene membri di domini di altre foreste, assicurarsiche l'utente di binding sia aggiunto al gruppo Administrators del dominio in cui si trova il gruppoDominio locale. In caso contrario, tali membri risulteranno mancanti dal gruppo Dominio locale.


VMware, Inc. 72

Procedura

1 Nella console di amministrazione di VMware Identity Manager, fare clic sulla scheda Gestioneidentità e accessi, quindi sulla scheda Directory.

2 Fare clic sul nome della directory che si desidera convertire.

3 Nella pagina della directory, fare clic sul pulsante Converti.

4 Nella pagina Aggiungi directory, modificare il nome della directory, se necessario, e selezionare il tipodi directory in cui si desidera convertire la directory di tipo Altra directory, ovvero Active Directory suLDAP o Active Directory (autenticazione integrata di Windows).

5 Immettere le informazioni relative alla connessione di Active Directory e continuare la proceduraguidata per configurare la directory.

Per informazioni, vedere la sezione relativa alla "configurazione della connessione di Active Directoryal servizio" nella guida di integrazione di Active Directory con VMware Identity Manager.

Seguire queste indicazioni.

n Nel campo Sincronizza connettore, selezionare l'istanza di VMware Identity ManagerConnector installata.

n Nella sezione Sincronizzazione e autenticazione directory, selezionare Sì perAutenticazione, a meno che per l'autenticazione non si intenda utilizzare un provider di identitàdi terze parti anziché il connettore.

n Assicurarsi di configurare la directory convertita come la directory di AirWatch, in modo che abbiala stessa struttura. Selezionare gli stessi domini. Quando si specificano gli utenti e i gruppi dasincronizzare, effettuare selezioni analoghe a quelle della directory di AirWatch in modo che nelladirectory convertita vengano sincronizzati gli stessi utenti e gruppi.

6 Nell'ultima pagina della procedura guidata, fare clic su Sincronizza directory.

La directory viene convertita e configurata per l'utilizzo di VMware Identity Manager Connector. Vienecreato un provider di identità Workspace, se non ne esiste già uno, e la directory viene associataautomaticamente a questo provider di identità. Il metodo di autenticazione Password è già abilitatoper la directory.

7 (Facoltativo) Per abilitare altri metodi di autenticazione per la directory, eseguire questi passaggi.

a Nella scheda Gestione identità e accessi fare clic su Configura.

b Nella pagina Connettori, individuare il connettore e il worker a cui la directory convertita èassociata e fare clic sul collegamento nella colonna Worker.

c Nella pagina del worker, fare clic sulla scheda Adattatori autenticazione.

d Configurare e abilitare gli adattatori di autenticazione che si desidera utilizzare per la directoryfacendo clic sul collegamento corrispondente e immettendo le informazioni di configurazione.

Per ulteriori informazioni sulla configurazione degli adattatori di autenticazione, vedereAmministrazione di VMware Identity Manager.


VMware, Inc. 73

8 Modificare default_access_policy_set e tutti gli eventuali criteri personalizzati in modo che venganoselezionati i metodi di autenticazione di VMware Identity Manager Connector anziché Password(AirWatch Connector).

a Nella scheda Gestione identità e accessi, fare clic sulla scheda Criteri.

b Fare clic su Modifica criterio predefinito.

c In Regole del criterio, modificare la colonna Metodi di autenticazione per ogni regola esostituire Password (AirWatch Connector) con Password, che è un metodo di autenticazionedi VMware Identity Manager Connector.

d Fare di nuovo clic sulla scheda Criteri e modificare i criteri personalizzati eventualmente presentiin modo che utilizzino Password o qualsiasi altro metodo di autenticazione diVMware Identity Manager Connector configurato.

Importante: Se non si sostituisce Password (Airwatch Connector) con Password o un altrometodo di autenticazione basato su VMware Identity Manager Connector, gli utenti della directoryconvertita non potranno accedere.

Passi successivi

Interrompere la sincronizzazione della directory da AirWatch alla directory convertita.

Interruzione della sincronizzazione della directory diAirWatch con VMware Identity ManagerDopo aver convertito la directory di tipo Altra directory in Active Directory su LDAP o Active Directory(autenticazione integrata di Windows) e averla associata a un VMware Identity Manager Connector, taleconnettore viene utilizzato per sincronizzare utenti e gruppi della directory aziendale con la directoryconvertita. È necessario interrompere la sincronizzazione di utenti e gruppi di AirWatch con la directory diVMware Identity Manager.

Procedura

1 Nella console di AirWatch, passare al gruppo di organizzazioni a cui si appartiene.

2 Passare alla pagina Gruppi e impostazioni > Tutte le impostazioni > Sistema > Integrazioneaziendale > VMware Identity Manager.

3 Fare clic sul pulsante Elimina nella parte inferiore della pagina.

In questo modo, la conversione della directory viene completata. Gli utenti e i gruppi vengono orasincronizzati dalla directory aziendale al servizio VMware Identity Manager mediante VMware IdentityManager Connector. Gli utenti possono continuare ad accedere e utilizzare le loro applicazioni.

Nota: È possibile che il nome di dominio visualizzato nella pagina di accesso sia diverso dopo laconversione della directory se il nome del dominio è diverso dal nome NETBIOS del dominio. Se siesegue la sincronizzazione di AirWatch, viene visualizzato il nome NETBIOS del dominio. Se si esegue lasincronizzazione di VMware Identity Manager Connector, viene visualizzato il nome del dominio.


VMware, Inc. 74

Risoluzione dei problemi diEnterprise Systems Connector 7Gli argomenti relativi alla risoluzione dei problemi descrivono problemi comuni e soluzioni perl'installazione e la gestione di Enterprise Systems Connector.

Reimpostazione della password dell'utenteamministratore per VMware Identity Manager ConnectorÈ possibile modificare la password dell'utente amministratore di VMware Identity Manager Connectordalle pagine di amministrazione del connettore all'indirizzo https://connectorFQDN:8443/cfg/login.Tuttavia, se non si riesce ad accedere ed è necessario reimpostare la password, è possibile utilizzare loscript hznSetAdminPassword.bat per reimpostare la password.

Procedura

1 Nel server Windows, aprire la finestra del prompt dei comandi.

2 Passare alla cartella INSTALL_DIR\IDMConnector\usr\local\horizon\bin:

cd INSTALL_DIR\IDMConnector\usr\local\horizon\bin

dove INSTALL_DIR è la directory di installazione di VMware Identity Manager Connector.

3 Eseguire il comando seguente:

hznSetAdminPassword.bat newPassword

VMware, Inc. 75

Installazione e configurazione di VMware Enterprise Systems …€¦ · Installazione e...

Documents

Transcript of Installazione e configurazione di VMware Enterprise Systems …€¦ · Installazione e...