Installazione e configurazione di VMware Identity Manager ...€¦ · Configurazione del failover e...

Installazione econfigurazione diVMware Identity Managerper WindowsMAGGIO 2018Versione 3.2.0.1VMware Identity Manager 3.2

Installazione e configurazione di VMware Identity Manager per Windows

VMware, Inc. 2

È possibile consultare la documentazione tecnica più aggiornata sul sito Web all'indirizo:

https://docs.vmware.com/it/

Inoltrare eventuali commenti sulla documentazione al seguente indirizzo:

[email protected]

Copyright © 2018 VMware Inc. Tutti i diritti sono riservati. Informazioni sul copyright e sui marchi.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware, Inc.P.le Biancamano 820121 Milanotel: 02-6203.2075fax: 02-6203.4000www.vmware.com/it

https://docs.vmware.com/it/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

Contenuti

Informazioni sull'installazione e la configurazione di VMware Identity Manager perWindows 5

1 Panoramica di VMware Identity Manager Services 6

2 Preparazione dell'installazione di VMware Identity Manager per Windows 9

Requisiti di configurazione di sistema e di rete 9

Creazione di record DNS e indirizzi IP 14

Creazione del database del servizio VMware Identity Manager 16

Checklist di distribuzione 22

3 Programma di Miglioramento dell'Esperienza del Cliente "Customer Experience

Improvement Program" ("CEIP") 24

4 Distribuzione della macchina VMware Identity Manager dietro un programma di

bilanciamento del carico 25Utilizzo di un programma di bilanciamento del carico o di un proxy inverso per abilitare l'accesso

esterno a VMware Identity Manager 25

5 Configurazione del servizio VMware Identity Manager 28

Installazione di VMware Identity Manager 28

Utilizzo della procedura guidata di configurazione per completare l'installazione 32

Distribuzione della macchina VMware Identity Manager dietro un programma di bilanciamento del

carico 33

Utilizzo di un programma di bilanciamento del carico o di un proxy inverso per abilitare l'accesso

esterno a VMware Identity Manager 33

Applicazione del certificato root di VMware Identity Manager al bilanciamento del carico 36

Applicazione del certificato root di bilanciamento del carico a VMware Identity Manager 37

Configurazione del failover e della ridondanza in un singolo data center (Windows) 39

Configurazione delle connessioni di Active Directory o della directory LDAP 44

Attivazione delle impostazioni del proxy dopo l'installazione 54

Specifica della chiave di licenza 55

6 Gestione delle impostazioni di configurazione della macchina

VMware Identity Manager 56Modifica delle impostazioni di configurazione dell'appliance 57

Uso dei certificati SSL 58

Configurazione di VMware Identity Manager per l'utilizzo di un database esterno 60

VMware, Inc. 3

Modifica dell'URL del servizio VMware Identity Manager 61

Modifica dell'URL del connettore 62

Informazioni sui file di registro 62

Gestione della password 64

Configurazione delle impostazioni SMTP 65

7 Risoluzione dei problemi relativi all'installazione e alla configurazione 67

Nel gruppo non viene visualizzato alcun membro dopo la sincronizzazione della directory 67

Risoluzione dei problemi relativi a Elasticsearch 68

8 Monitoraggio di VMware Identity Manager 69

Raccomandazioni monitoraggio capacità di carico hardware 69

Endpoint di URL di VMware Identity Manager per il monitoraggio 70

Registrazione di sistema 77


VMware, Inc. 4

Informazioni sull'installazione e laconfigurazione di VMware IdentityManager per Windows

Installazione e configurazione di VMware Identity Manager include informazioni sull'installazione e laconfigurazione del servizio VMware Identity Manager sui server Windows per le distribuzioni locali. Altermine dell'installazione, è possibile utilizzare la console di amministrazione per consentire agli utenti diaccedere da più dispositivi alle applicazioni dell'organizzazione, tra cui applicazioni Web, applicazioni edesktop Horizon e risorse pubblicate da Citrix. Viene inoltre spiegato come configurare la propriadistribuzione per l'alta disponibilità.

DestinatariQueste informazioni sono dirette agli amministratori di VMware Identity Manager. Le informazioni sonodestinate agli amministratori di sistema esperti di Windows e Linux che conoscono le tecnologie VMwaree in particolare vCenter™, ESX™ e vSphere®, i concetti relativi ai servizi di rete, i server Active Directory,i database, le procedure di backup e ripristino, Simple Mail Transfer Protocol (SMTP) e i server NTP. Laconoscenza di altre tecnologie, come RSA SecurID è utile se si intende implementare queste funzionalità.

VMware, Inc. 5

Panoramica diVMware Identity ManagerServices 1VMware Identity Manager è il componente di gestione di identità e accessi di Workspace ONE. Insieme aWorkspace ONE UEM e VMware Horizon, VMware Identity Manager può distribuire un catalogo diapplicazioni universale che include applicazioni Web, native e virtuali.

VMware Identity Manager è importante anche per la distribuzione di Single Sign-On (SSO) mobile eaccesso condizionale che include la gestione dei dispositivi e i controlli della conformità.VMware Identity Manager è disponibile in SaaS condiviso e nei modelli di distribuzione locale.

Questa guida descrive come distribuire VMware Identity Manager per Windows in un ambiente locale,incluse le configurazioni della disponibilità elevata e del programma di bilanciamento del carico. Il capitoloPreparazione dell'installazione di VMware Identity Manager include una descrizione dei modelli didistribuzione consigliati e della modalità di dimensionamento del database, del connettore e dei serverVMware Identity Manager in base alle dimensioni dell'organizzazione.

La figura Modello di distribuzione di VMware Identity Manager per Windows illustra a grandi linee ilmodello di distribuzione per Workspace ONE. Il servizio del dispositivo Workspace ONE UEM e il servizioVMware Identity Manager vengono distribuiti nel DMZ in cui i dispositivi possono accedere ai servizidirettamente. Il servizio VMware Horizon viene distribuito nella rete interna.

Figura 1‑1. Modello di distribuzione di VMware Identity Manager per Windows

Server VMwareIdentity Manager

ServerAirWatch

Active Directory/altri servizidirectory

ServerHorizon

Connettori

On-premise

Distribuzione diWorkspace ONE

DMZ

Rete aziendale

VMware, Inc. 6

La figura Diagramma dell'architettura di VMware Identity Manager per distribuzioni tipiche illustra undiagramma dettagliato con la configurazione del programma di bilanciamento del carico necessaria perVMware Identity Manager in cluster.


VMware, Inc. 7

Figura 1‑2. Diagramma dell'architettura di VMWare Identity Manager per distribuzioni tipiche

Dispositivi esterniHTTP(s) 80/88/443

e iOS

Porta 443/88Porta 443/88/5262

Porta 443

Porta 443

Porta 80

8 GBBilanciamento del carico

Identity Manager

Server DB IdentityManager

Connettoreaziendale

Amministratori

RSA/DNS/DC53/88/464/135/5500

LDAP 389/636/3268/3269

Porta 80

Porta 443

AD/LDAP

server SMTP

CA aziendale

Workspace OneIntelligence Connector

Dispositivi interni

Firewallesterno

Programma di bilanciamento del

carico

Programma di bilanciamento del

caricoFirewallinterno

DMZ

Rete interna

HTTP(s) 80/443

Porta 443/88/5262

Porta 1443

Porta 1443

Porta8443

Porta 443

4 core 100 GB

40 GBDB 12 core 300 GB

12 GB 6 core 100 GB

8 GB 1 core 50 GB

Internet


VMware, Inc. 8

Preparazione dell'installazionedi VMware Identity Manager perWindows 2Il servizio VMware Identity Manager può essere installato in un nuovo server autonomo o in un cluster ditre o più nodi.

Considerare l'intera distribuzione, compreso il modo in cui si integrano le risorse, quando si prendonodecisioni relative ai requisiti hardware, delle risorse e di rete.

Questo capitolo include i seguenti argomenti:n Requisiti di configurazione di sistema e di rete

n Creazione di record DNS e indirizzi IP

n Creazione del database del servizio VMware Identity Manager

n Checklist di distribuzione

Requisiti di configurazione di sistema e di reteConsiderare l'intera distribuzione, compreso il modo in cui si integrano le risorse, quando si prendonodecisioni relative ai requisiti hardware, delle risorse e di rete.

Requisiti di dimensionamento dell'hardwareAssicurarsi che vengano soddisfatti i requisiti hardware per le installazioni di VMware Identity Managerper Windows.

Numero di utenti Fino a 1.000 1.000-10.000 10.000-25.000 25.000-50.000 50.000-100.000

Numero di serverVMware IdentityManager

1 server 3 server conbilanciamento delcarico

3 server conbilanciamento delcarico



CPU (per server) 2 CPU 2 CPU 4 CPU 8 CPU 8 CPU

RAM (per server) 6 GB 6 GB 8 GB 16 GB 32 GB

Spazio su disco(per server)

60 GB 100 GB 100 GB 100 GB 100 GB

Se si installano connettori esterni aggiuntivi, assicurarsi che vengano soddisfatti i requisiti seguenti.

VMware, Inc. 9


Numero di serverdel connettore

1 server 2 server conbilanciamento delcarico




CPU (per server) 2 CPU 4 CPU 4 CPU 4 CPU 4 CPU

RAM (per server) 6 GB 6 GB 8 GB 16 GB 16 GB

Spazio su disco(per server)

60 GB 60 GB 60 GB 60 GB 60 GB

Requisiti software per l'installazione di WindowsAssicurarsi che il server Windows di VMware Identity Manager soddisfi i requisiti software seguenti.

Requisito Note

Versioni di Windows Server supportaten Windows Server 2008 R2n Windows Server 2012 R2n Windows Server 2016

PowerShell 4.0 o versioni successive Modulo di Active Directory per PowerShell (RSAT-AD-PowerShell)

JRE 1.8 installato Il programma di installazione di VMware Identity Managerinstalla la versione più recente, se non viene installata primadella distribuzione.

Se la versione di JRE è precedente, il programma diinstallazione aggiorna automaticamente la versione, ma nonrimuove l'istanza di JRE esistente. Le versioni precedentidevono essere disinstallate manualmente.

Server RabbitMQ Il programma di installazione di VMware Identity Managerinstalla il server RabbitMQ, se non viene installato prima delladistribuzione.

Erlang Il programma di installazione di VMware Identity Managerinstalla Erlang, se non viene installato prima delladistribuzione.

Requisiti del databaseConfigurare VMware Identity Manager con un database Microsoft SQL esterno per memorizzare eorganizzare i dati del server.

Per informazioni sulle versioni del database Microsoft SQL e le configurazioni dei service packsupportate, vedere VMware Product Interoperability Matrices all'indirizzo https://www.vmware.com/resources/compatibility/sim/interop_matrix.php.

I requisiti seguenti si applicano a un database SQL Server esterno. Le specifiche esatte necessarie per ilserver SQL variano in base alle dimensioni e alle esigenze della distribuzione.


VMware, Inc. 10

https://www.vmware.com/resources/compatibility/sim/interop_matrix.php


CPU 2 CPU 2 CPU 4 CPU 8 CPU 8 CPU

RAM 4 GB 4 GB 8 GB 16 GB 32 GB

Spazio su disco 50 GB 50 GB 50 GB 100 GB 100 GB

La funzionalità AlwaysOn di SQL Server è una combinazione di clustering di failover e mirroring deldatabase con il log shipping per la disponibilità elevata. AlwaysOn consente di utilizzare più copie dilettura del database e una singola copia per le operazioni di lettura-scrittura. Se la larghezza di bandadell'ambiente di distribuzione è sufficiente per supportare il traffico generato, il database di VMwareIdentity Manager supporta AlwaysOn.

Requisiti di configurazione di rete

Componente Requisito minimo

Record DNS e indirizzo IP Indirizzo IP e record DNS

Porta firewall Assicurarsi che la porta del firewall in entrata 443 sia aperta per gli utenti all'esternodella rete sull'istanza di VMware Identity Manager o sul bilanciamento del carico.

Proxy inverso Distribuire un proxy inverso come F5 Access Policy Manager nel DMZ per consentireagli utenti l'accesso sicuro al portale utente di VMware Identity Manager da remoto.

VMware Unified Access Gateway 2.8 e le versioni successive supportano la funzionalitàdi proxy inverso per consentire agli utenti di accedere in modo sicuro al catalogounificato di VMware Identity Manager da remoto. Unified Access Gateway può esseredistribuito nel DMZ con i bilanciamenti del carico front-end sull'appliance di VMwareIdentity Manager.

Per configurare l'autenticazione del certificato in una distribuzione DMZ locale di VMware IdentityManager, è necessario quanto segue.

n Pass-through SSL attivato nella porta 443 del programma di bilanciamento del carico davanti aVMware Identity Manager.

n Porta 6443 (HTTPS) aperta nel programma di bilanciamento del carico o nel firewall.

Requisiti delle porteLe porte utilizzate nella configurazione del server sono descritte di seguito. È possibile che ladistribuzione includa solo una serie di queste porte. Ad esempio:

n Per sincronizzare utenti e gruppi da Active Directory, VMware Identity Manager deve connettersi aActive Directory.


VMware, Inc. 11

Porta Protocollo Origine Destinazione Descrizione

443 HTTPS Bilanciamento del carico Macchina VMware Identity Manager

443, 8443 HTTPS/HTTP

Macchina VMware IdentityManager

Macchina VMware Identity Manager Per tutte le istanze diVMware IdentityManager in uncluster e nei clusterin diversi data center.

443 HTTPS Browser Macchina VMware Identity Manager

443 HTTPS Macchina VMware IdentityManager

discovery.awmdm.com Accesso perl'individuazioneautomaticadell'applicazioneWorkspace ONE


catalog.vmwareidentity.com Accesso al catalogocloud

8443 HTTPS Browser Macchina VMware Identity Manager Porta amministratore

25 SMTP Macchina VMware IdentityManager

SMTP Porta per l'inoltrodella posta in uscita

389

636

3268

3269

LDAP

LDAPS

MSFT-GC

MSFT-GC-SSL

Macchina VMware IdentityManager

Active Directory Sono mostrati i valoripredefiniti. Questeporte sonoconfigurabili.

5500 UDP Macchina VMware IdentityManager

Sistema RSA SecurID È visualizzato ilvalore predefinito.Questa porta èconfigurabile.

53 TCP/UDP Macchina VMware IdentityManager

Server DNS Ogni appliancevirtuale deve poteraccedere al serverDNS sulla porta 53 econsentire il trafficoSSH in ingresso sullaporta 22.

88, 464,135, 445

TCP/UDP Macchina VMware IdentityManager

Controller del dominio

9300–9400 TCP Macchina VMware IdentityManager

Macchina VMware Identity Manager Necessità di controllo

54328 UDP

1433 TCP Macchina VMware IdentityManager

Database La porta predefinitadi Microsoft SQL è la1433

443 Macchina VMware IdentityManager

Server View Accesso al serverView


VMware, Inc. 12

Porta Protocollo Origine Destinazione Descrizione

80, 443 TCP Macchina VMware IdentityManager

Server Integration Broker Connessione aIntegration Broker.L'opzione della portadipende dal fatto chenel server IntegrationBroker sia installato omeno un certificato


API REST AirWatch Per il controllo dellaconformità deldispositivo e per ilmetodo diautenticazione dellapassword diAirWatch CloudConnector, se vieneutilizzato.

88 UDP Unified Access Gateway Macchina VMware Identity Manager Porta UDP da aprireper SSO mobile

5262 TCP Dispositivo mobile Android Servizio proxy HTTPS AirWatch Il client AirWatchTunnel instrada iltraffico verso il proxyHTTPS per idispositivi Android.

88 UDP Dispositivo mobile iOS Macchina VMware Identity Manager Porta utilizzata per iltraffico Kerberos daldispositivo iOS alservizio KDC cloudospitato.

443 HTTPS/TCP

514 UDP Macchina VMware IdentityManager

server syslog UDP

Per server syslogesterno, seconfigurato

Directory supportateIntegrare la directory aziendale con VMware Identity Manager e sincronizzare utenti e gruppi delladirectory aziendale con il servizio.

n L'ambiente di Active Directory può essere costituito da un singolo dominio di Active Directory, da piùdomini in una singola foresta di Active Directory o da più domini in più foreste di Active Directory.

VMware Identity Manager supporta Active Directory in Windows 2008, 2008 R2, 2012 e 2012 R2, conun livello di funzionalità del dominio e della foresta di Windows 2003 e versioni successive.

Nota: Per alcune funzionalità potrebbe essere necessario un livello di funzionalità più elevato. Adesempio, per consentire agli utenti di cambiare la password di Active Directory da Workspace ONE, illivello di funzionalità del dominio deve essere Windows 2008 o versione successiva.


VMware, Inc. 13

Browser Web supportati per l'accesso alla console diamministrazioneLa console di amministrazione di VMware Identity Manager è un'applicazione basata su Web utilizzataper gestire il tenant. È possibile accedere a console di amministrazione dalle versioni più recenti diGoogle Chrome, Mozilla Firefox, Safari, Microsoft Edge e Internet Explorer 11.

Nota: In Internet Explorer 11, è necessario attivare JavaScript e permettere i cookie per l'autenticazionetramite VMware Identity Manager.

Browser supportati per l'accesso al portale Workspace ONEGli utenti finali possono accedere al portale Workspace ONE dai seguenti browser.

n Mozilla Firefox (versione più recente)

n Google Chrome (versione più recente)

n Safari (versione più recente)

n Internet Explorer 11

n Browser Microsoft Edge

n Browser nativo e Google Chrome su dispositivi Android

n Safari su dispositivi iOS

Nota: In Internet Explorer 11, è necessario attivare JavaScript e permettere i cookie per l'autenticazionetramite VMware Identity Manager.

Creazione di record DNS e indirizzi IPPer l'istanza di VMware Identity Manager del devono essere disponibili una voce DNS e un indirizzo IPstatico. Poiché ciascuna azienda amministra i suoi indirizzi IP e i record DNS in maniera differente, primadi iniziare l'installazione richiedere il record DNS e gli indirizzi IP da utilizzare.

La configurazione della ricerca inversa è facoltativa. Quando si implementa la ricerca inversa, ènecessario definire un record PTR sul server DNS in modo che l'appliance virtuale utilizzi laconfigurazione di rete corretta.

È possibile utilizzare il seguente elenco di record DNS di esempio quando si consulta l'amministratore direte. Sostituire le informazioni di esempio con le informazioni del proprio ambiente. Questo esempioriporta i record DNS di inoltro e gli indirizzi IP.

Tavola 2‑1. Esempi di record DNS di inoltro e indirizzi IP

Nome di dominio Tipo di risorsa Indirizzo IP

myidentitymanager.example.com Un 10.28.128.3


VMware, Inc. 14

Questo esempio riporta i record DNS inverso e gli indirizzi IP.

Tavola 2‑2. Esempi di record DNS inverso e indirizzi IP

Indirizzo IP Tipo di risorsa Nome host

10.28.128.3 PTR myidentitymanager.example.com

Dopo aver completato la configurazione DNS, verificare che la ricerca DNS inversa sia configuratacorrettamente. Ad esempio, il comando dell'appliance virtuale host IPaddress deve essere risolto sullaricerca del nome DNS.

Pianificazione per l'autenticazione KerberosSe si intende configurare l'autenticazione Kerberos, si tengano presenti i requisiti seguenti:

n Nel caso in cui si utilizzi il connettore incorporato in VMware Identity Manager per l'autenticazioneKerberos, il nome host di VMware Identity Manager deve corrispondere al dominio di Active Directorya cui è stato aggiunto VMware Identity Manager. Ad esempio, se il dominio di Active Directory èsales.example.com, il nome host di VMware Identity Manager deve esserevidmhost.sales.example.com.

Se non è possibile assegnare un nome host che corrisponda alla struttura di dominio Active Directory,è necessario configurare manualmente VMware Identity Manager e Active Directory. Consultare laKnowledge Base per informazioni.

n Nel caso in cui si utilizzino connettori esterni per l'autenticazione Kerberos, il nome host delconnettore deve corrispondere al dominio di Active Directory a cui è unito il connettore. Se adesempio il dominio Active Directory è sales.example.com, il nome host del connettore deve essereconnectorhost.sales.example.com.

Se non è possibile assegnare un nome host che corrisponda alla struttura di dominio Active Directory,è necessario configurare il connettore e Active Directory manualmente. Consultare la KnowledgeBase per informazioni.

Uso di un server DNS basato su Unix/LinuxSe si utilizza un server DNS basato su Unix o Linux e si desidera inserire l'istanza diVMware Identity Manager del nel dominio di Active Directory, assicurarsi che i record di risorse delservizio appropriati (SRV) siano stati creati per ogni controller del dominio di Active Directory.

Nota: Se è presente un programma di bilanciamento del carico con un indirizzo IP virtuale (VIP) primadei server DNS, si noti che VMware Identity Manager non supporta l'utilizzo di un VIP. È possibilespecificare più server DNS separati da una virgola.


VMware, Inc. 15

Creazione del database del servizio VMware IdentityManagerIl servizio VMware Identity Manager richiede un database Microsoft SQL Server esterno per archiviare eorganizzare i dati del server. L'amministratore del database deve preparare un database Microsoft SQLServer vuoto e uno schema prima di installare VMware Identity Manager.

Quando ci si connette a Microsoft SQL Server, immettere il nome dell'istanza a cui connettersi e lamodalità di autenticazione. È possibile selezionare la modalità di autenticazione di Windows e specificaredominio\nome utente o la modalità di autenticazione di SQL Server e specificare il nome utente locale ela password.

È possibile connettersi alla connessione del database esterno quando si esegue la configurazioneguidata di VMware Identity Manager. La configurazione del database esterno può essere eseguita ancheda Impostazioni appliance > Configurazione VA > pagina Configurazione della connessione al database.

È possibile utilizzare Microsoft SQL Server per configurare un ambiente di database ad alta disponibilità.

Prerequisiti del server del databasePrima di configurare il database Microsoft SQL, assicurarsi che i requisiti hardware e software sianocorretti per la propria distribuzione.

Per ridimensionare correttamente i server, consultare la guida all'architettura consigliata per VMwareIdentity Manager per informazioni sul ridimensionamento dell'hardware e altri dettagli tecnici perassicurarsi che il database possa essere configurato correttamente.

Requisiti software di SQL Servern SQL Server 2012, SQL Server 2014 o SQL Server 2016 con gli strumenti client (service pack più

recenti di SQL Management Studio, Reporting Services, Integration Services e SQL Server Agent).Assicurarsi che le istanze di SQL Server siano a 64 bit (sistema operativo e SQL Server). Sonosupportati solo le versione Standard Edition ed Enterprise Edition.

n Per eseguire il programma di installazione del database, è necessario .NET 4.6.2. Se non si desiderainstallare .NET nel server del database, eseguire il programma di installazione del database da unaltro server di AirWatch o da un jump server in cui .NET può essere installato.

n Assicurarsi che il servizio di Windows SQL Server Agent sia impostato su Automatico o Automatico(avvio ritardato) come tipo di avvio per il servizio. Se è impostato su Manuale, il servizio di WindowsSQL Server Agent deve essere avviato manualmente prima dell'installazione del database.

TCP/IP abilitatoUtilizzare TCP/IP per la connessione al database e disabilitare le named pipe. In SQL ServerConfiguration Manager, passare alla pagina Configurazione di rete SQL Server e selezionare i protocolliper MSSQLSERVER.


VMware, Inc. 16

Configurazione del database Microsoft SQL con la modalità diautenticazione di WindowsPer utilizzare un database Microsoft SQL per VMware Identity Manager, è necessario prima creare unnuovo database sul server Microsoft SQL. Durante l'installazione, è necessario selezionare una modalitàdi autenticazione per il database. Se si seleziona l'Autenticazione di Windows, quando si crea il database,immettere il nome utente e il dominio. Il nome utente e il dominio vengono immessi comedomain\username.

Quando si eseguono i comandi di Microsoft SQL, creare un database nel server Microsoft SQL,immettere il nome del database, aggiungere le credenziali di accesso utente e creare lo schema. Il nomedello schema è saas.

Nota: Nella raccolta predefinita viene fatta la distinzione tra maiuscole/minuscole.

Prerequisiti

n La versione supportata del server Microsoft SQL deve essere stata installata come server didatabase esterno.

n Deve essere stata configurata un'implementazione del bilanciamento del carico.

n Autenticazione di Windows selezionata come modalità di autenticazione.

n Devono essere disponibili i diritti da amministratore per accedere e creare i componenti del databaseutilizzando Microsoft SQL Server Management Studio o un altro client dell CLI server di MicrosoftSQL.

Procedura

1 Accedere alla sessione di Microsoft SQL Server Management Studio come sysadmin o con unaccount utente con privilegi sysadmin.

Verrà visualizzata la finestra dell'editor.

2 Sulla barra degli strumenti, fare clic su Nuova query.

3 Per creare il database con lo schema predefinito denominato saas, immettere i seguenti comandinella finestra dell'editor.

/*

Values within angle brackets (< >) are example values. When replacing the example value,

remove the angle brackets. The database name is case sensitive. Make sure you enter the database

name the same in all instances.

*/

CREATE DATABASE <saasdb>

COLLATE Latin1_General_CS_AS;

ALTER DATABASE <saasdb> SET READ_COMMITTED_SNAPSHOT ON;

GO


VMware, Inc. 17

IF NOT EXISTS

(SELECT name

FROM master.sys.server_principals

WHERE name=N'<domain\username>')

BEGIN

CREATE LOGIN [<domain\username>] FROM WINDOWS;

END

GO

USE <saasdb>;

IF EXISTS (SELECT * FROM sys.database_principals WHERE name=N'<domain\username>')

DROP USER [<domain\username>]

GO

CREATE USER [<domain\username>] FOR LOGIN [<domain\username>]

WITH DEFAULT_SCHEMA=saas;

GO

CREATE SCHEMA saas AUTHORIZATION "<domain\username>"

GRANT ALL ON DATABASE::<saasdb> TO "<domain\username>";

GO

ALTER ROLE db_owner ADD MEMBER '<domain\username>';

GO

4 Sulla barra degli strumenti, fare clic su !Execute.

Il server del database Microsoft SQL è ora pronto per la connessione al database di VMware IdentityManager.

Il ruolo del server utilizzato per concedere i privilegi di sicurezza a livello del server è impostato supublic. L'appartenenza al ruolo del database è db_owner. Non impostare altri ruoli.

Quando si installa VMware Identity Manager per Windows, si seleziona questa istanza di server didatabase a cui connettersi. Dopo l'installazione, l'URL JDBC e il nome utente e la password creati per ildatabase vengono configurati nella pagina Configurazione della connessione al database nel server diVMware Identity Manager. Vedere Configurazione di VMware Identity Manager per l'utilizzo di undatabase esterno

Configurazione del database Microsoft SQL utilizzando lamodalità di autenticazione di Server SQL localePer utilizzare un database Microsoft SQL per VMware Identity Manager, è necessario prima creare unnuovo database sul server Microsoft SQL. Durante l'installazione, è necessario selezionare una modalitàdi autenticazione per il database. Se si seleziona l'Autenticazione di SQL Server, quando si crea ildatabase, immettere un nome utente locale e una password.


VMware, Inc. 18

Quando si eseguono i comandi di Microsoft SQL, creare un database nel server Microsoft SQL,immettere il nome del database, aggiungere le credenziali di accesso utente e creare lo schema. Loschema è denominato saas.

Nota: Nella raccolta predefinita viene fatta la distinzione tra maiuscole/minuscole.

Prerequisiti

n La versione supportata del server Microsoft SQL deve essere stata installata come server didatabase esterno.

n Deve essere stata configurata un'implementazione del bilanciamento del carico.

n Autenticazione di SQL Server selezionata come modalità di autenticazione.

n Devono essere disponibili i diritti da amministratore per accedere e creare i componenti del databaseutilizzando Microsoft SQL Server Management Studio o un altro client dell CLI server di MicrosoftSQL.

Procedura

1 Accedere alla sessione di Microsoft SQL Server Management Studio come sysadmin o con unaccount utente con privilegi sysadmin.



3 Per creare il database con lo schema predefinito denominato saas, immettere i seguenti comandinella finestra dell'editor.

/*

Values within angle brackets (< >) are example values. When replacing the example value,

remove the angle brackets. The database name is case sensitive. Make sure you enter the database

name the same in all instances.

*/

CREATE DATABASE <saasdb>

COLLATE Latin1_General_CS_AS;

ALTER DATABASE <saasdb> SET READ_COMMITTED_SNAPSHOT ON;

GO

BEGIN

CREATE LOGIN <loginusername> WITH PASSWORD = N'<password>';

END

GO

USE <saasdb>;

IF EXISTS (SELECT * FROM sys.database_principals WHERE name=N'<loginusername>')

DROP USER [<loginusername>]

GO

CREATE USER [<loginusername>] FOR LOGIN [<loginusername>]


VMware, Inc. 19

WITH DEFAULT_SCHEMA=saas;

GO

CREATE SCHEMA saas AUTHORIZATION <loginusername>

GRANT ALL ON DATABASE::<saasdb> TO <loginusername>;

GO

ALTER ROLE [db_owner] ADD MEMBER <loginusername>;

GO


Il server del database Microsoft SQL è ora pronto per la connessione al database di VMware IdentityManager.

Il ruolo del server utilizzato per concedere i privilegi di sicurezza a livello del server è impostato supublic. L'appartenenza al ruolo del database è db_owner. Non impostare altri ruoli.

Quando si installa VMware Identity Manager per Windows, si seleziona questa istanza di server didatabase a cui connettersi. Dopo l'installazione, l'URL JDBC e il nome utente e la password creati per ildatabase vengono configurati nella pagina Configurazione della connessione al database nel server diVMware Identity Manager. Vedere Configurazione di VMware Identity Manager per l'utilizzo di undatabase esterno

Conferma della corretta configurazione del database MicrosoftSQLPer verificare che il database Microsoft SQL sia configurato correttamente per l'utilizzo conVMware Identity Manager, è possibile eseguire il seguente script di verifica dopo aver configurato ildatabase.

Prerequisiti

Per il servizio VMware Identity Manager deve essere creato il database Microsoft SQL.

Procedura

1 Accedere alla sessione di Microsoft SQL Server Management Studio con il nome utente e lapassword di accesso <saasdb> creati nello script utilizzato per creare il database.



3 Eseguire i comandi seguenti. Modificare i comandi nel modo desiderato.

Use <saasdb>;

/* Check if user is db owner. Return true */

SELECT IS_ROLEMEMBER('db_owner') as isRoleMember

/* Make sure user is not sysadmin. Should return false */


VMware, Inc. 20

SELECT IS_SRVROLEMEMBER('sysadmin') as isSysAdmin

/* check if saas schema exists, should be not null */

SELECT SCHEMA_ID('saas') as schemaId

/* check schema owner, should be user provided to installer */

SELECT SCHEMA_OWNER FROM INFORMATION_SCHEMA.SCHEMATA where SCHEMA_NAME='saas'

/* check if saas is user default schema, should return saas */

SELECT SCHEMA_NAME() as SchemaName

/* check db collation, should return Latin1_General_CS_AS */

SELECT DATABASEPROPERTYEX('<saasdb>', 'Collation') AS Collation

/* check if read committed snapshot is on, should return true */

SELECT is_read_committed_snapshot_on FROM sys.databases WHERE name='<saasdb>'


Se la configurazione non è corretta, vengono visualizzati messaggi di errore. Prima di continuare aconfigurare il servizio VMware Identity Manager per utilizzare il database Microsoft SQL esterno,correggere i problemi descritti nei messaggi di errore.

Modifica dei ruoli a livello di databaseQuando lo schema saas viene utilizzato per creare il database Microsoft SQL per il servizioVMware Identity Manager, al ruolo db_owner viene assegnata l'appartenenza al ruolo di database. Imembri del ruolo del database fisso db_owner possono eseguire tutte le configurazioni e le attività dimanutenzione sul database.

Dopo l'installazione e la configurazione del database nel servizio VMware Identity Manager, è possibilerevocare l'accesso a db_owner e aggiungere db_datareader e db_datawriter come ruoli del database. Imembri del ruolo db_datareader possono leggere tutti i dati da tutte le tabelle degli utenti. Il membro delruolo db_datawriter può aggiungere, eliminare e modificare i dati in tutte le tabelle degli utenti.

Nota: Se si revoca l'accesso a db_owner, assicurarsi di concedere nuovamente il ruolo db_owner primadi iniziare un aggiornamento a una nuova versione di VMware Identity Manager.

Prerequisiti

Il ruolo utente per Microsoft SQL Server Management Studio come sysadmin o un account utente conprivilegi di sysadmin.

Procedura

1 Nella sessione di Microsoft SQL Server Management Studio come amministratore con privilegi disysadmin, connettersi all'istanza di database <saasdb>per VMware Identity Manager.


VMware, Inc. 21

2 Revocare il ruolo db_owner sul database, immettere il seguente comando

Modalità di autenticazione Comando

Autenticazione di Windows(dominio\utente) ALTER ROLE db_owner DROP MEMBER <domain\username>;

Autenticazione di SQLServer (utente locale) ALTER ROLE db_owner DROP MEMBER <loginusername>;

3 Aggiungere l'appartenenza al ruolo db_datawriter e db_datareader al database.

Modalità di autenticazione Comando

Autenticazione di Windows(dominio\utente) ALTER ROLE db_datawriter ADD MEMBER <domain\username>;

GO

ALTER ROLE db_datareader ADD MEMBER <domain\username>;GO

Autenticazione di SQLServer (utente locale) ALTER ROLE db_datawriter ADD MEMBER <loginusername>;

GOALTER ROLE db_datareader ADD MEMBER <loginusername>;GO

Checklist di distribuzioneUtilizzare la checklist di distribuzione per raccogliere le informazioni necessarie per installare l'appliancevirtuale di VMware Identity Manager.

Informazioni sulla directoryVMware Identity Manager supporta l'integrazione con ambienti di directory Active Directory o LDAP.

Tavola 2‑3. Checklist di informazioni per il controller del dominio di Active Directory

Informazioni da raccogliere Visualizzazione delle informazioni

Nome server Active Directory

Nome dominio di Active Directory

Nome distinto di base

Per Active Directory su LDAP, il nome utente e la password diNome distinto di binding

Per Active Directory con l'autenticazione integrata di Windows,il nome utente e la password dell'account con i privilegi perunire i computer al dominio.


VMware, Inc. 22

Tavola 2‑4. Checklist di informazioni per il server di directory LDAP


Nome server o indirizzo IP della directory LDAP

Numero di porta server di directory LDAP

Nome distinto di base

Nome utente e password di Nome distinto di binding

Filtri di ricerca LDAP per gli oggetti gruppo, gli oggettidell'utente di binding e gli oggetti utente

Nomi di attributi LDAP per l'appartenenza, l'UUID oggetto e ilnome distinto (DN, distinguished name)

Certificati SSLÈ possibile aggiungere un certificato SSL dopo aver distribuito il servizio di VMware Identity Manager.

Tavola 2‑5. Checklist di informazioni per i certificati SSL


certificato SSL

Chiave privata

Chiave di licenzaTavola 2‑6. Checklist di informazioni per la chiave di licenza di VMware Identity Manager


Chiave di licenza

Nota: Le informazioni sulla chiave di licenza sono specificate nella console di amministrazione sullapagina Impostazioni dell'appliance > Licenza una volta completata l'installazione.

Database esternoTavola 2‑7. Checklist di informazioni per il database esterno


Nome host database

Porta

Nome utente

Password


VMware, Inc. 23

Programma di Miglioramentodell'Esperienza del Cliente"Customer ExperienceImprovement Program"("CEIP") 3Il Programma di Miglioramento dell'Esperienza del Cliente di VMware fornisce informazioni checonsentono a VMware di migliorare i propri prodotti e servizi, risolvere problemi e fornire assistenza sucome distribuire e utilizzare i prodotti al meglio. Come parte del programma CEIP, VMware raccoglieregolarmente informazioni tecniche sull'uso dei prodotti e dei servizi da parte dell'organizzazione, nonchéle chiavi di licenza di VMware. Queste informazioni non consentono di identificare personalmente gliindividui.

Se non si intende partecipare al programma CEIP di VMware per questo prodotto, deselezionare lacasella di controllo quando si installa VMware Identity Manager.

È inoltre possibile partecipare o abbandonare il programma CEIP per questo prodotto in qualsiasimomento dopo l'installazione.

VMware, Inc. 24

Distribuzione della macchinaVMware Identity Manager dietroun programma di bilanciamentodel carico 4In un ambiente aziendale, la configurazione di VMware Identity Manager consigliata consiste neldistribuire un cluster di tre nodi del servizio VMware Identity Manager per la disponibilità elevata. Dopol'installazione, la configurazione e il test del primo nodo IDM dietro il programma di bilanciamento delcarico, viene eseguito uno script nel primo nodo per creare una copia della prima istanza. Questo filecopiato viene utilizzato per creare gli altri nodi nel cluster.

Il diagramma dell'architettura di VMware Identity Manager mostra come poter distribuire l'ambiente diVMware Identity Manager.

Vedere Capitolo 1 Panoramica di VMware Identity Manager Services.

Utilizzo di un programma di bilanciamento del carico o diun proxy inverso per abilitare l'accesso esterno aVMware Identity ManagerDurante la distribuzione, la macchina del di VMware Identity Manager viene configurata nella rete interna.Se si desidera fornire l'accesso al servizio agli utenti che si connettono da reti esterne, è necessarioinstallare un programma di bilanciamento del carico o un proxy inverso, ad esempio Apache, Nginx o F5,nel DMZ.

Se non si utilizza un programma di bilanciamento del carico o un proxy inverso, non sarà possibileespandere il numero di macchine VMware Identity Manager in un secondo momento. Per garantire laridondanza e il bilanciamento del carico, potrebbe essere necessario aggiungere altre macchine. Ilseguente diagramma mostra l'architettura di distribuzione di base che è possibile utilizzare per consentirel'accesso esterno.

VMware, Inc. 25

Figura 4‑1. Proxy del programma di bilanciamento del carico esterno con macchine virtuali

Bilanciamento del carico esternoNome host: Nome di dominio completo di VMware Identity ManagerIndirizzo IP di esempio: 64.x.y.zPorta: Porta di VMware Identity ManagerDeve abilitare le intestazioni X-Forwarded-For.

Utenti esterni

Bilanciamento del carico internoNome host: Nome di dominio completo di VMware Identity ManagerIndirizzo IP di esempio: 10.x.y.zPorta: Porta di VMware Identity ManagerDeve abilitare le intestazioni X-Forwarded-For.

Utenti interni

Porta 443

Porta 443

Cluster VMware Identity Manager

Firewall DMZ

Specifica del nome di dominio completo diVMware Identity Manager durante la distribuzioneDurante la distribuzione della macchina del di VMware Identity Manager , si specifica il nome di dominiocompleto e il numero di porta del di VMware Identity Manager. Questi valori devono fare riferimento alnome host che si desidera sia utilizzato dagli utenti finali per accedere.

La macchina del di VMware Identity Manager viene sempre eseguita nella porta 443. È possibileutilizzare un numero di porta differente per il bilanciamento del carico. Se si utilizza un numero di portadifferente, sarà necessario specificarlo durante la distribuzione. Non utilizzare 8443 come numero diporta, perché questo è il numero della porta amministrativa di VMware identity Manager ed è univoco perogni macchina in un cluster.


VMware, Inc. 26

Impostazioni del bilanciamento del carico da configurareLe impostazioni del programma di bilanciamento del carico da configurare includono l'abilitazione delleintestazioni X-Forwarded-For, l'impostazione del timeout corretto del programma di bilanciamento delcarico e l'abilitazione delle sessioni sticky. Tra la macchina di VMware Identity Manager e il programma dibilanciamento del carico è inoltre necessario configurare una relazione di attendibilità SSL.

n Intestazioni X-forwarded-for

È necessario abilitare le intestazioni X-Forwarded-For sul proprio bilanciamento del carico. Ciòdetermina il metodo di autenticazione. Fare riferimento alla documentazione del fornitore delbilanciamento del carico per maggiori informazioni.

n Timeout del bilanciamento del carico

Perché VMware Identity Manager funzioni correttamente, potrebbe essere necessario aumentare ilvalore di timeout richiesta del bilanciamento del carico dal valore predefinito. Il valore è impostato inminuti. Se il valore del timeout è troppo basso, è possibile che venga visualizzato il messaggio dierrore "Errore 502: Il servizio non è al momento disponibile".

n Abilita sessioni sticky

Se nella distribuzione sono presenti più macchine VMware Identity Manager, è necessario abilitarel'impostazione della sessione sticky nel programma di bilanciamento del carico. Il programma dibilanciamento del carico associa la sessione di un utente a un'istanza specifica.

n Supporto WebSocket

Il programma di bilanciamento del carico deve disporre del supporto WebSocket per abilitare i canalidi comunicazione sicura tra i connettori e i nodi di VMware Identity Manager.

n Crittografia con forward secrecy

I requisiti di Apple iOS App Transport Security si applicano all'app Workspace ONE su iOS. Perconsentire agli utenti di utilizzare l'app Workspace ONE su iOS, il programma di bilanciamento delcarico deve usare la crittografia con forward secrecy. Le seguenti crittografie soddisfano questorequisito:

ECDHE_ECDSA_AES ed ECDHE_RSA_AES in modalità GCM o CBC

come indicato nel documento Sicurezza di iOS di iOS 11:

"App Transport Security offre requisiti di connessione predefiniti in modo che le app seguano leprocedure consigliate per proteggere le connessioni quando utilizzano le API NSURLConnection,CFURL e NSURLSession. Per impostazione predefinita, App Transport Security limita la selezionedella crittografia in modo da includere solo suite che forniscono forward secrecy, in particolareECDHE_ECDSA_AES ed ECDHE_RSA_AES in modalità GCM o CBC."


VMware, Inc. 27

Configurazione del servizioVMware Identity Manager 5Questo capitolo include i seguenti argomenti:n Installazione di VMware Identity Manager

n Utilizzo della procedura guidata di configurazione per completare l'installazione

n Distribuzione della macchina VMware Identity Manager dietro un programma di bilanciamento delcarico

n Utilizzo di un programma di bilanciamento del carico o di un proxy inverso per abilitare l'accessoesterno a VMware Identity Manager

n Applicazione del certificato root di VMware Identity Manager al bilanciamento del carico

n Applicazione del certificato root di bilanciamento del carico a VMware Identity Manager

n Configurazione del failover e della ridondanza in un singolo data center (Windows)

n Configurazione delle connessioni di Active Directory o della directory LDAP

n Attivazione delle impostazioni del proxy dopo l'installazione

n Specifica della chiave di licenza

Installazione di VMware Identity ManagerEseguire il programma di installazione di VMware Identity Manager in un'istanza di Windows Server chesoddisfi tutti i requisiti di configurazione del sistema elencati.

Prerequisiti

Vedere Requisiti di configurazione di sistema e di rete.

Procedura

1 Fare doppio clic sul programma di installazione di VMware Identity Manager.

Eseguire il programma di installazione da un account con privilegi di amministratore.

VMware, Inc. 28

2 Nella finestra di dialogo Benvenuto, fare clic su Avanti.

Il programma di installazione verifica i prerequisiti nel server. Se il software necessario, adesempio .NET o TLS, non è installato, viene richiesto di installare il software e riavviare il server.Dopo il riavvio, eseguire nuovamente il programma di installazione di VMware Identity Manager.

3 Accettare l'accordo di licenza con l'utente finale (EULA), quindi fare clic su Avanti.

4 Nella finestra di dialogo Programma di Miglioramento dell'Esperienza del Cliente, l'azionepredefinita è impostata su Sì.

Questo prodotto partecipa al Programma di Miglioramento dell'Esperienza del Cliente ("CEIP") diVMware. I dettagli relativi ai dati raccolti tramite il programma CEIP e gli scopi per cui è utilizzato daVMware sono disponibili nel Trust & Assurance Center all'indirizzo http://www.vmware.com/trustvmware/ceip.html. Se non si intende partecipare al programma CEIP diVMware per questo prodotto, deselezionare la casella di controllo.

È inoltre possibile partecipare o abbandonare il programma CEIP per questo prodotto in qualsiasimomento dopo l'installazione.

Nota: Se la rete è configurata per accedere a Internet tramite un proxy HTTP, per inviare a VMwarei dati raccolti mediante il programma CEIP, è necessario modificare le impostazioni del proxy nellamacchina VMware Identity Manager.

5 Verranno elencati i prerequisiti di VMware Identity Manager. Il programma di installazione verifica lapresenza dei moduli necessari. e richiede l'installazione dei moduli eventualmente mancanti.

Figura 5‑1. Verifica dei prerequisiti installati

6 Selezionare la directory in cui si desidera installare il servizio VMware Identity Manager.

7 Se tale nodo è la prima istanza del servizio che viene installata nel cluster, fare clic su Avanti.

Quando si installano ulteriori istanze nel cluster, selezionare la casella di controllo e passare al fileZIP esportato per la prima istanza da importare.

8 Il nome host e la porta 443 sono già specificati nella finestra di dialogo Configurazione. Fare clic suAvanti.


VMware, Inc. 29

http://www.vmware.com/trustvmware/ceip.html

9 Nella finestra di dialogo Server di database, selezionare l'istanza del server del database diVMware Identity Manager a cui connettersi e la modalità di autenticazione.

Opzione Descrizione

Server del database di VMware IdentityManager

Immettere il nome di dominio completo del database o fare clic su Sfoglia perselezionare l'URL del server del database nell'elenco. Esempio del nome didominio completo del database: http://MyDBServer.

L'applicazione si connette utilizzando È possibile selezionare la modalità Autenticazione di Windows oAutenticazione di SQL Server. Per l'autenticazione di SQL Server, immettere ilnome utente locale e la password.

Nome del database di VMware IdentityManager

Immettere il nome del database creato durante la configurazione del databaseMySQL o sfogliare SQL Server per selezionare il nome in un elenco, se ildatabase è stato rinominato.

SQL AlwaysOn? Attivare SQL AlwaysOn per impostare MultiSubNetFailover su True in SQLServer per consentire un failover più rapido in SQL Server.

La funzionalità AlwaysOn di SQL Server è una combinazione di clustering difailover e mirroring/log shipping del database. Consente di utilizzare più copie dilettura del database e una singola copia per le operazioni di lettura-scrittura. Se lalarghezza di banda della rete è sufficiente per supportare il traffico generato, ildatabase di Identity Manager supporta AlwaysOn.

Figura 5‑2. Configurazione del database con l'opzione SQL AlwaysOn

Fare clic su Avanti.

Il programma di installazione verifica che il database sia configurato correttamente. Se laconfigurazione non è corretta, vengono visualizzati messaggi di errore e l'installazione non puòcontinuare. Risolvere i problemi descritti nei messaggi di errore. Vedere Conferma della correttaconfigurazione del database Microsoft SQL.

10 Nella finestra di dialogo Account servizio di VMware Identity Manager, selezionare la casella dicontrollo se si desidera eseguire il servizio come utente del dominio Windows.

Eseguire il servizio come utente del dominio nei casi seguenti.

n Se si intende connettersi ad Active Directory (autenticazione integrata di Windows).

n Se si intende utilizzare l'autenticazione Kerberos.


VMware, Inc. 30

n Se si intende integrare Horizon View con VMware Identity Manager e si desidera utilizzarel'opzione Esegui sincronizzazione delle directory o Configurazione del server di connessione 5.x.

Se non si utilizza un account utente del dominio, il servizio viene eseguito come un sistema locale.

Figura 5‑3. Configurazione dell'account utente del dominio

11 Fare clic su Installa per iniziare l'installazione.

12 Fare clic su Fine.

Verrà inizializzato il server di VMware Identity Manager e verrà visualizzato l'URL diVMware Identity Manager per accedere alla console di VMware Identity Manager per completare laconfigurazione. Per completare la configurazione a questo punto, fare clic su Sì. In caso contrario,prendere nota dell'URL per accedere in un secondo momento.

Figura 5‑4. Informazioni sull'accesso alla console di Identity Manager

Passi successivi

Eseguire la procedura guidata di configurazione di VMware Identity Manager per completare laconfigurazione del servizio.


VMware, Inc. 31

Figura 5‑5. Procedura guidata di configurazione

Utilizzo della procedura guidata di configurazione percompletare l'installazioneDopo la distribuzione di VMware Identity Manager , utilizzare la procedura guidata di configurazione perimpostare la password dell'amministratore della macchina per VMware Identity Manager, accettare ilcertificato autofirmato e verificare l'URL JDBC del database.

Assicurarsi di eseguire l'installazione guidata utilizzando il nome host completo. Non immettere l'indirizzoIP come nome.

Procedura

1 Passare all'URL di VMware Identity Manager visualizzato al termine dell'installazione. Immettere ilnome di dominio completo (FQDN). Ad esempio, https://nomehost.esempio.com.

2 Accettare il certificato, se richiesto.

Durante l'installazione, viene distribuito un certificato autofirmato. È possibile passare a un certificatofirmato dopo la configurazione iniziale.

3 Sulla pagina Inizia, fare clic su Continua.

4 Nella pagina Imposta password, configurare la password dell'amministratore dell'appliance. Lapassword dell'utente amministratore deve contenere almeno 6 caratteri. Fare clic su Continua.

L'account utente amministratore admin è utilizzato per gestire le impostazioni dell'appliance.

5 Nella pagina Seleziona Database, viene visualizzato l'URL JDBC del database.

La connessione al database verrà configurata e il database verrà inizializzato.

Verrà visualizzata la pagina Configurazione completata.

Passi successivi

Configurare Active Directory. Vedere Configurazione delle connessioni di Active Directory o della directoryLDAP.


VMware, Inc. 32

Distribuzione della macchina VMware Identity Managerdietro un programma di bilanciamento del caricoIn un ambiente aziendale, la configurazione di VMware Identity Manager consigliata consiste neldistribuire un cluster di tre nodi del servizio VMware Identity Manager per la disponibilità elevata. Dopol'installazione, la configurazione e il test del primo nodo IDM dietro il programma di bilanciamento delcarico, viene eseguito uno script nel primo nodo per creare una copia della prima istanza. Questo filecopiato viene utilizzato per creare gli altri nodi nel cluster.

Il diagramma dell'architettura di VMware Identity Manager mostra come poter distribuire l'ambiente diVMware Identity Manager.

Vedere Capitolo 1 Panoramica di VMware Identity Manager Services.

Utilizzo di un programma di bilanciamento del carico o diun proxy inverso per abilitare l'accesso esterno aVMware Identity ManagerDurante la distribuzione, la macchina del di VMware Identity Manager viene configurata nella rete interna.Se si desidera fornire l'accesso al servizio agli utenti che si connettono da reti esterne, è necessarioinstallare un programma di bilanciamento del carico o un proxy inverso, ad esempio Apache, Nginx o F5,nel DMZ.

Se non si utilizza un programma di bilanciamento del carico o un proxy inverso, non sarà possibileespandere il numero di macchine VMware Identity Manager in un secondo momento. Per garantire laridondanza e il bilanciamento del carico, potrebbe essere necessario aggiungere altre macchine. Ilseguente diagramma mostra l'architettura di distribuzione di base che è possibile utilizzare per consentirel'accesso esterno.


VMware, Inc. 33

Figura 5‑6. Proxy del programma di bilanciamento del carico esterno con macchine virtuali

Bilanciamento del carico esternoNome host: Nome di dominio completo di VMware Identity ManagerIndirizzo IP di esempio: 64.x.y.zPorta: Porta di VMware Identity ManagerDeve abilitare le intestazioni X-Forwarded-For.

Utenti esterni

Bilanciamento del carico internoNome host: Nome di dominio completo di VMware Identity ManagerIndirizzo IP di esempio: 10.x.y.zPorta: Porta di VMware Identity ManagerDeve abilitare le intestazioni X-Forwarded-For.

Utenti interni

Porta 443

Porta 443

Cluster VMware Identity Manager

Firewall DMZ

Specifica del nome di dominio completo diVMware Identity Manager durante la distribuzioneDurante la distribuzione della macchina del di VMware Identity Manager , si specifica il nome di dominiocompleto e il numero di porta del di VMware Identity Manager. Questi valori devono fare riferimento alnome host che si desidera sia utilizzato dagli utenti finali per accedere.

La macchina del di VMware Identity Manager viene sempre eseguita nella porta 443. È possibileutilizzare un numero di porta differente per il bilanciamento del carico. Se si utilizza un numero di portadifferente, sarà necessario specificarlo durante la distribuzione. Non utilizzare 8443 come numero diporta, perché questo è il numero della porta amministrativa di VMware identity Manager ed è univoco perogni macchina in un cluster.


VMware, Inc. 34

Impostazioni del bilanciamento del carico da configurareLe impostazioni del programma di bilanciamento del carico da configurare includono l'abilitazione delleintestazioni X-Forwarded-For, l'impostazione del timeout corretto del programma di bilanciamento delcarico e l'abilitazione delle sessioni sticky. Tra la macchina di VMware Identity Manager e il programma dibilanciamento del carico è inoltre necessario configurare una relazione di attendibilità SSL.

n Intestazioni X-forwarded-for

È necessario abilitare le intestazioni X-Forwarded-For sul proprio bilanciamento del carico. Ciòdetermina il metodo di autenticazione. Fare riferimento alla documentazione del fornitore delbilanciamento del carico per maggiori informazioni.

n Timeout del bilanciamento del carico

Perché VMware Identity Manager funzioni correttamente, potrebbe essere necessario aumentare ilvalore di timeout richiesta del bilanciamento del carico dal valore predefinito. Il valore è impostato inminuti. Se il valore del timeout è troppo basso, è possibile che venga visualizzato il messaggio dierrore "Errore 502: Il servizio non è al momento disponibile".

n Abilita sessioni sticky

Se nella distribuzione sono presenti più macchine VMware Identity Manager, è necessario abilitarel'impostazione della sessione sticky nel programma di bilanciamento del carico. Il programma dibilanciamento del carico associa la sessione di un utente a un'istanza specifica.

n Supporto WebSocket

Il programma di bilanciamento del carico deve disporre del supporto WebSocket per abilitare i canalidi comunicazione sicura tra i connettori e i nodi di VMware Identity Manager.

n Crittografia con forward secrecy

I requisiti di Apple iOS App Transport Security si applicano all'app Workspace ONE su iOS. Perconsentire agli utenti di utilizzare l'app Workspace ONE su iOS, il programma di bilanciamento delcarico deve usare la crittografia con forward secrecy. Le seguenti crittografie soddisfano questorequisito:

ECDHE_ECDSA_AES ed ECDHE_RSA_AES in modalità GCM o CBC

come indicato nel documento Sicurezza di iOS di iOS 11:

"App Transport Security offre requisiti di connessione predefiniti in modo che le app seguano leprocedure consigliate per proteggere le connessioni quando utilizzano le API NSURLConnection,CFURL e NSURLSession. Per impostazione predefinita, App Transport Security limita la selezionedella crittografia in modo da includere solo suite che forniscono forward secrecy, in particolareECDHE_ECDSA_AES ed ECDHE_RSA_AES in modalità GCM o CBC."


VMware, Inc. 35

Applicazione del certificato root diVMware Identity Manager al bilanciamento del caricoQuando l'appliance virtuale di VMware Identity Manager è configurata dietro un bilanciamento del carico,è necessario stabilire una connessione sicura SSL tra il bilanciamento del carico eVMware Identity Manager. Il certificato root di VMware Identity Manager deve essere copiato sulbilanciamento del carico.

Il certificato root di VMware Identity Manager può essere scaricato dalla pagina nella console diamministrazione Impostazioni appliance > Gestisci configurazione > Installa certificati SSL >Certificato server.

Se il nome di dominio completo d iVMware Identity Manager fa riferimento a un bilanciamento del carico,il certificato SSL può essere applicato solo al bilanciamento del carico.

Poiché il bilanciamento del carico comunica con l'appliance virtuale di VMware Identity Manager , ènecessario copiare il certificato CA root di VMware Identity Manager al bilanciamento del carico comecertificato root sicuro.

Procedura

1 Nella console di amministrazione, selezionare la scheda Impostazioni Appliance, quindi fare clic suConfigurazione VA > Gestisci configurazione.

2 Nella finestra di dialogo visualizzata, immettere la password dell'utente amministratore.

3 Selezionare Installa certificati SSL > Certificato server.

4 Fare clic sul collegamento Certificati CA root autofirmati dell'appliance.


VMware, Inc. 36

Il certificato viene visualizzato.

5 Copiare quanto compreso tra le righe -----BEGIN CERTIFICATE----- e -----END CERTIFICATE---- eincollare il certificato root nel percorso corretto di ognuno dei bilanciamenti del carico. Fareriferimento alla documentazione fornita dal fornitore del bilanciamento del carico.

Passi successivi

Copiare e incollare il certificato root di bilanciamento del carico sull'appliance diVMware Identity Managerconnettore.

Applicazione del certificato root di bilanciamento delcarico a VMware Identity ManagerQuando l'appliance virtuale di VMware Identity Manager è configurata dietro un bilanciamento del carico,è necessario stabilire una connessione sicura tra il bilanciamento del carico a VMware Identity Manager.Inoltre, copiare il certificato root di VMware Identity Manager sul bilanciamento del carico inVMware Identity Manager.


VMware, Inc. 37

Procedura

1 Ottenere il certificato root del bilanciamento del carico.

2 Nella console di amministrazione, selezionare la scheda Impostazioni Appliance, quindi fare clic suConfigurazione VA > Gestisci configurazione.

3 Nella finestra di dialogo visualizzata, immettere la password dell'utente amministratore.

4 Selezionare Installa certificati SSL > CA attendibili.

5 Incollare il certificato root del bilanciamento del carico nella casella di testo Certificato root ointermedio.

6 Fare clic su Aggiungi.


VMware, Inc. 38

Configurazione del failover e della ridondanza in unsingolo data center (Windows)Per implementare il failover e la ridondanza, è possibile aggiungere più macchineVMware Identity Manager in un cluster. Se per un motivo qualsiasi una delle macchine viene arrestata,VMware Identity Manager sarà comunque disponibile.

Installare e configurare VMware Identity Manager su un server Windows e quindi eseguire uno script percreare un file ENC che è una copia della prima istanza di VMware Identity Manager per Windows con lastessa configurazione dell'originale.

Prima di creare una copia della prima istanza, è necessario configurare il primo nodo dietro unprogramma di bilanciamento del carico e modificarne il nome di dominio completo in modo checorrisponda a quello del programma di bilanciamento del carico. Prima di creare il file ENC, completareinoltre la configurazione della directory nel servizio VMware Identity Manager.

Eseguire il programma di installazione di VMware Identity Manager per Windows in ogni nodo e importareil file ENC copiato. È possibile personalizzare questi nodi modificandone il nome, le impostazioni di rete ealtre proprietà nel modo desiderato. Ogni nodo ha un indirizzo IP diverso. Questo indirizzo IP deveseguire le stesse linee guida dell'indirizzo IP per il primo nodo. L'indirizzo IP deve essere risolto su unnome host valido che utilizza il DNS di inoltro e inverso.

Ogni nodo del cluster è una copia identica e quasi senza stato degli altri nodi. La sincronizzazione conActive Directory e con le risorse configurate, ad esempio Horizon, è abilitata nel primo nodo, madisabilitata in tutti gli altri nodi nel cluster.

Modifica del nome di dominio di completo diVMware Identity Manager nel nome di dominio completo dibilanciamento del caricoPrima di copiare l'istanza della macchina VMware Identity Manager, è necessario modificarne il nome didominio completo in modo che corrisponda a quello del programma di bilanciamento del carico.

Prerequisiti

n La macchina VMware Identity Manager deve essere aggiunta a un programma di bilanciamento delcarico.

n Sia stato applicato il certificato CA root del bilanciamento del carico a VMware Identity Manager.

Procedura

1 Accedere alla console di amministrazione di VMware Identity Manager.

2 Selezionare la scheda Impostazioni dell'appliance.

3 Sulla pagina Configurazione dell'appliance virtuale, fare clic su Gestisci configurazione.

4 Immettere la password dell'amministratore per accedere.

5 Fare clic su Configurazione di Identity Manager.


VMware, Inc. 39

6 Nel campo Nome di dominio completo di Identity Manager, modificare il nome host dell'URL dalnome host di VMware Identity Manager al nome host del bilanciamento del carico.

Ad esempio, se il nome host di VMware Identity Manager è myservice e il nome host delbilanciamento del carico è mylb, l'URL

https://myservice.example.com

dovrà essere cambiato in:

https://mylb.example.com

7 Fare clic su Salva.

n Il nome di dominio completo del servizio sarà cambiato nel nome di dominio completo del programmadi bilanciamento del carico.

n L'URL del provider di identità sarà cambiato nell'URL del bilanciamento del carico.

Passi successivi

Clonare l'appliance virtuale per VMware Identity Manager per Linux.

Eseguire lo script per generare un file ENC del primo nodo per VMware Identity Manager per Windows.

Aggiunta di nodi per creare un cluster VMware Identity ManagerPer creare un cluster con il servizio VMware Identity Manager dopo aver installato la prima istanza diVMware Identity Manager, copiare tale istanza per creare un'immagine con la stessa configurazionedell'originale.


VMware, Inc. 40

Quando si utilizzano più servizi VMware Identity Manager, sono necessari almeno tre nodi.

Nota: Il componente VMware Identity Manager include Elasticsearch, un motore di ricerca e analisi, cheha una limitazione nota con i cluster di due nodi.

Prerequisiti

La prima istanza di VMware Identity Manager distribuita e testata.

Un file di configurazione del cluster creato dalla configurazione della prima istanza. Per creare il file diconfigurazione del cluster della prima istanza, accedere alla console di amministrazione di IdentityManager.

1 Nella pagina Impostazioni appliance > Configurazione VA, fare clic su Gestisci configurazione.

2 Fare clic su Posizione file cluster.

3 Immettere la password da utilizzare per crittografare e decrittografare il file del cluster.

4 Fare clic su Prepara bundle cluster. Verrà creato un file ZIP dell'istanza di VMware IdentityManager.

5 Scaricare il file ZIP in una posizione a cui è possibile accedere.

Procedura

1 Eseguire il programma di installazione di VMware Identity Manager per Windows in ogni macchinache viene configurata nel cluster.

Eseguire il programma di installazione da un account con privilegi di amministratore.

2 Nella finestra di dialogo Benvenuto, fare clic su Avanti.

Il programma di installazione verifica i prerequisiti nel server. Se il software necessario, adesempio .NET o TLS, non è installato, viene richiesto di installare il software e riavviare il server.Dopo il riavvio, eseguire nuovamente il programma di installazione di VMware Identity Manager.

3 Accettare l'accordo di licenza con l'utente finale (EULA), quindi fare clic su Avanti.

4 Il pulsante di opzione Programma di Miglioramento dell'Esperienza del Cliente è selezionato perimpostazione predefinita. Se non si desidera che i dati vengano raccolti, deselezionare il pulsante diopzione.

VMware raccoglie dati anonimi sulla distribuzione per rispondere al meglio alle richieste degli utenti.

5 Verranno elencati i prerequisiti di VMware Identity Manager. Il programma di installazione verifica lapresenza dei moduli necessari. e richiede l'installazione dei moduli eventualmente mancanti.

6 Selezionare la directory in cui si desidera installare il servizio VMware Identity Manager.


VMware, Inc. 41

7 Nella finestra di dialogo Configurazione, selezionare la casella di controllo che indica che si staaccedendo a un cluster esistente e passare al file di configurazione del cluster (ENC) della primaistanza.

Per impostazione predefinita, il file si trova in <INSTALL_DIR>\VMwareIdentityManager\usr\local\horizon\< filename>.enc.

8 Immettere la password del cluster creata per il file ENC di configurazione del cluster e fare clic suAvanti.

9 Fare clic su Installa per iniziare l'installazione.

10 Per completare l'installazione, fare clic su Fine.

Tutti i file di configurazione di VMware Identity Manager verranno copiati nel server.

Passi successivi

Aggiungere la macchina clonata al programma di bilanciamento del carico.

Rimozione di un nodo da un clusterSe un nodo del cluster di VMware Identity Manager non funziona correttamente e non si è in grado diripristinarlo, è possibile rimuoverlo dal cluster con il comando Rimuovi nodo. Il comando consente dirimuovere le voci relative al nodo dal database di VMware Identity Manager.

È possibile verificare l'integrità dei nodi del cluster visualizzandone lo stato in Dashboard di diagnosticadel sistema. Un messaggio simile a Lo stato del nodo corrente non è valido indica che il nodonon funziona correttamente.

Importante: È consigliabile utilizzare il comando Rimuovi nodo con moderazione. Usarlo solo quando ilnodo è irrecuperabile e deve essere completamente rimosso dalla distribuzione diVMware Identity Manager.

Nota: Non è possibile utilizzare il comando Rimuovi nodo per rimuovere l'ultimo nodo in un cluster.

Rimozione dell'associazione del componente connettore dai domini, dalleimpostazioni di sincronizzazione della directory e dal provider di identitàintegratoPrima di rimuovere un nodo da un cluster di VMware Identity Manager, è necessario assicurarsi che ilcomponente connettore del nodo non faccia parte di alcun dominio, non venga utilizzato come connettoredi sincronizzazione e non sia associato al provider di identità integrato.

Prerequisiti

È necessario accedere al servizio VMware Identity Manager come amministratore tenant, ovvero comeamministratore locale. Un amministratore di dominio sincronizzato dalla directory aziendale non disponeinfatti delle autorizzazioni necessarie.


VMware, Inc. 42

Procedura

1 Accedere alla console di amministrazione.

2 Fare clic sulla scheda Gestione identità e accessi, quindi fare clic su Configura.

Verrà visualizzata la pagina Connettori.

3 Se il componente connettore del nodo viene utilizzato come connettore di sincronizzazione per unadelle directory, modificare l'impostazione relativa al connettore di sincronizzazione della directory inmodo che venga utilizzato un altro connettore.

a Nella colonna Directory associata della pagina Connettori, sono visibili le directory con cui ilcomponente connettore è associato.

b Fare clic sul collegamento di una directory.

c Nella sezione Sincronizzazione e autenticazione directory della pagina della directory,controllare il valore dell'opzione relativa al connettore di sincronizzazione.

d Se il componente connettore viene utilizzato come connettore di sincronizzazione, selezionare unaltro connettore per l'opzione relativa al connettore di sincronizzazione e fare clic su Salva.

e Ripetere questi passaggi per tutte le directory a cui il componente connettore è associato.

4 Se il componente connettore è associato al provider di identità integrato, rimuoverlo dal provider diidentità.

a Nella colonna Provider di identità della pagina Connettori, sono visibili i provider di identità a cuiil componente connettore è associato.

b Se nell'elenco è presente il provider di identità integrato, fare clic sul collegamento.

c Nella sezione Connettori della pagina del provider di identità, fare clic sull'icona di eliminazioneaccanto al connettore.

Passi successivi

Rimuovere il nodo dal cluster.

Rimozione del nodo dal clusterDopo aver annullato l'associazione del componente connettore del nodo dai domini, dalle impostazioni disincronizzazione della directory e dal provider di identità integrato, è possibile rimuovere il nodo dalcluster.

Nota: Non è possibile utilizzare il comando Rimuovi per rimuovere l'ultimo nodo in un cluster.

Prerequisiti

n Per rimuovere un nodo, è necessario accedere come amministratore tenant, ovvero comeamministratore locale, al servizio VMware Identity Manager. Un amministratore di dominiosincronizzato dalla directory aziendale non dispone infatti delle autorizzazioni necessarie.


VMware, Inc. 43

n Annullare l'associazione del componente connettore del nodo dai domini, dalle impostazioni disincronizzazione della directory e dal provider di identità integrato, se necessario. Vedere Rimozionedell'associazione del componente connettore dai domini, dalle impostazioni di sincronizzazione delladirectory e dal provider di identità integrato.

Procedura

1 Arrestare la macchina virtuale del nodo.

a Accedere all'istanza di vCenter Server.

b Fare clic con il pulsante destro del mouse sulla macchina virtuale del nodo e selezionareAlimentazione > Spegni.

2 Rimuovere il nodo dal bilanciamento del carico.

3 Nella console di amministrazione di VMware Identity Manager, rimuovere il nodo.

a Accedere alla console di amministrazione di VMware Identity Manager come amministratorelocale.

b Fare clic sulla freccia giù nella scheda Dashboard e selezionare Dashboard di diagnostica delsistema.

c Individuare il nodo che si desidera rimuovere.

Nel nodo viene visualizzato un messaggio simile al seguente:

Lo stato del nodo corrente non è valido. Rimuoverlo?

d Fare clic sul collegamento Rimuovi visualizzato accanto al messaggio.

Il nodo viene rimosso dal cluster. Le voci relative al nodo vengono rimosse dal database diVMware Identity Manager. Il nodo viene inoltre rimosso dai cluster Elasticsearch ed Ehcache incorporati.

Passi successivi

Prima di utilizzare qualsiasi altro comando, attendere 5-15 minuti che i cluster Elasticsearch ed Ehcachesi stabilizzino.

Configurazione delle connessioni di Active Directory odella directory LDAPL'integrazione della directory aziendale con VMware Identity Manager consente di sincronizzare utenti egruppi della directory aziendale con il servizio VMware Identity Manager.

Sono supportati i seguenti tipi di directory.

n Active Directory su LDAP

n Active Directory, Autenticazione integrata di Windows

n Directory LDAP.


VMware, Inc. 44

Prerequisiti

n Rivedere Integrazione della directory con VMware Identity Manager per i requisiti e le limitazioni.

n Informazioni su Active Directory o sulla directory LDAP.

n Se si configurano più foreste di Active Directory e il gruppo locale di dominio contiene membri didomini di foreste diverse, l'utente Bind DN utilizzato nella pagina della directory diVMware Identity Manager deve essere aggiunto al gruppo Amministratori del dominio in cui si trova ilgruppo locale di dominio. In caso contrario, tali membri risulteranno mancanti dal gruppo Dominiolocale.

Nota: Per utilizzare più foreste di Active Directory, il servizio VMware Identity Manager deve essereconfigurato per l'esecuzione come utente del dominio Windows.

n L'elenco di attributi utente che si desidera utilizzare come filtri e un elenco dei gruppi che si desideraaggiungere a VMware Identity Manager.

Procedura

1 Accedere alla console di amministrazione come utente amministratore utilizzando la passwordconfigurata.

L'utente sarà collegato come Amministratore locale. Verrà visualizzata la pagina Directory. Prima diaggiungere una directory, consultare Integrazione della directory con VMware Identity Manager perconoscere requisiti e limitazioni.

2 Selezionare la scheda Gestione identità e accessi.

3 Fare clic su Configura > Attributi utente per selezionare gli attributi utente per la sincronizzazionecon la directory.

Verranno visualizzati gli attributi predefiniti e potranno essere selezionati quelli necessari. Se unattributo è contrassegnato come obbligatorio, soltanto gli utenti con quell'attributo sarannosincronizzati con il servizio. Sarà inoltre possibile aggiungere altri attributi.

Importante: Una volta creata una directory, non sarà possibile modificare un attributo in modo chesia obbligatorio. È necessario definire questa impostazione ora.

Si tenga presente che le impostazioni nella pagina Attributi utente vengono applicate a tutte ledirectory nel servizio. Quando si contrassegna un attributo come obbligatorio, considerarne l'effettosu altre directory. Se un attributo è contrassegnato come obbligatorio, gli utenti senza quell'attributonon saranno sincronizzati con il servizio.

Importante: Se si prevede di sincronizzare le risorse di XenApp con VMware Identity Manager, ènecessario impostare distinguishedName come attributo obbligatorio.


5 Selezionare la scheda Gestione identità e accessi.


VMware, Inc. 45

6 Sulla pagina Directory, fare clic su Aggiungi directory e selezionare Aggiungi Active Directory suLDAP/IWA o Aggiungi directory LDAP, in base al tipo di directory che si sta integrando.

È inoltre possibile creare una directory locale nel servizio. Per ulteriori informazioni sull'utilizzo delledirectory locali, vedere la guida all'amministrazione di VMware Identity Manager.


VMware, Inc. 46

7 Per Active Directory, effettuare le operazioni riportate di seguito.

a Immettere un nome per la directory che si sta creando in VMware Identity Manager quindiselezionare il tipo di directory, Active Directory su LDAP o Active Directory (Autenticazioneintegrata di Windows).

b Specificare le informazioni sulla connessione.

Opzione Descrizione

Active Directory su LDAP 1 Nella casella di testo Sincronizza connettore, selezionare il connettoreche si desidera utilizzare per sincronizzare gli utenti e i gruppi di ActiveDirectory con la directory di VMware Identity Manager.

Per impostazione predefinita, un componente del connettore è sempredisponibile con il servizio VMware Identity Manager. Questo connettoreverrà visualizzato nel menu a discesa. Se si installano più appliance diVMware Identity Manager per la disponibilità elevata, nell'elenco verràvisualizzato il componente del connettore di ciascuna appliance.

2 Nella casella di testo Autenticazione, selezionare Sì se si desiderautilizzare questa istanza di Active Directory per eseguire l'autenticazionedegli utenti.

Se si desidera utilizzare un provider di identità di terze parti perautenticare gli utenti, fare clic su No. Dopo aver configurato laconnessione a Active Directory per sincronizzare utenti e gruppi, passarealla pagina Gestione identità e accessi > Gestione > Provider diidentità per aggiungere il provider di identità di terze parti perl'autenticazione.

3 Nella casella di testo Attributo di ricerca directory, selezionare l'attributodell'account contenente il nome utente.

4 Se Active Directory utilizza la ricerca DNS posizione servizio, effettuare leselezioni riportate di seguito.n Nella sezione Posizione server, selezionare la casella di controllo

Questa directory supporta la posizione servizio DNS.

Quando viene creata la directory, viene creato un filedomain_krb.properties, completato automaticamente con unelenco di controller del dominio. Vedere "Informazioni sulla selezionedel controller di dominio (file domain_krb.properties)" in Integrazionedella directory con VMware Identity Manager.

n Se Active Directory richiede la crittografia STARTTLS, selezionare lacasella di spunta Questa directory richiede che tutte leconnessioni utilizzino SSL nella sezione Certificati e copiare eincollare il certificato CA root di Active Directory nella casella di testoCertificato SSL.

Assicurarsi che il certificato sia in formato PEM e includere le righe"BEGIN CERTIFICATE" e "END CERTIFICATE".

Nota: Se Active Directory richiede STARTTLS e non si fornisce ilcertificato, non sarà possibile creare la directory.

5 Se Active Directory non utilizza la ricerca posizione servizio DNS,effettuare le selezioni riportate di seguito.


VMware, Inc. 47

Opzione Descrizione

n Nella sezione Posizione server, verificare che la casella di controlloQuesta directory supporta posizione servizio DNS non siaselezionata ed immettere il nome host e il numero di porta del serverActive Directory.

Per configurare la directory come catalogo globale, vedere la sezionedell'ambiente Active Directory a singola foresta multidominio in"Ambienti Active Directory" in Integrazione della directory con VMwareIdentity Manager.

n Se Active Directory richiede l'accesso tramite SSL, selezionare lacasella di controllo Questa directory richiede che tutte leconnessioni utilizzino SSL nella sezione Certificati e copiare eincollare il certificato CA root di Active Directory nel campo CertificatoSSL.


Nota: Se Active Directory richiede SSL e non si fornisce il certificato,non sarà possibile creare la directory.

6 Nella sezione Consenti modifica password selezionare Attiva modificapassword se si desidera che gli utenti possano reimpostare le loropassword dalla pagina di accesso a VMware Identity Manager se lapassword scade o se l'amministratore di Active Directory la reimposta.

7 Nella casella di testo Nome distinto di base, immettere il nome distintoda cui iniziare le ricerche degli account. Ad esempio,OU=myUnit,DC=myCorp,DC=com.

8 Nella casella di testo Nome distinto di binding, immettere l'account chepuò cercare gli utenti. Ad esempio,CN=binduser,OU=myUnit,DC=myCorp,DC=com.

Nota: L'uso di un utente Nome distinto di binding con una password chenon ha scadenza è consigliato.

9 Dopo aver immesso la password di binding, fare clic su Test dellaconnessione per verificare che la propria directory possa collegarsi aActive Directory.

Active Directory (autenticazioneintegrata di Windows)

1 Nella casella di testo Sincronizza connettore, selezionare il connettoreche si desidera utilizzare per sincronizzare gli utenti e i gruppi di ActiveDirectory con la directory di VMware Identity Manager.

Per impostazione predefinita, un componente del connettore è sempredisponibile con il servizio VMware Identity Manager. Questo connettoreverrà visualizzato nell'elenco a discesa. Se si installano più appliance diVMware Identity Manager per la disponibilità elevata, nell'elenco verràvisualizzato il componente del connettore di ciascuna appliance.

2 Nella casella di testo Autenticazione, fare clic su Sì se si desiderautilizzare questa istanza di Active Directory per eseguire l'autenticazionedegli utenti.

Se si desidera utilizzare un provider di identità di terze parti perautenticare gli utenti, fare clic su No. Dopo aver configurato laconnessione a Active Directory per sincronizzare utenti e gruppi, passarealla pagina Gestione identità e accessi > Gestione > Provider diidentità per aggiungere il provider di identità di terze parti perl'autenticazione.


VMware, Inc. 48

Opzione Descrizione

3 Nella casella di testo Attributo di ricerca directory, selezionare l'attributodell'account contenente il nome utente.

4 Se Active Directory richiede la crittografia STARTTLS, selezionare lacasella di spunta Questa directory richiede che tutte le connessioniutilizzino STARTTLS nella sezione Certificati e copiare e incollare ilcertificato CA root di Active Directory nella casella di testo CertificatoSSL.


Se la directory ha più domini, aggiungere i certificati CA root per tutti idomini, uno alla volta.

Nota: Se Active Directory richiede STARTTLS e non si fornisce ilcertificato, non sarà possibile creare la directory.

5 Nella sezione Consenti modifica password selezionare Attiva modificapassword se si desidera che gli utenti possano reimpostare le loropassword dalla pagina di accesso a VMware Identity Manager se lapassword scade o se l'amministratore di Active Directory la reimposta.

6 Nella casella di testo UPN utente di binding, immettere il nome dell'entitàutente che si autenticherà nel dominio. Ad [email protected].

Nota: L'uso di un utente Nome distinto di binding con una password chenon ha scadenza è consigliato.

7 Specificare la password dell'utente Nome distinto di binding.

c Fare clic su Salva e avanti.

Verrà visualizzata la pagina con l'elenco di domini.


VMware, Inc. 49

8 Per le directory LDAP, effettuare le operazioni riportate di seguito.

a Specificare le informazioni sulla connessione.

Opzione Descrizione

Nome directory Un nome per la directory che si sta creando in VMware Identity Manager.

Sincronizzazione e autenticazionedirectory

1 Nella casella di testo Sincronizza connettore, selezionare il connettoreche si desidera utilizzare per sincronizzare gli utenti e i gruppi dalladirectory LDAP alla directory VMware Identity Manager.

Per impostazione predefinita, un componente del connettore è sempredisponibile con il servizio VMware Identity Manager. Questo connettoreverrà visualizzato nell'elenco a discesa. Se si installano più appliance diVMware Identity Manager per la disponibilità elevata, nell'elenco verràvisualizzato il componente del connettore di ciascuna appliance.

Non è necessario un connettore separato per una directory LDAP. Unconnettore può supportare più directory, indipendentemente dal fatto chesiano Active Directory o directory LDAP.

2 Nella casella di testo Autenticazione, selezionare Sì se si desiderautilizzare questa directory LDAP per eseguire l'autenticazione degli utenti.

Se si desidera utilizzare un provider di identità di terze parti perautenticare gli utenti, fare clic su No. Dopo aver configurato laconnessione alla directory per sincronizzare utenti e gruppi, passare allapagina Gestione identità e accessi > Gestione > Provider di identitàper aggiungere il provider di identità di terze parti per l'autenticazione.

3 Nella casella di testo Attributo di ricerca directory specificare l'attributodella directory LDAP da utilizzare per il nome utente. Se l'attributo non èpresente, selezionare Personalizzato e immettere il nome dell'attributo.Ad esempio, cn.

Posizione server Immettere l'host del server e il numero di porta della directory LDAP. Per l'hostdel server, è possibile specificare sia il nome di dominio completo chel'indirizzo IP. Ad esempio, serverLDAP.esempio.com o 100.00.00.0.

Se è presente un cluster di server con il bilanciamento del carico, immettereinvece le informazioni sul bilanciamento.

Configurazione LDAP Specificare i filtri di ricerca LDAP e gli attributi che possono essere utilizzati daVMware Identity Manager per interrogare la propria directory LDAP. I valoripredefiniti sono forniti in base allo schema LDAP principale.

Query LDAPn Ottieni gruppi: il filtro di ricerca per ottenere gli oggetti gruppo.

Ad esempio: (objectClass=group)n Ottieni utente bind: il filtro di ricerca per ottenere l'oggetto utente bind,

ovvero l'utente che può collegarsi alla directory.

Ad esempio: (objectClass=person)n Ottieni utente: il filtro di ricerca per ottenere gli utenti da sincronizzare.

Ad esempio: (&(objectClass=user)(objectCategory=person))

Attributin Appartenenza: questo attributo è utilizzato nella directory LDAP per

definire i membri di un gruppo.

Ad esempio: member


VMware, Inc. 50

Opzione Descrizione

n UUID oggetto: l'attributo utilizzato nella directory LDAP per definire l'UUIDdi un utente o di un gruppo.

Ad esempio: entryUUIDn DN (Distinguished Name): l'attributo utilizzato nella directory LDAP per il

nome distinto (DN) di un utente o un gruppo.

Ad esempio: entryDN

Certificati Se la directory LDAP richiede l'accesso su SSL, selezionare Questadirectory richiede che tutte le connessioni utilizzino SSL e copiare eincollare il certificato SSL CA root del server della directory LDAP. Assicurarsiche il certificato sia in formato PEM e includere le righe "BEGINCERTIFICATE" e "END CERTIFICATE".

Dettagli utente bind Nome distinto di base: immettere il DN da cui iniziare le ricerche. Adesempio, cn=users,dc=example,dc=com

Nome distinto di binding: immettere il nome utente da utilizzare percollegarsi alla directory LDAP.

Nota: L'uso di un utente Nome distinto di binding con una password che nonha scadenza è consigliato.

Password nome distinto di binding: immettere la password per l'utenteNome distinto di binding

b Per eseguire il test della connessione al server di directory LDAP, fare clic su Test della

connessione.

Se la connessione non riesce, controllare le informazioni immesse ed apportare le modifichenecessarie.

c Fare clic su Salva e avanti.

Verrà visualizzata la pagina in cui è riportato il dominio.

9 Per una directory LDAP, viene riportato il dominio (che non potrà essere modificato).

Per Active Directory su LDAP, vengono riportati i domini (che non possono essere modificati).

Per Active Directory (autenticazione integrata di Windows), selezionare i domini da associare aquesta connessione ad Active Directory.

Nota: se si aggiunge un dominio trusting dopo aver creato la directory, il servizio non rilevaautomaticamente il nuovo dominio trusting. Per consentire al servizio di rilevare il dominio, connettoredeve essere tolto e poi aggiunto nuovamente al dominio. Quando connettore si unisce nuovamente aldominio, il dominio trusting comparirà nell'elenco.

Fare clic su Avanti.

10 Verificare che i nomi di attributo di VMware Identity Manager siano mappati agli attributi di ActiveDirectory o LDAP corretti e apportare le modifiche eventualmente necessarie.

Importante: Se si sta integrando una directory LDAP, è necessario specificare una mappatura perl'attributo domain.


VMware, Inc. 51

11 Fare clic su Avanti.

12 Selezionare i gruppi che si desidera sincronizzare dalla directory di Active Directory o LDAP alladirectory di VMware Identity Manager.

Opzione Descrizione

Specificare i DN gruppo Per selezionare i gruppi, specificare uno o più DN e selezionare i gruppi in essicontenuti.

a Fare clic su + e specificare il DN del gruppo. Ad esempio,CN=users,DC=example,DC=company,DC=com.

Importante: Specificare i DN dei gruppi contenuti nel DN di base inserito.Se il DN di un gruppo si trova al di fuori del DN di base, gli utenti di tale DNvengono sincronizzati ma non potranno eseguire l'accesso.

b Fare clic su Trova gruppi.

Nella colonna Gruppi da sincronizzare, è presente il numero di gruppitrovati nel DN.

c Per selezionare tutti i gruppi nel DN, fare clic su Seleziona tutto oppure fareclic su Seleziona e selezionare i gruppi specifici da sincronizzare.

Nota: Se nella directory LDAP sono presenti più gruppi con lo stesso nome,è necessario specificare nomi univoci per tali gruppi inVMware Identity Manager. È possibile modificare il nome mentre si selezionail gruppo.

Nota: Quando si sincronizza un gruppo, gli utenti che non hanno Utenti didominio come gruppo primario in Active Directory non vengono sincronizzati.

Sincronizza membri del grupponidificati

Per impostazione predefinita, l'opzione Sincronizza membri del grupponidificati è abilitata. Quando questa opzione è abilitata, tutti gli utenti cheappartengono direttamente al gruppo selezionato così come gli utenti cheappartengono ai gruppi nidificati al di sotto di esso vengono sincronizzati. Tenerepresente che i gruppi nidificati non vengono sincronizzati; sono sincronizzati sologli utenti che appartengono ai gruppi. Nella directory di VMware Identity Manager,questi utenti saranno membri del gruppo principale selezionato per lasincronizzazione.

Se l'opzione Sincronizza membri del gruppo nidificati è disabilitata, quando sispecifica un gruppo da sincronizzare, tutti gli utenti che appartengonodirettamente a tale gruppo verranno sincronizzati. Gli utenti che appartengono aigruppi nidificati al di sotto di esso non saranno sincronizzati. La disabilitazione diquesta opzione è utile per configurazioni di Active Directory di grosse dimensionidove l'attraversamento di una struttura di gruppi implica un uso intensivo dirisorse e tempo. Se si disabilita questa opzione, assicurarsi di selezionare tutti igruppi per cui si desidera sincronizzare gli utenti.



VMware, Inc. 52

14 Specificare altri utenti da sincronizzare, se necessario.

a Fare clic su + e inserire i DN degli utenti. Ad esempio,CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.

Importante: Specificare i DN degli utenti contenuti nel DN di base inserito. Se il DN di un utentesi trova al di fuori del DN di base, gli utenti di tale DN vengono sincronizzati ma non possonoeseguire l'accesso.

b (Facoltativo) Per escludere utenti, creare un filtro con cui escludere alcuni tipi di utenti.

È possibile selezionare l'attributo da utilizzare per filtrare gli utenti, la regola di query e il valore.


16 Rivedere la pagina per verificare quanti utenti e gruppi verranno sincronizzati con la directory evisualizzare la pianificazione della sincronizzazione.

Per apportare modifiche a utenti e gruppi o alla frequenza di sincronizzazione, fare clic sulcollegamento Modifica.

17 Fare clic su Sincronizza directory per iniziare la sincronizzazione della directory.

Nota: Se si verifica un errore di rete e il nome host non può essere risolto in maniera univoca utilizzandoil DNS inverso, il processo di configurazione verrà interrotto. Correggere i problemi di rete e riavviarel'appliance virtuale. Sarà quindi possibile continuare il processo di distribuzione. Le nuove impostazioni direte non saranno disponibili fino al riavvio dell'appliance virtuale.

Passi successivi

Per informazioni sull'impostazione di un bilanciamento del carico o di una configurazione ad altadisponibilità, vedere Capitolo 4 Distribuzione della macchina VMware Identity Manager dietro unprogramma di bilanciamento del carico.

È possibile personalizzare il catalogo delle risorse per le applicazioni della propria organizzazione econsentire l'accesso utente a tali risorse. È inoltre possibile configurare altre risorse, tra cui le View,ThinApp e le applicazioni basate su Citrix. Vedere Impostazione delle risorse in VMware IdentityManager.

Abilitazione della sincronizzazione delle directory su un'altraistanza di in caso di erroreIn caso di un errore dell'istanza di servizio, l'autenticazione è gestita automaticamente da un'istanzaclonata, come configurata nel bilanciamento del carico. Tuttavia, per la sincronizzazione delle directory ènecessario modificare le impostazioni della directory nel servizio VMware Identity Manager in modo dautilizzare un'istanza clonata. La sincronizzazione delle directory è gestita dal componente del connettoredel servizio e può essere abilitata solo su un connettore alla volta.

Procedura



VMware, Inc. 53

2 Selezionare la scheda Gestione identità e accessi, quindi fare clic su Directory.

3 Fare clic sulla directory che era associata all'istanza del servizio originale.

Queste informazioni sono disponibili nella pagina Configura > Connettori. La pagina riporta ilcomponente del connettore di ogni appliance virtuale del servizio nel cluster.

4 Nella sezione Sincronizzazione e autenticazione directory della pagina della directory, nel campoSincronizza connettore, selezionare uno degli altri connettori.

5 Nel campo Password nome distinto di binding, immettere la password dell'account bind di Active

Directory.


Attivazione delle impostazioni del proxy dopol'installazioneLa macchina VMware Identity Manager accede al catalogo di applicazioni cloud e ad altri servizi Web suInternet. Se la configurazione di rete offre accesso a Internet tramite un proxy HTTP, è necessariomodificare le impostazioni del proxy nella macchina VMware Identity Manager.

Consentire al proxy di gestire solo il traffico Internet. Per assicurarsi che il proxy sia configuratocorrettamente, impostare il parametro per il traffico interno su Nessun proxy all'interno del dominio.


VMware, Inc. 54

Procedura

1 Accedere alla console di amministrazione di VMware Identity Manager e passare alla paginaImpostazioni appliance > Configurazione VA.

2 Fare clic su Gestisci configurazione e quindi su Configurazione proxy.

3 Fare clic su Attiva per attivare il proxy.

4 Nella casella di testo Host proxy con porta, immettere il nome del proxy e la porta. Ad esempio,proxyhost.example.com:3128.

5 Nella casella di testo Host senza proxy, immettere gli host senza proxy a cui è possibile accederesenza passare attraverso il server proxy.

Utilizzare una virgola per separare i nomi host di un elenco.


Specifica della chiave di licenzaDopo aver distribuito l'appliance di VMware Identity Manager, è necessario specificare la propria chiavedi licenza.

Procedura


2 Selezionare la scheda Impostazioni dell'appliance e fare clic su Licenza.

3 Sulla pagina Impostazioni della licenza, immettere la chiave di licenza e fare clic su Salva.


VMware, Inc. 55

Gestione delle impostazioni diconfigurazione della macchinaVMware Identity Manager 6Una volta completata la configurazione iniziale di VMware Identity Manager, è possibile passare allepagine della console di VMware Identity Manager per installare i certificati, gestire le password escaricare i file di registro. È inoltre possibile aggiornare il database, cambiare il nome di dominio completodi Identity Manager e configurare un server syslog esterno.

Le pagine delle impostazioni di configurazione sono disponibili nella scheda Impostazioni appliance dellaconsole di Identity Manager.

Nome pagina Descrizione dell'impostazione

Connessione al database L'impostazione di connessione al database, sia esso interno oesterno, è abilitata. È possibile modificare il tipo di database.Se si seleziona Database esterno, è necessario immetterel'URL del database esterno, il nome utente e la password. Perconfigurare un database esterno, vedere Creazione deldatabase del servizio VMware Identity Manager.

Installa certificati SSL Nelle schede in questa pagina, è possibile installare uncertificato SSL per VMware Identity Manager, scaricare ilcertificato root di VMware Identity Manager autofirmato einstallare certificati root attendibili. Se ad esempio VMwareIdentity Manager è configurato dietro un bilanciamento delcarico, è possibile installare il certificato root del bilanciamentodel carico.

Nota: La scheda Certificato PassThrough è utilizzato soloquando l'autenticazione del certificato è configurata nelconnettore incorporato in uno scenario di distribuzione DMZ.Per informazioni, vedere Distribuzione di VMware IdentityManager in DMZ.

Vedere Uso dei certificati SSL.

Nome di dominio completo di Identity Manager In questa pagina è possibile visualizzare o modificare il nomedi dominio completo di VMware Identity Manager. Il nome didominio completo di VMware Identity Manager è l'URLutilizzato dagli utenti per accedere al servizio.

Modifica password Su questa pagina è possibile modificare la passworddell'utente amministratore di VMware Identity Manager.

Configurazione proxy (VMware Identity Manager per Windows) Configurare le impostazioni del proxy HTTPS

VMware, Inc. 56

Nome pagina Descrizione dell'impostazione

Percorsi dei file di registro È possibile scaricare i registri in un file zip. Vedere Informazionisui file di registro.

Posizione file cluster (VMware Identity Manager per Windows) È possibile creare un file crittografato dell'istanza diconfigurazione di VMware Identity Manager. Questo file ENCpuò essere scaricato e utilizzato per creare un cluster di nodi diVMware Identity Manager.

È inoltre possibile modificare l'URL del connettore. Vedere Modifica dell'URL del connettore.

Questo capitolo include i seguenti argomenti:

n Modifica delle impostazioni di configurazione dell'appliance

n Uso dei certificati SSL

n Configurazione di VMware Identity Manager per l'utilizzo di un database esterno

n Modifica dell'URL del servizio VMware Identity Manager

n Modifica dell'URL del connettore

n Informazioni sui file di registro

n Gestione della password

n Configurazione delle impostazioni SMTP

Modifica delle impostazioni di configurazionedell'applianceDopo aver configurato VMware Identity Manager, è possibile passare alle pagine Impostazionidell'appliance per aggiornare la configurazione corrente e monitorare le informazioni di sistema perl'appliance virtuale.

Procedura


2 Selezionare la scheda Impostazioni dell'appliance e fare clic su Gestisci configurazione.

3 Accedere con la password dell'utente amministratore del servizio.

4 Dal riquadro di sinistra, selezionare la pagina da visualizzare o modificare.

Passi successivi

Verificare che le impostazioni o gli aggiornamenti apportati vengano applicati.


VMware, Inc. 57

Uso dei certificati SSLQuando si installa l'appliance di VMware Identity Manager, viene generato un certificato del server SSLpredefinito. È possibile utilizzare questo certificato autofirmato a scopo di test generale della propriaimplementazione. VMware consiglia vivamente di ottenere e installare certificati SSL firmati da un'autoritàdi certificazione (CA) pubblica nell'ambiente di produzione.

Un'autorità di certificazione (CA) è un'entità sicura che garantisce l'identità del certificato e il relativocreatore. Quando un certificato è firmato da una CA, gli utenti non ricevono più i messaggi in cui sirichiede di verificare il certificato.

È possibile installare un certificato CA firmato dalla pagina Impostazioni appliance > Gestisciconfigurazione > Installa certificati SSL > Certificato server.

Se si distribuisce VMware Identity Manager con il certificato SSL autofirmato, il certificato CA root deveessere disponibile come CA attendibile per qualsiasi client che accede al servizio diVMware Identity Manager. I client possono includere le macchine degli utenti finali, i bilanciamenti delcarico, i proxy e così via. È possibile scaricare la CA root dalla pagina di Installa certificati SSL >Certificato server.

Installazione di un certificato SSL per il servizioVMware Identity ManagerQuando si installa il servizio VMware Identity Manager, viene generato un certificato del server SSLpredefinito. È possibile utilizzare questo certificato autofirmato a scopo di test. Tuttavia, VMware consigliavivamente di utilizzare certificati SSL firmati da un'autorità di certificazione (CA) pubblica per l'ambiente diproduzione.

Nota: Se un bilanciamento del carico davanti a VMware Identity Manager termina SSL, viene applicato ilcertificato SSL al bilanciamento del carico.

Prerequisiti

n Generare una richiesta di firma del certificato e ottenere un certificato SSL valido e firmato daun'autorità di certificazione. Il formato del certificato deve essere PEM.

n Per la parte Nome comune del DN oggetto, utilizzare il nome di dominio completo che gli utentiutilizzeranno per accedere al servizio VMware Identity Manager. Se l'appliance diVMware Identity Manager si trova dietro un bilanciamento del carico, questo è il nome del server delbilanciamento del carico.

n Se SSL non viene terminato nel programma di bilanciamento del carico, il certificato SSL utilizzatodal servizio deve includere i nomi SAN (Subject Alternative Name) per tutti i nomi di dominio completidel cluster di VMware Identity Manager in modo che i nodi del cluster possano effettuare richieste avicenda. Includere inoltre un nome SAN per il nome host del nome di dominio completo che gli utentiusano per accedere al servizio VMware Identity Manager, oltre a utilizzarlo per il nome comune,poiché alcuni browser lo richiedono.


VMware, Inc. 58

Procedura

1 Nella console di amministrazione, selezionare la scheda Impostazioni dell'appliance.

2 Fare clic su Gestisci configurazione e inserire la password dell'utente amministratore.

3 Selezionare Installa certificati SSL > Certificato server.

4 Nel campo Certificato SSL, selezionare Certificato personalizzato.

5 Nella casella di testo della catena di certificati SSL, incollare i certificati del server, intermedi eradice in questo ordine.

È necessario includere l'intera catena di certificati nell'ordine corretto. Per ciascun certificato, copiaretutto il contenuto presente tra le righe -----BEGIN CERTIFICATE----- ed -----END CERTIFICATE----.

6 Nella casella di testo Chiave privata, incollare la chiave privata. Copiare tutto il contenuto presentetra le righe ----BEGIN RSA PRIVATE KEY---- ed ---END RSA PRIVATE KEY----.


Esempio: esempi di certificati

Esempio di catena di certificati

-----BEGIN CERTIFICATE-----

jlQvt9WdR9Vpg3WQT5+C3HU17bUOwvhp/r0+

...

W53+O05j5xsxzDJfWr1lqBlFF/OkIYCPcyK1

-----END CERTIFICATE-----


WdR9Vpg3WQT5+C3HU17bUOwvhp/rjlQvt90+

...

O05j5xsxzDJfWr1lqBlFF/OkIYCPW53+cyK1



dR9Vpg3WQTjlQvt9W5+C3HU17bUOwvhp/r0+

...

5j5xsxzDJfWr1lqW53+O0BlFF/OkIYCPcyK1


Esempio di chiave privata

-----BEGIN RSA PRIVATE KEY-----

jlQvtg3WQT5+C3HU17bU9WdR9VpOwvhp/r0+

...

1lqBlFFW53+O05j5xsxzDJfWr/OkIYCPcyK1

-----END RSA PRIVATE KEY-----


VMware, Inc. 59

Installazione di certificati root attendibiliInstallare i certificati root o intermedi che devono essere considerati attendibili dal server diVMware Identity Manager. Il server di VMware Identity Manager sarà in grado di stabilire connessioniprotette a server la cui catena di certificati include uno di questi certificati.

Se il server di VMware Identity Manager è configurato dietro un bilanciamento del carico e il protocolloSSL termina sul bilanciamento del carico, installare il certificato root del bilanciamento del carico.

Procedura

1 Nella console di amministrazione, selezionare la scheda Impostazioni dell'appliance.

2 Fare clic su Gestisci configurazione e inserire la password dell'utente amministratore.

3 Fare clic su Installa certificati SSL, quindi selezionare la scheda di CA attendibili.

4 Incollare il certificato root o intermedio nella casella di testo.

Includere tutto il contenuto presente tra le righe -----BEGIN CERTIFICATE----- ed -----ENDCERTIFICATE----


Installazione di un certificato PassThroughLa scheda Certificato PassThrough è utilizzato solo quando l'autenticazione del certificato è configuratanel connettore incorporato in uno scenario di distribuzione DMZ. Non è utilizzata in nessun altro scenario.Per informazioni, vedere Distribuzione di VMware Identity Manager in DMZ.

Configurazione di VMware Identity Manager per l'utilizzodi un database esternoDopo aver creato il database Microsoft SQL, se il database esterno creato non viene configuratoautomaticamente in VMware Identity Manager, configurare VMware Identity Manager per l'utilizzo deldatabase nella pagina Impostazioni appliance.

Prerequisiti

n Il database con lo schema saas creato in Microsoft SQL server come server di database esterno. Perinformazioni sulle versioni specifiche supportate da VMware Identity Manager, vedere VMwareProduct Interoperability Matrixes

Procedura

1 Nella console di amministrazione, fare clic su Impostazioni dell'appliance e selezionareConfigurazione appliance virtuale.

2 Fare clic su Gestisci configurazione.

3 Accedere con la password dell'utente amministratore di VMware Identity Manager.


VMware, Inc. 60

http://www.vmware.com/resources/compatibility/sim/interop_matrix.php

http://www.vmware.com/resources/compatibility/sim/interop_matrix.php

4 Sulla pagina Configurazione connessione al database, selezionare Database esterno come tipo didatabase.

5 Immettere le informazioni sulla connessione al database.

a Immettere l'URL JDBC del server del database Microsoft SQL.

Modalità diautenticazione Stringa URL JDBC

Autenticazione diWindows (dominio\utente) jdbc:jtds:sqlserver://<hostname_or_IP_address:port#>/saas;integratedS

ecurity=true;domain=<domainname>;useNTLMv2=true

Autenticazione di SQLServer (utente locale) jdbc:sqlserver://<hostname_or_IP_address:port#>;DatabaseName=<saasdb>

Nota: Per attivare la funzionalità AlwaysOn di SQL Server, è necessario impostareMultiSubNetFailover su True in SQL. La stringa dell'URL JDBC è

jdbc:jtds:sqlserver://<hostname_or_IP_address:port#>/saas;integratedSecurity=true;domain=<domai

nname>;useNTLMv2=true;multiSubnetFailover=true

b Immettere il nome utente e la password di accesso configurati durante la creazione del database.Vedere Configurazione del database Microsoft SQL utilizzando la modalità di autenticazione diServer SQL locale

6 Fare clic su Test della connessione per verificare e salvare le informazioni.

Passi successivi

(Facoltativo) Modificare i privilegi di appartenenza del ruolo del database db_owner. Vedere Modifica deiruoli a livello di database.

Modifica dell'URL del servizio VMware Identity ManagerÈ possibile modificare l'URL del servizio VMware Identity Manager, ovvero l'URL che gli utenti utilizzanoper accedere al servizio. Ad esempio, è possibile cambiarlo impostando l'URL di un bilanciamento delcarico.

Procedura


2 Selezionare la scheda Impostazioni dell'appliance, quindi selezionare Configurazione appliancevirtuale.

3 Fare clic su Gestisci configurazione e accedere con la password dell'utente admin.


VMware, Inc. 61

4 Fare clic su Nome di dominio completo di Identity Manager ed immettere il nuovo URL nel campoNome di dominio completo di Identity Manager.

Utilizzare il formato https://nome di dominio completo:porta. La specifica della porta èfacoltativa. La porta predefinita è 443.

Ad esempio, https://servizio.esempio.com.


Passi successivi

Abilitare la nuova interfaccia utente del portale.

1 Passare a https://VMwareIdentityManagerURL/admin per accedere alla console di amministrazione.

2 Nella console, fare clic sulla freccia sulla scheda Catalogo e selezionare Impostazioni.

3 Selezionare Nuova IU del portale per l'utente finale nel riquadro di sinistra e fare clic su Abilitanuova IU del portale.

Modifica dell'URL del connettoreÈ possibile modificare l'URL del connettore aggiornando il nome host del provider di identità nella consoledi amministrazione.

Procedura


2 Selezionare la scheda Gestione identità e accessi, quindi selezionare la scheda Provider diidentità.

3 Nella pagina Provider di identità, selezionare il provider da aggiornare.

4 Nel campo Nome host provider di identità specificare il nuovo nome host.

Utilizzare il formato nome host:porta. La specifica della porta è facoltativa. La porta predefinita è443.

Ad esempio, vidm.example.com.


Informazioni sui file di registroI file di registro di VMware Identity Manager consentono di eseguire il debug e di risolvere i problemi. I filedi registro riportati di seguito sono un punto di partenza comune. Altri registri si trovano nella directory deiregistri.


VMware, Inc. 62

Tavola 6‑1. File di registro

Componente

Percorso del file di registro diLinux

Percorso del file di registro diWindows Descrizione

Registro delservizioIdentityManager

/opt/vmware/horizon/workspa

ce/logs/horizon.log

<INSTALL_DIR>\opt\vmware\horiz

on\workspace\logs\horizon.log

Informazioni sull'attività nelservizio, ad esempio permessi,utenti e gruppi.

Registriconfiguratore


ce/logs/configurator.log


on\workspace\logs\configurator

.log

Richieste che il configuratorericeve dal client REST edall'interfaccia Web.

Registriconnettore


ce/logs/connector.log


on\workspace\logs\connector.lo

g

Un record di ogni richiesta ricevutadall'interfaccia Web. Ogni voce delregistro include anche l'URL dellarichiesta, il formato data/ora e leeccezioni. Nessuna azione disincronizzazione viene registrata.

Registri diApacheTomcat


ce/logs/catalina.log


on\workspace\logs\catalina.log

I record Apache Tomcat deimessaggi che non sono registratiin altri file di registro.

Raccolta delle informazioni di registroDurante i test o la risoluzione dei problemi, i registri possono fornire un feedback sull'attività e leprestazioni dell'appliance virtuale e restituire le informazioni sugli eventuali problemi che si verificano.

Raccoglie i registri da ogni appliance nell'ambiente.

Procedura


2 Selezionare la scheda Impostazioni dell'appliance e fare clic su Gestisci configurazione.

3 Fare clic su Percorsi dei file di registro e selezionare Prepara bundle di registri.

Le informazioni vengono raccolte in un file tar.gz che può essere scaricato.

4 Scaricare il bundle preparato.

Passi successivi

Per raccogliere tutti i registri, effettuare queste operazioni su ogni appliance.

Impostazione del livello di registro del servizio di VMware IdentityManager su DEBUGÈ possibile impostare il livello di registro su DEBUG per registrare informazioni aggiuntive checonsentono di eseguire il debug dei problemi.

Procedura

1 Accedere alla macchina.


VMware, Inc. 63

2 Passare alla posizione della directory conf.

Per Linux, passare a /usr/local/horizon/conf/.

Per Windows, passare a \usr\local\horizon\conf\.

3 Aggiornare il livello del registro nei file cfg-log4j.properties, hc-log4j.properties e saas-log4j.properties, che sono i file log4j più comunemente utilizzati per il servizio.

a Modificare il file.

b Nelle righe con il livello di registro impostato su INFO, sostituire INFO con DEBUG.

Ad esempio, cambiare:

rootLogger.level=INFO

in:

rootLogger.level=DEBUG

c Salvare il file.

Non è necessario un riavvio del servizio o del sistema.

Gestione della passwordQuando si configura VMware Identity Manager per Windows inizialmente, vengono create password perl'utente amministratore. È possibile modificare la password dell'amministratore nella scheda Impostazioniappliance della console di Identity Manager.

Assicurarsi di creare password complesse. Le password complesse devono essere almeno di ottocaratteri e comprendere lettere maiuscole e minuscole, nonché almeno un numero e un caratterespeciale.

Nota: Se non si riesce ad accedere ed è necessario reimpostare la password, è possibile utilizzare loscript hznSetAdminPassword.bat per reimpostare la password. Vedere Reimpostazione della passworddell'utente amministratore per VMware Identity Manager per Windows.

Procedura

1 Nella console di Identity Manager, fare clic sulla scheda Impostazioni appliance.

2 Fare clic su Configurazione appliance virtuale > Gestisci configurazione.

3 Per modificare la password dell'amministratore, selezionare Modifica password.

Importante: La password dell'utente amministratore deve contenere almeno 6 caratteri.

4 Immettere la nuova password.



VMware, Inc. 64

Reimpostazione della password dell'utente amministratore perVMware Identity Manager per WindowsÈ possibile modificare la password dell'utente amministratore del servizio VMware Identity Manager dallepagine di amministrazione del connettore all'indirizzo https://<hostnameFQDN>:8443/cfg/login. Tuttavia,se non si riesce ad accedere ed è necessario reimpostare la password, è possibile utilizzare lo scripthznSetAdminPassword.bat per reimpostare la password.

Procedura

1 Nel server Windows, aprire la finestra del prompt dei comandi.

2 Passare alla cartella <IDM_INSTALL_DIR>\usr\local\horizon\bin

cd <IDM_INSTALL_DIR>\usr\local\horizon\bin

dove IDM_INSTALL_DIR è la directory di installazione del servizio VMware Identity Manager.

3 Eseguire il comando seguente.

hznSetAdminPassword.bat newPassword

La password dell'utente amministratore deve contenere almeno 6 caratteri.

Configurazione delle impostazioni SMTPConfigurare le impostazioni del server SMTP per ricevere notifiche e-mail dal servizioVMware Identity Manager. Ad esempio, vengono inviate notifiche via email quando vengono creati nuoviutenti locali, quando si reimposta una password o con il token di verifica dell'individuazione automatica.

Procedura


2 Fare clic sulla scheda Impostazioni dell'appliance e fare clic su SMTP.

3 Specificare il nome host del server SMTP.

Ad esempio: smtp.example.com

4 Specificare il numero di porta del server SMTP.

Ad esempio: 25

5 (Facoltativo) Se il server SMTP richiede l'autenticazione, immettere il nome utente e la password.



VMware, Inc. 65

7 Per personalizzare l'indirizzo del mittente nelle notifiche di posta elettronica, aggiungere l'indirizzo nelfile runtime-config.properties.

a Accedere alla macchina VMware Identity Manager.

b Modificare il file /usr/local/horizon/conf/runtime-config.properties e aggiungere laproprietà seguente:

notification.emails.support=emailaddress

Ad esempio:

[email protected]

c Salvare il file.

d Riavviare la macchina.

<install dir>\usr\local\horizon\scripts\horizonService.bat restart

Questo cambia l'indirizzo del mittente dal valore predefinito [email protected] all'indirizzopersonalizzato.


VMware, Inc. 66

Risoluzione dei problemi relativiall'installazione e allaconfigurazione 7Gli argomenti relativi alla risoluzione dei problemi descrivono soluzioni per i potenziali problemi chepotrebbero verificarsi durante l'installazione o la configurazione di VMware Identity Manager.


n Nel gruppo non viene visualizzato alcun membro dopo la sincronizzazione della directory

n Risoluzione dei problemi relativi a Elasticsearch

Nel gruppo non viene visualizzato alcun membro dopo lasincronizzazione della directoryLa sincronizzazione della directory viene completata correttamente, ma nei gruppi sincronizzati non vienevisualizzato alcun utente.

Problema

Dopo la sincronizzazione della directory manuale o automatica in base alla pianificazione dellasincronizzazione, il processo di sincronizzazione viene completato correttamente ma nei gruppisincronizzati non viene visualizzato alcun utente.

Causa

Questo problema si verifica quando sono presenti due o più nodi in un cluster e tra i nodi c'è unosfasamento di orario di oltre 5 secondi.

Soluzione

1 Assicurarsi che tra i nodi non ci sia alcuno sfasamento orario. Utilizzare lo stesso server NTP in tutti inodi del cluster per sincronizzare l'orario.

Ad esempio, immetterehttps://community.spiceworks.com/how_to/5765-configure-windows-server-to-query-

an-external-ntp-server.

2 Riavviare il servizio in tutti i nodi.

<install dir>\usr\local\horizon\scripts\horizonService.bat restart

3 (Facoltativo) Nella console di amministrazione, eliminare il gruppo, aggiungerlo nuovamente nelleimpostazioni di sincronizzazione e quindi sincronizzare di nuovo la directory.

VMware, Inc. 67

Risoluzione dei problemi relativi a ElasticsearchUtilizzare queste informazioni per risolvere i problemi relativi a Elasticsearch in un ambiente cluster.Elasticsearch, un motore di ricerca e analisi utilizzato per le verifiche, i report e i registri disincronizzazione delle directory, è incorporato nell'appliance virtuale di VMware Identity Manager.

Risoluzione dei problemi relativi a ElasticsearchPer verificare l'integrità di Elasticsearch, è necessario utilizzare lo strumento curl. Se curl non è installatonel computer Windows, è possibile eseguire la query da un computer Linux o Mac in curlhttp://<hostname>:9200/_cluster/health?pretty. Il firewall deve essere abilitato per le queryesterne.

Il comando dovrebbe restituire un risultato simile al seguente.

{

"cluster_name" : "horizon",

"status" : "green",

"timed_out" : false,

"number_of_nodes" : 3,

"number_of_data_nodes" : 3,

"active_primary_shards" : 20,

"active_shards" : 40,

"relocating_shards" : 0,

"initializing_shards" : 0,

"unassigned_shards" : 0,

"delayed_unassigned_shards" : 0,

"number_of_pending_tasks" : 0,

"number_of_in_flight_fetch" : 0

}

Se Elasticsearch non si avvia correttamente o il suo stato è rosso, eseguire i passaggi seguenti perrisolvere il problema.

1 Verificare che la porta 9300 sia aperta.

a Aggiornare i dettagli del nodo aggiungendo gli indirizzi IP di tutti i nodi nel cluster alfile /usr/local/horizon/scripts/updateiptables.hzn.

ALL_IPS="node1IPadd node2IPadd node3IPadd"

b Eseguire lo script seguente in tutti i nodi nel cluster.

\usr\local\horizon\scripts\updateiptables.hzn

2 Riavviare Elasticsearch in tutti i nodi nel cluster.

3 Per ulteriori dettagli, esaminare i registri.

cd /opt/vmware/elasticsearch/logs

È possibile utilizzare PowerShell o NotePad++ con il plug-in Document Monitor per monitorare i file diregistro. In PowerShell, la sintassi è Get-Conent myTestLog.log-Wait.


VMware, Inc. 68

Monitoraggio di VMwareIdentity Manager 8Il monitoraggio di VMware Identity Manager è una parte importante dell'attività di garanzia del correttofunzionamento della propria soluzione Workspace ONE.

È possibile utilizzare strumenti di terze parti come Nagios, Splunk, Symantec Altiris, Spotlight, Ignite oMontastic. Consultare il reparto IT della propria azienda per raccomandazioni specifiche sugli strumenti dimonitoraggio se non è già presente una soluzione.

Questo documento offre raccomandazioni generiche sulla capacità di carico dell'hardware e informazionisui file di registro e gli endpoint URL. Esso non descrive esplicitamente come configurare una soluzionedi monitoraggio.


n Raccomandazioni monitoraggio capacità di carico hardware

n Endpoint di URL di VMware Identity Manager per il monitoraggio

n Registrazione di sistema

Raccomandazioni monitoraggio capacità di caricohardwareUtilizzare questi standard di monitoraggio per garantire l'integrità dei server.

Metriche di acquisizione

Hardware Monitor

CPU Utilizzo

Memoria Utilizzo

Disco rigido Spazio libero

Rete Utilizzo

Avvisi e soglieVMware consiglia l'analisi di ogni singolo caso d'uso per determinare le soglie corrette per ambientiindividuali.

VMware, Inc. 69

Hardware Avvisi, esempi, soglie

CPU Esempi: esempi di 5 minuti

Soglia: 90% oltre 1 ora, 95 oltre 1 ora

Avvisi: 90% del carico è un avviso, 95% è critico

Memoria Esempi: esempi di 5 minuti


Avvisi: 90% utilizzato è un avviso, 95% utilizzato è critico

Disco rigido Esempi: esempi di 5 minuti


Avvisi: 90% utilizzato è un avviso, 95% utilizzato è critico

Rete Esempi: esempi di 5 minuti


Avvisi: 90% del carico è un avviso, 95% è critico

Strategie per l'acquisizionen Appliance virtuale Linux di VMware Identity Manager: utilizzando un'appliance virtuale, le metriche

vengono raccolte dagli strumenti di utilizzo dell'infrastruttura virtuale sottostante come vSphere ovRealize Operations.

n VMware Identity Manager su Windows: installare un agente di monitoraggio che è supportato per iserver Windows e che sia in grado di acquisire queste metriche. Per i server virtuali è inoltre possibileutilizzare strumenti nativi di vSphere per acquisire le metriche pertinenti.

Endpoint di URL di VMware Identity Manager per ilmonitoraggioMonitorare gli endpoint degli URL elencati per vari componenti di VMware Identity Manager per garantireun ambiente funzionale. Alcuni endpoint possono essere utilizzati anche per i bilanciamenti del carico perfare in modo che il servizio resti operativo per il traffico.

Controlli di integrità per i bilanciamenti del carico

Componente Controllo integrità Restituzione prevista Note

Servizio VMware IdentityManager

/SAAS/API/1.0/REST/syste

m/health/heartbeat

Stringa: ok

Http: 200

Frequenza ogni 30 secondi.

SSO mobile Android -Certproxy:

:5262/system/health

Http: 200 Frequenza ogni 30 secondi.

SSO Mobile iOS - KDC:

TCP half-open to port 88

Connessione Frequenza ogni 30 secondi.

VMware Identity ManagerConnector

/hc/API/1.0/REST/syste

m/health/allOk

Stringa: true

Http: 200



VMware, Inc. 70

Componente Controllo integrità Restituzione prevista Note

Integration Broker /IB/API/RestServiceImpl.

svc/ibhealthcheck

Stringa: All Ok

Http: 200


Integrazione XenApp 7.x:

/IB/API/RestServiceImpl.

svc/hznxenapp/admin/xenf

arminfo?

computerName=&xenappvers

ion=Version7x

Stringa: 'SiteName'

Http: 200

Frequenza ogni 5 minuti

Integrazione XenApp 6.x:

/IB/API/RestServiceImpl.

svc/hznxenapp/admin/xenf

arminfo?

computerName=&xenappvers

ion=Version65orLater

Stringa: 'FarmName'

Http: 200

Frequenza ogni 5 minuti

I controlli di integrità per i bilanciamenti del carico restituiscono valori semplici per consentire unasemplice analisi da parte delle apparecchiature di rete.

Controlli di integrità aggiuntivi per il monitoraggioI controlli di integrità qui elencati possono essere utilizzati da soluzioni di monitoraggio in grado dianalizzare dati e creare dashboard. Impostare la frequenza a ogni 5 minuti.

Monitoraggio e integrità del servizio VMware Identity Manager

Chiamata URL: /SAAS/API/1.0/REST/system/health

Output non elaborato:

{

"AnalyticsUrl": "https://aws-analytics.vmwareidentity.com",

"AuditPollInterval": "0",

"EncryptionServiceVersion": "unknown",

"AnalyticsConnectionOk": "true",

"EncryptionServiceVerified": "Master Keystore verified",

"FederationBrokerStatus": "ok",

"ServiceReadOnlyMode": "false",

"AuditWorkerThreadAlive": "true",

"BuildVersion": "2.8.0.0.7382 Build 2a459ff64bce76576hgjh789tyhgo876ruyv",

"AuditQueueSize": "1",

"DatabaseStatus": "connection successful",

"HostName": "svc1.servr.comp.local",

"EncryptionStatus": "connected",

"FederationBrokerOk": "true",

"EncryptionConnectionOk": "true",

"EncryptionServiceImpl": "Remote: Encryption Service DB",

"ClusterId": "38u76ghj7-54f2-4803-b73b-4g6587gjh8",

"DatabaseConnectionOk": "true",

"StatusDate": "2017-01-16 16:28:03 UTC",

"MaintenanceMode": "false",

"MessagingConnectionOk": "true",


VMware, Inc. 71

"ServiceVersion": "2.8.0.0",

"IpAddress": "192.168.211.31",

"AuditDisabled": "false",

"AllOk": "true"

}

"AllOk" "true", "false" Controllo di integrità rollup per ilmonitoraggio dello stato generale deiservizi di VMware Identity Manager

"MessagingConnectionOk" "true", "false" Verifica che tutti i produttori e i clienti deimessaggi siano connessi a RabbitMQ

"DatabaseConnectionOk" "true", "false" Verifica la connessione al database

"EncryptionConnectionOk" "true", "false" Verifica che la connessione al servizio dicrittografia sia correttamente operativa eche l'archivio chiavi master siacorrettamente operativo

"AnalyticsConnectionOk" "true", "false" Verifica la connessione al servizioAnalytics

"FederationBrokerOk" "true", "false" Verifica gli adattatori di autenticazioneincorporati per assicurarsi che i lorosottosistemi siano correttamenteoperativi

Chiamata URL: /catalog-portal/services/health

Il controllo di integrità è specifico per la parte dell'interfaccia utente di VMware Identity Manager.


{

"status": "UP",

"uiService": {

"status": "UP"

},

"apiService": {

"status": "UP"

},

"eucCacheEngine": {

"status": "UP"

},

"cacheEngineClient": {

"status": "UP"

},

"persistenceEngine": {

"status": "UP",

"database": "Microsoft SQL Server",

"hello": 1

},

"tenantPersistenceEngine": {

"status": "UP",

"database": "Microsoft SQL Server",

"hello": 1


VMware, Inc. 72

},

"diskSpace": {

"status": "UP",

"total": 8460120064,

"free": 4898279424,

"threshold": 10485760

}

}

"status" "UP", "DOWN" Controllo di integrità rollup per ilmonitoraggio dello stato generaledell'interfaccia utente di VMware IdentityManager

"uiServer.status" "UP", "DOWN" UP se il servizio dell'interfaccia utenteprincipale è in esecuzione

"apiService.status" "UP", "DOWN" UP se il servizio API dell'interfacciautente principale è in esecuzione

"eucCacheEngine.status" "UP", "DOWN" UP se il motore di cluster Hazelcast è inesecuzione

"cacheEngineClient.status" "UP", "DOWN" UP se il client Hazelcast per l'interfacciautente è in esecuzione

"persistenceEngine.status" "UP", "DOWN" UP se il database (SQL) principale è inesecuzione

"tenantPersistenceEngine.status" "UP", "DOWN" UP se il database (SQL) principale è inesecuzione

"diskSpace.status" "UP", "DOWN" UP se lo spazio libero su disco èsuperiore alla soglia configurata, 10 MB

"diskSpace.free" Byte Spazio libero in byte nella partizione incui è installata l'interfaccia utente diVMware Identity Manager

Monitoraggio e integrità di VMware Identity Manager Connector

Chiamata URL: /hc/API/1.0/REST/system/health


{

"HorizonDaaSSyncConfigurationStatus": "",

"AppManagerServiceOk": "true",

"DomainJoinEnabled": "false",

"XenAppEnabled": "true",

"ViewSyncConfigurationStatus": "",

"ThinAppServiceOk": "true",

"ThinAppSyncConfigurationStatus": "unknown",

"Activated": "true",

"XenAppServiceOk": "false",

"DirectoryServiceStatus": "Connection test successful",

"BuildVersion": "2017.1.1.0 Build 5077496",

"ThinAppServiceStatus": "unknown",


VMware, Inc. 73

"XenAppServiceStatus": "A problem was encountered Sync Integration Broker",

"HostName": "hostname.company.local",

"NumberOfWarnAlerts": "0",

"JoinedDomain": "true",

"XenAppSyncConfigurationStatus": "Sync configured (manually)",

"DirectorySyncConfigurationStatus": "Sync configured (manually)",

"NumberOfErrorAlerts": "0",

"DirectoryServiceOk": "true",

"HorizonDaaSTenantOk": "true",

"ThinAppDirectoryPath": "",

"StatusDate": "2017-06-27 10:52:59 EDT",

"ViewSyncEnabled": "false",

"ViewServiceOk": "true",

"HorizonDaaSEnabled": "false",

"AppManagerUrl": "https://workspaceurl.com/SAAS/t/qwe12312qw/",

"HorizonDaaSServiceStatus": "unknown",

"DirectoryConnection": "ldap:///ldapcall",

"ServiceVersion": "VMware-C2-2017.1.1.0 Build 5077496",

"IpAddress": "169.118.86.105",

"DomainJoinStatus": "Domain: customerdomainname",

"AllOk": "false",

"ViewServiceStatus": "unknown",

"ThinAppEnabled": "false",

"XenAppSyncSsoBroker": "integrationbrokersso:443 / integrationbrokersync:443"

}

"AllOk" "true", "false" Controllo di integrità rollup per ilmonitoraggio dello stato generale deiservizi del connettore di VMware IdentityManager.

"ViewServiceOk" "true", "false" True, se la connessione a View Broker èriuscita. Questo attributo è true se lasincronizzazione di View è disabilitata.

"HorizonDaaSTenantOk" "true", "false" True, se la connessione di HorizonCloud è riuscita. Questo attributo è truese la sincronizzazione di Horizon Cloudè disabilitata.

"DirectoryServiceOk" "true", "false" True, se la connessione alla directory èriuscita. Questo attributo è true se lasincronizzazione della directory èdisabilitata.

"XenAppServiceOk" "true", "false" True, se la connessione al server Citrix èriuscita. Questo attributo è true se ilserver Citrix è disabilitato.

"ThinAppServiceOk" "true", "false" True, se la connessione al servizio delleapplicazioni compresse di ThinApp èriuscita. Questo attributo è true se leapplicazioni compresse sono disabilitate.

"AppManagerServiceOk" "true", "false" True, se è possibile eseguirecorrettamente l'autenticazione adAppManager.


VMware, Inc. 74

"NumberOfWarnAlerts" 0 - 1000 Numero di avvisi di avvertenza attivati suquesto connettore. Questi sonodisponibili nel registro disincronizzazione del connettore come"note". Possono indicare che una risorsaè stata sincronizzata in quanto includevaun utente o gruppo che non è in VMwareIdentity Manager. A seconda dellaconfigurazione, questo comportamentopotrebbe essere quello previsto. Ilcontatore continua ad aumentare ad ognisincronizzazione finché il numero diavvisi di attenzione ed errore non arrivaa 1000 e un amministratore non cancellagli avvisi.

"NumberOfErrorAlerts" 0 - 1000 Numero di avvisi di errore attivati suquesto connettore. Questi sonodisponibili nel registro disincronizzazione del connettore come"errore". Possono indicare la non riuscitadi una sincronizzazione. Il contatorecontinua ad aumentare ad ognisincronizzazione finché il numero diavvisi di attenzione ed errore non arrivaa 1000 e un amministratore non cancellagli avvisi.

Monitoraggio e integrità di VMware Identity Manager Integration Broker

Chiamata URL: /IB/API/RestServiceImpl.svc/ibhealthcheck


“All Ok”

Il controllo di integrità verifica che tutto il software in Integration Broker risponda correttamente.Restituisce una risposta 200 con la stringa "All Ok".

Monitoraggio e integrità di VMware Identity Manager Integration Broker con Citrix XenApp 7.x

ChiamataURL: /IB/API/RestServiceImpl.svc/hznxenapp/admin/xenfarminfo?computerName=&xenappversion=Version7x

Recupera informazioni da una chiamata API su Citrix. Il monitoraggio può garantire la coerenza dei valori.


[{

\ “ConfigurationLoggingServiceGroupUid \ “: \ “5e2a5602 - 45a8 - 4b56 - 92e6 - 9fae5a3ff459 \ “,

\ “ConfigurationServiceGroupUid \ “: \ “620d7c6e - b7c1 - 4ee7 - b192 - d00764f477e7 \

“, \ “DelegatedAdministrationServiceGroupUid \ “: \ “0a59914d - 4b6e - 4cca - bbaa -

a095067092e3 \ “,

\ “LicenseServerName \ “: \ “xd.hs.trcint.com \ “,


VMware, Inc. 75

\ “LicenseServerPort \ “: \ “27000 \ “,

\ “LicenseServerUri \ “: \ “https: \ / \ / xd.hs.domain.com: 8083 \ / \ “,

\ “LicensingBurnIn \ “: \ “2014.0815 \ “,

\ “LicensingBurnInDate \ “: \ “8 \ / 14 \ / 2014 5: 00: 00 PM \ “,

\ “LicensingModel \ “: \ “UserDevice \ “,

\ “MetadataMap \ “: \ “System.Collections.Generic.Dictionary `2[System.String,System.String]\“,

\“PrimaryZoneName\“:\“\”,

\“PrimaryZoneUid\“:\“00000000-0000-0000-0000-000000000000\“,

\“ProductCode\“:\“XDT\“,

\“ProductEdition\“:\“PLT\“,

\“ProductVersion\“:\“7.6\“,

\“SiteGuid\“:\“0c074098-02d2-47cf-aa87-7e3asdsad7c\“,

\“SiteName\“:\“customer\“

}]

Eccezione output non elaborato:

{“ExceptionType”:“System.Management.Automation.CmdletInvocationException”,“Message”:“An invalid URL

was given for the service. The value given was ‘mit-xen751.hs.trcint.com’.\u000d\u000a The reason

given was: Failed to connect to back-end server ‘mit-xen751.hs.trcint.com’ on port 80 using binding

WSHttp. The server may be off-line or may not be running the appropriate

service\u000d\u000a\u0009There was no endpoint listening at http:\/\/mit-

xen751.hs.trcint.com\/Citrix\/ConfigurationContract\/v2 that could accept the message. This is often

caused by an incorrect address or SOAP action. See InnerException, if present, for more

details.\u000d\u000a\u0009The remote name could not be resolved: ‘mit-xen751.hs.trcint.com’.

“,”StackTrace”:” at

System.Management.Automation.Internal.PipelineProcessor.SynchronousExecuteEnumerate(Object input,

Hashtable errorResults, Boolean enumerate)\u000d\u000a at

System.Management.Automation.Internal.PipelineProcessor.SynchronousExecute(Array input, Hashtable

errorResults)\u000d\u000a at

System.Management.Automation.Runspaces.LocalPipeline.InvokeHelper()\u000d\u000a at

System.Management.Automation.Runspaces.LocalPipeline.InvokeThreadProc()“}

Monitoraggio e integrità di VMware Identity Manager Integration Broker con Citrix XenApp 6.x

ChiamataURL: /IB/API/RestServiceImpl.svc/hznxenapp/admin/xenfarminfo?computerName=&xenappversion=Version65orLater

Recupera informazioni da una chiamata API su Citrix. Il monitoraggio può garantire la coerenza dei valori.


“[{

\ “FarmName \ “: \ “NewFarm \ “,

\ “ServerVersion \ “: \ “6.5.0 \ “,

\ “AdministratorType \ “: \ “Full \ “,

\ “SessionCount \ “: \ “0 \ “,

\ “MachineName \ “: \ “XENAPPTEST \ “

}]”


VMware, Inc. 76

Registrazione di sistemaUtilizzando syslog è disponibile la registrazione dal servizio di VMware Identity Manager e daicomponenti connettore di VMware Identity Manager. Il componente Integration Broker registra in locale. Iregistri possono essere raccolti ed esaminati sul server o attraverso un servizio di registrazionecentralizzato come vRealize Log Insight o Splunk.

Registrazione connettore e servizio di VMware Identity ManagerPosizioni dei registri

La maggior parte dei registri del connettore e del servizio si trovano nella seguente posizione:

n Appliance virtuale Linux di VMware Identity Manager: /opt/vmware/horizon/workspace/logs/

n VMware Identity Manager su Windows: \<Install_Dir>\VMware IdentityManager\opt\vmware\horizon\workspace\logs

Registro Scopo

greenbox_web.log Registro contenente tutte le interazioni di interfaccia utente perWeb e mobile.

horizon.log Registro del servizio di VMware Identity Manager che includeIdentity Adapters, RabbitMQ, Elasticsearch, Ehcache e altrisottosistemi

connector.log Registro del connettore di VMware Identity Manager per tutti imetodi di autenticazione e le integrazioni con Horizon e Citrix

cert-proxy.log Componente di CertProxy del servizio di VMware IdentityManager per Android Mobile SSO

configurator.log Richieste che il configuratore riceve dal client REST edall'interfaccia Web

catalina.log I record Apache Tomcat dei messaggi che non sono registratiin altri file di registro

Registrazione di Integration BrokerRegistri di Integration Broker si trovano nella seguente posizione:

C:\ProgramData\VMware\HorizonIntegrationBroker

I registri vengono raccolti quotidianamente e contengono tutte le chiamate a REST API effettuate verso eda Integration Broker.


VMware, Inc. 77

Installazione e configurazione di VMware Identity Manager ...€¦ · Configurazione del failover e...

Documents

Transcript of Installazione e configurazione di VMware Identity Manager ...€¦ · Configurazione del failover e...