VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager...
Transcript of VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager...
VMware Identity Managervoor Windows installerenen configurerenSEPT 2018VMware Identity Manager 3.3
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 2
U vindt de recentste technische documentatie op de website van VMware:
https://docs.vmware.com/nl/
Op de VMware-website vindt u tevens de nieuwste productupdates.
Als u opmerkingen over deze documentatie heeft, kunt u uw feedback sturen naar:
Copyright © 2018 VMware, Inc. Alle rechten voorbehouden. Informatie over copyright en handelsmerken.
VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com
VMware Nederland B.V.Key Office Papendorp3e verdiepingOrteliuslaan 850UtrechtNederlandTel: +31 (0) 30-2849500Fax: +31 (0) 30- 2849501www.vmware.com/nl
Inhoud
Over het installeren en configureren van VMware Identity Manager voor Windows 5
1 Overzicht van VMware Identity Manager Services 6
2 Installatie van VMware Identity Manager voor Windows voorbereiden 9
Vereisten voor systeem- en netwerkconfiguratie 9
Maak DNS-records en IP-adressen 15
De database van VMware Identity Manager Service maken 16
Implementatiecontrolelijsten 23
3 Customer Experience Improvement Program 25
4 De machine met de VMware Identity Manager achter een load balancer
implementeren 26Een load-balancer of reverse proxy gebruiken om externe toegang tot VMware Identity Manager in
te schakelen 26
5 VMware Identity Manager Service instellen 29
VMware Identity Manager installeren 29
De installatie voltooien met de installatiewizard 33
De machine met de VMware Identity Manager achter een load balancer implementeren 34
Een load-balancer of reverse proxy gebruiken om externe toegang tot VMware Identity Manager in
te schakelen 34
Het basiscertificaat van VMware Identity Manager toepassen op de load-balancer 37
Basiscertificaat van load-balancer toepassen op VMware Identity Manager 38
Failover en redundantie configureren in één datacenter (Windows) 40
Active Directory of LDAP-directoryverbindingen instellen 45
Goedgekeurde IP-adressen aan uw externe firewall toevoegen 55
Proxyinstellingen inschakelen na de installatie 56
De licentiecode invoeren 57
6 Instellingen voor VMware Identity Manager -configuratie beheren 58
Configuratie-instellingen voor de appliance wijzigen 59
SSL-certificaten gebruiken 59
VMware Identity Manager configureren om een externe database te gebruiken 62
De URL van de VMware Identity Manager-service wijzigen 63
De connector-URL aanpassen 64
Logboekbestandsgegevens 64
VMware, Inc. 3
Uw wachtwoord beheren 66
SMTP-instellingen configureren 67
7 Installatie- en configuratieproblemen oplossen 69
Na synchronisatie van de directory worden geen leden in de groepen weergegeven 69
Problemen met Elasticsearch oplossen 70
8 VMware Identity Manager controleren 71
Aanbevelingen voor controleren van hardwarebelastingscapaciteit 71
VMware Identity Manager URL-endpoints voor controle 72
Systeem logboekregistratie 80
Standaardgeheugen wijzigen dat is toegewezen aan VMware Identity Manager Service 81
9 Limieten instellen 83
Limieten instellen voor VMware Identity Manager Service 83
Limieten instellen voor VMware Identity Manager Connector 86
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 4
Over het installeren en configureren vanVMware Identity Manager voor Windows
VMware Identity Manager installeren en configureren biedt informatie over het installeren en configurerenvan de VMware Identity Manager-service op Windows-servers voor implementaties op locatie. Nadat deinstallatie is voltooid, kunt u de VMware Identity Manager-console gebruiken om gebruikers op meerderebeheerde apparaten toegang te verlenen tot de applicaties van uw organisatie, waaronderwebapplicaties, Horizon-applicaties en -desktops en gepubliceerde Citrix-bronnen. In de handleidingwordt ook uitgelegd hoe u uw implementatie voor hoge beschikbaarheid kunt configureren.
DoelgroepDeze informatie is bedoeld voor beheerders van VMware Identity Manager. De informatie is geschrevenvoor ervaren beheerders van Windows- en Linux-systemen die vertrouwd zijn met VMware-technologie,met name vCenter™, ESX™, vSphere®, netwerkconcepten, Active Directory-servers, databases, back-up- en herstelprocedures, Simple Mail Transfer Protocol (SMTP) en NTP-servers. Kennis van anderetechnologieën, zoals RSA SecurID, is handig als u deze functies wilt implementeren.
VMware, Inc. 5
Overzicht vanVMware Identity ManagerServices 1VMware Identity Manager is het onderdeel voor identiteits- en toegangsbeheer van Workspace ONE.Naast Workspace ONE UEM en VMware Horizon kan VMware Identity Manager een universeleapplicatiecatalogus implementeren met web-, systeemeigen en virtuele applicaties.
VMware Identity Manager is ook essentieel om Single Sign-On voor mobiel en voorwaardelijke toegang,die apparaatbeheer en compliancecontroles bevat, te implementeren. VMware Identity Manager isbeschikbaar in gedeelde SaaS en implementatiemodellen op locatie.
Deze handleiding beschrijft hoe u VMware Identity Manager voor Windows implementeert in eenomgeving op locatie, met inbegrip van configuraties voor hoge beschikbaarheid en load balancers.Aanbevolen implementatiepatronen en hoe u de database, connector en VMware Identity Manager-servers schaalt op basis van de grootte van uw organisatie, worden beschreven in het hoofdstukInstallatie van VMware Identity Manager voorbereiden.
De afbeelding VMware Identity Manager voor het Windows-implementatiemodel bevat hetimplementatiepatroon op hoog niveau voor Workspace ONE. De Workspace ONE UEM-apparaatserviceen VMware Identity Manager-service worden geïmplementeerd in de DMZ waar apparaten direct toeganghebben tot de services. De service VMware Horizon wordt geïmplementeerd in het interne netwerk.
Figuur 1‑1. Implementatiemodel van VMware Identity Manager voor Windows
VMware IdentityManager-server
AirWatch-server
Active Directory/
andere directoryservices
Horizon Server
Connectoren
Op locatie
Workspace ONE-implementatie
DMZ
Bedrijfsnetwerk
VMware, Inc. 6
De afbeelding van het VMware Identity Manager-architectuurdiagram voor typische implementaties bevateen gedetailleerd diagram met de configuratie van de load balancer die is vereist voor een geclusterdeVMware Identity Manager.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 7
Figuur 1‑2. VMware Identity Manager-architectuurdiagram voor typische implementaties
Externe apparatenHTTP(s) 80/88/443
en iOS
Poort 443/88Poort 443/88/5262
Poort 443
Poort 443
Poort 80
8 GBLoad-balancer
Identity Manager
Identity ManagerDB-server
Enterprise Connector
Beheerders
RSA/DNS/DC53/88/464/135/5500
LDAP 389/636/3268/3269
Poort 80
Poort 443
AD/LDAP
SMTP-server
Enterprise- certificatieautoriteit
Workspace OneIntelligence Connector
Interne apparaten
Externefirewall
Loadbalancer
Loadbalancer
Interne firewall
DMZ
Intern netwerk
HTTP(s) 80/443
Poort 443/88/5262
Poort 1443
Poort 1443
Poort 8443
Poort 443
4 core 100 GB
40 GBDB 12 core 300 GB
12 GB 6 core 100 GB
8 GB 1 core 50 GB
Internet
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 8
Installatie vanVMware Identity Manager voorWindows voorbereiden 2VMware Identity Manager Service kan worden geïnstalleerd op een nieuwe zelfstandige server of in eencluster van drie of meer knooppunten.
Denk na over uw gehele implementatie, onder andere over hoe u bronnen integreert, en wanneer ubeslissingen neemt over hardware, bronnen en netwerkvereisten.
Dit hoofdstuk omvat de volgende onderwerpen:
n Vereisten voor systeem- en netwerkconfiguratie
n Maak DNS-records en IP-adressen
n De database van VMware Identity Manager Service maken
n Implementatiecontrolelijsten
Vereisten voor systeem- en netwerkconfiguratieDenk na over uw gehele implementatie, onder andere over hoe u bronnen integreert, en wanneer ubeslissingen neemt over hardware, bronnen en netwerkvereisten.
Groottevereisten voor de hardwareZorg ervoor dat u voldoet aan de hardwarevereisten voor VMware Identity Manager-installaties voorWindows.
Aantal gebruikers Tot 1.000 1000-10.000 10.000-25.000 25.000-50.000 50.000-100.000
AantalVMware IdentityManager-servers
1 server 3 servers met loadbalancing
3 servers met loadbalancing
3 servers met loadbalancing
3 servers met loadbalancing
CPU (per server) 2 CPU's 2 CPU's 4 CPU's 8 CPU's 8 CPU's
RAM (per server) 6 GB 6 GB 8 GB 16 GB 32 GB
Schijfruimte (perserver)
60 GB 100 GB 100 GB 100 GB 100 GB
Als u extra, externe connectoren installeert, moet u ervoor zorgen dat u aan de volgende vereistenvoldoet.
VMware, Inc. 9
Aantal gebruikers Tot 1.000 1000-10.000 10.000-25.000 25.000-50.000 50.000-100.000
Aantalconnectorservers
1 server 2 servers met loadbalancing
2 servers met loadbalancing
2 servers met loadbalancing
2 servers met loadbalancing
CPU (per server) 2 CPU's 4 CPU's 4 CPU's 4 CPU's 4 CPU's
RAM (per server) 6 GB 6 GB 8 GB 16 GB 16 GB
Schijfruimte (perserver)
60 GB 60 GB 60 GB 60 GB 60 GB
Softwarevereisten voor Windows-installatieZorg ervoor dat uw VMware Identity ManagerWindows-server voldoet aan alle onderstaandesoftwarevereisten.
Vereiste Opmerkingen
Ondersteunde versies van Windows Servern Windows Server 2008 R2n Windows Server 2012 R2n Windows Server 2016
PowerShell 4.0 of hoger Active Directory-module voor PowerShell (RSAT-AD-PowerShell)
JRE 1.8 geïnstalleerd Het installatieprogramma voor VMware Identity Managerinstalleert de nieuwste versie, als deze niet is geïnstalleerdvóór de implementatie.
Als uw JRE een oudere versie is, werkt hetinstallatieprogramma de versie automatisch bij, maar wordt debestaande JRE niet verwijderd. U moet eerdere versieshandmatig verwijderen.
RabbitMQ Server Het installatieprogramma voor VMware Identity Managerinstalleert RabbitMQ Server, als dit niet is geïnstalleerd vóór deimplementatie.
Erlang Het installatieprogramma voor VMware Identity Managerinstalleert Erlang, als dit niet is geïnstalleerd vóór deimplementatie.
DatabasevereistenStel VMware Identity Manager in met een externe Microsoft SQL-database om servergegevens op teslaan en te ordenen.
Raadpleeg voor meer informatie over de Microsoft SQL-databaseversies en servicepackconfiguraties dieworden ondersteund, de VMware-productinteroperabiliteitsmatrix op https://www.vmware.com/resources/compatibility/sim/interop_matrix.php.
De volgende vereisten gelden voor een externe SQL Server-database. De exacte specificaties die nodigzijn voor uw SQL-server, zijn afhankelijk van de grootte en de behoeften van uw implementatie.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 10
Aantal gebruikers Tot 1.000 1000-10.000 10.000-25.000 25.000-50.000 50.000-100.000
CPU 2 CPU's 2 CPU's 4 CPU's 8 CPU's 8 CPU's
RAM 4 GB 4 GB 8 GB 16 GB 32 GB
Schijfruimte 50 GB 50 GB 50 GB 100 GB 100 GB
De SQL Server AlwaysOn-mogelijkheid is een combinatie van failoverclustering en databasespiegelingmet logboekverzending voor hoge beschikbaarheid. AlwaysON staat meerdere leesexemplaren van uwdatabase en één lees- en schrijfexemplaar voor bewerkingen toe. Als uw implementatieomgevingvoldoende bandbreedte heeft voor het gegenereerde verkeer, ondersteunt de VMware Identity Manager-database AlwaysOn.
Vereisten voor netwerkconfiguratie
Onderdeel Minimumvereiste
DNS-record en IP-adres IP-adres en DNS-record
VMware Identity Manager gebruikt de hostname.domainname ofhostname.workgroupname tijdens de installatie. Deze namen moeten worden ingesteldzodat deze overeenkomen met de DNS-naam van de server.
Firewallpoort Zorg ervoor dat de ingaande firewallpoort 443 naar de VMware Identity Manager-instantie of de load-balancer is geopend voor gebruikers.
Reverse proxy Implementeer een reverse proxy zoals F5 Access Policy Manager in DMZ omgebruikers toe te staan op afstand toegang te krijgen tot de VMware Identity Manager-gebruikersportal.
VMware Unified Access Gateway 2.8 en hoger biedt ondersteuning voor de functiereverse proxy zodat gebruikers op een veilige manier op afstand toegang hebben tot deuniforme catalogus van VMware Identity Manager. Unified Access Gateway kan wordengeïmplementeerd in de DMZ achter de front-end load balancers van de VMware IdentityManager-appliance.
Vereisten voor de poortenDe poorten die worden gebruikt in de serverconfiguratie, worden hieronder beschreven. Uwimplementatie kan slechts een subset van deze poorten bevatten. Bijvoorbeeld:
n Als u gebruikers en groepen wilt synchroniseren vanuit Active Directory, moetVMware Identity Manager zijn verbonden met Active Directory.
Poort Protocol Source Target Beschrijving
443 HTTPS Load-balancer VMware Identity Manager-machine
443 HTTPS VMware Identity Manager-machine
Load-balancer Nodig om de vollediggekwalificeerdedomeinnaam van deload balancer tevalideren wanneerdeze is ingesteld.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 11
Poort Protocol Source Target Beschrijving
443, 8443 HTTPS/HTTP
VMware Identity Manager-machine
VMware Identity Manager-machine Voor alle VMwareIdentity Manager-instanties in eencluster en inmeerdere clusters inverschillendedatacentrums.
443 HTTPS Browsers VMware Identity Manager-machine
443 HTTPS VMware Identity Manager-machine
discovery.awmdm.com Toegang voorautomatischeontdekking vanWorkspace ONE App
443 HTTPS VMware Identity Manager-machine
catalog.vmwareidentity.com Toegang totcloudcatalogus
8443 HTTPS Browsers VMware Identity Manager-machine Poort voorbeheerders
25 SMTP VMware Identity Manager-machine
SMTP Poort om uitgaandee-mails door tegeven
389
636
3268
3269
LDAP
LDAPS
MSFT-GC
MSFT-GC-SSL
VMware Identity Manager-machine
Active Directory Destandaardwaardenwordenweergegeven. Dezepoorten kunnenwordengeconfigureerd.
5500 UDP VMware Identity Manager-machine
RSA SecurID-systeem De standaardwaardewordt weergegeven.Deze poort kanwordengeconfigureerd.
53 TCP/UDP VMware Identity Manager-machine
DNS-server Elke virtual appliancemoet toeganghebben tot de DNS-server op poort 53 eninkomend SSH-verkeer moet zijningeschakeld oppoort 22.
88, 464,135, 445
TCP/UDP VMware Identity Manager-machine
Domeincontroller
9300 TCP VMware Identity Manager-machine
VMware Identity Manager-machine Auditbehoeften
54328 UDP
5701 TCP VMware Identity Manager-machine
VMware Identity Manager-machine Hazelcast-cache
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 12
Poort Protocol Source Target Beschrijving
40002
40003
TCP VMware Identity Manager-machine
VMware Identity Manager-machine Ehcache
1433 TCP VMware Identity Manager-machine
Database De standaardpoortvoor Microsoft SQL is1433.
443 VMware Identity Manager-machine
View-server Toegang tot de View-server
80, 443 TCP VMware Identity Manager-machine
Integration Broker-server Verbinding met deIntegration Broker.De poortoptie isafhankelijk van deinstallatie van eencertificaat op deIntegration Broker-server
443 HTTPS VMware Identity Manager-machine
AirWatch REST API Voorcompliancecontrolevan het apparaat ende verificatiemethodevan het AirWatchCloud Connector-wachtwoord, als datwordt gebruikt.
88 UDP Unified Access Gateway VMware Identity Manager-machine UDP-poort die moetworden geopendvoor mobiele SSO
5262 TCP mobiel Android-apparaat AirWatch HTTPS-proxyservice AirWatch Tunnel-client leidt verkeernaar de HTTPS-proxy voor Android-apparaten.
88 UDP mobiel iOS-apparaat VMware Identity Manager-machine Poort die wordtgebruikt voorKerberos-verkeervan iOS-apparatennaar de in de cloudgehoste KDC-service.
443 HTTPS/TCP
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 13
Poort Protocol Source Target Beschrijving
514 UDP VMware Identity Manager-machine
syslog-server UDP
Voor externe Syslog-server, indiengeconfigureerd
88 UDP VMware Identity Manager-machine
Hybride KDC-server in de cloud.Hostnaam is kdc.<realm>.Bijvoorbeeld:kdc.op.vmwareidentity.com
UDP-poort die wordtgebruikt omconfiguratie-updatesvan deverificatieadaptervoor Mobiele SSOvoor iOS te verifiërendie in de KDC-service in de cloudworden opgeslagen.Deze poort wordtalleen gebruikt als dehybride KDC-functieMobiele SSO vooriOS wordt gebruikt.
Ondersteunde directory'sU kunt uw bedrijfsdirectory integreren met VMware Identity Manager om gebruikers en groepen van uwbedrijfsdirectory te synchroniseren met de service.
n De Active Directory-omgeving kan bestaan uit één domein van Active Directory, meerdere domeinenin één forest van Active Directory of meerdere domeinen over meerdere forests van Active Directory.
VMware Identity Manager ondersteunt Active Directory in Windows 2008, 2008 R2, 2012 en 2012 R2en 2016 met het functionaliteitsniveau domein en het functionaliteitsniveau forest voor Windows 2003en hoger.
Opmerking Voor bepaalde functies is mogelijk een hoger functioneel niveau vereist. Bijvoorbeeld:als u wilt dat gebruikers de Active Directory-wachtwoorden kunnen wijzigen via Workspace ONE,moet het functionaliteitsniveau Domein Windows 2008 of hoger zijn.
Ondersteunde webbrowsers om toegang te krijgen tot deVMware Identity Manager -consoleDe VMware Identity Manager-console is een webapplicatie die u gebruikt om uw tenant te beheren. Ukunt de VMware Identity Manager-console benaderen vanaf de laatste versies van Mozilla Firefox,Google Chrome, Safari, Microsoft Edge en Internet Explorer 11.
Opmerking In Internet Explorer 11 moet JavaScript zijn ingeschakeld en moeten cookies wordentoegestaan om te kunnen verifiëren via VMware Identity Manager.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 14
Ondersteunde browsers voor toegang tot Workspace ONE-portalEindgebruikers hebben toegang tot de Workspace ONE-portal via de volgende browsers.
n Mozilla Firefox (meest recente versie)
n Google Chrome (meest recente versie)
n Safari (meest recente versie)
n Internet Explorer 11
n Microsoft Edge-browser
n Systeemeigen browser en Google Chrome op Android-apparaten
n Safari op iOS-apparaten
Opmerking In Internet Explorer 11 moet JavaScript zijn ingeschakeld en moeten cookies wordentoegestaan om te kunnen verifiëren via VMware Identity Manager.
Maak DNS-records en IP-adressenEen DNS-vermelding en een statisch IP-adres moeten beschikbaar zijn voor de virtual appliance van deVMware Identity Manager. Aangezien elk bedrijf zijn IP-adressen en DNS-records op een andere wijzebeheert, vraagt u, voordat u met de installatie begint, om de DNS-record en de IP-adressen die u wiltgebruiken.
Reverse lookup configureren is optioneel. Wanneer u reverse lookup implementeert, moet u een PTR-record definiëren op de DNS-server, zodat de virtual appliance de juiste netwerkconfiguratie gebruikt.
U kunt de volgende lijst voorbeelden van DNS-records gebruiken wanneer u uw netwerkbeheerderspreekt. Vervang de voorbeeldinformatie door informatie uit uw omgeving. Dit voorbeeld toont forwardDNS-records en IP-adressen.
Tabel 2‑1. Voorbeelden van forward DNS-records en IP-adressen
Domeinnaam Brontype IP-adres
myidentitymanager.example.com De 10.28.128.3
Dit voorbeeld toont reverse DNS-records en IP-adressen.
Tabel 2‑2. Voorbeelden van reverse DNS-records en IP-adressen
IP-adres Brontype Hostnaam
10.28.128.3 PTR myidentitymanager.example.com
Nadat u de configuratie van DNS hebt voltooid, controleert u of de reverse DNS-lookup goed isgeconfigureerd. De opdracht host IPaddress van de virtual appliance moet bijvoorbeeld leiden tot hetopzoeken van de DNS-naam.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 15
Kerberos-verificatie plannenAls u van plan bent om Kerberos-verificatie in te stellen, houdt u rekening met de volgende vereisten:
n In een scenario waarbij u de ingesloten connector in VMware Identity Manager voor Kerberos-verificatie gebruikt, moet de naam van de VMware Identity Manager-host overeenkomen met hetActive Directory-domein waaraan VMware Identity Manager wordt toegevoegd. Bijvoorbeeld: als hetActive Directory-domein sales.example.com is, moet de naam van de VMware Identity Manager-hostvidmhost.sales.example.com zijn.
Als u geen hostnaam kunt toewijzen die overeenkomt met de structuur van het Active Directory-domein, moet u VMware Identity Manager en Active Directory handmatig configureren. Zie deKnowledge Base voor meer informatie.
n In een scenario waarbij u externe connectoren voor Kerberos-verificatie gebruikt, moet de hostnaamvan de connector overeenkomen met het Active Directory-domein waaraan de connector wordttoegevoegd. Bijvoorbeeld: als het Active Directory-domein sales.example.com is, moet de hostnaamvan de connector connectorhost.sales.example.com zijn.
Als u geen hostnaam kunt toewijzen die overeenkomt met de structuur van het Active Directory-domein, moet u de connector en Active Directory handmatig configureren. Zie de Knowledge Basevoor meer informatie.
Een op Unix/Linux gebaseerde DNS-server gebruikenAls u een op Unix of Linux gebaseerde DNS-server gebruikt en van plan bent om de van deVMware Identity Manager toe te voegen aan het domein van Active Directory, zorgt u ervoor dat de juisteservicebronrecords (SRV) voor elke domeincontroller van Active Directory worden gemaakt.
Opmerking Als u een load balancer hebt met een Virtual IP-adres (VIP) vóór de DNS-servers, houd erdan rekening mee dat VMware Identity Manager het gebruik van een VIP niet ondersteunt. U kuntmeerdere DNS-servers specificeren die door een komma worden gescheiden.
De database van VMware Identity Manager Service makenDe VMware Identity Manager-service heeft een externe Microsoft SQL Server-database nodig omservergegevens op te slaan en te ordenen. Voordat u VMware Identity Manager installeert moet uwdatabasebeheerder een lege Microsoft SQL Server-database en een schema voorbereiden.
Wanneer u verbinding maakt met de Microsoft SQL-server, voert u de naam van de instantie in waarmeeu verbinding wilt maken, evenals de verificatiemodus. U kunt de Windows-verificatiemodus selecteren endomein\gebruikersnaam opgeven, of de SQL Server-verificatiemodus selecteren en de lokalegebruikersnaam en het wachtwoord opgeven.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 16
U brengt een koppeling tot stand met de externe databaseverbinding wanneer u deVMware Identity Manager-installatiewizard uitvoert. U kunt ook naar de pagina Appliance-instellingen >VA-configuratie > Installatie databaseverbinding gaan om de verbinding met de externe database teconfigureren.
U kunt Microsoft SQL Server gebruiken om een databaseomgeving met hoge beschikbaarheid in testellen.
Vereisten voor databaseserverVoordat u de Microsoft SQL-database configureert, zorgt u dat de hardware- en softwarevereisten juistzijn voor uw implementatie.
Voor de juiste grootte van uw servers raadpleegt u de handleiding VMware Workspace ONE UEMRecommended Architecture voor informatie over het aanpassen van de grootte van de hardware enandere technische details om ervoor te zorgen dat uw database correct kan worden geconfigureerd.
Softwarevereisten voor SQL Servern SQL Server 2012, SQL Server 2014 of SQL Server 2016 met clienthulpprogramma's (SQL
Management Studio, Reporting Services, Integration Services, SQL Server Agent, meest recenteservicepacks). Zorg ervoor dat de SQL-servers 64-bits zijn (zowel de OS- als de SQL-server). AlleenStandard- en Enterprise-edities worden ondersteund.
n .NET 4.6.2 is vereist voor het uitvoeren van het installatieprogramma van de database. Als u .NETniet op uw databaseserver wilt installeren, voert u het installatieprogramma van de database uit opeen andere Workspace ONE UEM-server of een linkserver waarop .NET kan worden geïnstalleerd.
n Zorg ervoor dat de SQL Server Agent Windows-service is ingesteld op Automatisch of Automatisch(vertraagd) als het starttype voor de service. Indien ingesteld op handmatig, moet de SQL ServerAgent Windows-service handmatig worden gestart vóór de installatie van de database.
TCP/IP ingeschakeldGebruik TCP/IP om verbinding te maken met de database en schakel Named pipes uit. Navigeer in SQLServer Configuration Manager naar de pagina Netwerkconfiguratie van SQL Server en selecteerProtocollen voor MSSQLSERVER.
De Microsoft SQL-database met Windows-verificatiemodusconfigurerenOm een Microsoft SQL-database voor de VMware Identity Manager te gebruiken, moet u een nieuwedatabase in de Microsoft SQL-server maken. Tijdens de installatie moet u een verificatiemodus voor dedatabase selecteren. Als u Windows-verificatie selecteert wanneer u de database maakt, voert u degebruikersnaam en het domein in. De gebruikersnaam en het domein worden ingevoerd alsdomain\username.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 17
Wanneer u de Microsoft SQL-opdrachten uitvoert, maakt u een database op de Microsoft SQL-server,voert u de naam van de database in, voegt u de aanmeldgegevens van de gebruiker toe en maakt u hetschema. De naam van het schema is saas.
Opmerking De standaardsortering is hoofdlettergevoelig.
Voorwaarden
n Ondersteunde versie van de Microsoft SQL-server is geïnstalleerd als een externe databaseserver.
n Implementatie van load-balancer is geconfigureerd.
n Windows-verificatie is geselecteerd als verificatiemodus.
n Beheerdersrechten om databasecomponenten te openen en te maken met behulp van Microsoft SQLServer Management Studio of van een andere Microsoft SQL Server CLI client.
Procedure
1 Meld u aan op de sessie van Microsoft SQL Server Management Studio als de systeembeheerdervan een gebruikersaccount met rechten van een systeembeheerder.
Het editorvenster verschijnt.
2 Klik in de werkbalk op Nieuwe zoekopdracht.
3 Als u de database met het standaardschema saas wilt maken, voert u de volgende opdrachten in heteditorvenster in.
/*
Values within angle brackets (< >) are example values. When replacing the example value,
remove the angle brackets. The database name is case sensitive. Make sure you enter the database
name the same in all instances.
*/
CREATE DATABASE <saasdb>
COLLATE Latin1_General_CS_AS;
ALTER DATABASE <saasdb> SET READ_COMMITTED_SNAPSHOT ON;
GO
IF NOT EXISTS
(SELECT name
FROM master.sys.server_principals
WHERE name=N'<domain\username>')
BEGIN
CREATE LOGIN [<domain\username>] FROM WINDOWS;
END
GO
USE <saasdb>;
IF EXISTS (SELECT * FROM sys.database_principals WHERE name=N'<domein\gebruikersnaam>')
DROP USER [<domein\gebruikersnaam>]
GO
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 18
CREATE USER [<domein\gebruikersnaam>] FOR LOGIN [<domein\gebruikersnaam>]
WITH DEFAULT_SCHEMA=saas;
GO
CREATE SCHEMA saas AUTHORIZATION "<domein\gebruikersnaam>"
GRANT ALL ON DATABASE::<saasdb> TO "<domein\gebruikersnaam>";
GO
ALTER ROLE db_owner ADD MEMBER "<domein\gebruikersnaam>";
GO
4 Klik op de werkbalk op Uitvoeren.
De databaseserver van Microsoft SQL is nu klaar om te worden verbonden met de database vanVMware Identity Manager.
De serverrol die is gebruikt om beveiligingsmachtigingen te verlenen voor de hele server, is ingesteldop openbaar. Het lidmaatschap van de databaserol is db_owner. Stel geen andere rollen in.
Wanneer u VMware Identity Manager voor Windows installeert, selecteert u deze instantie van dedatabaseserver om er verbinding mee te maken. Na de installatie worden de JDBC-URL en degebruikersnaam en het wachtwoord die voor de database zijn gemaakt, geconfigureerd op de paginaInstallatie databaseverbinding op de VMware Identity Manager-server. Zie VMware Identity Managerconfigureren om een externe database te gebruiken.
Microsoft SQL-database configureren met lokale SQL Server-verificatiemodusOm een Microsoft SQL-database voor de VMware Identity Manager te gebruiken, moet u een nieuwedatabase in de Microsoft SQL-server maken. Tijdens de installatie moet u een verificatiemodus voor dedatabase selecteren. Als u SQL Server-verificatie selecteert wanneer u de database maakt, voert u eenlokale gebruikersnaam en wachtwoord in.
Wanneer u de Microsoft SQL-opdrachten uitvoert, maakt u een database op de Microsoft SQL-server,voert u de naam van de database in, voegt u de aanmeldgegevens van de gebruiker toe en maakt u hetschema. Het schema wordt saas genoemd.
Opmerking De standaarddatabasesortering is hoofdlettergevoelig.
Voorwaarden
n Ondersteunde versie van de Microsoft SQL-server is geïnstalleerd als een externe databaseserver.
n Implementatie van load-balancer is geconfigureerd.
n SQL Server-verificatie is geselecteerd als verificatiemodus.
n Beheerdersrechten om databasecomponenten te openen en te maken met behulp van Microsoft SQLServer Management Studio of van een andere Microsoft SQL Server CLI client.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 19
Procedure
1 Meld u aan op de sessie van Microsoft SQL Server Management Studio als de systeembeheerdervan een gebruikersaccount met rechten van een systeembeheerder.
Het editorvenster verschijnt.
2 Klik in de werkbalk op Nieuwe zoekopdracht.
3 Als u de database met het standaardschema saas wilt maken, voert u de volgende opdrachten in heteditorvenster in.
/*
Values within angle brackets (< >) are example values. When replacing the example value,
remove the angle brackets. The database name is case sensitive. Make sure you enter the database
name the same in all instances.
*/
CREATE DATABASE <saasdb>
COLLATE Latin1_General_CS_AS;
ALTER DATABASE <saasdb> SET READ_COMMITTED_SNAPSHOT ON;
GO
BEGIN
CREATE LOGIN <gebruikersnaam_aanmelding> WITH PASSWORD = N'<wachtwoord>';
END
GO
USE <saasdb>;
IF EXISTS (SELECT * FROM sys.database_principals WHERE name=N'<gebruikersnaam_aanmelding>')
DROP USER [<loginusername>]
GO
CREATE USER [<gebruikersnaam_aanmelding>] FOR LOGIN [<gebruikersnaam_aanmelding>]
WITH DEFAULT_SCHEMA=saas;
GO
CREATE SCHEMA saas AUTHORIZATION <gebruikersnaam_aanmelding>
GRANT ALL ON DATABASE::<saasdb> TO <gebruikersnaam_aanmelding>;
GO
ALTER ROLE [db_owner] ADD MEMBER <gebruikersnaam_aanmelding>;
GO
4 Klik op de werkbalk op Uitvoeren.
De databaseserver van Microsoft SQL is nu klaar om te worden verbonden met de database vanVMware Identity Manager.
De serverrol die is gebruikt om beveiligingsmachtigingen te verlenen voor de hele server, is ingesteldop openbaar. Het lidmaatschap van de databaserol is db_owner. Stel geen andere rollen in.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 20
Wanneer u VMware Identity Manager voor Windows installeert, selecteert u deze instantie van dedatabaseserver om er verbinding mee te maken. Na de installatie worden de JDBC-URL en degebruikersnaam en het wachtwoord die voor de database zijn gemaakt, geconfigureerd op de paginaInstallatie databaseverbinding op de VMware Identity Manager-server. Zie VMware Identity Managerconfigureren om een externe database te gebruiken.
Bevestigen dat de Microsoft SQL-database correct isgeconfigureerdOm te bevestigen dat de Microsoft SQL-database correct is geconfigureerd om te werken metVMware Identity Manager, wordt het volgende script uitgevoerd nadat de database is geconfigureerd.
Voorwaarden
De Microsoft SQL-database wordt gemaakt voor VMware Identity Manager Service.
Procedure
1 Meld u aan bij de Microsoft SQL Server Management Studio-sessie met uw <saasdb>-gebruikersnaam en -wachtwoord voor aanmelding die zijn gemaakt in het script dat u heeft gebruiktom de database te maken.
Het editorvenster verschijnt.
2 Klik in de werkbalk op Nieuwe zoekopdracht.
3 Voer de volgende opdrachten uit. Bewerk de opdrachten zoals vereist.
execute as user = 'domain\username'
/* Check if user is db owner. Return true */
SELECT IS_ROLEMEMBER('db_owner') as isRoleMember
/* Make sure user is not sysadmin. Should return false */
SELECT IS_SRVROLEMEMBER('sysadmin') as isSysAdmin
/* check if saas schema exists, should be not null */
SELECT SCHEMA_ID('saas') as schemaId
/* check schema owner, should be user provided to installer */
SELECT SCHEMA_OWNER FROM INFORMATION_SCHEMA.SCHEMATA where SCHEMA_NAME='saas'
/* check if saas is user default schema, should return saas */
SELECT SCHEMA_NAME() as SchemaName
/* check db collation, should return Latin1_General_CS_AS */
SELECT DATABASEPROPERTYEX('<saasdb>', 'Collation') AS Collation
/* check if read committed snapshot is on, should return true */
SELECT is_read_committed_snapshot_on FROM sys.databases WHERE name='<saasdb>'
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 21
4 Klik op de werkbalk op Uitvoeren.
Als de configuratie onjuist is, worden foutberichten weergegeven. Voordat u doorgaat en het gebruikvan de externe Microsoft SQL-database door de VMware Identity Manager-service configureert,corrigeert u de problemen zoals beschreven in de foutberichten.
Wijzig Rollen op database-niveauWanneer het saas-schema wordt gebruikt voor het maken van de Microsoft SQL-database voor deVMware Identity Manager-service, wordt lidmaatschap van de databaserol toegekend aan de roldb_owner. Leden van de vaste databaserol db_owner kunnen alle configuraties enonderhoudsactiviteiten in de database uitvoeren.
Nadat de database is ingesteld en geconfigureerd in de VMware Identity Manager-service, kunt utoegang tot db_owner intrekken en db_datareader en db_datawriter toevoegen als de databaserollen.Leden van de rol db_datareader kunnen alle gegevens van alle gebruikerstabellen lezen. Leden van derol db_datawriter kunnen gegevens in alle gebruikerstabellen toevoegen, verwijderen of wijzigen.
Opmerking Als u toegang tot db_owner intrekt, moet u ervoor zorgen dat de rol db_owner opnieuwwordt toegekend voordat u een upgrade naar een nieuwe versie van VMware Identity Manager start.
Voorwaarden
Gebruikersrol voor de Microsoft SQL Server Management Studio als systeembeheerder of als eengebruikersaccount met rechten van een systeembeheerder.
Procedure
1 Maak verbinding met de database-instantie <saasdb> voor VMware Identity Manager in de MicrosoftSQL Server Management Studio-sessie als beheerder met rechten van een systeembeheerder.
2 Voor het intrekken van de rol db_owner in de database, voert u de volgende opdracht in
Verificatiemodus Opdracht
Windows-verificatie(domein\gebruiker) ALTER ROLE db_owner DROP MEMBER <domain\username>;
SQL Server-verificatie(lokale gebruiker) ALTER ROLE db_owner DROP MEMBER <loginusername>;
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 22
3 Rollidmaatschap db_datawriter en db_datareader toevoegen aan de database.
Verificatiemodus Opdracht
Windows-verificatie(domein\gebruiker) ALTER ROLE db_datawriter ADD MEMBER <domain\username>;
GO
ALTER ROLE db_datareader ADD MEMBER <domain\username>;GO
SQL Server-verificatie(lokale gebruiker) ALTER ROLE db_datawriter ADD MEMBER <loginusername>;
GOALTER ROLE db_datareader ADD MEMBER <loginusername>;GO
ImplementatiecontrolelijstenU kunt de implementatiecontrolelijst gebruiken om de benodigde informatie te verzamelen om de virtualappliance van VMware Identity Manager te installeren.
Directory-informatieVMware Identity Manager ondersteunt de integratie met omgevingen van Active Directory of LDAP-directory.
Tabel 2‑3. Controlelijst van domeincontroller van Active Directory
Informatie om te verzamelen Vermeld de informatie
Servernaam van Active Directory
Domeinnaam van Active Directory
Basis-DN
Voor Active Directory over LDAP: de Bind-DN-gebruikersnaamen het wachtwoord
Voor Active Directory met geïntegreerde Windows-verificatie:de gebruikersnaam en het wachtwoord van het account datrechten heeft om computers aan het domein toe te voegen.
Tabel 2‑4. Informatiecontrolelijst van LDAP-directoryserver
Informatie om te verzamelen Vermeld de informatie
Naam of IP-adres van LDAP-directoryserver
Poortnummer van LDAP-directoryserver
Basis-DN
Bind-DN-gebruikersnaam en wachtwoord
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 23
Tabel 2‑4. Informatiecontrolelijst van LDAP-directoryserver (Vervolgd)
Informatie om te verzamelen Vermeld de informatie
LDAP-zoekfilters voor groepsobjecten, objecten vanbindingsgebruikers en gebruikersobjecten
LDAP-kenmerknamen voor lidmaatschap, object-UUID enkenmerkende naam (DN)
SSL-certificatenU kunt een SSL-certificaat toevoegen nadat u de VMware Identity Manager-service hebtgeïmplementeerd.
Tabel 2‑5. Informatiecontrolelijst SSL-certificaat
Informatie om te verzamelen Vermeld de informatie
SSL-certificaat
Privésleutel
LicentiecodeTabel 2‑6. Informatiecontrolelijst van licentiecode van VMware Identity Manager
Informatie om te verzamelen Vermeld de informatie
Licentiecode
Opmerking De informatie van de licentiecode wordt ingevoerd in de VMware Identity Manager-consoleop de pagina Appliance-instellingen > Licentie nadat de installatie is voltooid.
Externe databaseTabel 2‑7. Informatiecontrolelijst van externe database
Informatie om te verzamelen Vermeld de informatie
Hostnaam van database
Poort
Gebruikersnaam
Wachtwoord
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 24
Customer ExperienceImprovement Program 3Het Customer Experience Improvement Program ('CEIP') van VMware verstrekt VMware informatie opbasis waarvan VMware zijn producten en services kan verbeteren, problemen kan oplossen en u kanadviseren hoe u producten het beste kunt implementeren en gebruiken. Als onderdeel van het CEIPverzamelt VMware regelmatig technische informatie over het gebruik van de producten en services vanVMware door uw organisatie gerelateerd aan de VMware-licentiesleutel(s) van uw organisatie. Hierbijworden geen individuele persoonsgegevens geïdentificeerd.
Als u niet wilt deelnemen aan het VMware CEIP voor dit product, schakelt u het selectievakje uit wanneeru VMware Identity Managerinstalleert.
U kunt het CEIP op elk gewenst moment na de installatie verlaten en ook altijd opnieuw deelnemen aanhet programma.
VMware, Inc. 25
De machine met deVMware Identity Managerachter een load balancerimplementeren 4In een bedrijfsomgeving wordt voor de configuratie van de machine met VMware Identity Manager eenimplementatie van een cluster met drie knooppunten van de VMware Identity Manager Serviceaanbevolen voor hoge beschikbaarheid. Nadat het eerste knooppunt van IDM is geïnstalleerd,geconfigureerd en is getest achter de load balancer, wordt op het eerste knooppunt een script uitgevoerdom een kopie van de eerste instantie te maken. Dit gekopieerd bestand wordt gebruikt om de andereknooppunten in het cluster te maken.
Het architectuurschema van VMware Identity Manager toont hoe u de VMware Identity Manager-omgeving kunt implementeren.
Zie Hoofdstuk1Overzicht van VMware Identity Manager Services.
Een load-balancer of reverse proxy gebruiken om externetoegang tot VMware Identity Manager in te schakelenTijdens de implementatie wordt de machine van de VMware Identity Manager- ingesteld in het internenetwerk. Als u wilt dat gebruikers van buiten het netwerk verbinding kunnen maken met de service, moetu een load balancer of een reverse proxy, zoals Apache, Nginx of F5, in de DMZ installeren.
Als u geen load balancer of reverse proxy gebruikt, kunt u het aantal VMware Identity Manager-machineslater niet uitbreiden. Wellicht moet u meer machines toevoegen om redundantie en load balancing tekunnen bieden. Het volgende diagram bevat de basisimplementatiearchitectuur die u kunt gebruiken omexterne toegang in te schakelen.
VMware, Inc. 26
Figuur 4‑1. Externe load-balancerproxy met virtual machine
Externe load-balancerHostnaam: VMware Identity Manager FQDNVoorbeeld-IP-adres: 64.x.y.zPoort: VMware Identity Manager-poortMoet X-Forwarded-For-koppen inschakelen.
Externe gebruikers
Interne load-balancerHostnaam: VMware Identity Manager FQDNVoorbeeld-IP-adres: 10..x.y.zPoort: VMware Identity Manager-poortMoet X-Forwarded-For-koppen inschakelen.
Interne gebruikers
Poort 443
Poort 443
VMware Identity Manager-cluster
DMZ-firewall
De VMware Identity Manager -FQDN opgeven tijdens deimplementatieTijdens de implementatie van de machine van de VMware Identity Manager- voert u de FQDN van deVMware Identity Manager- en het poortnummer in. Deze waarden moeten naar de hostnaam verwijzenwaarvan u wilt dat deze toegankelijk is voor eindgebruikers.
De machine van de VMware Identity Manager- wordt altijd uitgevoerd op poort 443. U kunt een anderpoortnummer voor de load-balancer gebruiken. Als u een ander poortnummer gebruikt, moet u ditopgeven tijdens de implementatie. Gebruik niet 8443, als het poortnummer, omdat dit poortnummer deVMware Identity Manager-beheerderspoort is en uniek is voor elke machine in een cluster.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 27
Instellingen voor de load-balancer die moeten wordengeconfigureerd.Instellingen voor de load balancer die moeten worden geconfigureerd, zijn onder andere het inschakelenvan de X-Forwarded-For-koppen, het op de juiste manier instellen van de time-out van de load balanceren het inschakelen van sticky-sessies. Bovendien moet SSL-vertrouwen worden geconfigureerd tussende machine van de VMware Identity Manager- en de load balancer.
n X-Forwarded-For-koppen
U moet X-Forwarded-For-koppen inschakelen op uw load-balancer. Hiermee wordt deverificatiemethode bepaald. Raadpleeg de documentatie die is meegeleverd door de leverancier vanuw load-balancer voor meer informatie.
n Time-out van load-balancer
Voor een juiste werking van VMware Identity Manager moet u de standaardtime-out voor load-balancer-verzoeken verhogen. De waarde is ingesteld in minuten. Als de time-outinstelling te laag is,wordt wellicht de volgende foutmelding weergegeven: '502 fout: de service is niet beschikbaar'.
n Sticky-sessies inschakelen
U moet de instelling voor sticky-sessies inschakelen op de load balancer als uw implementatiemeerdere VMware Identity Manager-machines heeft. De load balancer bindt vervolgens de sessievan een gebruiker aan een specifieke instantie.
n WebSocket-ondersteuning
De load balancer moet WebSocket-ondersteuning hebben voor veilige communicatiekanalen tussenconnectoren en de VMware Identity Manager-knooppunten.
n Codes met PFS (Perfect Forward Secrecy)
Apple iOS App Transport Security-vereisten gelden voor de Workspace ONE-app in iOS. Als u wiltdat gebruikers de Workspace ONE-app in iOS kunnen gebruiken, moet de load balancer codes metPFS hebben. De volgende codes voldoen aan deze vereisten:
ECDHE_ECDSA_AES en ECDHE_RSA_AES in de modus GCM of CBC
zoals is beschreven in het document iOS-beveiliging voor iOS 11:
'App Transport Security biedt standaard verbindingsvereisten zodat applicaties best practices voorveilige verbindingen volgen wanneer NSURLConnection, CFURL of NSURLSession API's wordengebruikt. App Transport Security beperkt codeselectie standaard om alleen suites met PerfectForward Secrecy op te nemen, in het bijzonder ECDHE_ECDSA_AES en ECDHE_RSA_AES in demodus GCM of CBC.'
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 28
VMware Identity ManagerService instellen 5Dit hoofdstuk omvat de volgende onderwerpen:n VMware Identity Manager installeren
n De installatie voltooien met de installatiewizard
n De machine met de VMware Identity Manager achter een load balancer implementeren
n Een load-balancer of reverse proxy gebruiken om externe toegang tot VMware Identity Manager inte schakelen
n Het basiscertificaat van VMware Identity Manager toepassen op de load-balancer
n Basiscertificaat van load-balancer toepassen op VMware Identity Manager
n Failover en redundantie configureren in één datacenter (Windows)
n Active Directory of LDAP-directoryverbindingen instellen
n Goedgekeurde IP-adressen aan uw externe firewall toevoegen
n Proxyinstellingen inschakelen na de installatie
n De licentiecode invoeren
VMware Identity Manager installerenVoer het installatieprogramma voor VMware Identity Manager uit op een Windows-server die voldoet aanalle vermelde vereisten voor de systeemconfiguratie.
Voorwaarden
Zie Vereisten voor systeem- en netwerkconfiguratie.
Procedure
1 Dubbelklik op het installatieprogramma voor VMware Identity Manager.
Voer het installatieprogramma uit met een account met beheerdersrechten.
VMware, Inc. 29
2 Klik in het dialoogvenster Welkom op Volgende.
De installer controleert de vereisten op de server. Als vereiste software zoals .NET of TLS niet isgeïnstalleerd, wordt u gevraagd om de software te installeren en de server opnieuw te starten. Nadatde server opnieuw is gestart, voert u het installatieprogramma voor VMware Identity Manageropnieuw uit.
3 Accepteer de licentieovereenkomst voor eindgebruikers (EULA) en klik op Volgende.
4 In het dialoogvenster Customer Experience Improvement Program is de standaardactie ingesteldop Ja.
Dit product neemt deel aan het Customer Experience Improvement Program (CEIP) van VMware.Details over de gegevens die via het CEIP worden verzameld en het doel waarvoor deze wordengebruikt door VMware, vindt u in het Trust & Assurance Center op http://www.vmware.com/trustvmware/ceip.html. Als u niet wilt deelnemen aan het CEIP van VMwarevoor dit product, schakelt u het vakje uit.
U kunt het CEIP op elk gewenst moment na de installatie verlaten en ook altijd opnieuw deelnemenaan het programma.
Opmerking Als uw netwerk is geconfigureerd voor toegang tot internet via HTTP-proxy, om degegevens die via het CEIP worden verzameld naar VMware te verzenden, moet u deproxyinstellingen op de VMware Identity Manager-machine aanpassen.
5 De vereisten voor VMware Identity Manager worden weergegeven. Het installatieprogrammacontroleert op de vereiste modules. U wordt gevraagd om ontbrekende modules te installeren.
Figuur 5‑1. Geïnstalleerde vereisten bevestigen
6 Selecteer de directory waarin u de VMware Identity Manager-service wilt installeren.
7 Als dit knooppunt de eerste service-instantie is die in het cluster wordt geïnstalleerd, klikt u opVolgende.
Wanneer u extra instanties in het cluster installeert, schakelt u het selectievakje in en bladert u naarhet geëxporteerde ZIP-bestand voor de eerste instantie die u wilt importeren.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 30
8 De hostnaam en poort 443 worden vooraf ingevuld in het dialoogvenster Configuratie. Klik opVolgende.
9 Selecteer in het dialoogvenster de VMware Identity Manager-databaseserverinstantie om verbindingmee te maken en de verificatiemodus.
Optie Beschrijving
VMware Identity Manager-databaseserver
Voer de FQDN van de database in of klik op Bladeren om de URL van dedatabaseserver in de lijst te selecteren. Voorbeeld van de database-FQDN, voerhttp://MyDBServer in.
Applicatie maakt verbinding met U kunt de Windows-verificatiemodus of SQL Server-verificatiemodusselecteren. Voer de lokale gebruikersnaam en het wachtwoord voor SQL Server-verificatie in.
VMware Identity Manager-databasenaam
Voer de naam in van de database die u heeft gemaakt bij het instellen van deMySQL-database of blader op de SQL-server om de naam uit een lijst teselecteren, als u de naam van de database hebt gewijzigd.
SQL AlwaysON? SQL AlwaysON inschakelen om MultiSubNetFailover in te stellen op True opde SQL-server om snellere failover op de SQL-server mogelijk te maken.
De SQL Server AlwaysOn-mogelijkheid is een combinatie van failoverclusteringen databasespiegeling/logboekverzending. Hierdoor zijn meerdereleesexemplaren van uw database en één exemplaar voor lees- enschrijfbewerkingen mogelijk. Als uw netwerk de bandbreedte heeft om hetgegenereerde verkeer te ondersteunen, ondersteunt de Identity Manager-database AlwaysOn.
Figuur 5‑2. Configuratie van de database met de SQL AlwayOn-optie
Klik op Volgende.
Het installatieprogramma valideert of de database goed is geconfigureerd. Als de configuratie nietjuist is, worden foutberichten weergegeven en kan de installatie niet doorgaan. Corrigeer deproblemen die zijn beschreven in de foutberichten. Zie Bevestigen dat de Microsoft SQL-databasecorrect is geconfigureerd.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 31
10 Schakel het selectievakje in het dialoogvenster Serviceaccount van VMware Identity Manager in als ude service als Windows-domeingebruiker wilt uitvoeren.
Voer de service in de volgende gevallen als domeingebruiker uit.
n Als u van plan bent verbinding te maken met Active Directory (geïntegreerde Windows-verificatie).
n Als u van plan bent gebruik te maken van Kerberos-verificatie.
n Als u van plan bent Horizon View te integreren met VMware Identity Manager en gebruik wiltmaken van de opties Directorysynchronisatie uitvoeren of 5.x-verbindingsserver configureren.
Als u geen domeingebruikersaccount gebruikt, wordt de service uitgevoerd als lokaal systeem.
Figuur 5‑3. Configuratie van domeingebruikersaccount
11 Klik op Installeren om de installatie te starten.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 32
12 Klik op Voltooien.
De VMware Identity Server wordt geïnitialiseerd en de VMware Identity Manager-URL vooraanmelding bij de VMware Identity Manager-console om de installatie te voltooien, wordtweergegeven. Klik op Ja om de installatie nu te voltooien. Houd de URL anders bij om u later aan temelden.
Figuur 5‑4. Informatie over het aanmelden bij de Identity Manager-console
Wat nu te doen
Voer de installatiewizard voor VMware Identity Manager uit om de serviceconfiguratie te voltooien.
Figuur 5‑5. Installatiewizard
De installatie voltooien met de installatiewizardNadat VMware Identity Manager is geïmplementeerd, kunt u de installatiewizard gebruiken om hetbeheerderswachtwoord voor de machine van VMware Identity Manager in te stellen, het automatischondertekend certificaat te accepteren en de JDBC-URL van de database te controleren.
Zorg ervoor dat u de installatiewizard met de volledig gekwalificeerde hostnaam uitvoert. Voer het IP-adres niet als naam in.
Procedure
1 Ga naar de VMware Identity Manager-URL die wordt weergegeven wanneer u de installatie hebtvoltooid. Voer de volledig gekwalificeerde domeinnaam (FQDN) in. Bijvoorbeeldhttps://hostname.example.com.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 33
2 Accepteer het certificaat, indien hierom wordt gevraagd.
Tijdens de installatie wordt een automatisch ondertekend certificaat geïmplementeerd. Na deinstallatie kunt u dit bijwerken naar een ondertekend certificaat.
3 Klik op de pagina Aan de slag op Doorgaan.
4 Configureer het beheerderswachtwoord van de appliance op de pagina Wachtwoorden instellen. Hetwachtwoord voor de beheerdersgebruiker moet minstens zes tekens lang zijn. Klik op Doorgaan.
Het account van de beheerdersgebruiker wordt gebruikt om de appliance-instellingen te beheren.
5 Op de pagina Database selecteren wordt JDBC-URL van de database weergegeven.
De verbinding met de database wordt geconfigureerd en de database wordt opgestart.
De pagina Het instellen is voltooid wordt weergegeven.
Wat nu te doen
Stel Active Directory in. Zie Active Directory of LDAP-directoryverbindingen instellen.
De machine met de VMware Identity Manager achter eenload balancer implementerenIn een bedrijfsomgeving wordt voor de configuratie van de machine met VMware Identity Manager eenimplementatie van een cluster met drie knooppunten van de VMware Identity Manager Serviceaanbevolen voor hoge beschikbaarheid. Nadat het eerste knooppunt van IDM is geïnstalleerd,geconfigureerd en is getest achter de load balancer, wordt op het eerste knooppunt een script uitgevoerdom een kopie van de eerste instantie te maken. Dit gekopieerd bestand wordt gebruikt om de andereknooppunten in het cluster te maken.
Het architectuurschema van VMware Identity Manager toont hoe u de VMware Identity Manager-omgeving kunt implementeren.
Zie Hoofdstuk1Overzicht van VMware Identity Manager Services.
Een load-balancer of reverse proxy gebruiken om externetoegang tot VMware Identity Manager in te schakelenTijdens de implementatie wordt de machine van de VMware Identity Manager- ingesteld in het internenetwerk. Als u wilt dat gebruikers van buiten het netwerk verbinding kunnen maken met de service, moetu een load balancer of een reverse proxy, zoals Apache, Nginx of F5, in de DMZ installeren.
Als u geen load balancer of reverse proxy gebruikt, kunt u het aantal VMware Identity Manager-machineslater niet uitbreiden. Wellicht moet u meer machines toevoegen om redundantie en load balancing tekunnen bieden. Het volgende diagram bevat de basisimplementatiearchitectuur die u kunt gebruiken omexterne toegang in te schakelen.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 34
Figuur 5‑6. Externe load-balancerproxy met virtual machine
Externe load-balancerHostnaam: VMware Identity Manager FQDNVoorbeeld-IP-adres: 64.x.y.zPoort: VMware Identity Manager-poortMoet X-Forwarded-For-koppen inschakelen.
Externe gebruikers
Interne load-balancerHostnaam: VMware Identity Manager FQDNVoorbeeld-IP-adres: 10..x.y.zPoort: VMware Identity Manager-poortMoet X-Forwarded-For-koppen inschakelen.
Interne gebruikers
Poort 443
Poort 443
VMware Identity Manager-cluster
DMZ-firewall
De VMware Identity Manager -FQDN opgeven tijdens deimplementatieTijdens de implementatie van de machine van de VMware Identity Manager- voert u de FQDN van deVMware Identity Manager- en het poortnummer in. Deze waarden moeten naar de hostnaam verwijzenwaarvan u wilt dat deze toegankelijk is voor eindgebruikers.
De machine van de VMware Identity Manager- wordt altijd uitgevoerd op poort 443. U kunt een anderpoortnummer voor de load-balancer gebruiken. Als u een ander poortnummer gebruikt, moet u ditopgeven tijdens de implementatie. Gebruik niet 8443, als het poortnummer, omdat dit poortnummer deVMware Identity Manager-beheerderspoort is en uniek is voor elke machine in een cluster.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 35
Instellingen voor de load-balancer die moeten wordengeconfigureerd.Instellingen voor de load balancer die moeten worden geconfigureerd, zijn onder andere het inschakelenvan de X-Forwarded-For-koppen, het op de juiste manier instellen van de time-out van de load balanceren het inschakelen van sticky-sessies. Bovendien moet SSL-vertrouwen worden geconfigureerd tussende machine van de VMware Identity Manager- en de load balancer.
n X-Forwarded-For-koppen
U moet X-Forwarded-For-koppen inschakelen op uw load-balancer. Hiermee wordt deverificatiemethode bepaald. Raadpleeg de documentatie die is meegeleverd door de leverancier vanuw load-balancer voor meer informatie.
n Time-out van load-balancer
Voor een juiste werking van VMware Identity Manager moet u de standaardtime-out voor load-balancer-verzoeken verhogen. De waarde is ingesteld in minuten. Als de time-outinstelling te laag is,wordt wellicht de volgende foutmelding weergegeven: '502 fout: de service is niet beschikbaar'.
n Sticky-sessies inschakelen
U moet de instelling voor sticky-sessies inschakelen op de load balancer als uw implementatiemeerdere VMware Identity Manager-machines heeft. De load balancer bindt vervolgens de sessievan een gebruiker aan een specifieke instantie.
n WebSocket-ondersteuning
De load balancer moet WebSocket-ondersteuning hebben voor veilige communicatiekanalen tussenconnectoren en de VMware Identity Manager-knooppunten.
n Codes met PFS (Perfect Forward Secrecy)
Apple iOS App Transport Security-vereisten gelden voor de Workspace ONE-app in iOS. Als u wiltdat gebruikers de Workspace ONE-app in iOS kunnen gebruiken, moet de load balancer codes metPFS hebben. De volgende codes voldoen aan deze vereisten:
ECDHE_ECDSA_AES en ECDHE_RSA_AES in de modus GCM of CBC
zoals is beschreven in het document iOS-beveiliging voor iOS 11:
'App Transport Security biedt standaard verbindingsvereisten zodat applicaties best practices voorveilige verbindingen volgen wanneer NSURLConnection, CFURL of NSURLSession API's wordengebruikt. App Transport Security beperkt codeselectie standaard om alleen suites met PerfectForward Secrecy op te nemen, in het bijzonder ECDHE_ECDSA_AES en ECDHE_RSA_AES in demodus GCM of CBC.'
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 36
Het basiscertificaat van VMware Identity Managertoepassen op de load-balancerWanneer de virtual appliance van de VMware Identity Manager achter een load balancer isgeconfigureerd, moet u SSL-vertrouwen tot stand brengen tussen de load balancer enVMware Identity Manager. Het basiscertificaat van VMware Identity Manager moet naar de load-balancerworden gekopieerd.
Het rootcertificaat voor VMware Identity Manager kan worden gedownload vanaf de pagina Appliance-instellingen > Configuratie beheren > SSL-certificaten installeren > Servercertificaat in deVMware Identity Manager-beheerconsole.
Als de FQDN van VMware Identity Manager naar een load-balancer wijst, kan het SSL-certificaatuitsluitend worden toegepast op de load-balancer.
Aangezien de load balancer met de virtual appliance van de VMware Identity Manager communiceert,moet u het root-CA-certificaat van VMware Identity Manager kopiëren naar de load balancer als eenvertrouwd rootcertificaat.
Procedure
1 Selecteer in de VMware Identity Manager-console het tabblad Appliance-instellingen en klikachtereenvolgens op VA-configuratie > Configuratie beheren.
2 In het geopende dialoogvenster voert u het wachtwoord van de admingebruiker in.
3 Selecteer SSL-certificaten installeren > Servercertificaat.
4 Klik op de koppeling Automatisch ondertekende root-CA-certificaten van appliance.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 37
Het certificaat wordt weergegeven.
5 Kopieer alles tussen en inclusief de regels -----BEGIN CERTIFICATE----- en -----ENDCERTIFICATE----- en plak het basiscertificaat op de juiste locatie op elk van uw load-balancers.Raadpleeg de documenten die worden verstrekt door de verkoper van uw load-balancer.
Wat nu te doen
Kopieer en plak het rootcertificaat van de load balancer naar de VMware Identity Manager-appliance.
Basiscertificaat van load-balancer toepassen opVMware Identity ManagerWanneer de virtual appliance van de VMware Identity Manager achter een load balancer isgeconfigureerd, moet u vertrouwen tot stand brengen tussen de load balancer enVMware Identity Manager. Naast het kopiëren van het basiscertificaat van VMware Identity Manager naarde load-balancer, moet u het basiscertificaat van de load-balancer kopiëren naarVMware Identity Manager.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 38
Procedure
1 Basiscertificaat van load-balancer verkrijgen
2 Selecteer in de VMware Identity Manager-console het tabblad Appliance-instellingen en klikachtereenvolgens op VA-configuratie > Configuratie beheren.
3 In het geopende dialoogvenster voert u het wachtwoord van de admingebruiker in.
4 Selecteer SSL-certificaten installeren > Vertrouwde CA's.
5 Plak het rootcertificaat van de load balancer in het tekstvak Root- of tussencertificaat.
6 Klik op Toevoegen.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 39
Failover en redundantie configureren in één datacenter(Windows)U kunt meerdere VMware Identity Manager-machines in een cluster toevoegen voor failover enredundantie. Als een van de machines om een bepaalde reden wordt afgesloten, isVMware Identity Manager nog steeds beschikbaar.
U installeert en configureert VMware Identity Manager op een Windows-server en voert vervolgens eenscript uit om een ENC-bestand te maken dat een kopie is van de eerste instantie van VMware IdentityManager voor Windows met dezelfde configuratie als de oorspronkelijke instantie.
Voordat u een kopie van de eerste instantie maakt, moet u het eerste knooppunt achter een loadbalancer configureren en de volledig gekwalificeerde domeinnaam (FQDN) wijzigen zodat dezeovereenkomt met de FQDN van de load balancer. Voltooi ook de configuratie van de directory inVMware Identity Manager Service voordat u het ENC-bestand maakt.
U voert het installatieprogramma van VMware Identity Manager voor Windows uit op elk knooppunt enimporteert het gekopieerde ENC-bestand. U kunt deze gekloonde knooppunten aanpassen om de naam,de netwerkinstellingen en andere eigenschappen, indien nodig, te wijzigen. Elk knooppunt heeft eenander IP-adres. Dit IP-adres moet aan dezelfde richtlijnen voldoen als het IP-adres voor het eersteknooppunt. Het IP-adres moet leiden tot een geldige hostnaam met behulp van forward- en reverse DNS.
Alle knooppunten in het cluster zijn identiek en bijna staatloze kopieën van elkaar. Synchronisatie naarActive Directory en naar bronnen die zijn geconfigureerd, zoals Horizon, is ingeschakeld op het eersteknooppunt, maar uitgeschakeld op alle andere knooppunten in het cluster.
Wijzig FQDN van VMware Identity Manager in FQDN van load-balancerVoordat u de instantie van de VMware Identity Manager-machine kopieert, moet u de vollediggekwalificeerde domeinnaam (FQDN) wijzigen, zodat deze overeenkomt met de FQDN van de loadbalancer.
Voorwaarden
n De VMware Identity Manager-instantie wordt aan een load balancer toegevoegd.
n U heeft het basis CA-certificaat van de load-balancer toegepast op VMware Identity Manager.
Procedure
1 Meld u aan op de beheerconsole van VMware Identity Manager.
2 Selecteer het tabblad Appliance-instellingen.
3 Op de pagina Configuratie van virtual appliance klikt u op Configuratie beheren.
4 Voer uw beheerderswachtwoord in om u aan te melden.
5 Klik op Identity Manager configuratie.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 40
6 In het veld Identity Manager FQDN wijzigt u het hostnaamdeel van de URL van de hostnaam vanVMware Identity Manager in de hostnaam van de load-balancer.
Als uw hostnaam van VMware Identity Manager bijvoorbeeld myservice is en de hostnaam van uwload-balancer is mylb, wijzigt u de URL
https://myservice.example.com
als volgt:
https://mylb.example.com
7 Klik op Opslaan.
n De FQDN van de service is gewijzigd in de FQDN van de load-balancer.
n De URL van de identiteitsprovider is gewijzigd in de URL van de load-balancer.
Wat nu te doen
Voer het script uit om een ENC-bestand van het eerste knooppunt voor VMware Identity Manager voorWindows te genereren.
Knooppunten voor het maken van een VMware Identity Manager -cluster toevoegenAls u een cluster met de VMware Identity Manager -service wilt maken nadat u de eerste instantie vanVMware Identity Managerhebt geïnstalleerd, kopieert u die instantie om een image te maken metdezelfde configuratie als de oorspronkelijke instantie.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 41
Wanneer u meerdere VMware Identity Manager-services gebruikt, zijn drie of meer knooppunten vereist.
Opmerking Het onderdeel VMware Identity Manager bevat Elasticsearch, een zoek- en analyse-engine.Elasticsearch heeft een bekende beperking bij een cluster met twee knooppunten.
Voorwaarden
De eerste VMware Identity Manager-instantie geïmplementeerd en getest.
Een configuratiebestand voor een cluster gemaakt op basis van de configuratie van de eerste instantie.
1 Open in de VMware Identity Manager-console de pagina Appliance-instellingen > VA-configuratie enklik op Configuratie beheren.
2 Klik op Locatie van clusterbestand.
3 Voer het wachtwoord in waarmee u het clusterbestand wilt versleutelen en ontsleutelen.
4 Klik op Clusterbundel voorbereiden. Er wordt een ZIP-bestand gemaakt met de instantie vanVMware Identity Manager.
5 Download het ZIP-bestand naar een locatie waar u toegang toe hebt.
Procedure
1 Voer het installatieprogramma voor VMware Identity Manager voor Windows uit op elke machine diein het cluster wordt geconfigureerd.
Voer het installatieprogramma uit met een account met beheerdersrechten.
2 Klik in het dialoogvenster Welkom op Volgende.
De installer controleert de vereisten op de server. Als de vereiste software zoals .NET of TLS niet isgeïnstalleerd, wordt u gevraagd om de software te installeren en de server opnieuw te starten. Nadatde server opnieuw is gestart, voert u het installatieprogramma voor VMware Identity Manageropnieuw uit.
3 Accepteer de licentieovereenkomst voor eindgebruikers (EULA) en klik op Volgende.
4 Het keuzerondje Customer Experience Improvement Program is standaard geselecteerd.Deselecteer het keuzerondje als u niet wilt dat de gegevens worden verzameld.
Om beter te kunnen reageren op de vereisten van gebruikers, verzamelt VMware anoniemegegevens over uw implementatie.
5 De vereisten voor VMware Identity Manager worden weergegeven. Het installatieprogrammacontroleert op de vereiste modules. U wordt gevraagd om ontbrekende modules te installeren.
6 Selecteer de directory waarin u de VMware Identity Manager-service wilt installeren.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 42
7 Schakel in het dialoogvenster Configuratie het selectievakje Are you joining an existing cluster(Wordt u lid van een bestaand cluster?) in en ga naar het configuratiebestand van een bestaandcluster (ENC) voor de eerste instantie.
Standaard bevindt het bestand zich in <INSTALL_DIR>\VMwareIdentityManager\usr\local\horizon\<bestandsnaam>.enc.
8 Voer het wachtwoord van het cluster in dat is gemaakt voor het ENC-configuratiebestand van hetcluster en klik op Volgende.
9 Klik op Installeren om de installatie te starten.
10 Klik op Voltooien om de installatie te voltooien.
Alle configuratiebestanden voor VMware Identity Manager worden naar de server gekopieerd.
Wat nu te doen
Voeg de gekloonde machine toe aan de load balancer.
Een knooppunt verwijderen uit een clusterAls een knooppunt in een VMware Identity Manager-cluster niet correct werkt en u het niet kuntherstellen, kunt u het verwijderen uit de cluster met de opdracht Knooppunt verwijderen. De opdrachtverwijdert de knooppuntvermeldingen uit de VMware Identity Manager-database.
U kunt de status van de knooppunten in uw cluster controleren in het Dashboard voor systeemdiagnose.Het bericht Het huidige knooppunt heeft een ongeldige status geeft aan dat het knooppunt nietcorrect werkt.
Belangrijk Maak spaarzaam gebruik van de opdracht Knooppunt verwijderen. Gebruik deze alleen alseen knooppunt een onherstelbare status heeft en volledig moet worden verwijderd uit deVMware Identity Manager-implementatie.
Opmerking U kunt de opdracht Knooppunt verwijderen niet gebruiken om het laatste knooppunt in eencluster te verwijderen.
Connectoronderdeel ontkoppelen van domeinen, instellingen voordirectorysynchronisatie en ingebouwde identiteitsproviderVoordat u een knooppunt kunt verwijderen uit een VMware Identity Manager-cluster, moet u ervoorzorgen dat het connectoronderdeel van het knooppunt niet is toegevoegd aan domeinen, niet wordtgebruikt als synchronisatieconnector en niet is gekoppeld aan de ingebouwde identiteitsprovider.
Voorwaarden
U moet zich aanmelden als tenantbeheerder, oftewel een lokale beheerder bij deVMware Identity Manager-service. Een domeinbeheerder die is gesynchroniseerd vanuit debedrijfsdirectory, heeft niet de nodige rechten.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 43
Procedure
1 Meld u aan bij de VMware Identity Manager-console.
2 Klik op het tabblad Identiteits- en toegangsbeheer en klik vervolgens op Installatie.
De pagina Connectoren wordt geopend.
3 Als het connectoronderdeel van het knooppunt wordt gebruikt als synchronisatieconnector voor eendirectory, wijzigt u de instelling Synchronisatieconnector voor de directory.
a Controleer in de kolom Gekoppelde directory op de pagina Connectoren de directory's waaraanhet connectoronderdeel is gekoppeld.
b Klik op een directorykoppeling.
c Controleer in het gedeelte Directorysynchronisatie en -verificatie van de directorypagina dewaarde van de optie Synchronisatieconnector.
d Als het connectoronderdeel wordt gebruikt als synchronisatieconnector, selecteert u een andereconnector voor de optie Synchronisatieconnector en klikt u op Opslaan.
e Herhaal deze stappen voor alle directory's waaraan het connectoronderdeel is gekoppeld.
4 Als het connectoronderdeel is gekoppeld aan de ingebouwde identiteitsprovider, verwijdert u het uitde identiteitsprovider.
a Bekijk op de pagina Connectoren in de kolom Identiteitsprovider de identiteitsproviderswaaraan het connectoronderdeel is gekoppeld.
b Als de ingebouwde identiteitsprovider wordt vermeld, klikt u op de koppeling.
c Klik op de pagina voor de identiteitsprovider in het gedeelte Connectoren op het pictogramVerwijderen naast de connector.
Wat nu te doen
Verwijder het knooppunt uit de cluster.
Het knooppunt verwijderen uit de clusterNadat u het connectoronderdeel van het knooppunt hebt ontkoppeld van domeinen, instellingen voordirectorysynchronisatie en de ingebouwde identiteitsprovider, kunt u het knooppunt verwijderen uit decluster.
Opmerking U kunt de opdracht Verwijderen niet gebruiken om het laatste knooppunt in een cluster teverwijderen.
Voorwaarden
n Als u een knooppunt wilt verwijderen, moet u zich aanmelden als tenantbeheerder, oftewel een lokalebeheerder bij de VMware Identity Manager-service. Een domeinbeheerder die is gesynchroniseerdvanuit de bedrijfsdirectory, heeft niet de nodige rechten.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 44
n U heeft het connectoronderdeel van het knooppunt ontkoppeld van domeinen, instellingen voordirectorysynchronisatie en, zo nodig, de ingebouwde identiteitsprovider. Zie Connectoronderdeelontkoppelen van domeinen, instellingen voor directorysynchronisatie en ingebouwdeidentiteitsprovider.
Procedure
1 Sluit de virtual machine van het knooppunt af.
a Meld u aan bij de vCenter Server-instantie.
b Klik met de rechtermuisknop op de virtual machine van het knooppunt en selecteer Energie >Uitschakelen.
2 Verwijder het knooppunt uit de load balancer.
3 Verwijder het knooppunt in de VMware Identity Manager-console.
a Meld u als lokale beheerder aan bij de VMware Identity Manager-console.
b Klik op de pijl omlaag op het tabblad Dashboard en selecteer Dashboard voorsysteemdiagnose.
c Zoek het knooppunt dat u wilt verwijderen.
Voor het knooppunt wordt de volgende status weergegeven:
Het huidige knooppunt heeft een ongeldige status. Wilt u het verwijderen?
d Klik op de koppeling Verwijderen naast het bericht.
Het knooppunt wordt verwijderd uit het cluster. Vermeldingen voor het knoppunt worden verwijderd uit deVMware Identity Manager-database. Het knooppunt wordt ook verwijderd uit de ingesloten Elasticsearch-en Ehcache-clusters.
Wat nu te doen
Wacht 5 tot 15 minuten tot de ingesloten Elasticsearch- en Ehcache-clusters stabiel zijn voordat u andereopdrachten uitvoert.
Active Directory of LDAP-directoryverbindingen instellenU kunt uw bedrijfsdirectory integreren met VMware Identity Manager om gebruikers en groepen van uwbedrijfsdirectory te synchroniseren met de VMware Identity Manager-service.
De volgende typen directory's worden ondersteund.
n Active Directory via LDAP
n Active Directory, Geïntegreerde Windows-verificatie
n LDAP-directory.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 45
Voorwaarden
n Zie Integratie van directory's met VMware Identity Manager voor vereisten en beperkingen.
n De informatie van uw Active Directory of LDAP-directory.
n Wanneer Active Directory met meerdere forests is geconfigureerd en de lokale domeingroep ledenvan domeinen in verschillende forests bevat, moet de Bind-DN-gebruiker die op de directorypaginavan VMware Identity Manager wordt gebruikt, worden toegevoegd aan de beheerdersgroep van hetdomein waarin de lokale domeingroep verblijft. Als u dit niet doet, ontbreken deze leden in de lokaledomeingroep.
Opmerking VMware Identity Manager Service moet worden geconfigureerd voor uitvoering alsWindows-domeingebruiker om Active Directory met meerdere forests te gebruiken.
n De lijst met de gebruikerskenmerken die u als filters wilt gebruiken en een lijst met de groepen die uwilt toevoegen aan VMware Identity Manager.
Procedure
1 Meld u als beheerder aan bij de VMware Identity Manager-console met het wachtwoord dat u heeftingesteld.
U bent aangemeld als een lokale beheerder. De Directorypagina verschijnt. Zie Integratie vandirectory's met VMware Identity Manager voor vereisten en beperkingen voordat u een directorytoevoegt.
2 Klik op het tabblad Identiteits- en toegangsbeheer.
3 Klik op Instellen > Gebruikerskenmerken om de gebruikerskenmerken te selecteren die naar dedirectory worden gesynchroniseerd.
Standaardkenmerken worden vermeld en u kunt de kenmerken selecteren die zijn vereist. Als eenkenmerk als vereist wordt gemarkeerd, worden alleen gebruikers met dat kenmerk naar de servicegesynchroniseerd. U kunt ook andere kenmerken toevoegen.
Belangrijk Nadat een directory is gemaakt, kunt u een kenmerk niet wijzigen naar een vereistkenmerk. U moet nu die selectie doen.
De instellingen op de pagina Gebruikerskenmerken gelden voor alle directory's in de service.Wanneer u een kenmerk markeert als vereist, moet u het gevolg ervan op de andere directory'soverwegen. Als een kenmerk als vereist is gemarkeerd, worden gebruikers zonder dat kenmerk nietop de service gesynchroniseerd.
Belangrijk Als u XenApp-bronnen wilt synchroniseren met VMware Identity Manager, moet udistinguishedName instellen als een vereist kenmerk.
4 Klik op Opslaan.
5 Klik op het tabblad Identiteits- en toegangsbeheer.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 46
6 Klik op de Directorypagina op Directory toevoegen en selecteer Active Directory via LDAP/IWAtoevoegen of LDAP-directory toevoegen op basis van het type directory dat u integreert.
U kunt ook een lokale directory in de service maken. Raadpleeg de Handleiding VMware IdentityManager-beheer voor meer informatie over het gebruik van lokale directory's.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 47
7 Voor Active Directory volgt u deze stappen.
a Voer een naam in voor de directory die u in VMware Identity Manager maakt en selecteer hettype directory, ofwel Active Directory via LDAP of Active Directory (geïntegreerde Windows-verificatie (IWA)).
b Verstrek de verbindingsinformatie.
Optie Beschrijving
Active Directory via LDAP 1 In het veld Synchronisatieconnector selecteert u de Connector die u wiltgebruiken om gebruikers en groepen van Active Directory tesynchroniseren naar de directory van VMware Identity Manager.
Een connectorcomponent is altijd standaard beschikbaar met deVMware Identity Manager-service. Deze connector verschijnt in hetvervolgkeuzemenu. Als u meerdere VMware Identity Manager-appliancesinstalleert voor hoge beschikbaarheid, verschijnt de connectorcomponentvan elk van die appliances in de lijst.
2 In het tekstvak Verificatie selecteert u Ja als u deze Active Directory wiltgebruiken om gebruikers te verifiëren.
Als u een externe identiteitsprovider wilt gebruiken om gebruikers teverifiëren, klikt u op Nee. Nadat u de verbinding van de Active Directoryhebt geconfigureerd om gebruikers en groepen te synchroniseren, gaat unaar de pagina Identiteits- en toegangsbeheer > Beheren >Identiteitsproviders om de externe identiteitsprovider voor verificatie toete voegen.
3 Selecteer in het tekstvak Zoekkenmerk directory het accountkenmerkdat de username bevat.
4 Als de Active Directory de opzoekfunctie DNS Service Location gebruikt,selecteert u het volgende.n Schakel in de sectie Serverlocatie het selectievakje Deze directory
ondersteunt DNS-servicelocatie in.n Als Active Directory STARTTLS-versleuteling vereist, schakelt u het
selectievakje Deze directory vereist dat alle verbindingen SSLgebruiken in de sectie Certificaten in en kopieert en plakt u het root-CA-certificaat van Active Directory in het tekstvak SSL-certificaat.
Zorg ervoor dat het certificaat in PEM-formaat is en neem de regels"BEGIN CERTIFICATE" en "END CERTIFICATE" op.
Opmerking Als de Active Directory STARTTLS vereist en u verstrekthet certificaat niet, kunt u de directory niet maken.
5 Als de Active Directory geen opzoekfunctie van DNS Service Locationgebruikt, selecteert u het volgende.n In de sectie Serverlocatie controleert u of het selectievakje Deze
directory ondersteunt DNS-servicelocatie niet is ingeschakeld envoert u de serverhostnaam en het poortnummer van de ActiveDirectory in.
Zie het gedeelte 'Active Directory-omgeving met één forest enmeerdere domeinen' in 'Active Directory-omgevingen' in Integratie vandirectory's met VMware Identity Manager als u de directory wiltconfigureren als algemene catalogus.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 48
Optie Beschrijving
n Als de Active Directory toegang via SSL vereist, schakelt u hetselectievakje Deze directory vereist dat alle verbindingen SSLgebruiken in de sectie Certificaten in en kopieert en plakt u het root-CA-certificaat van de Active Directory in het tekstvak SSL-certificaat.
Zorg ervoor dat het certificaat in PEM-formaat is en neem de regels"BEGIN CERTIFICATE" en "END CERTIFICATE" op.
Opmerking Als de Active Directory SSL vereist en u verstrekt hetcertificaat niet, kunt u de directory niet maken.
6 In de sectie Wijziging van wachtwoord toestaan selecteert u Wijzigingvan wachtwoord inschakelen als u wilt dat gebruikers hunwachtwoorden kunnen resetten vanaf de aanmeldingspagina vanVMware Identity Manager als het wachtwoord verloopt of als debeheerder van Active Directory het wachtwoord van de gebruiker reset.
7 In het tekstvak Basis-DN voert u de DN in vanwaar deaccountzoekopdrachten moeten starten. BijvoorbeeldOU=myUnit,DC=myCorp,DC=com.
8 In het tekstvak Bind-DN voert u het account in dat naar gebruikers kanzoeken. Bijvoorbeeld CN=binduser,OU=myUnit,DC=myCorp,DC=com.
Opmerking Het gebruik van een gebruikersaccount van Bind DN meteen wachtwoord dat niet verloopt, wordt aanbevolen.
9 Nadat u het bindingswachtwoord hebt ingevoerd, klikt u op Verbindingtesten om te controleren of de directory verbinding kan maken met uwActive Directory.
Active Directory (geïntegreerdeWindows-verificatie)
1 In het veld Synchronisatieconnector selecteert u de Connector die u wiltgebruiken om gebruikers en groepen van Active Directory tesynchroniseren naar de directory van VMware Identity Manager.
Een connectorcomponent is altijd standaard beschikbaar met deVMware Identity Manager-service. Deze connector verschijnt in hetvervolgkeuzemenu. Als u meerdere VMware Identity Manager-appliancesinstalleert voor hoge beschikbaarheid, verschijnt de connectorcomponentvan elk van die appliances in de lijst.
2 In het tekstvak Verificatie klikt u op Ja wanneer u deze Active Directorywilt gebruiken voor het verifiëren van gebruikers.
Als u een externe identiteitsprovider wilt gebruiken om gebruikers teverifiëren, klikt u op Nee. Nadat u de verbinding van de Active Directoryhebt geconfigureerd om gebruikers en groepen te synchroniseren, gaat unaar de pagina Identiteits- en toegangsbeheer > Beheren >Identiteitsproviders om de externe identiteitsprovider voor verificatie toete voegen.
3 Selecteer in het tekstvak Zoekkenmerk directory het accountkenmerkdat de username bevat.
4 Als Active Directory STARTTLS-versleuteling vereist, schakelt u hetselectievakje Deze directory vereist dat alle verbindingen STARTTLSgebruiken in de sectie Certificaten in en kopieert en plakt u het root-CA-certificaat van Active Directory in het tekstvak SSL-certificaat.
Zorg ervoor dat het certificaat in PEM-formaat is en neem de regels"BEGIN CERTIFICATE" en "END CERTIFICATE" op.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 49
Optie Beschrijving
Als de directory meerdere domeinen heeft, voegt u één voor één het basisCA-certificaat voor alle domeinen toe.
Opmerking Als de Active Directory STARTTLS vereist en u verstrekt hetcertificaat niet, kunt u de directory niet maken.
5 In de sectie Wijziging van wachtwoord toestaan selecteert u Wijzigingvan wachtwoord inschakelen als u wilt dat gebruikers hunwachtwoorden kunnen resetten vanaf de aanmeldingspagina vanVMware Identity Manager als het wachtwoord verloopt of als debeheerder van Active Directory het wachtwoord van de gebruiker reset.
6 In het veld Gebruikers-UPN Bind voert u de User Principal Name (UPN)van de gebruiker in die met het domein kan worden geverifieerd.Bijvoorbeeld [email protected].
Opmerking Het gebruik van een gebruikersaccount van Bind DN meteen wachtwoord dat niet verloopt, wordt aanbevolen.
7 Voer het wachtwoord van de Bind DN-gebruiker in.
c Klik op Opslaan en Volgende.
De pagina met de lijst domeinen verschijnt.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 50
8 Voor LDAP-directory's volgt u deze stappen.
a Verstrek de verbindingsinformatie.
Optie Beschrijving
Directorynaam Een naam voor de directory die u in VMware Identity Manager maakt.
Directory synchroniseren enverificatie
1 In het tekstvak Synchronisatieconnector selecteert u de connector die uwilt gebruiken om gebruikers en groepen van uw LDAP-directory tesynchroniseren naar de VMware Identity Manager-directory.
Een connectorcomponent is altijd standaard beschikbaar met deVMware Identity Manager-service. Deze connector verschijnt in hetvervolgkeuzemenu. Als u meerdere VMware Identity Manager-appliancesinstalleert voor hoge beschikbaarheid, verschijnt de connectorcomponentvan elk van die appliances in de lijst.
U heeft geen afzonderlijke connector nodig voor een LDAP-directory. Eenconnector kan meerdere directory's ondersteunen, ongeacht of hetdirectory's zijn van Active Directory of LDAP.
2 In het tekstvak Verificatie selecteert u Ja als u deze LDAP-directory wiltgebruiken om gebruikers te verifiëren.
Als u een externe identiteitsprovider wilt gebruiken om gebruikers teverifiëren, selecteert u Nee. Nadat u de directoryverbinding hebttoegevoegd om gebruikers en groepen te synchroniseren, gaat u naar depagina Identiteits- en toegangsbeheer > Beheren >Identiteitsproviders om de identiteitsprovider voor verificatie toe tevoegen.
3 In het tekstvak Zoekkenmerk directory geeft u het LDAP-directorykenmerk op dat voor de gebruikersnaam moet worden gebruikt.Als het kenmerk niet wordt vermeld, selecteert u Aangepast en voert u dekenmerknaam in. Bijvoorbeeld cn.
Serverlocatie Voer de serverhost en het poortnummer van de LDAP-directory in. Voor deserverhost kunt u de FQDN of het IP-adres specificeren. BijvoorbeeldmyLDAPserver.example.com of 100.00.00.0.
Als u een cluster servers achter een load-balancer hebt, voert u in plaatsdaarvan de informatie van de load-balancer in.
LDAP-configuratie Specificeer de zoekfilters en kenmerken van LDAP dieVMware Identity Manager kan gebruiken om uw LDAP-directory op te vragen.Standaardwaarden worden verstrekt op basis van het kern-LDAP-schema.
LDAP-vragenn Groepen ophalen: het zoekfilter om groepsobjecten te verkrijgen.
Bijvoorbeeld: (objectClass=group)n Bindingsgebruiker ophalen: het zoekfilter om een
bindingsgebruikerobject te verkrijgen, ofwel de gebruiker die zich aan dedirectory kan binden.
Bijvoorbeeld: (objectClass=person)n Gebruiker ophalen: het zoekfilter om gebruikers te verkrijgen om te
synchroniseren.
Bijvoorbeeld:(&(objectClass=user)(objectCategory=person))
Kenmerken
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 51
Optie Beschrijving
n Lidmaatschap: het kenmerk dat wordt gebruikt in uw LDAP-directory omleden van een groep te definiëren.
Bijvoorbeeld: lidn Object-UUID: het kenmerk dat wordt gebruikt in uw LDAP-directory om de
UUID van een gebruiker of groep te definiëren.
Bijvoorbeeld: entryUUIDn Distinguished Name: het kenmerk dat wordt gebruikt in uw LDAP-
directory voor de kenmerkende naam van een gebruiker of groep.
Bijvoorbeeld: entryDN
Certificaten Als uw LDAP-directory toegang over SSL vereist, selecteert u Deze directoryvereist dat alle verbindingen SSL gebruiken en kopieert en plakt u hetbasis CA-SSL-certificaat van de LDAP-directoryserver. Zorg ervoor dat hetcertificaat in PEM-formaat is en neem de regels "BEGIN CERTIFICATE" en"END CERTIFICATE" op.
Gegevens van bindingsgebruiker Basis DN: voer de DN in vanwaar zoekopdrachten worden gestart.Bijvoorbeeld cn=users,dc=example,dc=com
Bind DN: voer de gebruikersnaam in die wordt gebruikt om aan de LDAP-directory te binden.
Opmerking Het gebruik van een gebruikersaccount van Bind DN met eenwachtwoord dat niet verloopt, wordt aanbevolen.
Wachtwoord Bind-DN: voer het wachtwoord in voor de Bind DN-gebruiker.
b Klik op Verbinding testen om de verbinding met de LDAP-directoryserver te testen.
Als de verbinding niet is gelukt, controleert u de informatie die u heeft ingevoerd en brengt upassende wijzigingen aan.
c Klik op Opslaan en Volgende.
De pagina die het domein vermeldt, verschijnt.
9 Voor een LDAP-directory wordt het domein vermeld. Dit kan niet worden aangepast.
Voor een Active Directory via LDAP worden de domeinen vermeld en kunnen deze niet wordenaangepast.
Voor Active Directory (met geïntegreerde Windows-verificatie) selecteert u de domeinen die moetenworden gekoppeld aan deze Active Directory-verbinding.
Opmerking Als u een vertrouwend domein toevoegt nadat de directory is gemaakt, stelt de serviceniet automatisch het nieuwe vertrouwende domein vast. Als u het vaststellen van het domein voor deservice wilt inschakelen, moet Connector het domein verlaten en hieraan opnieuw deelnemen.Wanneer Connector opnieuw deelneemt aan het domein, wordt het vertrouwende domein in de lijstweergegeven.
Klik op Volgende.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 52
10 Controleer of de kenmerknamen van VMware Identity Manager zijn toegewezen aan de juistekenmerken van Active Directory of LDAP en breng zo nodig wijzigingen aan.
Belangrijk Als u een LDAP-directory integreert, moet u een toewijzing voor het domeinkenmerkspecificeren.
11 Klik op Volgende.
12 Selecteer de groepen die u vanaf uw Active Directory of LDAP-directory wilt synchroniseren naar deVMware Identity Manager-directory.
Optie Beschrijving
Geef de DN's van de groep op Als u groepen wilt selecteren, kunt u een of meer groeps-DN's opgeven en deonderliggende groepen selecteren.
a Klik op + en geef de groeps-DN op. BijvoorbeeldCN=gebruikers,DC=voorbeeld,DC=bedrijf,DC=com.
Belangrijk Geef de groeps-DN's op onder de basis-DN die u heeftingevoerd. Als een groeps-DN buiten de basis-DN ligt, worden gebruikers vandie DN gesynchroniseerd, maar kunnen zij zich niet aanmelden.
b Klik op Groepen zoeken.
De kolom Te synchroniseren groepen bevat het aantal groepen dat isgevonden in de DN.
c Als u alle groepen in de DN wilt selecteren, klikt u op Alles selecteren. Ofklik op Selecteren en selecteer de specifieke groepen die u wiltsynchroniseren.
Opmerking Wanneer uw LDAP-directory meerdere groepen met dezelfdenaam bevat, moet u voor deze groepen unieke namen opgeven in deVMware Identity Manager-service. U kunt de naam wijzigen wanneer u degroep selecteert.
Opmerking Wanneer u een groep synchroniseert, worden gebruikers die geenDomeingebruikers als hun primaire groep in Active Directory hebben, nietgesynchroniseerd.
Geneste groepsleden synchroniseren De optie Geneste groepsleden synchroniseren is standaard ingeschakeld.Wanneer deze optie is ingeschakeld, worden alle gebruikers gesynchroniseerddie direct tot de groep behoren die u selecteert en alle gebruikers die tot degeneste groepen eronder behoren. Let op dat de geneste groepen niet wordengesynchroniseerd; alleen de gebruikers die tot de geneste groepen behoren,worden gesynchroniseerd. In de VMware Identity Manager-directory zijn dezegebruikers leden van de bovenliggende groep die u heeft geselecteerd om tesynchroniseren.
Als de optie Geneste groepsleden synchroniseren is uitgeschakeld, wanneer ueen groep opgeeft om te synchroniseren, worden alle gebruikersgesynchroniseerd die tot die groep behoren. Gebruikers die tot geneste groepeneronder behoren, worden niet gesynchroniseerd. Het uitschakelen van dezefunctie is handig voor grote Active Directory-configuraties waarbij het doorkruisenvan een groepsstructuur veel tijd en middelen kost. Als u deze optie uitschakelt,zorgt u ervoor dat u alle groepen selecteert waarvan u de gebruikers wiltsynchroniseren.
13 Klik op Volgende.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 53
14 Geef zo nodig extra gebruikers op om te synchroniseren.
a Klik op + en voer de gebruikers-DN's in. Bijvoorbeeld:CN=gebruikers,CN=Gebruikers,OU=mijnAfdeling,DC=mijnOnderneming,DC=com.
Belangrijk Geef de gebruikers-DN's op onder de basis-DN die u heeft ingevoerd. Als eengebruikers-DN buiten de basis-DN ligt, worden gebruikers van die DN gesynchroniseerd, maarkunnen zij zich niet aanmelden.
b (Optioneel) Als u gebruikers wilt uitsluiten, maakt u een filter om sommige gebruikerstypen uit tesluiten.
U selecteert het gebruikerskenmerk waarop moet worden gefilterd, de queryregel en de waarde.
15 Klik op Volgende.
16 Neem de pagina door om te zien hoeveel gebruikers en groepen naar de directory wordengesynchroniseerd en om het synchronisatieschema te bekijken.
Klik op de koppelingen Bewerken om wijzigingen aan te brengen aan gebruikers en groepen of aande synchronisatiefrequentie.
17 Klik op Directory synchroniseren om de synchronisatie van de directory te starten.
Opmerking Als zich een netwerkfout voordoet en de hostnaam kan niet uniek worden opgelost metbehulp van reverse DNS, dan stopt het configuratieproces. U moet de netwerkproblemen verhelpen ende virtual appliance opnieuw opstarten. Vervolgens kunt u doorgaan met het implementatieproces. Denieuwe netwerkinstellingen zijn niet beschikbaar totdat u de virtual appliance opnieuw hebt opgestart.
Wat nu te doen
Voor informatie over het instellen van een load-balancer of een configuratie met hoge beschikbaarheid,raadpleegt u Hoofdstuk4De machine met de VMware Identity Manager achter een load balancerimplementeren.
U kunt de catalogus met bronnen aanpassen voor de applicaties van uw organisatie engebruikerstoegang inschakelen tot deze bronnen. U kunt ook andere bronnen instellen, waaronder View,ThinApp en op Citrix gebaseerde applicaties. Zie Bronnen instellen in VMware Identity Manager
Synchronisatie van directory's inschakelen op een andere -instantie in geval van een foutIn het geval dat er fouten optreden met een service-instantie, wordt de verificatie automatischafgehandeld door een gekloonde instantie, zoals geconfigureerd in de load-balancer. Voor hetsynchroniseren van directory's moet u de directory-instellingen in de VMware Identity Manager-servicewijzigen om een gekloonde instantie te kunnen gebruiken. Directorysynchronisatie wordt door hetconnectoronderdeel van de service afgehandeld en kan slechts op één connector tegelijk wordeningeschakeld.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 54
Procedure
1 Meld u aan bij de VMware Identity Manager-console.
2 Klik op het tabblad Identiteits- en toegangsbeheer en klik vervolgens op Directory's.
3 Klik op de directory die is gekoppeld aan de oorspronkelijke service-instantie.
U kunt deze informatie bekijken op de pagina Installatie > Connectoren. Op de pagina wordt hetconnectoronderdeel van elk van de virtual appliances van de service in uw cluster vermeld.
4 In het gedeelte Directorysynchronisatie en -verificatie van de pagina met directory's selecteert u inhet veld Synchronisatieconnector een van de andere connectoren.
5 In het veld Wachtwoord van bindings-DN geeft u het wachtwoord van uw Active Directory-
bindingsaccount op.
6 Klik op Opslaan.
Goedgekeurde IP-adressen aan uw externe firewalltoevoegenWanneer u VMware Identity Manager met een externe firewall configureert, voegt u de IP-adresbereikenof URL's voor de volgende VMware Identity Manager-services aan een witte lijst toe om toegang tot dieservice te verlenen.
Gebruik de opdracht nslookup of een ander hulpprogramma voor opdrachtregels om een query op hetdomeinnaamsysteem uit te voeren en de IP-adressen te verkrijgen die u aan de witte lijst van uw externefirewall kunt toevoegen.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 55
Tabel 5‑1. Service Domeinnaamsysteem Beschrijving
VMware Identity Manager-catalogus catalog.vmwareidentity.com Voeg de URL's uit de lijst toe aan dewitte lijst om ervoor te zorgen dat deinhoud van de catalogus toegankelijk is.
Deze inhoud wordt ook geleverd viaAWS CloudFront CDN, dat een eigen lijstmet openbare IP-adressen onderhoudt.Zie http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/LocationsOfEdgeServers.html.
VMware Verify api.authy.com Als VMware Verify als verificatiemethodeis geconfigureerd, voegt u de URL's uitde lijst toe aan de witte lijst.
Hybride KDC kdc.op.<vmwareidentity.xxx> Wanneer hybride KDC is geconfigureerdvoor uw gebruik van VMware IdentityManager op locatie, selecteert u een vande volgende domeinen om de URL's opte zoeken.n vmwareidentity.can vmwareidentity.comn vmwareidentity.eun vmwareidentity.co.ukn vmwareidentity.den vmwareidentity.com.aun vmwareidentity.asia
Updates van VMware Identity Manager vapp-updates.vmware.com Als u updates van VMware IdentityManager wilt ontvangen en patches vande VMware Update Manager wiltdownloaden, voegt u de URL's uit de lijsttoe aan de witte lijst.
Proxyinstellingen inschakelen na de installatieDe VMware Identity Manager-machine heeft toegang tot de applicatiecatalogus in de cloud en anderewebservices op internet. Als uw netwerkconfiguratie internettoegang biedt via een HTTP-proxy, moet uuw proxyinstellingen aanpassen op de VMware Identity Manager-machine.
Schakel uw proxy in om alleen internetverkeer te verwerken. Als u er zeker van wilt zijn dat de proxygoed is ingesteld, moet u de parameter voor intern verkeer binnen het domein instellen op no-proxy.
Procedure
1 Meld u aan bij de VMware Identity Manager-console en navigeer naar de pagina Appliance-instellingen > VA-configuratie.
2 Klik op Configuratie beheren en klik vervolgens op Proxyconfiguratie.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 56
3 Schakel proxy in.
4 Voer de proxynaam en de poort in het tekstvak Proxyhost met poort in. Bijvoorbeeld:proxyhost.example.com:3128
5 Voer de non-proxyhosts die worden geopend zonder tussenkomst van de proxyserver in het tekstvakHosts zonder proxy in.
Gebruik een komma om een lijst met hostnamen te scheiden.
6 Klik op Opslaan.
De licentiecode invoerenNadat u het VMware Identity Manager-appliance hebt geïmplementeerd, voert u uw licentiecode in.
Procedure
1 Meld u aan bij de VMware Identity Manager-console.
2 Selecteer het tabblad Appliance-instellingen en klik vervolgens op Licentie.
3 Op de pagina Licentie-instellingen voert u de licentiecode in en klikt u op Opslaan.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 57
Instellingen voorVMware Identity Manager -configuratie beheren 6Nadat de eerste configuratie van VMware Identity Manager is voltooid, kunt u naar deVMware Identity Manager-consolepagina's gaan om certificaten te installeren, wachtwoorden te beherenen logboekbestanden te downloaden. U kunt ook de database bijwerken, de Identity Manager FQDNwijzigen en een externe Syslog-server configureren.
De pagina's met configuratie-instellingen zijn beschikbaar op het tabblad Appliance-instellingen in deIdentity Manager-console.
Naam van pagina Beschrijving van instelling
Databaseverbinding De instelling voor de databaseverbinding, intern of extern, isingeschakeld. U kunt het type database wijzigen. Wanneer uExterne database selecteert, kunt u de URL van de externedatabase, de gebruikersnaam en het wachtwoord invoeren. Alsu een externe database wilt instellen, raadpleegt u Dedatabase van VMware Identity Manager Service maken.
SSL-certificaten installeren Op de tabbladen van deze pagina kunt u een SSL-certificaatvoor VMware Identity Manager installeren, het automatischondertekende rootcertificaat van VMware Identity Managerdownloaden en vertrouwde rootcertificaten installeren.Bijvoorbeeld: als VMware Identity Manager achter een loadbalancer is geconfigureerd, kunt u het rootcertificaat van deload balancer installeren.
Opmerking Het tabblad Passthrough-certificaat wordtalleen gebruikt als certificaatverificatie is geconfigureerd op deingesloten connector in een DMZ-implementatiescenario. ZieVMware Identity Manager in de DMZ implementeren voorinformatie.
Zie SSL-certificaten gebruiken.
Identity Manager FQDN U kunt op deze pagina de VMware Identity Manager FQDNbekijken of wijzigen. De VMware Identity Manager FQDN is deURL waarmee gebruikers toegang krijgen tot de service.
Wachtwoord wijzigen Op deze pagina kunt u het beheerderswachtwoord van deVMware Identity Manager wijzigen.
Proxyconfiguratie (VMware Identity Manager voor Windows) HTTPS-proxyinstellingen configureren
VMware, Inc. 58
Naam van pagina Beschrijving van instelling
Locaties van logboekbestanden U kunt de logboeken in een zip-bestand downloaden. Zie Logboekbestandsgegevens.
Locatie van clusterbestand (VMware Identity Manager voorWindows)
U kunt een versleuteld bestand van de instantie van deVMware Identity Manager-configuratie maken. Dit ENC-bestand kan worden gedownload en gebruikt voor het makenvan een cluster van VMware Identity Manager-knooppunten.
U kunt ook de connector-URL wijzigen. Zie De connector-URL aanpassen.
Dit hoofdstuk omvat de volgende onderwerpen:
n Configuratie-instellingen voor de appliance wijzigen
n SSL-certificaten gebruiken
n VMware Identity Manager configureren om een externe database te gebruiken
n De URL van de VMware Identity Manager-service wijzigen
n De connector-URL aanpassen
n Logboekbestandsgegevens
n Uw wachtwoord beheren
n SMTP-instellingen configureren
Configuratie-instellingen voor de appliance wijzigenNadat u VMware Identity Manager hebt geconfigureerd, kunt u naar de pagina's met Appliance-instellingen gaan om de huidige configuratie bij te werken en systeeminformatie van de virtual appliancete bewaken.
Procedure
1 Meld u aan bij de VMware Identity Manager-console.
2 Selecteer het tabblad Appliance-instellingen en klik op Configuratie beheren.
3 Meld u aan met het wachtwoord voor de servicebeheerder.
4 Selecteer in het linkerdeelvenster de pagina die u wilt bekijken of bewerken.
Wat nu te doen
Controleer of de instellingen of updates die u doorvoert, van kracht zijn.
SSL-certificaten gebruikenWanneer de VMware Identity Manager-appliance is geïnstalleerd, wordt automatisch een standaard SSL-servercertificaat gegenereerd. U kunt dit automatisch ondertekende certificaat gebruiken voor algemenetests van uw implementatie. VMware raadt u sterk aan SSL-certificaten die zijn ondertekend door eenopenbare certificaatautoriteit (CA) aan te vragen en te installeren in uw productieomgeving.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 59
Een certificaatautoriteit (CA) is een vertrouwde entiteit die de identiteit van het certificaat en de makergarandeert. Wanneer een certificaat is ondertekend door een vertrouwde CA, ontvangen gebruikers geenberichten meer waarin ze worden gevraagd het certificaat te controleren.
U kunt een ondertekend CA-certificaat installeren vanaf de pagina Appliance-instellingen >Configuratie beheren > SSL-certificaten installeren > Servercertificaten.
Als u VMware Identity Manager implementeert met het automatisch ondertekende SSL-certificaat, moethet CA-basiscertificaat beschikbaar zijn als vertrouwde CA voor alle clients die toegang hebben tot deVMware Identity Manager-service. De clients kunnen machines van eindgebruikers, load-balancers,proxy's, enzovoort zijn. U kunt de root-CA downloaden van de pagina SSL-certificaten installeren >Servercertificaten.
Een SSL-certificaat installeren voor de VMware Identity Manager -serviceWanneer de VMware Identity Manager-service is geïnstalleerd, wordt een standaard SSL-servercertificaat gegenereerd. U kunt dit automatisch ondertekende certificaat gebruiken voortestdoeleinden. VMware raadt u echter sterk aan om voor uw productieomgeving SSL-certificaten tegebruiken die zijn ondertekend door een openbare certificaatautoriteit (CA).
Opmerking Als een load balancer vóór VMware Identity Manager de SSL beëindigt, wordt het SSL-certificaat toegepast op de load balancer.
Voorwaarden
n Genereer een aanvraag voor certificaatondertekening (CSR) om een geldig, ondertekend SSL-certificaat van een certificaatautoriteit te verkrijgen. Het certificaat moet de indeling PEM hebben.
n Voor het onderdeel Algemene naam van de onderwerp-DN gebruikt u de volledig gekwalificeerdedomeinnaam die gebruikers gebruiken om toegang te krijgen tot VMware Identity ManagerService.Als de VMware Identity Manager-appliance zich achter een load balancer bevindt, is dit deservernaam van de load balancer.
n Als SSL niet wordt beëindigd op de load balancer, moet het SSL-certificaat dat wordt gebruikt door deservice, alternatieve onderwerpnamen (SAN's) voor elk van de volledig gekwalificeerdedomeinnamen in het VMware Identity Manager-cluster opnemen zodat knooppunten binnen hetcluster aanvragen bij elkaar kunnen indienen. Ook een SAN voor de FQDN-hostnaam die gebruikersgebruiken voor toegang tot VMware Identity Manager Service, naast het gebruik als algemene naamomdat sommige browsers dit vereisen.
Procedure
1 Klik in de VMware Identity Manager-console op de tab Appliance-instellingen.
2 Klik op Configuratie beheren en voer het wachtwoord van de admingebruiker in.
3 Selecteer SSL-certificaten installeren > Servercertificaat.
4 Selecteer Aangepast certificaat in het veld SSL-certificaat.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 60
5 Plak het server-, tussen- en rootcertificaat in het tekstvak SSL-certificaatketen, in die volgorde.
U moet de hele certificaatketen in de juiste volgorde opnemen. Kopieer voor elk certificaat devolledige inhoud vanaf de regel -----BEGIN CERTIFICATE----- tot en met -----END CERTIFICATE----.
6 Plak de persoonlijke sleutel in het tekstvak Persoonlijke sleutel. Kopieer alle inhoud vanaf ----BEGIN RSA PRIVATE KEY tot en met ---END RSA PRIVATE KEY.
7 Klik op Toevoegen.
Voorbeeld:Voorbeelden van certificaten
Voorbeeld van certificaatketen
-----BEGIN CERTIFICATE-----
jlQvt9WdR9Vpg3WQT5+C3HU17bUOwvhp/r0+
...
W53+O05j5xsxzDJfWr1lqBlFF/OkIYCPcyK1
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
WdR9Vpg3WQT5+C3HU17bUOwvhp/rjlQvt90+
...
O05j5xsxzDJfWr1lqBlFF/OkIYCPW53+cyK1
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
dR9Vpg3WQTjlQvt9W5+C3HU17bUOwvhp/r0+
...
5j5xsxzDJfWr1lqW53+O0BlFF/OkIYCPcyK1
-----END CERTIFICATE-----
Voorbeeld van privésleutel
-----BEGIN RSA PRIVATE KEY-----
jlQvtg3WQT5+C3HU17bU9WdR9VpOwvhp/r0+
...
1lqBlFFW53+O05j5xsxzDJfWr/OkIYCPcyK1
-----END RSA PRIVATE KEY-----
Vertrouwde rootcertificaten installerenInstalleer de root- of tussencertificaten die moeten worden vertrouwd door de VMware Identity Manager-server. De VMware Identity Manager-server kan veilige verbindingen tot stand brengen met serverswaarvan de certificaatketen een van deze certificaten bevat.
Als de VMware Identity Manager-server achter een load balancer is geconfigureerd en SSL wordtbeëindigd op de load balancer, moet u het rootcertificaat van de load balancer installeren.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 61
Procedure
1 Klik in de VMware Identity Manager-console op de tab Appliance-instellingen.
2 Klik op Configuratie beheren en voer het wachtwoord van de admingebruiker in.
3 Klik op SSL-certificaten installeren en selecteer het tabblad Vertrouwde CA's .
4 Plak het root- of tussencertificaat in het tekstvak.
Voeg alle inhoud vanaf de regel -----BEGIN CERTIFICATE----- tot en met -----END CERTIFICATE----in.
5 Klik op Toevoegen.
Een passthrough-certificaat installerenHet tabblad Passthrough-certificaat wordt alleen gebruikt als certificaatverificatie is geconfigureerd opde ingesloten connector in een DMZ-implementatiescenario. Het wordt niet gebruikt in andere scenario's.Zie VMware Identity Manager in de DMZ implementeren voor informatie.
VMware Identity Manager configureren om een externedatabase te gebruikenAls, nadat u de Microsoft SQL-database hebt gemaakt, de externe database die u heeft gemaakt nietautomatisch wordt geconfigureerd in VMware Identity Manager, kunt u op de pagina Appliance-instellingen VMware Identity Manager configureren om de database te gebruiken.
Voorwaarden
n De database met het SaaS-schema die in de Microsoft SQL-server is gemaakt als externedatabaseserver. Zie de VMware-matrices voor interoperabiliteit van producten voor informatie overspecifieke versies die worden ondersteund door VMware Identity Manager.
Procedure
1 Klik in de VMware Identity Manager-console op Appliance-instellingen en selecteer VA-configuratie.
2 Klik op Configuratie beheren.
3 Meld u aan met het beheerderswachtwoord van VMware Identity Manager.
4 Op de Setuppagina van de databaseverbinding selecteert u Externe database als het databasetype.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 62
5 Voer informatie in over de databaseverbinding.
a Typ de JDBC-URL van de Microsoft SQL-databaseserver.
Verificatiemodus JDBC-URL-tekenreeks
Windows-verificatie(domein\gebruiker) jdbc:jtds:sqlserver://<hostname_or_IP_address:port#>/<saasdb>;integra
tedSecurity=true;domain=<domainname>;useNTLMv2=true
SQL Server-verificatie(lokale gebruiker) jdbc:sqlserver://<hostname_or_IP_address:port#>;DatabaseName=<saasdb>
Opmerking Als u de mogelijkheid SQL Server AlwaysOn wilt inschakelen, moet uMultiSubNetFailover instellen op True in SQL. De tekenreeks van de JDBC-URL is
jdbc:jtds:sqlserver://<hostname_or_IP_address:port#>/<saasdb>;integratedSecurity=true;domain=<d
omainname>;useNTLMv2=true;multiSubnetFailover=true
b Voer de gebruikersnaam en het wachtwoord voor aanmelding in die u heeft geconfigureerd bij hetmaken van de database. Zie Microsoft SQL-database configureren met lokale SQL Server-verificatiemodus.
6 Klik op Verbinding testen om de informatie te controleren en op te slaan.
Wat nu te doen
(Optioneel) Wijzig de lidmaatschapsmachtigingen voor databaserol db_owner. Zie Wijzig Rollen opdatabase-niveau.
De URL van de VMware Identity Manager-service wijzigenU kunt de URL van de VMware Identity Manager-service wijzigen. Dit is de URL die gebruikers gebruikenom toegang te krijgen tot de service. U kunt bijvoorbeeld de URL wijzigen in een URL voor een load-balancer.
Procedure
1 Meld u aan bij de VMware Identity Manager-console.
2 Klik op het tabblad Appliance-instellingen en selecteer vervolgens VA-configuratie.
3 Klik op Configuratie beheren en meld u aan met het wachtwoord van de beheerdersgebruiker.
4 Klik op Identity Manager FQDN en geef de nieuwe URL op in het veld Identity Manager FQDN.
Gebruik de indeling https://FQDN:poort. Een poort specificeren is optioneel. De standaardpoort is443.
Bijvoorbeeld: https://myservice.example.com.
5 Klik op Opslaan.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 63
Wat nu te doen
Schakel de gebruikersinterface van de nieuwe portal in.
1 Ga naar https://VMwareIdentityManagerURL/admin om de beheerconsole te openen.
2 Klik in de beheerconsole op de pijl op het tabblad Catalogus en selecteer Instellingen.
3 Selecteer Nieuwe eindgebruikersinterface van portal in het linkerdeelvenster en klik op Nieuwegebruikersinterface van portal inschakelen.
De connector-URL aanpassenU kunt de connector-URL wijzigen door de hostnaam van de identiteitsprovider in deVMware Identity Manager-console bij te werken.
Procedure
1 Meld u aan bij de VMware Identity Manager-console.
2 Klik op het tabblad Identiteits- en toegangsbeheer en klik vervolgens op het tabbladIdentiteitsproviders.
3 Op de pagina Identiteitsproviders selecteert u de identiteitsprovider die u wilt bijwerken.
4 In het veld IdP-hostnaam voert u de nieuwe hostnaam in.
Gebruik de notatie hostnaam:poort. Een poort specificeren is optioneel. De standaardpoort is 443.
Bijvoorbeeld vidm.example.com.
5 Klik op Opslaan.
LogboekbestandsgegevensDe VMware Identity Manager-logboekbestanden kunnen u helpen bij het verhelpen van bugs en hetoplossen van problemen. De onderstaande logboekbestanden zijn een algemeen startpunt. Aanvullendelogboeken kunnen worden gevonden in de directory met logboeken.
Tabel 6‑1. Logboekbestanden
OnderdeelLocatie van logboekbestandvoor Linux
Locatie van logboekbestand voorWindows Beschrijving
IdentityManagerService-logboeken
/opt/vmware/horizon/workspa
ce/logs/horizon.log
<INSTALL_DIR>\opt\vmware\horiz
on\workspace\logs\horizon.log
Informatie over activiteiten binnende service, zoals rechten,gebruikers en groepen.
Configuratielogboekbestanden
/opt/vmware/horizon/workspa
ce/logs/configurator.log
<INSTALL_DIR>\opt\vmware\horiz
on\workspace\logs\configurator
.log
Aanvragen die de configurator vande REST-client en de webinterfaceontvangt.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 64
Tabel 6‑1. Logboekbestanden (Vervolgd)
OnderdeelLocatie van logboekbestandvoor Linux
Locatie van logboekbestand voorWindows Beschrijving
Connectorlogboekbestanden
/opt/vmware/horizon/workspa
ce/logs/connector.log
<INSTALL_DIR>\opt\vmware\horiz
on\workspace\logs\connector.lo
g
Een record van elke ontvangenaanvraag van de webinterface.Elke logboekvermelding bevattevens de verzoek-URL, hettijdstempel en de uitzonderingen.Er worden geen synchronisatie-acties geregistreerd.
/opt/vmware/horizon/workspa
ce/logs/connector-dir-
sync.log
InstallDirectory\IDMConnecto
r\opt\vmware\horizon\workspac
e\logs\connector-dir-sync.log
Berichten over de synchronisatievan directory's.
ApacheTomcat-logboeken
/opt/vmware/horizon/workspa
ce/logs/catalina.log
<INSTALL_DIR>\opt\vmware\horiz
on\workspace\logs\catalina.log
Apache Tomcat-registraties vanberichten die niet in anderelogboekbestanden zijngeregistreerd.
Logboekgegevens verzamelenTijdens testen of problemen oplossen kunnen de logboeken feedback geven over de activiteiten enprestaties van de virtual appliance en ook informatie geven over problemen die zich voordoen.
Haal de logboeken van elke appliance in uw omgeving op.
Procedure
1 Meld u aan bij de VMware Identity Manager-console.
2 Selecteer het tabblad Appliance-instellingen en klik op Configuratie beheren.
3 Klik op Bestandslocaties vastleggen en klik op Logboekbundel voorbereiden.
De informatie wordt verzameld op een tar.gz-bestand dat u kunt downloaden.
4 Download de voorbereide bundel.
Wat nu te doen
Doe dit voor elke appliance om alle logboeken te verzamelen.
Het logboekniveau van de VMware Identity Manager-serviceinstellen op FOUTOPSPORINGU kunt het logboekniveau instellen op FOUTOPSPORING om extra informatie te registreren die kanhelpen bij het vinden van oplossingen voor problemen.
Procedure
1 Meld u aan bij de machine.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 65
2 Open het pad naar de map conf.
Voor Linux gaat u naar /usr/local/horizon/conf/.
Voor Windows gaat u naar \usr\local\horizon\conf\.
3 Werk het logboekniveau in de bestanden cfg-log4j.properties hc-log4j.propertiesen saas-log4j.properties bij. Dit zijn de meest gebruikte log4j-bestanden voor de service.
a Bewerk het bestand.
b Vervang INFO door DEBUG op de regels waarvoor het logboekniveau is ingesteld op INFO.
Bijvoorbeeld, wijzig:
rootLogger.level=INFO
in:
rootLogger.level=DEBUG
c Sla het bestand op.
U hoeft de service of het systeem niet opnieuw te starten.
Uw wachtwoord beherenWanneer u VMware Identity Manager voor Windows voor het eerst hebt geconfigureerd, hebt uwachtwoorden voor de beheerdergebruiker gemaakt. U kunt het beheerderswachtwoord wijzigen op hettabblad Appliance-instellingen in de Identity Manager-console.
Zorg dat u sterke wachtwoorden maakt. Sterke wachtwoorden moeten minstens acht tekens lang zijn enbestaan uit een combinatie van hoofdletters en kleine letters en minstens één cijfer of speciaal teken.
Opmerking Als u zich niet kunt aanmelden en het wachtwoord opnieuw moet instellen, kunt u het scripthznSetAdminPassword.bat gebruiken om het wachtwoord opnieuw in te stellen. Zie Wachtwoord vanbeheerdersgebruiker voor VMware Identity Manager voor Windows opnieuw instellen.
Procedure
1 Klik in de VMware Identity Manage-console op de tab Appliance-instellingen.
2 Klik op VA-configuratie > Configuratie beheren.
3 Als u het beheerderswachtwoord wilt wijzigen, selecteert u Wachtwoord wijzigen.
Belangrijk Het wachtwoord voor de beheerdersgebruiker moet minstens zes tekens lang zijn.
4 Geef het nieuwe wachtwoord op.
5 Klik op Opslaan.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 66
Wachtwoord van beheerdersgebruiker voorVMware Identity Manager voor Windows opnieuw instellenU kunt het beheerderswachtwoord voor VMware Identity Manager Service wijzigen op de beheerpagina'svan de connector via https://<hostnameFQDN>:8443/cfg/login. Als u zich echter niet kunt aanmelden enhet wachtwoord opnieuw moet instellen, kunt u het script hznSetAdminPassword.bat gebruiken om hetwachtwoord opnieuw in te stellen.
Procedure
1 Open een opdrachtpromptvenster op de Windows-server.
2 Navigeer naar de map IDM_INSTALL_DIR>\usr\local\horizon\bin.
cd <IDM_INSTALL_DIR>\usr\local\horizon\bin
waarbij IDM_INSTALL_DIR de installatiemap van de VMware Identity Manager-service is.
3 Voer de volgende opdracht uit.
hznSetAdminPassword.bat newPassword
Het wachtwoord voor de beheerdersgebruiker moet minstens zes tekens lang zijn.
SMTP-instellingen configurerenConfigureer SMTP-serverinstellingen om e-mailmeldingen te ontvangen van de serviceVMware Identity Manager. E-mailmeldingen worden bijvoorbeeld verzonden wanneer nieuwe lokalegebruikers worden gemaakt, wanneer een wachtwoord opnieuw wordt ingesteld, of met hetverificatietoken voor automatische ontdekking.
Procedure
1 Meld u aan bij de VMware Identity Manager-console.
2 Klik op het tabblad Appliance-instellingen en klik op SMTP.
3 Voer de hostnaam van de SMTP-server in.
Bijvoorbeeld: smtp.example.com.
4 Voer het poortnummer van de SMTP-server in.
Bijvoorbeeld: 25.
5 (Optioneel) Als er verificatie vereist is voor de SMTP-server, voert u hier de gebruikersnaam en hetwachtwoord in.
6 Klik op Opslaan.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 67
7 Als u het adres van de afzender in de e-mailmeldingen wilt aanpassen, voegt u het adres toe aan hetbestand runtime-config.properties.
a Meld u aan bij de VMware Identity Manager-machine.
b Bewerk het bestand /usr/local/horizon/conf/runtime-config.properties en voeg devolgende eigenschap toe.
notification.emails.support=e-mailadres
Bijvoorbeeld:
c Sla het bestand op.
d Start de machine opnieuw.
<install dir>\usr\local\horizon\scripts\horizonService.bat restart
Hierdoor wordt het adres van de afzender van de standaardwaarde [email protected] in het aangepaste adres.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 68
Installatie- enconfiguratieproblemen oplossen 7De onderwerpen beschrijven oplossingen voor potentiële problemen die u kunt ondervinden wanneer uVMware Identity Manager installeert of configureert.
Dit hoofdstuk omvat de volgende onderwerpen:
n Na synchronisatie van de directory worden geen leden in de groepen weergegeven
n Problemen met Elasticsearch oplossen
Na synchronisatie van de directory worden geen leden inde groepen weergegevenDe synchronisatie van de directory is voltooid, maar er worden geen gebruikers weergegeven ingesynchroniseerde groepen.
Probleem
Nadat een directory handmatig of automatisch op basis van het synchronisatieschema isgesynchroniseerd, is het synchronisatieproces voltooid, maar worden er geen gebruikers ingesynchroniseerde groepen weergegeven.
Oorzaak
Dit probleem doet zich voor als u twee of meer knooppunten in een cluster hebt en er een tijdverschil vanmeer dan vijf seconden tussen de knooppunten bestaat.
Oplossing
1 Zorg ervoor dat er geen tijdverschil tussen de knooppunten zit. Gebruik dezelfde NTP-server op alleknooppunten in het cluster om de tijd te synchroniseren.
Voer bijvoorbeeldhttps://community.spiceworks.com/how_to/5765-configure-windows-server-to-query-
an-external-ntp-server in.
2 Start de service opnieuw op alle knooppunten.
<install dir>\usr\local\horizon\scripts\horizonService.bat restart
3 (Optioneel) Verwijder de groep in de VMware Identity Manager-console, voeg de groep weer toe bijde synchronisatie-instellingen en synchroniseer de directory vervolgens opnieuw.
VMware, Inc. 69
Problemen met Elasticsearch oplossenGebruik deze informatie om problemen met Elasticsearch in een clusteromgeving op te lossen.Elasticsearch, een zoek- en analyse-engine die wordt gebruikt voor audits, rapportage endirectorysynchronisatielogboeken, is geïntegreerd in de virtual appliance van VMware Identity Manager.
Problemen met Elasticsearch oplossenOm de status van Elasticsearch te controleren, moet u de tool curl gebruiken. Als curl niet is geïnstalleerdop de Windows-machine, kunt u een query uitvoeren vanaf een Linux- of Mac-machine naar curlhttp://<hostname>:9200/_cluster/health?pretty. De firewall moet zijn ingeschakeld voor hetuitvoeren van de externe query.
De opdracht moet een resultaat teruggeven dat vergelijkbaar is met het volgende.
{
"cluster_name" : "horizon",
"status" : "green",
"timed_out" : false,
"number_of_nodes" : 3,
"number_of_data_nodes" : 3,
"active_primary_shards" : 20,
"active_shards" : 40,
"relocating_shards" : 0,
"initializing_shards" : 0,
"unassigned_shards" : 0,
"delayed_unassigned_shards" : 0,
"number_of_pending_tasks" : 0,
"number_of_in_flight_fetch" : 0
}
Als Elasticsearch niet goed wil starten of als de status rood is, volgt u deze stappen om problemen op telossen.
1 Zorg dat poort 9300 is geopend.
a Werk de knooppuntgegevens bij door de IP-adressen van alle knooppunten in het cluster aan hetbestand \usr\local\horizon\scripts\updateiptables.hzn toe te voegen.
ALL_IPS="node1IPadd node2IPadd node3IPadd"
b Voer het volgende script uit op alle knooppunten in het cluster.
\usr\local\horizon\scripts\updateiptables.hzn
2 Start Elasticsearch opnieuw op alle knooppunten in het cluster.
3 Bekijk de logboeken voor meer informatie.
cd /opt/vmware/elasticsearch/logs
U kunt Powershell of NotePad++ met de invoegtoepassing Document Monitor gebruiken om delogboekbestanden te controleren. In Powershell is de syntaxis: Get-Conent myTestLog.log-Wait.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 70
VMware Identity Managercontroleren 8Controle van VMware Identity Manager is een belangrijk onderdeel van garanderen dat uw WorkspaceONE-oplossing correct werkt.
U kunt externe tools zoals Nagios, Splunk, Symantec Altiris, Spotlight, Ignite of Montastic gebruiken.Neem contact op met de IT-afdeling van uw bedrijf voor specifieke aanbevelingen voor het controlerenvan tools als u nog niet een oplossing op locatie hebt.
Dit document biedt aanbevelingen voor algemene hardware loadcapaciteiten en informatie overlogboekbestanden en URL-endpoints. Het bespreekt niet expliciet hoe u een oplossing voor controlerenmoet configureren.
Dit hoofdstuk omvat de volgende onderwerpen:n Aanbevelingen voor controleren van hardwarebelastingscapaciteit
n VMware Identity Manager URL-endpoints voor controle
n Systeem logboekregistratie
n Standaardgeheugen wijzigen dat is toegewezen aan VMware Identity Manager Service
Aanbevelingen voor controleren vanhardwarebelastingscapaciteitDeze standaarden voor controle gebruiken om ervoor te zorgen dat de status van server goed is.
Statistieken om vast te leggen
Hardware Beeldschermen
CPU Gebruik
Geheugen Gebruik
Harde schijf Vrije ruimte
Netwerk Gebruik
Waarschuwingen en drempelsVMware raadt aan elk geval van individueel gebruik te analyseren om te bepalen wat de juistedrempelwaarden voor individuele omgevingen zijn.
VMware, Inc. 71
Hardware Waarschuwingen, voorbeelden, drempels
CPU Voorbeelden: voorbeelden in 5 minuten
Drempel: 90% meer dan 1 uur, 95 meer dan 1 uur
Waarschuwingen: 90% load is een waarschuwing, 95% iskritiek
Geheugen Voorbeelden: voorbeelden in 5 minuten
Drempel: 90% meer dan 1 uur, 95 meer dan 1 uur
Waarschuwingen: 90% gebruikt is een waarschuwing, 95%gebruikt is kritiek
Harde schijf Voorbeelden: voorbeelden in 5 minuten
Drempel: 90% meer dan 1 uur, 95 meer dan 1 uur
Waarschuwingen: 90% gebruikt is een waarschuwing, 95%gebruikt is kritiek
Netwerk Voorbeelden: voorbeelden in 5 minuten
Drempel: 90% meer dan 1 uur, 95 meer dan 1 uur
Waarschuwingen: 90% load is een waarschuwing, 95% iskritiek
Strategieën voor het vastleggenn VMware Identity Manager Linux Virtual Appliance: voor een virtual appliance worden door de
onderliggende virtuele infrastructuur statistieken vastgelegd met tools zoals vSphere of vRealizeOperations.
n VMware Identity Manager voor Windows: een controlerende agent installeren die wordt ondersteundvoor Windows-servers en deze statistieken kan vastleggen. U kunt voor virtuele servers daarnaastsysteemeigen tools van vSphere gebruiken om relevante statistieken vast te leggen.
VMware Identity Manager URL-endpoints voor controleHou toezicht op de URL-endpoints voor verschillende onderdelen van de VMware Identity Manager omervoor te zorgen dat de omgeving goed functioneert. Bepaalde endpoints kunnen ook worden gebruiktvoor load balancers om te garanderen dat de service verkeer kan verwerken.
Statuscontroles voor load balancers
Onderdeel Statuscontrole Verwachte antwoord Opmerkingen
VMware Identity Manager-service
/SAAS/API/1.0/REST/syste
m/health/heartbeat
String: ok
Http: 200
Frequentie elke 30 seconden.
Mobiele SSO voor Android -Certproxy:
:5262/system/health
Http: 200 Frequentie elke 30 seconden.
Mobiele SSO voor iOS - KDC:
TCP half-open to port 88
Verbinding Frequentie elke 30 seconden.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 72
Onderdeel Statuscontrole Verwachte antwoord Opmerkingen
VMware Identity Manager-connector
/hc/API/1.0/REST/syste
m/health/allOk
String: true
Http: 200
Frequentie elke 30 seconden.
Integration Broker /IB/API/RestServiceImpl.
svc/ibhealthcheck
String: All Ok
Http: 200
Frequentie elke 30 seconden.
XenApp 7.x-integratie:
/IB/API/RestServiceImpl.
svc/hznxenapp/admin/xenf
arminfo?
computerName=&xenappvers
ion=Version7x
String: 'SiteName'
Http: 200
Frequentie elke vijf minuten
XenApp 6.x-integratie:
/IB/API/RestServiceImpl.
svc/hznxenapp/admin/xenf
arminfo?
computerName=&xenappvers
ion=Version65orLater
String: 'FarmName'
Http: 200
Frequentie elke vijf minuten
De statuscontroles voor load-balancers retourneren eenvoudige waarden die eenvoudig doornetwerkapparatuur kunnen worden geparseerd.
Aanvullende statuscontrole voor bewakingDe hier vermeldde statuscontroles mogen worden gebruikt door monitoring-oplossingen die demogelijkheid hebben om gegevens te parseren en dashboards te maken. Stel de frequentie elke 5minuten.
VMware Identity Manager-Service controleren en -status
URL-aanroep: /SAAS/jersey/manager/api/system/health
of
/SAAS/API/1.0/REST/system/health
Ruwe uitvoer
{
"AnalyticsUrl":"unknown",
"ElasticsearchServiceOk":"true",
"EhCacheClusterPeers":"unknown",
"ElasticsearchMasterNode":"unknown",
"ElasticsearchIndicesCount":"unknown",
"ElasticsearchDocsCount":"unknown",
"AuditPollInterval":"0",
"AnalyticsConnectionOk":"true",
"EncryptionServiceVerified":"unknown",
"FederationBrokerStatus":"unknown",
"ServiceReadOnlyMode":"false",
"ElasticsearchUnassignedShards":"unknown",
"AuditWorkerThreadAlive":"true",
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 73
"BuildVersion":"3.3.0.0 Build xxxxxxx",
"AuditQueueSize":"0",
"DatabaseStatus":"unknown",
"HostName":"unknown",
"ElasticsearchNodesCount":"unknown",
"EncryptionStatus":"unknown",
"FederationBrokerOk":"true",
"EncryptionConnectionOk":"true",
"EncryptionServiceImpl":"unknown",
"ClusterId":"22f6e089-45df-41ab-9c8a-77f3e4589230",
"EhCacheClusterDiagnostics":"unknown",
"ElasticsearchNodesList":"unknown",
"DatabaseConnectionOk":"true",
"ElasticsearchHealth":"unknown",
"StatusDate":"2018-08-06 19:14:40 UTC",
"ClockSyncOk":"true",
"MaintenanceMode":"false",
"MessagingConnectionOk":"true",
"fipsModeEnabled":"true",
"ServiceVersion":"3.3.0",
"AuditQueueSizeThreshold":"null",
"IpAddress":"unknown",
"AuditDisabled":"false",
"AllOk":"true"
}
"AllOk" "true", "false" Roll-up statuscontrole om algemenestatus van de VMware Identity Manager-services te controleren
"MessagingConnectionOk" "true", "false" Controleert of alle makers enconsumenten van berichten verbondenzijn met RabbitMQ
"DatabaseConnectionOk" "true", "false" Controleert de verbinding met dedatabase
"EncryptionConnectionOk" "true", "false" Controleert of de verbinding met decoderingsservice goed is en de master-key store klopt
"AnalyticsConnectionOk" "true", "false" Controleert of de verbinding met deanalyseservice goed is
"FederationBrokerOk" "true", "false" Controleert de ingeslotenverificatieadapters om er zeker van tezijn dat hun subsystemen in orde zijn
Opmerking Het label 'Onbekend' in de uitvoer geeft aan dat de informatie beperkt is. Gevoeligegegevens zoals IP-adressen en hostnamen zijn standaard verborgen. Zie Extra informatie instatuscontrole-API als u deze informatie wilt weergeven.
URL oproepen: /Catalog-Portal/Services/Health
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 74
Deze statuscontrole is specifiek voor de gebruikersinterface die onderdeel is van VMware IdentityManager.
Ruwe uitvoer
{
"status": "UP",
"uiService": {
"status": "UP"
},
"apiService": {
"status": "UP"
},
"eucCacheEngine": {
"status": "UP"
},
"cacheEngineClient": {
"status": "UP"
},
"persistenceEngine": {
"status": "UP",
"database": "Microsoft SQL Server",
"hello": 1
},
"tenantPersistenceEngine": {
"status": "UP",
"database": "Microsoft SQL Server",
"hello": 1
},
"diskSpace": {
"status": "UP",
"total": 8460120064,
"free": 4898279424,
"threshold": 10485760
}
}
"status" "ACTIEF", "NIET-WERKEND" Roll-up statuscontrole om algemenestatus van de VMware Identity Manager(gebruikersinterface) te controleren
"uiServer.status" "ACTIEF", "NIET-WERKEND" Als de belangrijkste UI-service wordtuitgevoerd: UP
"apiService.status" "ACTIEF", "NIET-WERKEND" Als de belangrijkste UI-API-service wordtuitgevoerd: UP
"eucCacheEngine.status" "ACTIEF", "NIET-WERKEND" Als de cluster engine voor de Hazelcastwordt uitgevoerd: UP
"cacheEngineClient.status" "ACTIEF", "NIET-WERKEND" Als de Hazelcast client voor de UI wordtuitgevoerd: UP
"persistenceEngine.status" "ACTIEF", "NIET-WERKEND" Als de belangrijkste database (SQL)wordt uitgevoerd: UP
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 75
"tenantPersistenceEngine.status" "ACTIEF", "NIET-WERKEND" Als de belangrijkste database (SQL)wordt uitgevoerd: UP
"diskSpace.status" "ACTIEF", "NIET-WERKEND" Als is de vrije schijfruimte groter is dande geconfigureerde drempel, 10 MB: UP
"diskSpace.free" Bytes Ruimte vrij in Bytes op de partitie waarde UI van de VMware Identity Manageris geïnstalleerd
VMware Identity Manager Connector controleren en status
URL oproepen: /hc/API/1.0/REST/system/health
Ruwe uitvoer
{
"HorizonDaaSSyncConfigurationStatus": "",
"AppManagerServiceOk": "true",
"DomainJoinEnabled": "false",
"XenAppEnabled": "true",
"ViewSyncConfigurationStatus": "",
"ThinAppServiceOk": "true",
"ThinAppSyncConfigurationStatus": "unknown",
"Activated": "true",
"XenAppServiceOk": "false",
"DirectoryServiceStatus": "Connection test successful",
"BuildVersion": "2017.1.1.0 Build 5077496",
"ThinAppServiceStatus": "unknown",
"XenAppServiceStatus": "A problem was encountered Sync Integration Broker",
"HostName": "hostname.company.local",
"NumberOfWarnAlerts": "0",
"JoinedDomain": "true",
"XenAppSyncConfigurationStatus": "Sync configured (manually)",
"DirectorySyncConfigurationStatus": "Sync configured (manually)",
"NumberOfErrorAlerts": "0",
"DirectoryServiceOk": "true",
"HorizonDaaSTenantOk": "true",
"ThinAppDirectoryPath": "",
"StatusDate": "2017-06-27 10:52:59 EDT",
"ViewSyncEnabled": "false",
"ViewServiceOk": "true",
"HorizonDaaSEnabled": "false",
"AppManagerUrl": "https://workspaceurl.com/SAAS/t/qwe12312qw/",
"HorizonDaaSServiceStatus": "unknown",
"DirectoryConnection": "ldap:///ldapcall",
"ServiceVersion": "VMware-C2-2017.1.1.0 Build 5077496",
"IpAddress": "169.118.86.105",
"DomainJoinStatus": "Domain: customerdomainname",
"AllOk": "false",
"ViewServiceStatus": "unknown",
"ThinAppEnabled": "false",
"XenAppSyncSsoBroker": "integrationbrokersso:443 / integrationbrokersync:443"
}
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 76
"AllOk" "true", "false" Roll-up gezondheidscontrole omalgemene status van de VMware IdentityManager Connector Services tecontroleren.
"ViewServiceOk" "true", "false" Waar, als de verbinding met de View-Broker gelukt is. Dit kenmerk is waar alsView-synchronisatie is uitgeschakeld.
"HorizonDaaSTenantOk" "true", "false" Waar, als de verbinding met HorizonCloud gelukt is. Dit kenmerk is waar alsHorizon Cloud-synchronisatie isuitgeschakeld.
"DirectoryServiceOk" "true", "false" Waar, als de verbinding met de directoryis gelukt. Dit kenmerk is waar alsdirectorysynchronisatie is uitgeschakeld.
"XenAppServiceOk" "true", "false" Waar, als de verbinding met de Citrix-server gelukt is. Dit kenmerk is waar alsCitrix-server is uitgeschakeld.
"ThinAppServiceOk" "true", "false" Waar, als de verbinding met de ThinApp-verpakte toepassingsservice is gelukt.Dit kenmerk is waar als verpaktetoepassingen zijn uitgeschakeld.
"AppManagerServiceOk" "true", "false" Waar, als verificatie goed uitgevoerd kanworden voor de AppManager?
"NumberOfWarnAlerts" 0 - 1000 Het aantal waarschuwingsmeldingen dieop deze Connector is geactiveerd. Dezezijn beschikbaar op hetsynchronisatielogboek van de Connectorals "Notities". Ze kunnen aangeven dater een bron gesynchroniseerd is die eengebruiker of groep bevatte die niet in deVMware Identity Manager is opgenomen.Dit kan, afhankelijk van de configuratie,zo zijn ontworpen. De teller blijft oplopenvoor elke synchronisatie totdat dewaarschuwingen en foutmeldingen gelijkaan 1000 zijn en een beheerder dewaarschuwingen wist.
"NumberOfErrorAlerts" 0 - 1000 Het aantal foutmeldingen dat op dezeConnector is geactiveerd. Deze zijnbeschikbaar op hetsynchronisatielogboek van de Connectoronder "Fout". Ze kunnen aangeven dateen synchronisatie mislukt is. De tellerblijft oplopen voor elke synchronisatietotdat de waarschuwingen enfoutmeldingen gelijk aan 1000 zijn eneen beheerder de waarschuwingen wist.
VMware Identity Manager Integration Broker controleren en status
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 77
URL-aanroep: /IB/API/RestServiceImpl.svc/ibhealthcheck
Ruwe uitvoer
“All Ok”
Deze statuscontrole controleert of alle software op de Integration Broker goed reageert. Het levert een200 reactie op met de string 'All Ok'.
VMware Identity Manager Integration Broker controleren en status met Citrix XenApp 7.x
URL-aanroep: /IB/API/RestServiceImpl.svc/hznxenapp/Admin/xenfarminfo?computerName=&xenappversion=Version7x
Dit haalt informatie terug van een API-aanroep naar Citrix. Controle kan ervoor zorgen dat de waardenconsistent zijn.
Ruwe uitvoer
[{
\ “ConfigurationLoggingServiceGroupUid \ “: \ “5e2a5602 - 45a8 - 4b56 - 92e6 - 9fae5a3ff459 \ “,
\ “ConfigurationServiceGroupUid \ “: \ “620d7c6e - b7c1 - 4ee7 - b192 - d00764f477e7 \
“, \ “DelegatedAdministrationServiceGroupUid \ “: \ “0a59914d - 4b6e - 4cca - bbaa -
a095067092e3 \ “,
\ “LicenseServerName \ “: \ “xd.hs.trcint.com \ “,
\ “LicenseServerPort \ “: \ “27000 \ “,
\ “LicenseServerUri \ “: \ “https: \ / \ / xd.hs.domain.com: 8083 \ / \ “,
\ “LicensingBurnIn \ “: \ “2014.0815 \ “,
\ “LicensingBurnInDate \ “: \ “8 \ / 14 \ / 2014 5: 00: 00 PM \ “,
\ “LicensingModel \ “: \ “UserDevice \ “,
\ “MetadataMap \ “: \ “System.Collections.Generic.Dictionary `2[System.String,System.String]\“,
\“PrimaryZoneName\“:\“\”,
\“PrimaryZoneUid\“:\“00000000-0000-0000-0000-000000000000\“,
\“ProductCode\“:\“XDT\“,
\“ProductEdition\“:\“PLT\“,
\“ProductVersion\“:\“7.6\“,
\“SiteGuid\“:\“0c074098-02d2-47cf-aa87-7e3asdsad7c\“,
\“SiteName\“:\“customer\“
}]
Ruwe uitvoer uitzondering:
{“ExceptionType”:“System.Management.Automation.CmdletInvocationException”,“Message”:“An invalid URL
was given for the service. The value given was ‘mit-xen751.hs.trcint.com’.\u000d\u000a The reason
given was: Failed to connect to back-end server ‘mit-xen751.hs.trcint.com’ on port 80 using binding
WSHttp. The server may be off-line or may not be running the appropriate
service\u000d\u000a\u0009There was no endpoint listening at http:\/\/mit-
xen751.hs.trcint.com\/Citrix\/ConfigurationContract\/v2 that could accept the message. This is often
caused by an incorrect address or SOAP action. See InnerException, if present, for more
details.\u000d\u000a\u0009The remote name could not be resolved: ‘mit-xen751.hs.trcint.com’.
“,”StackTrace”:” at
System.Management.Automation.Internal.PipelineProcessor.SynchronousExecuteEnumerate(Object input,
Hashtable errorResults, Boolean enumerate)\u000d\u000a at
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 78
System.Management.Automation.Internal.PipelineProcessor.SynchronousExecute(Array input, Hashtable
errorResults)\u000d\u000a at
System.Management.Automation.Runspaces.LocalPipeline.InvokeHelper()\u000d\u000a at
System.Management.Automation.Runspaces.LocalPipeline.InvokeThreadProc()“}
VMware Identity Manager Integration Broker controleren en status met Citrix XenApp 6.x
URL-aanroep: /IB/API/RestServiceImpl.svc/hznxenapp/Admin/xenfarminfo?computerName=&xenappversion=Version65orLater
Dit haalt informatie terug van een API-aanroep naar Citrix. Controle kan ervoor zorgen dat de waardenconsistent zijn.
Ruwe uitvoer
“[{
\ “FarmName \ “: \ “NewFarm \ “,
\ “ServerVersion \ “: \ “6.5.0 \ “,
\ “AdministratorType \ “: \ “Full \ “,
\ “SessionCount \ “: \ “0 \ “,
\ “MachineName \ “: \ “XENAPPTEST \ “
}]”
Extra informatie in statuscontrole-APIU kunt bepalen of gevoelige informatie, zoals IP-adressen en hostnamen, wordt weergegeven in deuitvoer van de statuscontrole-API'shttps://<VIDM_FQDN>/SAAS/jersey/manager/api/system/health enhttps://<VIDM_FQDN>/SAAS/API/1.0/REST/system/health. Deze informatie is niet standaardinbegrepen in de API-uitvoer.
De eigenschap service.health.check.basic in het bestand runtime-config.properties bepaaltdeze instelling. Wanneer de eigenschap op waar is ingesteld, wordt alleen basisinformatie weergegevenen zijn gevoelige gegevens verborgen. Het label Onbekend in de uitvoer geeft aan dat de informatiebeperkt is. Bijvoorbeeld:
AnalyticsUrl: "unknown"
ElasticsearchServiceOk: "true"
EhCacheClusterPeers: "unknown"
ElasticsearchMasterNode: "unknown"
ElasticsearchIndicesCount "unknown"
ElasticsearchDocsCount: "unknown"
AuditPollInterval: "1000"
AnalyticsConnectionOk: "true"
...
IpAddress: "unknown"
AuditDisabled: "false"
AllOk: "true"
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 79
Als de eigenschap op niet waar is ingesteld, wordt alle beschikbare informatie weergegeven.Bijvoorbeeld:
AnalyticsUrl: "http://198.51.100.0"
ElasticsearchServiceOk: "true"
EhCacheClusterPeers: ""
ElasticsearchMasterNode: "198.51.100.1"
ElasticsearchIndicesCount: "13"
ElasticsearchDocsCount: "11173"
AuditPollInterval: "1000"
AnalyticsConnectionOk: "true"
...
IpAddress: "198.51.100.2"
AuditDisabled: "false"
AllOk: "true"
De eigenschap is standaard op waar ingesteld.
Opmerking Als u een VMware Identity Manager-cluster hebt ingesteld en u de eigenschap wijzigt, moetu ervoor zorgen dat u de wijziging in alle knooppunten in het cluster aanbrengt.
Procedure
1 Meld u aan op de VMware Identity Manager-server.
2 Bewerk het bestand install_dir\usr\local\horizon\conf\runtime-config.properties enstel de waarde van de eigenschap service.health.check.basic in op waar of niet waar.
Optie Beschrijving
waar Alleen basisinformatie wordt weergegeven. Gevoelige informatie is verborgen enin plaats daarvan wordt het label Onbekend weergegeven.
niet waar Alle beschikbare informatie wordt weergegeven.
3 Sla het bestand op.
4 Start de service opnieuw op.
install_dir\usr\local\horizon\scripts\horizonService.bat restart
5 Als u een VMware Identity Manager-cluster heeft ingesteld, brengt u deze wijzigingen in elkknooppunt van het cluster aan.
Systeem logboekregistratieLogboekregistratie van de VMware Identity Manager-service en de VMware Identity Manager-connectoronderdelen is beschikbaar met behulp van de syslog. Het onderdeel Integration Broker registreert lokaal.De logboeken kunnen worden verzameld en worden bekeken op de server of via een centralelogboekregistratieservice zoals vRealize Log Insight of Splunk.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 80
Logboekregistratie van VMware Identity Manager-Service enConnectorLogboeklocaties
De meeste service- en connectorlogboeken bevinden zich op de volgende locatie:
n Linux-gebaseerde virtual appliance van VMware IdentityManager: /opt/vmware/horizon/workspace/logs/
n VMware Identity Manager voor Windows: \<Install_Dir>\VMware IdentityManager\opt\vmware\horizon\workspace\logs
Logboek Doel
greenbox_web.log Logboek dat alle interacties van de gebruikersinterface voorweb en mobiel bevat
horizon.log VMware Identity Manager service-logboek dat Identity-Adapters, RabbitMQ Elasticsearch, Ehcache en anderesubsystemen bevat
connector.log VMware Identity Manager connector registreert voor alleverificatiemethoden en Horizon- en Citrix-integraties
cert-proxy.log Onderdeel van VMware Identity Manager-service CertProxyvoor Android mobiele SSO
configurator.log Aanvragen die de configurator van de REST-client en dewebinterface ontvangt.
catalina.log Apache Tomcat-registraties van berichten die niet in anderelogboekbestanden zijn geregistreerd.
Integration Broker-LogboekregistratieIntegration Broker-logboeken bevinden zich op de volgende locatie:
C:\ProgramData\VMware\HorizonIntegrationBroker
De logboeken zijn vastgelegd per dag en bevatten alle REST API-oproepen gemaakt naar en door deIntegration Broker.
Standaardgeheugen wijzigen dat is toegewezen aanVMware Identity Manager ServiceVoor nauwkeurige controle over de hoeveelheid geheugen die aan de VMware Identity Manager-serviceis toegewezen, kunt u het geheugen dat in Tomcat is toegewezen, wijzigen via de pagina metomgevingsvariabelen voor de Windows-systeemeigenschappen.
Wanneer de VMware Identity Manager-service is geïnstalleerd, wordt de geheugeninstelling standaardingesteld op de helft van het beschikbare geheugen. De standaardinstelling hoeft doorgaans niet teworden gewijzigd.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 81
Procedure
1 Open het configuratiescherm op de Windows-machine met VMware Identity Manager en ga naar hettabblad Systeemeigenschappen > Geavanceerd.
2 Klik op Omgevingsvariabelen onderaan het dialoogvenster.
3 Klik in het gedeelte Omgevingsvariabelen > Gebruikersvariabelen op Nieuw.
4 Voer in het dialoogvenster Nieuwe gebruikersvariabele de variabele in als IDM_TOMCAT_MEM= <#>g
#g is het toe te wijzen geheugen. 2G is de minimale geheugeninstelling om toe te wijzen, maar er isgeen maximum.
5 Start de service opnieuw op. Typ de batchbestandsopdracht, horizonService.bat restart.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 82
Limieten instellen 9U kunt limieten voor de VMware Identity Manager-service en de VMware Identity Manager-connectorinstellen.
Dit hoofdstuk omvat de volgende onderwerpen:n Limieten instellen voor VMware Identity Manager Service
n Limieten instellen voor VMware Identity Manager Connector
Limieten instellen voor VMware Identity Manager ServiceU kunt limieten instellen voor het aantal aanmeldings-, start- en WS-Fed-aanvragen dat per minuut naarde VMware Identity Manager-service kan worden verzonden. Wanneer de limiet wordt bereikt, wordendaaropvolgende aanvragen geweigerd. Door limieten in te stellen helpt u overbelasting van het systeemte voorkomen.
Bijvoorbeeld: als u de limiet voor aanmeldingsaanvragen op 100 instelt, worden de eerste 100aanmeldingsaanvragen per minuut geaccepteerd, maar worden alle aanvragen vanaf de 101stegeweigerd.
Voor een VMware Identity Manager-cluster is de limiet van toepassing op elk knooppunt in het cluster.Bijvoorbeeld: als u de limiet voor aanmeldingsaanvragen op 100 instelt voor een cluster met knooppuntA, knooppunt B en knooppunt C, kan knooppunt A 100 aanmeldingsaanvragen per minuut verwerken,kan knooppunt B 100 aanmeldingsaanvragen per minuut verwerken en kan knooppunt C 100aanmeldingsaanvragen per minuut verwerken. U kunt afzonderlijke aanmeldingslimieten per knooppuntinstellen.
Wanneer de limiet wordt bereikt en aanvragen worden geweigerd, zien eindgebruikers het volgendefoutbericht:
VMware, Inc. 83
Er zijn standaard geen limieten ingesteld.
U stelt limieten in met een REST API. Gebruik een REST-client zoals Postman voor de aanroepen naarde VMware Identity Manager-service. De wijzigingen worden over een paar minuten van kracht.
Limieten instellenGebruik deze API om limieten voor de VMware Identity Manager-service in te stellen.
Eindpunt:https://hostnaam/SAAS/jersey/manager/api/system/tuning/resiliency/tenant/orgResilien
cyConfiguration?tenantId=tenantId
Methode: PUT
Beschrijving: Stelt het maximum aantal aanmeldings-, start- en WS-Fed-aanvragen per minuut in datdoor de VMware Identity Manager-service is toegestaan.
Headers:
Inhoudtype application/vnd.vmware.horizon.manager.system.tuning.resiliency.config+json;charset=UTF-8
Accepteren application/vnd.vmware.horizon.manager.system.tuning.resiliency.config+json
Autorisatie HZN cookie_waarde
Om de cookie_waarde op te halen, meldt u zich als tenantbeheerder aan bij de VMware Identity Manager-service.Dit is de beheerder die wordt gemaakt wanneer u VMware Identity Manager voor het eerst installeert en de waardevan de HZN-cookie uit de cookiecache van uw browser verkrijgt.
Parameters voor pad:
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 84
hostname De volledig gekwalificeerde domeinnaam van de service of load balancer van VMware Identity Manager.
tenantId De tenant-ID van de VMware Identity Manager-service. De tenant-ID is de naam van de tenant die in derechterbovenhoek van de VMware Identity Manager-console wordt weergegeven.
Aanvraagtekst:
{
"config": {
"rateLimitingDisabled": false,
"rateLimits": {
"login": {
"requestsPerMinute": n
},
"launch": {
"requestsPerMinute": n
},
"ws-fed": {
"requestsPerMinute": n
}
}
}
}
Tekstparameters voor aanvraag
login requestsPerMinute Geef het maximum aantal aanmeldingsaanvragen op dat per minuut is toegestaan.
Opmerking Houd er rekening mee dat meerdere API-aanvragen nodig kunnen zijn om eenaanmeldingsaanvraag te voltooien en elke API-aanroep telt mee voor de limieten. Bijvoorbeeld: voorwachtwoordverificatie zijn twee API-aanroepen nodig, één om de aanmeldingspagina weer te gevenen de tweede om verificatiegegevens te verzenden.
launchrequestsPerMinute
Geef het maximum aantal startaanvragen op dat per minuut is toegestaan.
ws-fedrequestsPerMinute
Geef het maximum aantal WS-Fed-aanvragen op dat per minuut is toegestaan. WS-Fed-limieten zijnalleen bedoeld voor actieve aanmeldingsconfiguraties.
Limieten weergevenGebruik deze API om limieten weer te geven die voor de VMware Identity Manager-service zijn ingesteld.
Eindpunt:https://hostnaam/SAAS/jersey/manager/api/system/tuning/resiliency/tenant/orgResilien
cyConfiguration?tenantId=tenantId
Methode: GET
Beschrijving: Haalt de limieten op die momenteel voor aanmeldings-, start- en WS-Fed-aanvragen voorde VMware Identity Manager-service zijn ingesteld.
Headers:
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 85
Autorisatie HZN cookie_waarde
Om de cookie_waarde op te halen, meldt u zich als tenantbeheerder aan bij de VMware Identity Manager-service.Dit is de beheerder die wordt gemaakt wanneer u VMware Identity Manager voor het eerst installeert en de waardevan de HZN-cookie uit de cookiecache van uw browser verkrijgt.
Parameters voor pad: hostname De volledig gekwalificeerde domeinnaam van de service of load balancer van VMware Identity Manager.
tenantId De tenant-ID van de VMware Identity Manager-service. De tenant-ID is de naam van de tenant die in derechterbovenhoek van de VMware Identity Manager-console wordt weergegeven.
Voorbeeld van uitvoer:
{
"config": {
"rateLimitingDisabled": false,
"rateLimits": {
"login": {
"requestsPerMinute": 100
},
"launch": {
"requestsPerMinute": 100
},
"ws-fed": {
"requestsPerMinute": 100
}
}
}
}
login requestsPerMinute Het maximum aantal aanmeldingsaanvragen dat per minuut is toegestaan.
launch requestsPerMinute Het maximum aantal startaanvragen dat per minuut is toegestaan.
ws-fed requestsPerMinute Het maximum aantal WS-Fed-aanvragen dat per minuut is toegestaan. WS-Fed-limieten zijn alleenbedoeld voor actieve aanmeldingsconfiguraties.
Limieten instellen voor VMware Identity ManagerConnectorNet zoals u limieten voor de VMware Identity Manager-service kunt instellen, kunt u limieten voor deVMware Identity Manager-connector instellen.
Voor de connector kunt u een limiet instellen voor het aantal aanmeldingsaanvragen dat per minuut istoegestaan. Wanneer de limiet wordt bereikt, worden daaropvolgende aanvragen geweigerd. Doorlimieten in te stellen helpt u overbelasting van het systeem te voorkomen.
Bijvoorbeeld: als u de limiet voor aanmeldingsaanvragen op 100 instelt, worden de eerste 100aanmeldingsaanvragen per minuut geaccepteerd, maar worden alle aanvragen vanaf de 101stegeweigerd.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 86
Voor een VMware Identity Manager-connectorcluster is de limiet van toepassing op elk knooppunt in hetcluster. Bijvoorbeeld: als u de limiet voor aanmeldingsaanvragen op 100 instelt voor een cluster metknooppunt A, knooppunt B en knooppunt C, kan knooppunt A 100 aanmeldingsaanvragen per minuutverwerken, kan knooppunt B 100 aanmeldingsaanvragen per minuut verwerken en kan knooppunt C 100aanmeldingsaanvragen per minuut verwerken. U kunt afzonderlijke aanmeldingslimieten per knooppuntinstellen.
Wanneer de limiet wordt bereikt en aanvragen worden geweigerd, zien eindgebruikers het volgendefoutbericht:
Er zijn standaard geen limieten ingesteld.
U stelt limieten in met een REST API. Gebruik een REST-client zoals Postman voor de aanroepen naarde VMware Identity Manager-service.
Wijzigingen wordt na ongeveer een uur van kracht. Start de connector opnieuw als u wilt dat dewijzigingen onmiddellijk van kracht worden.
Als u de Linux-gebaseerde virtual appliance van de connector opnieuw wilt starten, meldt u zich aan bijde virtual appliance en voert u de volgende opdracht uit:
service horizon-workspace restart
Voer het volgende script uit om de Windows-connector opnieuw te starten:
install_dir\usr\local\horizon\scripts\horizonService.bat restart
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 87
Limieten instellenGebruik deze API om limieten voor de VMware Identity Manager-connector in te stellen.
Eindpunt:https://hostnaam/SAAS/jersey/manager/api/system/tuning/resiliency/tenant/orgResilien
cyConnectorConfiguration?tenantId=tenantId
Methode: PUT
Beschrijving: Stelt het maximum aantal aanmeldingsaanvragen per minuut in dat door de VMwareIdentity Manager-connector is toegestaan.
Headers:
Inhoudtype application/vnd.vmware.horizon.manager.system.tuning.resiliency.config+json;charset=UTF-8
Accepteren application/vnd.vmware.horizon.manager.system.tuning.resiliency.config+json
Autorisatie HZN cookie_waarde
Om de cookie_waarde op te halen, meldt u zich als tenantbeheerder aan bij de VMware Identity Manager-service.Dit is de beheerder die wordt gemaakt wanneer u VMware Identity Manager voor het eerst installeert en de waardevan de HZN-cookie uit de cookiecache van uw browser verkrijgt.
Parameters voor pad: hostname De volledig gekwalificeerde domeinnaam van de service of load balancer van VMware Identity Manager.
tenantId De tenant-ID van de VMware Identity Manager-service. De tenant-ID is de naam van de tenant die in derechterbovenhoek van de VMware Identity Manager-console wordt weergegeven.
Aanvraagtekst:
{
"config": {
"rateLimitingDisabled": false,
"rateLimits": {
"login": {
"requestsPerMinute": n
}
}
}
}
Tekstparameters voor aanvraag
loginrequestsPerMinute
Geef het maximum aantal aanmeldingsaanvragen op dat per minuut is toegestaan.
Opmerking Houd er rekening mee dat meerdere API-aanvragen nodig kunnen zijn om eenaanmeldingsaanvraag te voltooien en elke API-aanroep telt mee voor de limieten. Bijvoorbeeld: voorwachtwoordverificatie zijn twee API-aanroepen nodig, één om de aanmeldingspagina weer te geven ende tweede om verificatiegegevens te verzenden.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 88
Limieten weergevenGebruik deze API om limieten weer te geven die momenteel voor de VMware Identity Manager-connectorzijn ingesteld.
Eindpunt:https://hostnaam/SAAS/jersey/manager/api/system/tuning/resiliency/tenant/orgResilien
cyConnectorConfiguration?tenantId=tenantId
Methode: GET
Beschrijving: Haalt de limieten op die momenteel voor aanmeldingsaanvragen voor de VMware IdentityManager-connector zijn ingesteld.
Headers:
Autorisatie HZN cookie_value
Om de cookie_waarde op te halen, meldt u zich als tenantbeheerder aan bij de VMware Identity Manager-service.Dit is de beheerder die wordt gemaakt wanneer u VMware Identity Manager voor het eerst installeert en de waardevan de HZN-cookie uit de cookiecache van uw browser verkrijgt.
Parameters voor pad: hostname De volledig gekwalificeerde domeinnaam van de service of load balancer van VMware Identity Manager.
tenantId De tenant-ID van de VMware Identity Manager-service. De tenant-ID is de naam van de tenant die in derechterbovenhoek van de VMware Identity Manager-console wordt weergegeven.
Voorbeeld van uitvoer:
{
"config": {
"rateLimitingDisabled": false,
"rateLimits": {
"login": {
"requestsPerMinute": 100
}
}
}
}
login requestsPerMinute Het maximum aantal aanmeldingsaanvragen dat per minuut is toegestaan.
VMware Identity Manager voor Windows installeren en configureren
VMware, Inc. 89