Installazione e Connector 19.03.0.0 (Windows)€¦ · Sommario Installazione e configurazione di...

Installazione econfigurazione diVMware Identity ManagerConnector 19.03.0.0(Windows)APR 2019VMware Identity ManagerVMware Identity Manager 19.03

Installazione e configurazione di VMware Identity Manager Connector 19.03.0.0 (Windows)

VMware, Inc. 2

È possibile trovare la documentazione tecnica più aggiornata sul sito Web di VMware all'indirizzo:

https://docs.vmware.com/it/

Il sito Web di VMware fornisce, inoltre, gli ultimi aggiornamenti di prodotto.

In caso di commenti sulla presente documentazione, inviare un messaggio all'indirizzo:

[email protected]

Copyright © 2018, 2019 VMware, Inc. Tutti i diritti riservati. Informazioni sul copyright e sul marchio commerciale.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware, Inc.Centro Leoni Palazzo AVia Spadolini 5Ground FloorMilan, MI 20121tel: +39 02 30412700fax: +39 02 30412701www.vmware.com/it

https://docs.vmware.com/it/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

Sommario

Installazione e configurazione di VMware Identity Manager Connector 19.03.0.0(Windows) 5

1 Informazioni su VMware Identity Manager Connector 6

2 Preparazione all'installazione di VMware Identity Manager Connector in

Windows 8Requisiti di sistema per VMware Identity Manager Connector (Windows) 8

Elenco di controllo della distribuzione per VMware Identity Manager Connector (Windows) 13

3 Installazione di VMware Identity Manager Connector in Windows 15

Generazione di un codice di attivazione per VMware Identity Manager Connector 15

Esecuzione del programma di installazione di VMware Identity Manager Connector 16

Esecuzione della configurazione guidata di VMware Identity Manager Connector 23

Configurazione delle impostazioni del proxy per VMware Identity Manager Connector 25

4 Configurazione di VMware Identity Manager Connector 26

Configurazione di una directory 26

Abilitazione di adattatori di autenticazione in VMware Identity Manager Connector 27

Abilitazione della modalità in uscita per VMware Identity Manager Connector 29

5 Configurazione della disponibilità elevata per il connettore

VMware Identity Manager 33Installazione e configurazione di istanze aggiuntive di VMware Identity Manager Connector 34

Configurazione della disponibilità elevata per l'autenticazione 35

Configurazione della disponibilità elevata per la sincronizzazione delle directory 36

6 Aggiunta del supporto dell'autenticazione Kerberos alla distribuzione di

VMware Identity Manager Connector 40Configurazione e abilitazione dell'adattatore di autenticazione Kerberos 41

Configurazione della disponibilità elevata per l'autenticazione Kerberos 43

7 Impostazioni aggiuntive di VMware Identity Manager Connector 48

Utilizzo di certificati SSL per VMware Identity Manager Connector 49

Configurazione di un server syslog per VMware Identity Manager Connector 52

Gestione delle password del connettore di VMware Identity Manager 52

Configurazione delle impostazioni del proxy per VMware Identity Manager Connector 53

Visualizzazione e download dei file di registro di VMware Identity Manager Connector 53

VMware, Inc. 3

Configurazione della sincronizzazione dell'ora per il connettore di VMware Identity Manager

(Windows) 55

8 Aggiornamento del connettore di VMware Identity Manager (Windows) 57

9 Aggiornamento di Java nel server di VMware Identity Manager Connector 58

10 Eliminazione di un'istanza di VMware Identity Manager Connector 59

11 Migrazione della directory da ACC a VMware Identity Manager Connector 60

Conversione di Altra directory in Active Directory su LDAP o Active Directory su Autenticazione

integrata di Windows 60

Interruzione della sincronizzazione di Workspace ONE UEM con VMware Identity Manager 63

12 Risoluzione dei problemi di VMware Identity Manager Connector 64

Reimpostazione della password dell'utente admin per VMware Identity Manager Connector 64

Errore di inizializzazione di Kerberos 64


VMware, Inc. 4

Installazione e configurazione di VMwareIdentity Manager Connector 19.03.0.0(Windows)

Installazione e configurazione di VMware Identity Manager Connector 19.03.0.0 (Windows) includeinformazioni sull'installazione e la configurazione della versione per Windows del connettore di VMwareIdentity Manager™, un componente locale di VMware Identity Manager.

Nota Per informazioni sulla distribuzione della versione per Linux di VMware Identity ManagerConnector, vedere Distribuzione cloud di VMware Identity Manager per le distribuzioni cloud oDistribuzione di VMware Identity Manager in DMZ per le distribuzioni in locale.

DestinatariLe presenti informazioni sono destinate ad amministratori di sistema Windows esperti che hannofamiliarità con la tecnologia delle macchine virtuali e le operazioni relative ai data center.

VMware, Inc. 5

Informazioni su VMware IdentityManager Connector 1VMware Identity Manager Connector è un componente locale di VMware Identity Manager che fornisceintegrazione della directory, autenticazione degli utenti e integrazione con le risorse come Horizon 7.

Il connettore viene distribuito in modalità di connessione in uscita e non richiede che la porta 443 inentrata sia aperta. Comunica con il servizio VMware Identity Manager tramite un canale di comunicazionebasato su WebSocket.

Figura 1‑1. Distribuzione di VMware Identity Manager Connector

richiestarisposta

Tenant VMwareIdentity Manager

CanaleWebsocket

HTTPS 443(in sola uscita)

Active Directory/

LDAP

Connettore VMware Identity Manager

On-premise

Servizifacoltativi

IntegrationBroker

Farm Citrix

Server di connessione

di View

SecurIDRSA

Autenticazione adattiva RSA

ServerRADIUS

11

2

3

Nota Il tenant di VMware Identity Manager illustrato nel diagramma può essere nel cloud o distribuito inlocale.

VMware, Inc. 6

Metodi di autenticazione supportatiVMware Identity Manager Connector supporta i seguenti metodi di autenticazione.

n Password

n Autenticazione adattiva RSA

n RSA SecurID

n RADIUS

n Autenticazione Kerberos per gli utenti interni

Nota Oltre a tali metodi di autenticazione basati su connettore, sono disponibili anche metodi diautenticazione basati sul servizio VMware Identity Manager. È inoltre disponibile SAML in entratamediante un provider di identità di terze parti.

Integrazioni di directory supportateVMware Identity Manager Connector supporta l'integrazione con i seguenti tipi di directory aziendali.

n Active Directory su LDAP

n Active Directory su Autenticazione integrata di Windows

n Directory LDAP

Nota È inoltre possibile utilizzare il provisioning Just-in-Time per creare utenti nel servizioVMware Identity Manager in modo dinamico all'accesso utilizzando dichiarazioni SAML inviate da unprovider di identità di terze parti.

Risorse supportateVMware Identity Manager Connector supporta l'integrazione con i seguenti tipi di risorse.

n Pool di applicazioni e desktop di VMware Horizon® 7, Horizon 6 o View

n VMware Horizon® Cloud Service™ con infrastruttura ospitata e locale

n risorse pubblicate da Citrix

Nota VMware Identity Manager supporta inoltre le app Web e le app mobili native.


VMware, Inc. 7

Preparazione all'installazione diVMware Identity ManagerConnector in Windows 2Prima di distribuire VMware Identity Manager Connector, esaminare i requisiti di sistemi e prepararel'ambiente.

Questo capitolo include i seguenti argomenti:

n Requisiti di sistema per VMware Identity Manager Connector (Windows)

n Elenco di controllo della distribuzione per VMware Identity Manager Connector (Windows)

Requisiti di sistema per VMware Identity ManagerConnector (Windows)Per distribuire VMware Identity Manager Connector, assicurarsi che il sistema in uso soddisfi i requisitinecessari.

Requisiti hardwareAssicurarsi che Windows Server soddisfi i requisiti hardware seguenti.

Tabella 2‑1. Requisiti di VMware Identity Manager Connector

Numero di utenti Fino a 1.000Da 1.000 a10.000

Da 10.000 a25.000

Da 25.000 a50.000 Da 50.000 a 100.000

CPU 2 2 server concarico bilanciato,ciascuno con 4CPU

2 server con caricobilanciato, ciascunocon 4 CPU

2 server concarico bilanciato,ciascuno con 4CPU

2 server con caricobilanciato, ciascunocon 4 CPU

RAM (GB) perserver

6 6 ciascuno 8 ciascuno 16 ciascuno 16 ciascuno

Spazio su disco(GB)

50 50 ciascuno 50 ciascuno 50 ciascuno 50 ciascuno

Nota n Ogni core CPU deve essere da almeno 2.0 GHz. È necessario un processore Intel.

n I requisiti di spazio su disco includono: 1 GB di spazio su disco per l'applicazione VMware IdentityManager Connector, il sistema operativo Windows e .NET Runtime. La registrazione richiedeulteriore spazio su disco.

VMware, Inc. 8

Requisiti softwareAssicurarsi che Windows Server soddisfi i requisiti software seguenti.

Elenco di controllo dellostato Requisito Note

Windows Server 2008 R2 o

Windows Server 2012 o

Windows Server 2012 R2 o

Windows Server 2016

Installare PowerShell nel server Nota PowerShell versione 4.0 è necessario se si eseguel'installazione in Windows Server 2008 R2.

Installare .NET Framework 4.6.2

Requisiti di retePer la configurazione delle porte elencate di seguito, tutto il traffico deve essere unidirezionale (in uscita)dal componente di origine al componente di destinazione.

La connessione in uscita da VMware Identity Manager Connector non deve essere terminata o rifiutatada alcun proxy per traffico in uscita o da qualsiasi altro software o hardware per la gestione dellaconnessione. La connessione in uscita che deve essere utilizzata da VMware Identity ManagerConnector deve rimanere sempre aperta.

Tabella 2‑2. Requisiti della porta di VMware Identity Manager Connector

Origine Destinazione Porta Protocollo Note

VMware IdentityManager Connector

ServizioVMware Identity Manager

Host del servizioVMware Identity Manager(installazioni in locale)

443 HTTPS Porta predefinita

Obbligatorio


Programma dibilanciamento del carico delservizioVMware Identity Manager(installazioni in locale)

443 HTTPS

Browser VMware Identity ManagerConnector

8443 HTTPS Porta amministrativa

Obbligatorio


80 HTTP Obbligatorio


VMware, Inc. 9

Tabella 2‑2. Requisiti della porta di VMware Identity Manager Connector (Continua)



443 HTTPS Questa porta ènecessario solo per unconnettore utilizzato inmodalità in entrata.

Se sul connettore èconfiguratal'autenticazioneKerberos, questa porta èobbligatoria.


Active Directory 389, 636, 3268,3269

Porte predefinite. Questeporte sono configurabili.


Server DNS 53 TCP/UDP Ogni istanza deve poteraccedere al server DNSsulla porta 53 econsentire il traffico SSHin ingresso sulla porta22.


Controller del dominio 88, 464, 135, 445 TCP/UDP Per l'autenticazioneKerberos


Sistema RSA SecurID 5500 Porta predefinita. Questaporta è configurabile.


Server di connessioneHorizon

389, 443 Accesso alle istanze delserver di connessione diHorizon per leintegrazioni di Horizon


VMware, Inc. 10

Tabella 2‑2. Requisiti della porta di VMware Identity Manager Connector (Continua)



Integration Broker 80, 443 Accesso a IntegrationBroker per l'integrazionecon le risorse pubblicateda Citrix.

Importante Se siinstalla IntegrationBroker nella stessaistanza di WindowsServer in cui è installatoVMware IdentityManager Connector, ènecessario assicurarsiche nei binding del sitoWeb predefinito delserver IIS le porte deibinding HTTP e HTTPSnon siano in conflitto conle porte utilizzate daVMware IdentityManager Connector.

VMware IdentityManager Connectorutilizza le porte 80, 443 e8443.

Non è consigliabileinstallare IntegrationBroker nel server diVMware IdentityManager Connector.


server syslog 514 UDP Per server syslogesterno, se configurato

Indirizzi IP ospitati nel cloud di VMware Identity Manager(Distribuzioni cloud) Vedere l'articolo 2149884 della Knowledge Base per l'elenco di indirizzi IP delservizio VMware Identity Manager a cui VMware Identity Manager Connector deve poter accedere.

Requisiti relativi ai record DNS e agli indirizzi IPPer il connettore devono essere disponibili una voce DNS e un indirizzo IP statico. Prima di iniziarel'installazione, richiedere il record DNS, nonché gli indirizzi IP da utilizzare e configurare le impostazioni direte di Windows Server.

Assicurarsi di selezionare un nome host appropriato e semplice da utilizzare per il connettore se sidesidera configurare l'autenticazione Kerberos. Il nome host di VMware Identity Manager Connector èvisibile per gli utenti finali quando è configurato Kerberos.


VMware, Inc. 11

https://kb.vmware.com/kb/2149884

La configurazione della ricerca inversa è facoltativa. Quando si implementa la ricerca inversa, ènecessario definire un record PTR nel server DNS in modo che il connettore utilizzi la configurazione direte corretta.

È possibile utilizzare l'elenco di record DNS di esempio seguente. Sostituire le informazioni di esempiocon le informazioni del proprio ambiente. Questo esempio riporta i record DNS di inoltro e gli indirizzi IP.

Tabella 2‑3. Esempi di record DNS di inoltro e indirizzi IP

Nome di dominio Tipo di risorsa Indirizzo IP

myconnector.company.com Un 10.28.128.3

Questo esempio riporta i record DNS inverso e gli indirizzi IP.

Tabella 2‑4. Esempi di record DNS inversi e indirizzi IP

Indirizzo IP Tipo di risorsa Nome host

10.28.128.3 PTR myconnector.company.com

Dopo aver completato la configurazione DNS, verificare che la ricerca DNS inversa sia configuratacorrettamente. Ad esempio, il comando host IPaddress deve essere risolto nella ricerca del nomeDNS.

Nota Se è presente un programma di bilanciamento del carico con un indirizzo IP virtuale (VIP) primadei server DNS, si noti che VMware Identity Manager non supporta l'utilizzo di un VIP. È possibilespecificare più server DNS separati da una virgola.

Nota Se si utilizza un server DNS basato su Unix o Linux e si desidera inserire il connettore nel dominiodi Active Directory, assicurarsi che i record di risorse del servizio appropriati (SRV) siano stati creati perogni controller del dominio di Active Directory.

Sincronizzazione oraLa configurazione della sincronizzazione dell'ora in tutte le istanze del servizio e del connettore diVMware Identity Manager è necessaria affinché una distribuzione di VMware Identity Manager funzionicorrettamente.

Per informazioni sulla configurazione della sincronizzazione dell'ora per il connettore diVMware Identity Manager, vedere Configurazione della sincronizzazione dell'ora per il connettore diVMware Identity Manager (Windows).

Per informazioni sulla configurazione della sincronizzazione dell'ora per il servizioVMware Identity Manager, vedere Installazione e configurazione di VMware Identity Manager per Linux eInstallazione e configurazione di VMware Identity Manager per Windows.

Versioni di Active Directory supportateÈ supportato un ambiente di Active Directory costituito da un singolo dominio di Active Directory, piùdomini in una singola foresta di Active Directory o più domini in più foreste di Active Directory.


VMware, Inc. 12

VMware Identity Manager supporta Active Directory in Windows Server 2008, Windows Server 2008 R2,Windows Server 2012 e Windows Server 2012 R2 e Windows Server 2016 con un livello di funzionalitàdel dominio e della foresta di Windows 2003 o versioni successive.

Nota Per alcune funzioni può essere necessario un livello più elevato. Ad esempio, per consentire agliutenti di cambiare la password di Active Directory da Workspace ONE, il livello di funzionalità del dominiodeve essere Windows 2008 o versione successiva.

Elenco di controllo della distribuzione per VMwareIdentity Manager Connector (Windows)È possibile utilizzare l'elenco di controllo della distribuzione per raccogliere le informazioni necessarie perinstallare e configurare VMware Identity Manager Connector in Windows.

Informazioni sul nome di dominio completo

Informazioni da raccogliere Visualizzazione delle informazioni

Nome di dominio completo di VMware Identity ManagerConnector

Informazioni sulla rete


Indirizzo IP Nota È necessario utilizzare un indirizzo IP statico con unPTR e un record A definiti in DNS.

Nome host DNS

Indirizzo gateway predefinito

Maschera di rete o prefisso

Informazioni sulla directoryVMware Identity Manager supporta l'integrazione con directory di Active Directory o LDAP.

Tabella 2‑5. Checklist di informazioni per il controller del dominio di Active Directory


Nome server Active Directory

Nome dominio di Active Directory

Nome distinto di base


VMware, Inc. 13

Tabella 2‑5. Checklist di informazioni per il controller del dominio di Active Directory(Continua)


Per Active Directory su LDAP, il nome utente e la password diNome distinto di binding

Per Active Directory su Autenticazione integrata di Windows, ilnome utente e la password di un utente del dominio che faparte anche del gruppo di amministratori nell'istanza diWindows Server in cui si esegue l'installazione.

Tabella 2‑6. Checklist di informazioni per il server di directory LDAP


Nome server o indirizzo IP della directory LDAP

Numero di porta server di directory LDAP

Nome distinto di base

Nome utente e password di Nome distinto di binding

Filtri di ricerca LDAP per oggetti utente Bind, gruppo e utente

Nomi di attributi LDAP per l'appartenenza, l'UUID oggetto e ilnome distinto (DN, distinguished name)

Certificati SSLÈ possibile aggiungere un certificato SSL di un'autorità di certificazione dopo aver distribuito VMwareIdentity Manager Connector.

Tabella 2‑7. Checklist di informazioni per i certificati SSL


certificato SSL

Chiave privata

Nota Per l'autenticazione Kerberos, il connettore deve disporre di un certificato SSL attendibile. Èpossibile ottenere il certificato da un'autorità di certificazione interna. L'autenticazione Kerberos nonfunziona con i certificati autofirmati.


VMware, Inc. 14

Installazione di VMware IdentityManager Connector in Windows 3L'installazione di VMware Identity Manager Connector include diverse attività.

1 Generare un codice di attivazione nella console di VMware Identity Manager.

2 Scaricare ed eseguire il programma di installazione di VMware Identity Manager Connector inun'istanza di Windows Server che soddisfi tutti i requisiti.

3 Eseguire la configurazione guidata del connettore per attivare il connettore e impostare le password.

4 Configurare le impostazioni del proxy per il connettore, se necessario.


n Generazione di un codice di attivazione per VMware Identity Manager Connector

n Esecuzione del programma di installazione di VMware Identity Manager Connector

n Esecuzione della configurazione guidata di VMware Identity Manager Connector

n Configurazione delle impostazioni del proxy per VMware Identity Manager Connector

Generazione di un codice di attivazione perVMware Identity Manager ConnectorPrima di installare VMware Identity Manager Connector, accedere alla console diVMware Identity Manager e generare un codice di attivazione per il connettore. Questo codice diattivazione viene utilizzato per stabilire la comunicazione tra il servizio VMware Identity Manager el'istanza di VMware Identity Manager Connector.

Prerequisiti

È necessario disporre delle credenziali di amministratore del dominio di sistema e dell'URL del servizioVMware Identity Manager. Nelle distribuzioni cloud, l'amministratore del dominio di sistema èl'amministratore di cui si ricevono le credenziali quando si ottiene il tenant di VMware Identity Manager.Nelle distribuzioni locali, l'amministratore del dominio di sistema è l'utente amministratore che vienecreato quando si installa VMware Identity Manager.

Procedura

1 Accedere alla console di VMware Identity Manager come amministratore del dominio di sistema.

2 Fare clic sulla scheda Gestione identità e accessi.

VMware, Inc. 15

3 Fare clic su Configura.

4 Nella pagina Connettori, fare clic su Aggiungi connettore.

5 Immettere un nome per il connettore.

6 Fare clic su Genera codice di attivazione.

Il codice di attivazione verrà visualizzato nella pagina.

7 Copiare il codice di attivazione e salvarlo.

In seguito, dopo aver installato il connettore, immettere il codice di attivazione nella configurazioneguidata del connettore.

Operazioni successive

Scaricare e installare VMware Identity Manager Connector.

Esecuzione del programma di installazione di VMwareIdentity Manager ConnectorEseguire il programma di installazione di VMware Identity Manager Connector in un'istanza di WindowsServer che soddisfi tutti i requisiti.

Prerequisiti

n In Windows Server devono essere disponibili le porte 80, 443 e 8443. Se queste porte sono utilizzateda altri servizi, non sarà possibile installare VMware Identity Manager Connector.


VMware, Inc. 16

n Windows Server deve far parte del dominio di Active Directory ed è necessario installare VMwareIdentity Manager Connector come utente del dominio appartenente anche al gruppo di amministratoridi Windows Server in cui si sta eseguendo l'installazione nei casi seguenti:

n Se si intende connettersi ad Active Directory su Autenticazione integrata di Windows

n Se si intende utilizzare l'autenticazione Kerberos

In questi casi, è inoltre necessario scegliere di eseguire il servizio IDM Connector come utente deldominio. Questa opzione viene visualizzata nell'installazione guidata.

n Affinché il programma di installazione possa accedere ai domini e agli utenti, nonché convalidarlidurante l'installazione, devono essere soddisfatti i requisiti seguenti.

n Windows Server deve far parte del dominio.

Nota Questo requisito deve essere soddisfatto solo se è necessario selezionare un utente deldominio per eseguire il servizio IDM Connector. Vedere il punto precedente che indica gli scenariin cui il requisito si applica.

n È possibile che il servizio browser del computer debba essere abilitato e in esecuzione per poteresplorare i domini.

n È necessario abilitare NetBIOS su TCP/IP.

n Nella rete deve essere configurato un sistema browser master.

n Nella rete deve essere abilitato il traffico broadcast.

n Se si esegue la migrazione di un connettore incorporato in un connettore autonomo o la migrazionedi un connettore Linux in un connettore Windows, generare un file di configurazione dalladistribuzione originale prima di eseguire il programma di installazione. Il file contiene le informazionidi configurazione relative al connettore originale.

Vedere Aggiornamento a VMware Identity Manager 19.03 per informazioni sul processo dimigrazione.

Procedura

1 Scaricare il programma di installazione di VMware Identity Manager Connector per Windows.

È possibile scaricare il programma di installazione dalla pagina del prodottoVMware Identity Manager in My VMware o da My Workspace ONE.

2 Fare doppio clic sul file del programma di installazione per eseguire l'installazione guidata di VMwareIdentity Manager Connector.


VMware, Inc. 17

3 Nella pagina di benvenuto fare clic su Avanti.

Il programma di installazione verifica i prerequisiti nel server. Se .NET Framework non è installato,viene richiesto di installarlo e di riavviare il server. Dopo il riavvio, eseguire nuovamente il programmadi installazione per riprendere il processo di installazione.

Se è installata una versione precedente, il programma di installazione la rileva automaticamente eoffre la possibilità di eseguire l'aggiornamento alla versione più recente.

4 Leggere e accettare l'Accordo di licenza con l'utente finale di VMware, quindi fare clic su Avanti.


VMware, Inc. 18

5 Selezionare la cartella in cui si desidera installare VMware Identity Manager Connector.

Per impostazione predefinita, è selezionata la cartella C:\VMware.

6 Se la versione principale più recente di Java Runtime Environment (JRE™) non è già installata in

Windows Server, viene visualizzata la finestra a comparsa seguente.

Fare clic su Sì per installare JRE. L'installazione richiede alcuni minuti. Linstallazione della versionerichiesta non comporta l'eliminazione delle versioni di JRE esistenti.

7 Nella pagina di configurazione di VMware Identity Manager, immettere un nome host e una porta peril connettore.

Specificare il nome host come nome di dominio completo. Ad esempio, connector.example.com.

Nota Il nome deve corrispondere al dominio di cui il server fa parte, se applicabile.

La porta predefinita è 443. Solo la porta 443 è supportata per VMware Identity Manager Connector.


VMware, Inc. 19

8 Nella pagina Account servizio di VMware Identity Manager Connector, se si desidera eseguire il

servizio Connector come account utente del dominio, selezionare l'opzione e immettere il nomeutente e la password dell'account utente del dominio.

È necessario eseguire il servizio come utente del dominio nei casi seguenti:

n Se si intende connettersi ad Active Directory su Autenticazione integrata di Windows



VMware, Inc. 20

Nota Se non è possibile individuare i domini o gli utenti quando si fa clic su Sfoglia, verificare chetutti i prerequisiti siano soddisfatti.

9 Fare clic su Avanti.

10 Selezionare i valori appropriati a seconda che si stia installando un nuovo connettore o eseguendo lamigrazione di un connettore esistente.

n Se si sta installando un nuovo connettore, deselezionare l'opzione Si sta migrando ilconnettore? e fare clic su Avanti.

n Se si esegue la migrazione di un connettore incorporato in un connettore autonomo o lamigrazione di un connettore Linux in un connettore Windows, eseguire i passaggi seguenti.

a Selezionare la casella di controllo Si sta eseguendo la migrazione di un connettore?.

b Nella casella di testo Pacchetto di configurazione (.enc), immettere il percorso del file diconfigurazione generato dalla distribuzione originale.

c Immettere la password impostata per il file di configurazione durante la sua creazione.

11 Fare clic su Avanti.

12 Nella pagina che indica che è tutto pronto per installare il programma, fare clic su Installa.


VMware, Inc. 21

L'installazione richiede alcuni minuti.

13 Quando viene visualizzata la pagina che indica che l'installazione guidata è stata completata, fare clicsu Fine.

Verrà visualizzata la finestra a comparsa seguente che include l'URL da visitare per completare laconfigurazione guidata per il connettore.

L'URL punta alle pagine di amministrazione del connettore all'indirizzo https://connectorhostname:8443.


VMware, Inc. 22


Passare all'URL indicato e completare la configurazione guidata per il connettore.

Esecuzione della configurazione guidata diVMware Identity Manager ConnectorDopo aver installato VMware Identity Manager Connector, passare all'URL presente nella pagina diconferma dell'installazione guidata, https://connectorhostname:8443, e completare la configurazioneguidata del connettore.

Nella configurazione guidata immettere il codice di attivazione del connettore e impostare le password.

Prerequisiti

n È necessario disporre di un codice di attivazione del connettore generato nella console di VMwareIdentity Manager. Vedere Generazione di un codice di attivazione per VMware Identity ManagerConnector.

n Non utilizzare Internet Explorer in modalità di protezione avanzata per eseguire la configurazioneguidata. Nel browser deve essere abilitata l'esecuzione degli script.

Procedura

1 Aprire una finestra del browser e passare all'URL https://connectorhostname:8443.

Ad esempio, https://connector.example.com:8443.

Verrà visualizzata la pagina di benvenuto.

2 Fare clic su Continua.

3 Nella pagina Imposta password, creare una password per l'utente admin del connettore, che verràutilizzata per accedere alle pagine di amministrazione del connettore.

Fare quindi clic su Continua.


VMware, Inc. 23

4 Nella pagina Attiva connettore, immettere il codice di attivazione del connettore, quindi fare clic su

Continua.

Verrà visualizzato il messaggio Configurazione completata che indica che il connettore è statoattivato correttamente.

L'installazione di VMware Identity Manager Connector è stata completata.


n Configurare le impostazioni del proxy per VMware Identity Manager Connector, se necessario.

n Accedere alla console di VMware Identity Manager per configurare il connettore.


VMware, Inc. 24

Configurazione delle impostazioni del proxy perVMware Identity Manager ConnectorVMware Identity Manager Connector accede ai servizi Web su Internet. Se la configurazione di rete offreaccesso a Internet tramite un proxy HTTP, è necessario modificare le impostazioni del proxy in VMwareIdentity Manager Connector.

Nota Consentire al proxy di gestire solo il traffico Internet. Per assicurarsi che il proxy sia configuratocorrettamente, impostare il parametro per il traffico interno su Nessun proxy all'interno del dominio.

Procedura

1 Utilizzare un browser per passare alle pagine di amministrazione di VMware Identity ManagerConnector all'indirizzo https://connectorhostname:8443/cfg/login.

2 Accedere con la password dell'utente admin del connettore.

3 Fare clic su Configurazione proxy.

4 Selezionare Abilita.

5 Nella casella di testo Host proxy con porta, immettere il nome host e la porta del server proxy.

Ad esempio: proxy.example.com:3128

6 Nel campo Host senza proxy, immettere gli host a cui il connettore può accedere senza passareattraverso il server proxy.

Utilizzare una virgola per separare i nomi host di un elenco.

7 Fare clic su Salva.


VMware, Inc. 25

Configurazione di VMwareIdentity Manager Connector 4Dopo l'installazione di VMware Identity Manager Connector, accedere alla console di VMware IdentityManager e completare la configurazione. Ciò include la configurazione di una directory per sincronizzareutenti e gruppi con il servizio VMware Identity Manager, la configurazione dei metodi di autenticazioneche si desidera utilizzare e l'abilitazione della modalità in uscita per VMware Identity Manager Connector.

Questo capitolo include i seguenti argomenti:n Configurazione di una directory

n Abilitazione di adattatori di autenticazione in VMware Identity Manager Connector

n Abilitazione della modalità in uscita per VMware Identity Manager Connector

Configurazione di una directoryDopo aver installato e attivato VMware Identity Manager Connector, aggiungere una directory nellaconsole di VMware Identity Manager e stabilire la connessione con la directory aziendale persincronizzare utenti e gruppi con il servizio.

VMware Identity Manager supporta l'integrazione dei tipi di directory seguenti.

n Active Directory su LDAP

n Active Directory su Autenticazione integrata di Windows

n directory LDAP

Per ulteriori informazioni prima di configurare la directory, vedere l'argomento relativo all'integrazionedella directory con VMware Identity Manager. Qui sono elencate le attività di alto livello.

Prerequisiti

I prerequisiti dipendono dal tipo di directory che si sta integrando. Per informazioni, vedere l'argomentorelativo all'integrazione della directory con VMware Identity Manager.

VMware, Inc. 26

Procedura

1 Accedere alla console di VMware Identity Manager.

Suggerimento È possibile accedere alla console di amministrazione anche facendo clic sulcollegamento Accedere alla console di amministrazione disponibile nella pagina Configurazionecompletata visualizzata dopo l'attivazione del connettore.

2 Selezionare gli attributi utente da sincronizzare con la directory.

a Fare clic sulla scheda Gestione identità e accessi, quindi fare clic su Configura.

b Nella scheda Attributi utente, selezionare gli attributi obbligatori e aggiungere attributi aggiuntivi,se necessario.

Se un attributo è contrassegnato come obbligatorio, soltanto gli utenti con quell'attributo sarannosincronizzati con il servizio.

Importante Tenere presenti le limitazioni seguenti.

n Dopo la creazione della directory, non è possibile rendere obbligatorio un attributo facoltativo.È necessario definire questa impostazione ora.

n Le impostazioni nella pagina Attributi utente si applica a tutte le directory nel servizio.Quando si rende obbligatorio un attributo, considerare l'eventuale effetto che questaoperazione potrebbe avere sulle altre directory.

3 Fare clic su Gestione.

4 Fare clic su Aggiungi directory e selezionare il tipo di directory che si desidera aggiungere.

5 Eseguire la procedura guidata per immettere le informazioni di configurazione della directory,selezionare gli utenti e i gruppi da sincronizzare e sincronizzare gli utenti con il servizioVMware Identity Manager.

Per informazioni, vedere l'argomento relativo all'integrazione della directory conVMware Identity Manager.


Fare clic sulla scheda Utenti e gruppi e verificare che gli utenti siano sincronizzati.

Abilitazione di adattatori di autenticazione inVMware Identity Manager ConnectorSono disponibili diversi adattatori di autenticazione per VMware Identity Manager Connector in modalitàin uscita, inclusi PasswordIdpAdapter, RSAAIdpAdapter, SecurIDAdapter e RadiusAuthAdapter.Configurare e abilitare gli adattatori che si intende utilizzare.

Se è già stata creata una directory, il metodo di autenticazione Password viene automaticamente abilitatoper la directory. PasswordIdpAdapter viene configurato con le informazioni specificate per la directory.


VMware, Inc. 27

Procedura

1 Nella console di VMware Identity Manager, fare clic sulla scheda Gestione identità e accessi.

2 Fare clic su Configura, quindi sulla scheda Connettori.

Il connettore distribuito è presente nell'elenco.

3 Fare clic sul collegamento nella colonna Worker.

4 Fare clic sulla scheda Adattatori autenticazione.

Tale scheda include un elenco di tutti gli adattatori di autenticazione disponibili per il connettore.

Se è già stata configurata una directory, PasswordIdpAdapter è già configurato e abilitato con leinformazioni di configurazione specificate durante la creazione della directory.

5 Configurare e abilitare gli adattatori di autenticazione che si desidera utilizzare facendo clic sulrelativo collegamento e immettendo le informazioni di configurazione. È necessario abilitare almenoun adattatore di autenticazione.

Per informazioni sulla configurazione di adattatori di autenticazione specifici, vedere la guidaall'amministrazione di VMware Identity Manager.

Ad esempio:


VMware, Inc. 28

Abilitazione della modalità in uscita perVMware Identity Manager ConnectorPer abilitare la modalità di connessione in sola uscita per VMware Identity Manager Connector, associareil connettore al provider di identità integrato.


VMware, Inc. 29

Il provider di identità integrato è disponibile per impostazione predefinita nel servizioVMware Identity Manager e fornisce ulteriori metodi di autenticazione integrati come VMware Verify. Perinformazioni sul provider di identità integrato, vedere la guida all'amministrazione di VMware IdentityManager.

Nota Il connettore può essere utilizzato nella modalità in uscita e nella modalità normalecontemporaneamente. Anche se si abilita la modalità in uscita, è comunque possibile configurarel'autenticazione Kerberos per gli utenti interni mediante criteri e metodi di autenticazione.

Procedura

1 Nella console di VMware Identity Manager, selezionare la scheda Gestione identità e accessi,quindi fare clic su Configura.

2 Fare clic sulla scheda Provider di identità.

3 Fare clic sul collegamento Integrato.

4 Immettere le informazioni seguenti.

Opzione Descrizione

Utenti Selezionare la directory o i domini che utilizzeranno il provider di identitàintegrato.

Rete Selezionare gli intervalli di rete che utilizzeranno il provider di identità integrato.

Connettori Selezionare il connettore configurato e fare clic su Aggiungi connettore.

Nota Se in seguito si aggiungeranno altri connettori per la disponibilità elevata,selezionarli e aggiungerli tutti qui per associarli al provider di identità integrato.VMware Identity Manager distribuisce automaticamente il traffico tra tutti iconnettori associati al provider di identità integrato. Non è necessario utilizzare unprogramma di bilanciamento del carico.

Metodi di autenticazione delconnettore

Sono elencati i metodi di autenticazione abilitati per il connettore. Selezionare imetodi di autenticazione che si desidera utilizzare.

L'adattatore PasswordIdpAdapter, che è stato automaticamente configurato eabilitato durante la creazione di una directory, viene visualizzato in questa paginacome Password (distribuzione cloud), a indicare che viene utilizzato con ilconnettore in modalità in uscita.

Ad esempio:


VMware, Inc. 30

5 Fare clic su Salva per salvare la configurazione del provider di identità integrato.

6 Modificare i criteri in modo che utilizzino i metodi di autenticazione abilitati.

a Nella scheda Gestione identità e accessi fare clic su Gestisci.

b Fare clic sulla scheda Criteri e quindi sul criterio che si desidera modificare.

c Fare clic su Modifica.


VMware, Inc. 31

d Nella pagina Configurazione della procedura guidata, modificare le regole. Selezionare i metodidi autenticazione che si desidera utilizzare per ogni regola.

e Salvare le modifiche.

Per ulteriori informazioni sulla configurazione dei criteri, vedere la guida all'amministrazione diVMware Identity Manager.

La modalità in uscita del connettore è ora abilitata. Quando un utente accede utilizzando uno dei metodidi autenticazione abilitati per il connettore nella pagina del provider di identità integrato, non è necessarioalcun reindirizzamento HTTP al connettore.


VMware, Inc. 32

Configurazione delladisponibilità elevata per ilconnettoreVMware Identity Manager 5È possibile configurare il connettore di VMware Identity Manager per la disponibilità elevata aggiungendopiù istanze del connettore in un cluster. Se per un motivo qualsiasi una delle istanze del connettore non èpiù disponibile, le altre istanze saranno comunque disponibili.

Per creare un cluster, installare nuove istanze del connettore e configurarle esattamente come la primaistanza del connettore.

È quindi necessario associare tutte le istanze dei connettori al provider di identità integrato. Il servizioVMware Identity Manager distribuisce automaticamente il traffico tra tutti i connettori associati al providerdi identità integrato. Non è necessario utilizzare un programma di bilanciamento del carico. Se adesempio uno dei connettori diventa non disponibile a causa di un problema della rete, il servizio nonindirizza il traffico verso tale connettore. Quando la connettività viene ripristinata, il servizio riprende aindirizzare il traffico verso il connettore.

Dopo aver configurato il cluster dei connettori e aver associato tutti i connettori al provider di identitàintegrato, i metodi di autenticazione abilitati nel connettore hanno disponibilità elevata. Se una delleistanze del connettore non è disponibile, è comunque possibile eseguire l'autenticazione.

Per configurare la disponibilità elevata per la sincronizzazione della directory, associare tutte le istanzedel connettore alla directory e quindi configurare un elenco di connettori di sincronizzazione per ladirectory. I connettori nell'elenco dei connettori di sincronizzazione sono disposti in ordine di failover. Ilservizio di VMware Identity Manager utilizza il primo connettore nell'elenco per la sincronizzazione delladirectory. Se il primo connettore non è disponibile, utilizza il secondo connettore e così via. L'elenco deiconnettori di sincronizzazione è impostato per la directory dalla pagina Impostazioni di sincronizzazionedella directory.

Nota Questa sezione non si applica alla disponibilità elevata dell'autenticazione Kerberos. Vedere Capitolo 6Aggiunta del supporto dell'autenticazione Kerberos alla distribuzione di VMware IdentityManager Connector.

Questo capitolo include i seguenti argomenti:n Installazione e configurazione di istanze aggiuntive di VMware Identity Manager Connector

n Configurazione della disponibilità elevata per l'autenticazione

n Configurazione della disponibilità elevata per la sincronizzazione delle directory

VMware, Inc. 33

Installazione e configurazione di istanze aggiuntive diVMware Identity Manager ConnectorDopo aver installato e configurato la prima istanza di VMware Identity Manager Connector, è possibileaggiungere altri connettori per la disponibilità elevata installando nuove istanze del connettore econfigurandole esattamente come l'istanza del primo connettore.

Importante Le nuove istanze del connettore devono essere attivate in base allo stesso servizioVMware Identity Manager utilizzato dalla prima istanza del connettore.

Prerequisiti

È stata installata e configurata la prima istanza del connettore.

Procedura

1 Installare e configurare una nuova istanza di VMware Identity Manager Connector seguendo leistruzioni disponibili in Capitolo 3Installazione di VMware Identity Manager Connector in Windows.

2 Associare la nuova istanza di VMware Identity Manager Connector al provider di identità diWorkspace della prima istanza del connettore.

a Nella console di amministrazione di VMware Identity Manager, selezionare la scheda Gestioneidentità e accessi, quindi selezionare la scheda Provider di identità.

b Nella pagina Provider di identità, individuare l'IDP workspace dell'istanza del primo connettore efare clic sul collegamento.

c Nel campo Connettori, selezionare il nuovo connettore.

d Immettere la password del nome distinto di binding e fare clic su Aggiungi connettore.

e Fare clic su Salva.

3 Configurare e abilitare gli adattatori di autenticazione nel nuovo connettore.

Importante Gli adattatori di autenticazione di tutti i connettori nel cluster devono essere configuratinello stesso modo. In tutti i connettori devono essere abilitati gli stessi metodi di autenticazione.

a Nella scheda Gestione identità e accessi fare clic su Configura, quindi sulla schedaConnettori.

b Fare clic sul collegamento nella colonna Worker del nuovo connettore.


VMware, Inc. 34

c Fare clic sulla scheda Adattatori autenticazione.

Tale scheda include un elenco di tutti gli adattatori di autenticazione disponibili per il connettore.

L'adattatore PasswordIdpAdapter è già configurato e abilitato perché il nuovo connettore è statoassociato alla directory associata al primo connettore.

d Configurare e abilitare gli altri adattatori di autenticazione in modo analogo al primo connettore.Assicurarsi che le informazioni relative alla configurazione siano identiche.

Per informazioni sulla configurazione degli adattatori di autenticazione, vedere la Guidaall'amministrazione di VMware Identity Manager.


Configurazione della disponibilità elevata per l'autenticazione

Configurazione della disponibilità elevata perl'autenticazioneDopo aver distribuito e configurato nuove istanze di VMware Identity Manager Connector, configurare ladisponibilità elevata per l'autenticazione aggiungendo le nuove istanze al provider di identità Integrato eabilitando gli stessi metodi di autenticazione abilitati nella prima istanza del connettore.VMware Identity Manager distribuisce automaticamente il traffico tra tutti i connettori associati al providerdi identità integrato.

Prerequisiti

È necessario aver installato istanze aggiuntive del connettore. Vedere Installazione e configurazione diistanze aggiuntive di VMware Identity Manager Connector.

Procedura

1 Nella scheda Gestione identità e accessi della console di amministrazione diVMware Identity Manager, fare clic su Gestione.


3 Fare clic sul collegamento Integrato.

4 Nel campo Connettori, selezionare il nuovo connettore nell'elenco a discesa e fare clic su Aggiungiconnettore.


VMware, Inc. 35

5 Nella sezione Metodi di autenticazione del connettore abilitare gli stessi metodi di autenticazioneabilitati per il primo connettore.

Il metodo di autenticazione Password (distribuzione cloud) viene configurato e abilitatoautomaticamente. È necessario abilitare gli altri metodi di autenticazione.

Importante Gli adattatori di autenticazione di tutti i connettori nel cluster devono essere configuratinello stesso modo. In tutti i connettori devono essere abilitati gli stessi metodi di autenticazione.

Per informazioni sulla configurazione di adattatori di autenticazione specifici, vedere Amministrazionedi VMware Identity Manager.

6 Fare clic su Salva per salvare la configurazione del provider di identità integrato.

Configurazione della disponibilità elevata per lasincronizzazione delle directoryPer configurare la disponibilità elevata per la sincronizzazione delle directory, dopo aver installato istanzeaggiuntive del connettore, è necessario associarle alla directory associata alla prima istanza delconnettore. È quindi possibile configurare un elenco di connettori di sincronizzazione per la directory. Iconnettori nell'elenco dei connettori di sincronizzazione sono disposti in ordine di failover. Il servizioVMware Identity Manager utilizza il primo connettore nell'elenco per sincronizzare utenti e gruppi per ladirectory. Se il primo connettore non è disponibile, utilizza il connettore successivo nell'elenco e così via.

Ogni directory dispone di un proprio elenco di connettori di sincronizzazione.

È consigliabile configurare la distribuzione in modo che uno stesso connettore non esegua lasincronizzazione di più directory contemporaneamente. È possibile utilizzare le strategie seguenti.

n Utilizzare un set di connettori diverso per directory diverse.

n Se si utilizza lo stesso set di connettori nello stesso ordine di failover, pianificare la sincronizzazionein orari diversi per ciascuna directory.

n Se si utilizza lo stesso set di connettori per più directory, impostare un ordine di failover diverso perciascuna directory in modo che il fallback della sincronizzazione non venga eseguito nello stessoconnettore.

Questa funzionalità è disponibile a partire dalla versione locale di VMware Identity Manager 19.03 e dallaversione cloud di aprile 2019. Per utilizzare questa funzionalità, aggiornare tutti i connettori alla versione19.03.0.0, quindi eseguire questa procedura per configurare l'elenco dei connettori di sincronizzazione.Tenere presenti le situazioni seguenti.

n Per le directory esistenti, l'elenco dei connettori di sincronizzazione è vuoto. Finché non si configural'elenco dei connettori di sincronizzazione, il connettore originariamente configurato per la directorycontinua a essere utilizzato per la sincronizzazione e non è disponibile alcun fallback se il connettorenon riesce.


VMware, Inc. 36

n Le nuove directory create in un ambiente aggiornato o nuovo dispongono di un connettore elencatonell'elenco dei connettori di sincronizzazione. Questo connettore è quello selezionato comeconnettore di sincronizzazione durante la creazione della directory.

Prerequisiti

n È necessario aver installato istanze aggiuntive del connettore. Vedere Installazione e configurazionedi istanze aggiuntive di VMware Identity Manager Connector.

n La versione di tutti i connettori associati al servizio deve essere 19.03.0.0 o successiva. Se laversione di un connettore è precedente, la scheda Connettori di sincronizzazione non vienevisualizzata nella pagina Impostazioni di sincronizzazione della directory.

Procedura

1 Associare le nuove istanze del connettore al provider di identità di Workspace della directory a cui èassociata la prima istanza del connettore.

a Nella console di VMware Identity Manager, fare clic sulla scheda Gestione identità e accessi,quindi su Configurazione.

b Nella pagina Connettori individuare l'istanza del connettore installata per prima.

c In tale riga, fare clic sul collegamento IDP Workspace nella colonna del provider di identità per ladirectory per cui si desidera configurare la disponibilità elevata.

d Nella pagina IDP Workspace, scorrere fino alla sezione Connettore, selezionare ogni nuovaistanza del connettore dal menu a discesa e fare clic su Aggiungi connettore.

e Fare clic su Salva.

2 Fare clic su Configurazione per tornare alla pagina Connettori.

3 Nella pagina Connettori, fare clic sul collegamento della directory nella colonna Directory associateper passare alla pagina della directory.

4 Fare clic su Impostazioni di sincronizzazione.

5 Fare clic sulla scheda Connettori di sincronizzazione.


VMware, Inc. 37

6 Selezionare le istanze del connettore da utilizzare per sincronizzare utenti e gruppi per questadirectory.

a Nell'elenco Selezionare un connettore, che include tutti i connettori aggiunti al servizio,selezionare un connettore e fare clic sull'icona +.

Il connettore viene aggiunto all'elenco Connettori di sincronizzazione.

b Aggiungere tutti i connettori che si desidera utilizzare per la sincronizzazione all'elencoConnettori di sincronizzazione.

c Nell'elenco Connettori di sincronizzazione disporre i connettori in ordine di failover utilizzando itasti freccia su e freccia giù.

Per eseguire una sincronizzazione della directory, VMware Identity Manager tenta di utilizzare ilprimo connettore nell'elenco. Se il primo connettore non è disponibile, tenta di utilizzare ilsecondo connettore e così via.

Ad esempio:


L'elenco dei connettori di sincronizzazione per la directory viene salvato e viene applicato dallasincronizzazione successiva in poi.

È possibile visualizzare quali connettori sono stati utilizzati per la sincronizzazione nella scheda Registrodi sincronizzazione della pagina della directory.

Ad esempio:


VMware, Inc. 38


VMware, Inc. 39

Aggiunta del supportodell'autenticazione Kerberosalla distribuzione diVMware Identity ManagerConnector 6Per gli utenti interni è possibile aggiungere l'autenticazione Kerberos, che richiede la modalità diconnessione in entrata, alla distribuzione di connettori in modalità di connessione in uscita. Gli stessiconnettori possono essere configurati in modo da utilizzare l'autenticazione Kerberos per gli utenti cheappartengono alla rete interna e un altro metodo di autenticazione per gli utenti che provengono dalla reteinterna. È possibile ottenere questo risultato definendo criteri di autenticazione basati su intervalli di rete.

Il diagramma seguente illustra l'autenticazione Kerberos in una distribuzione locale diVMware Identity Manager.

Figura 6‑1. Autenticazione Kerberos

Server VMwareIdentity Manager Bilanciamento del

carico

VMware IdentityManager

Connector 1

VMware IdentityManager

Connector 2

On-premise

DMZ Rete aziendale

443443

443

443

443

I requisiti e le considerazioni per l'autenticazione Kerberos includono quanto segue:

n È possibile configurare l'autenticazione Kerberos indipendentemente dal tipo di directory impostata inVMware Identity Manager, Active Directory su LDAP o Active Directory su Autenticazione integrata diWindows.

n Il computer Windows in cui VMware Identity Manager Connector è installato deve appartenere aldominio di Active Directory.

n È necessario installare il componente VMware Identity Manager Connector come utente del dominioche fa parte del gruppo di amministratori del computer Windows in cui è installato il connettore edeseguire il servizio VMware IDM Connector come utente del dominio Windows.

VMware, Inc. 40

n Assicurarsi di scegliere un nome host appropriato e semplice da utilizzare per il connettore. Il nomehost di VMware Identity Manager Connector è visibile per gli utenti finali quando l'autenticazioneKerberos è configurata.

n Ogni connettore su cui è configurata l'autenticazione Kerberos deve avere un certificato SSLattendibile. È possibile ottenere il certificato da un'autorità di certificazione interna. L'autenticazioneKerberos non funziona con i certificati autofirmati.

Certificati SSL attendibili sono obbligatori indipendentemente dal fatto che si attivi Kerberos su unsingolo connettore o su più connettori per l'alta disponibilità.

n Per configurare la disponibilità elevata per l'autenticazione Kerberos, è necessario un programma dibilanciamento del carico.


n Configurazione e abilitazione dell'adattatore di autenticazione Kerberos

n Configurazione della disponibilità elevata per l'autenticazione Kerberos

Configurazione e abilitazione dell'adattatore diautenticazione KerberosConfigurare e abilitare KerberosIdpAdapter in VMware Identity Manager Connector. Se è stato distribuitoun cluster per la disponibilità elevata, configurare e abilitare l'adattatore in tutti i connettori nel cluster.

Importante Gli adattatori di autenticazione di tutti i connettori nel cluster devono essere configurati nellostesso modo. In tutti i connettori è necessario abilitare gli stessi metodi di autenticazione.

Quando si configura l'adattatore di autenticazione Kerberos, VMware Identity Manager Connector tenta diinizializzare Kerberos automaticamente. Se il servizio VMware IDM Connector non viene eseguito conprivilegi sufficienti per inizializzare Kerberos, viene visualizzato un messaggio di errore. In questo caso,seguire le istruzioni disponibili in http://kb.vmware.com/kb/2149753 per eseguire uno script perinizializzare Kerberos.

Per ulteriori informazioni sulla configurazione dell'autenticazione Kerberos, vedere la guidaall'amministrazione di VMware Identity Manager.

Prerequisiti

n Il computer Windows in cui VMware Identity Manager Connector è installato deve appartenere aldominio.

n È necessario installare il componente VMware Identity Manager Connector come utente del dominioche fa parte del gruppo di amministratori del computer Windows in cui è installato il connettore edeseguire il servizio VMware IDM Connector come utente del dominio Windows.

Procedura

1 Nella console di amministrazione di VMware Identity Manager, fare clic sulla scheda Gestioneidentità e accessi.


VMware, Inc. 41

http://kb.vmware.com/kb/2149753

2 Fare clic su Configura, quindi sulla scheda Connettori.

Sono elencati tutti i connettori distribuiti.

3 Fare clic sul collegamento nella colonna Worker di uno dei connettori.

4 Fare clic sulla scheda Adattatori autenticazione.

5 Fare clic sul collegamento KerberosIdpAdapter, quindi configurare e abilitare l'adattatore.

Opzione Descrizione

Nome Il nome predefinito dell'adattatore è KerberosIdpAdapter, ma è possibilemodificarlo.

Attributo UID di directory Attributo dell'account che contiene il nome utente.

Abilita autenticazione di Windows Selezionare questa opzione.

Abilita reindirizzamento Se si dispone di più connettori in un cluster e si intende configurare la disponibilitàelevata di Kerberos utilizzando un programma di bilanciamento del carico,selezionare questa opzione e specificare un valore per Reindirizza nome host.Se la distribuzione include un solo connettore, non è necessario utilizzare leopzioni Attiva reindirizzamento e Reindirizza nome host.

Reindirizza nome host È necessario specificare un valore se è selezionata l'opzione Attivareindirizzamento. Immettere il nome host del connettore. Ad esempio, se il nomehost del connettore è connector1.esempio.com, immettereconnector1.esempio.com nella casella di testo.

Ad esempio:

Per ulteriori informazioni sulla configurazione di KerberosIdPAdapter, vedere la guidaall'amministrazione di VMware Identity Manager.


Nota Se viene visualizzato un messaggio di errore che indica che l'inizializzazione di Kerberos nonè riuscita, vedere Errore di inizializzazione di Kerberos. Dopo avere eseguito lo script, tornare inquesta pagina e configurare l'adattatore.


VMware, Inc. 42

7 Se è stato distribuito un cluster, configurare KerberosIdPAdapter in tutti i connettori nel cluster.

Assicurarsi di configurare l'adattatore in modo identico in tutti i connettori, tranne che per il valore diReindirizza nome Host, che deve essere specifico per ogni connettore.


n Verificare che ogni connettore su cui è abilitato KerberosIdpAdapter disponga di un certificato SSLattendibile. È possibile ottenere il certificato da un'autorità di certificazione interna. L'autenticazioneKerberos non funziona con i certificati autofirmati.

Certificati SSL attendibili sono obbligatori indipendentemente dal fatto che si attivi Kerberos su unsingolo connettore o su più connettori per l'alta disponibilità.

n Configurare la disponibilità elevata per l'autenticazione Kerberos, se necessario. A tale scopo, ènecessario utilizzare un programma di bilanciamento del carico.

Configurazione della disponibilità elevata perl'autenticazione KerberosPer configurare la disponibilità elevata per l'autenticazione Kerberos, installare un bilanciamento delcarico nel firewall della rete interna e aggiungere le istanze di VMware Identity Manager Connector albilanciamento del carico.

È inoltre necessario configurare determinate impostazioni nel bilanciamento del carico, stabilirel'attendibilità SSL tra il bilanciamento del carico e le istanze del connettore, nonché modificare l'URL diautenticazione del connettore in modo che utilizzi il nome host del bilanciamento del carico.

Configurazione delle impostazioni del programma dibilanciamento del caricoNel programma di bilanciamento del carico è necessario configurare determinate impostazioni, adesempio impostando correttamente il timeout del programma di bilanciamento del carico e abilitando lesessioni sticky.

Configurare queste impostazioni.

n Timeout del bilanciamento del carico

Perché il VMware Identity Manager Connector funzioni correttamente, potrebbe essere necessarioaumentare il valore di timeout richiesta del bilanciamento del carico dal valore predefinito. Il valore èimpostato in minuti. Se il valore impostato per il timeout è troppo basso, è possibile che vengavisualizzato il messaggio di errore seguente:

Errore 502: Il servizio non è al momento disponibile.

n Abilita sessioni sticky

Se nella distribuzione sono presenti più istanze del connettore, è necessario abilitare l'impostazionerelativa alle sessioni sticky nel bilanciamento del carico. Il bilanciamento del carico collegherà quindiuna sessione utente a una istanza specifica del connettore.


VMware, Inc. 43

Applicazione del certificato root di VMware Identity ManagerConnector al bilanciamento del caricoQuando VMware Identity Manager Connector è configurato con un bilanciamento del carico, è necessariostabilire una relazione di attendibilità SSL tra il bilanciamento del carico e il connettore. Il certificato root diconnettore deve essere copiato nel bilanciamento del carico come certificato root attendibile.

Il certificato di VMware Identity Manager Connector può essere scaricato dalle pagine di amministrazionedel connettore all'indirizzo https://connectorFQDN:8443/cfg/ssl.

Se il nome di dominio del connettore punta al bilanciamento del carico, il certificato SSL può essereapplicato solo al bilanciamento del carico.

Procedura

1 Accedere alle pagine di amministrazione del connettore all'indirizzo https://connectorFQDN:8443/cfg/login come utente amministratore.

2 Selezionare Installa certificati SSL.

3 Nella scheda Certificato server, fare clic sul collegamento nel campo Certificati CA rootautofirmati dell'appliance.

4 Copiare quanto compreso tra le righe -----BEGIN CERTIFICATE----- e -----END CERTIFICATE---- e

incollare il certificato root nel percorso corretto di ognuno dei bilanciamenti del carico. Fareriferimento alla documentazione relativa al bilanciamento del carico.


Copiare e incollare il certificato root di bilanciamento del carico in VMware Identity Manager Connector.


VMware, Inc. 44

Applicazione del certificato root del bilanciamento del carico aVMware Identity Manager ConnectorQuando VMware Identity Manager Connector è configurato con un bilanciamento del carico, è necessariostabilire una relazione di attendibilità tra il bilanciamento del carico e il connettore. Oltre a copiare ilcertificato root del connettore nel bilanciamento del carico, è necessario copiare il certificato root delbilanciamento del carico nel connettore.

Procedura

1 Ottenere il certificato root del bilanciamento del carico.

2 Passare alle pagine di amministrazione di VMware Identity Manager Connector all'indirizzohttps://connectorFQDN:8443/cfg/login e accedere come utente amministratore.

3 Selezionare la scheda Installa certificati SSL > CA attendibili.

4 Incollare il testo del certificato del bilanciamento del carico nella casella di testo Certificato root ointermedio.

5 Fare clic su Aggiungi.

Sostituzione del nome host del provider di identità del connettorecon il nome host del programma di bilanciamento del caricoDopo aver aggiunto le istanze di VMware Identity Manager Connector al bilanciamento del carico, ènecessario sostituire il nome host del provider di identità nel provider di identità di Workspace di ogniconnettore con il nome host del bilanciamento del carico.

Prerequisiti

Le istanze del connettore vengono configurate con un bilanciamento del carico. Assicurarsi che la portadel bilanciamento del carico sia 443. Non utilizzare 8443 perché è il numero della porta amministrativa.


VMware, Inc. 45

Procedura

1 Accedere alla console di amministrazione di VMware Identity Manager.

2 Selezionare la scheda Gestione identità e accessi.


4 Nella pagina Provider di identità, fare clic sul collegamento del provider di identità di Workspace perl'istanza del connettore.

5 Nella casella di testo Nome host IdP sostituire il nome host del connettore con il nome host delbilanciamento del carico.

Ad esempio, se il nome host del connettore è myconnector e il nome host del bilanciamento delcarico è mylb, sostituire l'URL

myconnector.mycompany.com:port


VMware, Inc. 46

con il seguente:

mylb.mycompany.com:port


VMware, Inc. 47

Impostazioni aggiuntive diVMware Identity ManagerConnector 7Una volta completata la configurazione iniziale di VMware Identity Manager Connector, è possibilepassare alle pagine di amministrazione del connettore in qualsiasi momento per eseguire attività comel'installazione dei certificati, la gestione delle password e il download dei file di registro.

Le pagine di amministrazione di VMware Identity Manager Connector sono disponibili all'indirizzohttps://connectorFQDN:8443/cfg/login, ad esempio, https://myconnector.example.com:8443/cfg/login.Accedere come utente admin del connettore con la password creata durante l'installazione delconnettore.

Tabella 7‑1. Impostazioni del connettore

Opzione Descrizione

Installa certificati SSL Nelle schede in questa pagina, è possibile installare uncertificato SSL per il connettore, scaricare il certificato rootautofirmato e installare certificati root attendibili.

Configura syslog In questa pagina è possibile abilitare un server syslog esternose si desidera che i registri del connettore vengano inviati alserver esterno.

Modifica password Su questa pagina è possibile modificare la passwordamministratore del connettore.

Configurazione proxy In questa pagina, è possibile configurare le impostazioni delproxy per il connettore.

Percorsi dei file di registro In questa pagina, è possibile creare e scaricare un bundle deifile di registro del connettore.


n Utilizzo di certificati SSL per VMware Identity Manager Connector

n Configurazione di un server syslog per VMware Identity Manager Connector

n Gestione delle password del connettore di VMware Identity Manager

n Configurazione delle impostazioni del proxy per VMware Identity Manager Connector

n Visualizzazione e download dei file di registro di VMware Identity Manager Connector

n Configurazione della sincronizzazione dell'ora per il connettore di VMware Identity Manager(Windows)

VMware, Inc. 48

Utilizzo di certificati SSL per VMware Identity ManagerConnectorQuando si VMware Identity Manager installa il connettore, viene generato automaticamente un certificatodel server SSL autofirmato predefinito. È possibile continuare a utilizzare questo certificato autofirmatonella maggior parte degli scenari.

Con il connettore distribuito in modalità in uscita, gli utenti finali non accedono al connettore direttamente,pertanto non è richiesta l'installazione di un certificato SSL pubblico firmato dall'autorità di certificazione(CA). Per l'accesso degli amministratori al connettore, è possibile continuare a utilizzare il certificatoautofirmato predefinito oppure utilizzare un certificato generato dalla propria autorità di certificazioneinterna.

Tuttavia, se si abilita KerberosIdpAdapter sul connettore per configurare l'autenticazione Kerberos per gliutenti interni, gli utenti finali stabiliranno connessioni SSL al connettore e pertanto il connettore deveavere un certificato SSL firmato. Utilizzare l'autorità di certificazione interna per generare il certificatoSSL.

Se imposta l'alta disponibilità per l'autenticazione Kerberos, è necessario un bilanciamento del caricodavanti alle istanze del connettore. In questo caso, il bilanciamento del carico e tutte le istanze delconnettore devono avere certificati SSL firmati. Utilizzare l'autorità di certificazione interna per generare icertificati SSL. Per il certificato del bilanciamento del carico, utilizzare il nome host del fornitore di identitàdi Workspace, definito nella pagina di configurazione del fornitore di identità Workspace, come Nomecomune del DN oggetto. Per ciascun certificato di istanza del connettore, utilizzare il nome host delconnettore come Nome comune del DN oggetto. In alternativa, è possibile creare un singolo certificatoutilizzando il nome host del fornitore di identità Workspace come Nome comune del DN oggetto e tutti inomi host dei connettori, nonché il nome host del fornitore di identità Workspace come nomi alternativi dioggetto (SAN).

Installazione di un certificato SSL firmato per il connettoreÈ possibile installare un certificato SSL firmato per il connettore VMware Identity Manager dalle pagine diamministrazione del connettore all'indirizzo https://connectorFQDN:8443/cfg/login.

Vedere Utilizzo di certificati SSL per VMware Identity Manager Connector per gli scenari in cui ènecessario un certificato SSL firmato.

Prerequisiti

Generare una richiesta di firma certificato (CSR) e ottenere un certificato SSL firmato. Il formato delcertificato deve essere PEM.

Procedura


2 Fare clic su Installa certificati SSL.


VMware, Inc. 49

3 Nella scheda Certificato server, selezionare Certificato personalizzato nel campo CertificatoSSL.

4 Nella casella di testo della catena di certificati SSL, incollare i certificati del server, intermedi eradice in questo ordine.

È necessario includere l'intera catena di certificati nell'ordine corretto. Per ciascun certificato, copiaretutto il contenuto presente tra le righe -----BEGIN CERTIFICATE----- ed -----END CERTIFICATE----.

5 Nella casella di testo Chiave privata, incollare la chiave privata. Copiare tutto il contenuto presentetra le righe ----BEGIN RSA PRIVATE KEY---- ed ---END RSA PRIVATE KEY----.


Esempio: esempi di certificati

Esempio di catena di certificati

-----BEGIN CERTIFICATE-----

jlQvt9WdR9Vpg3WQT5+C3HU17bUOwvhp/r0+

...

W53+O05j5xsxzDJfWr1lqBlFF/OkIYCPcyK1

-----END CERTIFICATE-----


WdR9Vpg3WQT5+C3HU17bUOwvhp/rjlQvt90+

...

O05j5xsxzDJfWr1lqBlFF/OkIYCPW53+cyK1



dR9Vpg3WQTjlQvt9W5+C3HU17bUOwvhp/r0+

...

5j5xsxzDJfWr1lqW53+O0BlFF/OkIYCPcyK1


Esempio di chiave privata

-----BEGIN RSA PRIVATE KEY-----

jlQvtg3WQT5+C3HU17bU9WdR9VpOwvhp/r0+

...

...

...

1lqBlFFW53+O05j5xsxzDJfWr/OkIYCPcyK1

-----END RSA PRIVATE KEY-----


VMware, Inc. 50

Download del certificato CA root autofirmato del connettoreSe si distribuisce il connettore con il certificato SSL autofirmato generato per impostazione predefinitaquando si installa il connettore, installare certificato CA root autofirmato del connettore in tutti i client cheaccedono al connettore. È possibile scaricare il certificato CA root dalla console di amministrazione diVMware Identity Manager.

Procedura

1 Accedere alle pagine di amministrazione del connettore VMware Identity Manager all'indirizzohttps://connectorFQDN:8443/cfg/login come utente amministratore.

2 Fare clic su Installa certificati SSL.

3 Nella scheda Certificato server, fare clic sul collegamento nel campo Certificati CA rootautofirmati dell'appliance.

Vengono visualizzati i certificati.

4 Copiare tutto il testo, incluse le righe -----BEGIN CERTIFICATE----- e -----ENDCERTIFICATE-----.

Installazione certificati root attendibili sul connettoreInstallare i certificati root o intermedi che devono essere considerati attendibili dal connettore di VMwareIdentity Manager. Il connettore sarà in grado di stabilire connessioni protette a server la cui catena dicertificati include uno di questi certificati.

Gli scenari in cui è necessario installare i certificati root attendibili nel connettore includono i seguenti:

n Se è stato configurato un bilanciamento del carico per l'alta disponibilità dell'autenticazione Kerberos,installare il certificato CA root del bilanciamento del carico nelle istanze del connettore per stabilirel'attendibilità tra i connettori e il bilanciamento del carico.

Procedura


2 Fare clic su Installa certificati SSL, quindi selezionare la scheda di CA attendibili.

3 Incollare il certificato root o intermedio nella casella di testo.

Includere tutto il contenuto presente tra le righe -----BEGIN CERTIFICATE----- ed -----ENDCERTIFICATE----



VMware, Inc. 51

Configurazione di un server syslog perVMware Identity Manager ConnectorGli eventi a livello di applicazione dal servizio possono essere esportati su un server syslog esterno. Glieventi del sistema operativo non sono esportati.

Poiché la maggior parte delle aziende non ha spazio su disco illimitato, la appliance virtuale non salva lacronologia di registrazione completa. Se si desidera salvare più cronologia o creare un percorsocentralizzato per la cronologia, è possibile configurare un server syslog esterno.

Prerequisiti

n Configurare un server syslog esterno. È possibile utilizzare uno qualsiasi dei server syslog standarddisponibili. Diversi server syslog includono funzionalità di ricerca avanzata.

n Assicurarsi che il connettore possa raggiungere il server syslog sulla porta 514 (UDP).

Procedura

1 Accedere alle pagine di amministrazione del connettore all'indirizzo https://connectorFQDN:8443/cfg/login come utente admin.

2 Selezionare Configura syslog nel riquadro sinistro.

3 Fare clic su Abilita.

4 Immettere l'indirizzo IP o il nome di dominio completo del server syslog in cui si desideramemorizzare i registri.


Una copia dei registri sarà inviata al server syslog.

Gestione delle password del connettore diVMware Identity ManagerQuando si installa VMware Identity Manager Connector, si crea una password per l'utenteamministratore. È possibile modificare questa password dalle pagine di amministrazione del connettore.

Importante Assicurarsi di creare password complesse. Le password complesse devono essere almenodi otto caratteri e comprendere lettere maiuscole e minuscole, nonché almeno un numero e un caratterespeciale.

Procedura


2 Fare clic su Modifica password.


VMware, Inc. 52

3 Immettere la vecchia password e quella nuova.

Importante La password dell'utente amministratore deve contenere almeno 6 caratteri.


Configurazione delle impostazioni del proxy perVMware Identity Manager ConnectorVMware Identity Manager Connector accede ai servizi Web su Internet. Se la configurazione di rete offreaccesso a Internet tramite un proxy HTTP, è necessario modificare le impostazioni del proxy in VMwareIdentity Manager Connector.

Nota Consentire al proxy di gestire solo il traffico Internet. Per assicurarsi che il proxy sia configuratocorrettamente, impostare il parametro per il traffico interno su Nessun proxy all'interno del dominio.

Procedura

1 Utilizzare un browser per passare alle pagine di amministrazione di VMware Identity ManagerConnector all'indirizzo https://connectorhostname:8443/cfg/login.

2 Accedere con la password dell'utente admin del connettore.

3 Fare clic su Configurazione proxy.

4 Selezionare Abilita.

5 Nella casella di testo Host proxy con porta, immettere il nome host e la porta del server proxy.

Ad esempio: proxy.example.com:3128

6 Nel campo Host senza proxy, immettere gli host a cui il connettore può accedere senza passareattraverso il server proxy.

Utilizzare una virgola per separare i nomi host di un elenco.


Visualizzazione e download dei file di registro diVMware Identity Manager ConnectorI file di registro di VMware Identity Manager Connector consentono di eseguire il debug e risolvere iproblemi. I file di registro si trovano nella directory InstallDirectory\VMware IdentityManager\Connector\opt\vmware\horizon\workspace\logs.

I file di registro seguenti sono i più importanti.


VMware, Inc. 53

Tabella 7‑2. File di registro

ComponentePosizione dei file di registro inWindows Descrizione

Registriconfiguratore

InstallDirectory\VMware

Identity

Manager\Connector\opt\vmware\h

orizon\workspace\logs\configur

ator.log

Richieste che il configuratore riceve dalclient REST e dall'interfaccia Web.

Registri connettore InstallDirectory\VMware

Identity


orizon\workspace\logs\connecto

r.log

Un record di ogni richiesta ricevutadall'interfaccia Web. Ogni voce del registroinclude anche l'URL della richiesta, ilformato data/ora e le eccezioni. Nessunaazione di sincronizzazione viene registrata.


Identity


orizon\workspace\logs\connecto

r-dir-sync.log

Messaggi relativi alla sincronizzazione delladirectory.

Registri di ApacheTomcat


Identity


orizon\workspace\logs\catalina

.log

I record Apache Tomcat dei messaggi chenon sono registrati in altri file di registro.

È inoltre possibile scaricare un bundle di file di registro dalle pagine di amministrazione di VMwareIdentity Manager Connector all'indirizzo https://connectorhostname:8443/cfg/login. Accedere come utenteadmin e fare clic su Percorsi dei file di registro.

Download di un bundle di registriÈ possibile scaricare un bundle di file di registro per VMware Identity Manager Connector dalle pagine diamministrazione del connettore. I file di registro consentono di eseguire il debug e risolvere i problemi.

Per raccogliere i registri da ogni istanza del connettore nell'ambiente, accedere alle pagine amministrativeper ogni istanza.

Procedura

1 Accedere alle pagine amministrative di VMware Identity Manager Connector all'indirizzohttps://connectorFQDN:8443/cfg/login come utente amministratore.

2 Fare clic su Percorsi dei file di registro e selezionare Prepara bundle di registri.

Le informazioni vengono raccolte in un file zip che può essere scaricato.

3 Scaricare il bundle di registri.


VMware, Inc. 54

Impostazione del livello di registro del connettore di VMwareIdentity Manager su DEBUGÈ possibile impostare il livello di registro su DEBUG per registrare informazioni aggiuntive checonsentono di eseguire il debug dei problemi.

Procedura

1 Nell'istanza di Windows Server in cui è installato il connettore, passare alla directoryINSTALL_DIR\VMware Identity Manager\Connector\usr\local\horizon\conf\.

2 Aggiornare il livello del registro nei file cfg-log4j.properties e hc-log4j.properties, che sono ifile log4j più comunemente utilizzati per il connettore.

a Modificare il file.

b Nelle righe con il livello di registro impostato su INFO, sostituire INFO con DEBUG.

Ad esempio, cambiare:

rootLogger.level=INFO

in:

rootLogger.level=DEBUG

c Salvare il file.

Non è necessario un riavvio del servizio o del sistema.

Configurazione della sincronizzazione dell'ora per ilconnettore di VMware Identity Manager (Windows)La configurazione della sincronizzazione dell'ora in tutte le istanze del servizio e diVMware Identity Manager Connector è necessaria affinché una distribuzione di VMware Identity Managerfunzioni correttamente. Per configurare la sincronizzazione dell'ora per il connettore diVMware Identity Manager (Windows), è possibile utilizzare la scheda Impostazioni appliance > Gestisciconfigurazione > Sincronizzazione ora nella console di VMware Identity Manager.

È possibile sincronizzare il clock del connettore di VMware Identity Manager con l'host ESXi o con unserver NTP (Network Time Protocol). Per impostazione predefinita, il connettore diVMware Identity Manager è impostato per la sincronizzazione con l'host. Se la macchina Windows delconnettore non è in esecuzione in un host ESXi, l'opzione di sincronizzazione dell'ora dell'host non èapplicabile ed è necessario selezionare l'opzione NTP o configurare la sincronizzazione dell'ora nellamacchina Windows direttamente.


VMware, Inc. 55

Seguire queste indicazioni:

n È consigliabile sincronizzare l'ora con un server NTP se l'istanza del connettore diVMware Identity Manager può accedere a un server NTP. In caso contrario, sincronizzare l'ora conl'host ESXi e configurare l'host ESXi per sincronizzare l'ora con un server NTP.

Nota Se la macchina Windows del connettore non è in esecuzione in un host ESXi, selezionarel'opzione NTP o configurare la sincronizzazione dell'ora nella macchina Windows direttamente.

n Se la distribuzione include istanze del servizio o del connettore VMware Identity Manager in hostdiversi, è consigliabile sincronizzare l'ora con un server NTP direttamente anziché sincronizzarla conl'host per assicurarsi che non vi sia una differenza di orario tra le istanze.

Prerequisiti

Se la macchina Windows del connettore è in esecuzione in un host ESXi e si desidera utilizzare l'opzionedi sincronizzazione dell'ora dell'host, installare VMware Tools nella macchina Windows.

Procedura

1 Accedere alle pagine di amministrazione del connettore all'indirizzo https://connectorFQDN:8443/cfg/login come utente admin.

2 Fare clic su Sincronizzazione ora nel riquadro a sinistra.

3 Selezionare un'opzione di sincronizzazione dell'ora.

Opzione Descrizione

NTP Sincronizza il clock di sistema del connettore di VMware Identity Manager con unserver NTP. Il server NTP predefinito è time.nist.gov. Per utilizzare un altro serverNTP, immetterne il nome di dominio completo nella casella di testo Server NTP.Ad esempio:

ntpserver.example.com

Ora host Sincronizza il clock di sistema del connettore di VMware Identity Manager conl'host ESXi, se applicabile. Questa è l'impostazione predefinita.



VMware, Inc. 56

Aggiornamento del connettoredi VMware Identity Manager(Windows) 8Per aggiornare VMware Identity Manager Connector (Windows), scaricare il programma di installazioneper la nuova versione da My VMware o My Workspace ONE ed eseguire il programma di installazione.Non è necessario disinstallare la vecchia versione.

Dopo l'aggiornamento, non è necessario generare un nuovo codice di attivazione per VMware IdentityManager Connector o attivarlo nuovamente. La configurazione esistente viene applicata al connettoreaggiornato.

Procedura

1 Scaricare il programma di installazione di VMware Identity Manager Connector per Windows da MyVMware o My Workspace ONE.

Per ottenere il programma di installazione da My VMware:a Accedere a My VMware.

b Scaricare il programma di installazione di VMware Identity Manager Connector per Windowsdalla pagina di download di VMware Identity Manager.

2 Salvare il file del programma di installazione nel server Windows in cui è installata la versioneprecedente del connettore.

3 Eseguire il programma di installazione e seguire le istruzioni per completare l'aggiornamento.

Nota Durante l'aggiornamento, se il programma di installazione rileva nel server Windows unaversione di JRE precedente a quella disponibile nel pacchetto del programma di installazione, vienerichiesto di installare la nuova versione JRE.

4 Se JRE viene aggiornato durante l'aggiornamento del connettore, riavviare Windows Server una voltacompletato l'aggiornamento.

Il riavvio del server consente di impostare la variabile JAVA_HOME JRE sul JRE più recente cheviene installato con l'aggiornamento e consente al connettore di utilizzare il JRE più recente.

VMware, Inc. 57

Aggiornamento di Java nelserver di VMware IdentityManager Connector 9VMware Identity Manager Connector richiede Java Runtime Environment (JRE).

La versione JRE richiesta per il connettore viene fornita con il programma di installazione di VMwareIdentity Manager Connector. Quando si aggiorna il connettore, viene richiesto di aggiornare anche laversione di JRE. Per informazioni sull'aggiornamento di JRE durante l'esecuzione del programma diinstallazione, vedere Capitolo 8Aggiornamento del connettore di VMware Identity Manager (Windows).

Se si desidera eseguire l'aggiornamento di JRE sul server del connettore in qualsiasi altro momento,eseguire i processi per assicurarsi che di VMware Identity Manager Connector continui a funzionarecorrettamente dopo l'aggiornamento di JRE.

Nota Questa procedura è applicabile a VMware Identity Manager Connector versione 3.2.0.1 esuccessive.

Nota Se JRE viene aggiornato automaticamente, eseguire i passaggi 3 e 4 dopo l'aggiornamento.

Procedura

1 Arrestare il servizio VMware IDM Connector.

2 Installare la nuova versione di JRE.

3 Aggiornare la variabile di ambiente JAVA_HOME in modo che punti al nuovo JRE.

4 Riavviare il servizio VMware IDM Connector.

VMware, Inc. 58

Eliminazione di un'istanza diVMware Identity ManagerConnector 10È possibile eliminare un'istanza di VMware Identity Manager Connector dal servizioVMware Identity Manager. L'istanza di connettore non può essere eliminata se è associata a unadirectory.

È ad esempio possibile scegliere di eliminare un'istanza di connettore se si desidera utilizzare lo stessonome host per una nuova istanza di connettore.

Procedura

1 Accedere alla console di amministrazione di VMware Identity Manager.

2 Selezionare la scheda Gestione identità e accessi, quindi fare clic su Configura.

3 Se all'istanza di connettore che si desidera eliminare è associata una directory, eliminare innanzituttola directory.

a Fare clic sul nome della directory nella colonna Directory associata.

b Fare clic su Elimina directory.

4 Nella pagina Configura > Connettori, fare clic sull'icona Elimina accanto all'istanza del connettoreche si desidera eliminare e fare clic su Conferma.

L'istanza di connettore verrà eliminata dal servizio VMware Identity Manager.

5 Disinstallare VMware Identity Manager Connector dall'istanza di Windows Server in cui è installato.

VMware, Inc. 59

Migrazione della directory daACC a VMware Identity ManagerConnector 11I clienti di Workspace ONE che distribuiscono la sincronizzazione di Active Directory conVMware Identity Manager utilizzando AirWatch Cloud Connector (ACC) devono eseguire una proceduradi migrazione se desiderano sfruttare la funzionalità aggiuntiva inclusa in VMware Identity ManagerConnector. Questa procedura unica consente di convertire la directory di ACC di tipo Altra directory inuna directory di tipo Active Directory su LDAP o Active Directory su Autenticazione integrata di Windows,che sono associate a VMware Identity Manager Connector. L'esecuzione di questa procedura nondetermina la rimozione della directory esistente, né dei permessi eventualmente associati alla directory.

La conversione della directory di tipo Altra directory include le attività seguenti.

1 Convertire Altra directory in Active Directory su LDAP o Active Directory su Autenticazione integratadi Windows.

2 Configurare metodi di autenticazione aggiuntivi del connettore VMware Identity Manager, senecessario. Il metodo di autenticazione Password è disponibile per impostazione predefinita.

3 Modificare il criterio predefinito e tutti gli eventuali criteri personalizzati in modo che utilizzino o ilmetodo di autenticazione di un altro connettore di VMware Identity Manager anziché Password(AirWatch Connector).

4 Interrompere la sincronizzazione di utenti e gruppi da AirWatch alla directory diVMware Identity Manager.


n Conversione di Altra directory in Active Directory su LDAP o Active Directory su Autenticazioneintegrata di Windows

n Interruzione della sincronizzazione di Workspace ONE UEM con VMware Identity Manager

Conversione di Altra directory in Active Directory suLDAP o Active Directory su Autenticazione integrata diWindowsÈ possibile convertire una directory di tipo Altra directory, che include gli utenti e i gruppi sincronizzati daWorkspace ONE UEM, in una directory di tipo Active Directory su LDAP o Active Directory suAutenticazione integrata di Windows, che sono associate a VMware Identity Manager Connector. Dopo laconversione della directory, per sincronizzare utenti e gruppi della directory aziendale conVMware Identity Manager viene utilizzato VMware Identity Manager Connector anziché ACC.

VMware, Inc. 60

Prerequisiti

n Installare e attivare VMware Identity Manager Connector.

Per utilizzare alcune funzionalità, è necessario aggiungere Windows Server al dominio e installare ilcomponente VMware Identity Manager Connector come utente del dominio che fa parte del gruppo diamministratori in Windows Server, nonché scegliere di eseguire il servizio IDM Connector comeutente del dominio di Windows.

Questo requisito si applica ai casi seguenti.

n Se si intende convertire la directory di tipo Altra directory in Active Directory su Autenticazioneintegrata di Windows


n Se si intende integrare Horizon View con VMware Identity Manager e si desidera utilizzarel'opzione Esegui sincronizzazione delle directory o Configurazione del server di connessione 5.x

n Sono necessarie le informazioni seguenti relative ad Active Directory:

n Se si esegue la conversione in Active Directory su LDAP, è necessario specificare il nome distintodi base, nonché il nome distinto di binding e la password corrispondente. L'uso di un utenteNome distinto di binding con una password che non ha scadenza è consigliato.

n Se si esegue la conversione in Active Directory su Autenticazione integrata di Windows, ènecessario specificare l'indirizzo UPN e la password dell'utente Bind del dominio. L'uso di unutente Nome distinto di binding con una password che non ha scadenza è consigliato.

n Se Active Directory richiede l'accesso su SSL o STARTTLS, il certificato CA root del controller deldominio di Active Directory è obbligatorio.

n Per Active Directory su Autenticazione integrata di Windows, se sono configurate più foreste diActive Directory e il gruppo Dominio locale contiene membri di domini di altre foreste, assicurarsiche l'utente di binding sia aggiunto al gruppo Amministratori del dominio in cui si trova il gruppoDominio locale. In caso contrario, tali membri risulteranno mancanti dal gruppo Dominio locale.

Procedura

1 Nella console di amministrazione di VMware Identity Manager, fare clic sulla scheda Gestioneidentità e accessi, quindi sulla scheda Directory.

2 Fare clic sulla directory che si desidera convertire.

3 Nella pagina della directory, fare clic sul pulsante Converti.

4 Nella pagina Aggiungi directory, modificare il nome della directory, se necessario, e selezionare il tipodi directory in cui si desidera convertire la directory di tipo Altra directory, ovvero Active Directory suLDAP o Active Directory (autenticazione integrata di Windows).

5 Immettere le informazioni relative alla connessione di Active Directory e continuare la proceduraguidata per configurare la directory.

Per informazioni, vedere la sezione relativa alla "configurazione della connessione di Active Directoryal servizio" nella guida di integrazione di Active Directory con VMware Identity Manager.


VMware, Inc. 61

Seguire queste indicazioni.

n Nel campo Sincronizza connettore, selezionare l'istanza di VMware Identity ManagerConnector installata.

n Nella sezione Sincronizzazione e autenticazione directory, selezionare Sì perAutenticazione, a meno che per l'autenticazione non si intenda utilizzare un provider di identitàdi terze parti anziché il connettore.

n Assicurarsi di configurare la directory convertita come la directory di Workspace ONE UEM, inmodo che abbia la stessa struttura. Selezionare gli stessi domini. Quando si specificano gli utentie i gruppi da sincronizzare, effettuare selezioni analoghe a quelle della directory di WorkspaceONE UEM in modo che nella directory convertita vengano sincronizzati gli stessi utenti e gruppi.

6 Nell'ultima pagina della procedura guidata, fare clic su Sincronizza directory.

La directory viene convertita e configurata per l'utilizzo di VMware Identity Manager Connector. Vienecreato un provider di identità Workspace, se non ne esiste già uno, e la directory viene associataautomaticamente a questo provider di identità. Il metodo di autenticazione Password è già abilitatoper la directory.

7 (Facoltativo) Per abilitare altri metodi di autenticazione per la directory, eseguire questi passaggi.

a Nella scheda Gestione identità e accessi fare clic su Configura.

b Nella pagina Connettori, individuare il connettore e il worker a cui la directory convertita èassociata e fare clic sul collegamento nella colonna Worker.

c Nella pagina del worker, fare clic sulla scheda Adattatori autenticazione.

d Configurare e abilitare gli adattatori di autenticazione che si desidera utilizzare per la directoryfacendo clic sul collegamento corrispondente e immettendo le informazioni di configurazione.

Per ulteriori informazioni sulla configurazione degli adattatori di autenticazione, vedereAmministrazione di VMware Identity Manager.

8 Modificare default_access_policy_set e tutti gli eventuali criteri personalizzati in modo che venganoselezionati i metodi di autenticazione di VMware Identity Manager Connector anziché Password(AirWatch Connector).

a Nella scheda Gestione identità e accessi, fare clic sulla scheda Criteri.

b Fare clic su Modifica criterio predefinito.

c Fare clic su Configurazione.


VMware, Inc. 62

d Modificare ogni regola del criterio e sostituire il metodo di autenticazione Password (AirWatchConnector) con Password, che è un metodo di autenticazione di VMware Identity ManagerConnector.

e Fare di nuovo clic sulla scheda Criteri e modificare i criteri personalizzati eventualmente presentiin modo che utilizzino Password o qualsiasi altro metodo di autenticazione diVMware Identity Manager Connector configurato.

Importante Se non si sostituisce Password (Airwatch Connector) con Password o un altrometodo di autenticazione basato su VMware Identity Manager Connector, gli utenti della directoryconvertita non potranno accedere.


Interrompere la sincronizzazione della directory da Workspace ONE UEM alla directory convertita.

Interruzione della sincronizzazione di Workspace ONEUEM con VMware Identity ManagerDopo aver convertito la directory di tipo Altra directory in Active Directory su LDAP o Active Directory suAutenticazione integrata di Windows e averla associata a un'istanza di VMware Identity ManagerConnector, VMware Identity Manager Connector viene utilizzato per sincronizzare utenti e gruppi delladirectory aziendale con la directory convertita. È necessario interrompere la sincronizzazione di utenti egruppi di Workspace ONE UEM con la directory di VMware Identity Manager.

Procedura

1 Nella console di Workspace ONE UEM, passare al proprio gruppo di organizzazioni.

2 Passare alla pagina Gruppi e impostazioni > Tutte le impostazioni > Sistema > Integrazioneaziendale > VMware Identity Manager.

3 Fare clic sul pulsante Elimina nella parte inferiore della pagina.

In questo modo, la conversione della directory viene completata. Gli utenti e i gruppi vengono orasincronizzati dalla directory aziendale al servizio VMware Identity Manager mediante VMware IdentityManager Connector. Gli utenti possono continuare ad accedere e utilizzare le loro applicazioni.

Nota È possibile che il nome di dominio visualizzato nella pagina di accesso sia diverso dopo laconversione della directory se il nome del dominio è diverso dal nome NetBIOS del dominio. Se siesegue la sincronizzazione di Workspace ONE UEM, viene visualizzato il nome NetBIOS del dominio. Sesi esegue la sincronizzazione di VMware Identity Manager Connector, viene visualizzato il nome deldominio.


VMware, Inc. 63

Risoluzione dei problemi diVMware Identity ManagerConnector 12Gli argomenti relativi alla risoluzione dei problemi descrivono problemi comuni e soluzioni perl'installazione e la gestione di VMware Identity Manager Connector in Windows.

Questo capitolo include i seguenti argomenti:n Reimpostazione della password dell'utente admin per VMware Identity Manager Connector

n Errore di inizializzazione di Kerberos

Reimpostazione della password dell'utente admin perVMware Identity Manager ConnectorÈ possibile modificare la password dell'utente amministratore di VMware Identity Manager Connectordalle pagine di amministrazione del connettore all'indirizzo https://connectorFQDN:8443/cfg/login.Tuttavia, se non si riesce ad accedere ed è necessario reimpostare la password, è possibile utilizzare loscript hznSetAdminPassword.bat per reimpostare la password.

Procedura

1 Nel server Windows, aprire la finestra del prompt dei comandi.

2 Passare alla cartella INSTALL_DIR\VMware IdentityManager\Connector\usr\local\horizon\bin:

cd INSTALL_DIR\VMware Identity Manager\Connector\usr\local\horizon\bin

dove INSTALL_DIR è la directory di installazione di VMware Identity Manager Connector.

3 Eseguire il comando seguente:

hznSetAdminPassword.bat newPassword

Errore di inizializzazione di KerberosQuando si configura l'adattatore dell'autenticazione Kerberos, viene visualizzato un messaggio di erroreche indica che l'inizializzazione di Kerberos non è riuscita.

VMware, Inc. 64

ProblemaDurante l'installazione di VMware Identity Manager Connector, se non si seleziona l'opzione Eseguire ilservizio IDM Connector come account utente del dominio? o se si seleziona l'opzione ma si specificaun account di dominio che non dispone delle autorizzazioni per creare, eliminare e gestire gli accountutente in Active Directory, non è possibile inizializzare Kerberos dopo l'installazione. Quando si tenta diconfigurare l'adattatore dell'autenticazione Kerberos, viene visualizzato un messaggio di errore che indicache l'inizializzazione di Kerberos non è riuscita.

SoluzioneEseguire lo script setupkerberos.bat con un account utente che disponga di privilegi più elevati.Utilizzare un account che:

n Sia un utente del dominio

n Disponga delle autorizzazioni per creare, eliminare e gestire gli account utente in Active Directory (imembri dei gruppi Admin Users e Account Operators hanno tali diritti)

n Faccia parte del gruppo di amministratori nell'istanza di Windows Server in cui VMware IdentityManager Connector è installato

Questo account utente con privilegi più elevati è necessario solo temporaneamente per eseguire lo scripte non verrà memorizzato o utilizzato di nuovo per i servizi del connettore. Dopo avere eseguito lo script, èpossibile continuare a configurare l'adattatore dell'autenticazione Kerberos con l'account utente originaleche si stava utilizzando.

Per eseguire lo script:

1 Accedere al computer del connettore Windows e passare alla directory InstallDir\VMwareIdentity Manager\Connector\usr\local\horizon\scripts.

2 Fare clic con il pulsante destro del mouse su setupkerberos.bat e selezionare Esegui comeamministratore.

3 Immettere l'account utente con privilegi più elevati come descritto in precedenza.

Dopo che lo script è stato eseguito correttamente, viene visualizzato un messaggio di conferma.

4 Accedere alla console di VMware Identity Manager con l'account utente originale che si stavautilizzando e configurare l'adattatore dell'autenticazione Kerberos.

Informazioni sullo script setupkerberos.batLo script setupkerberos.bat esegue le seguenti attività:

1 Consente di creare un account del servizio con lo stesso nome dell'account del computer (senza $)

2 Imposta una password casuale per l'account

3 Genera un file keytab per l'account, archiviato in /usr/horizon/conf


VMware, Inc. 65

4 Mappa l'entità della macchina specificata come un SPN all'interno dell'account


VMware, Inc. 66

Installazione e Connector 19.03.0.0 (Windows)€¦ · Sommario Installazione e configurazione di...

Documents

Transcript of Installazione e Connector 19.03.0.0 (Windows)€¦ · Sommario Installazione e configurazione di...