VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager...

89
VMware Identity Manager voor Windows installeren en configureren SEPT 2018 VMware Identity Manager 3.3

Transcript of VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager...

Page 1: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

VMware Identity Managervoor Windows installerenen configurerenSEPT 2018VMware Identity Manager 3.3

Page 2: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 2

U vindt de recentste technische documentatie op de website van VMware:

https://docs.vmware.com/nl/

Op de VMware-website vindt u tevens de nieuwste productupdates.

Als u opmerkingen over deze documentatie heeft, kunt u uw feedback sturen naar:

[email protected]

Copyright © 2018 VMware, Inc. Alle rechten voorbehouden. Informatie over copyright en handelsmerken.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware Nederland B.V.Key Office Papendorp3e verdiepingOrteliuslaan 850UtrechtNederlandTel: +31 (0) 30-2849500Fax: +31 (0) 30- 2849501www.vmware.com/nl

Page 3: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Inhoud

Over het installeren en configureren van VMware Identity Manager voor Windows 5

1 Overzicht van VMware Identity Manager Services 6

2 Installatie van VMware Identity Manager voor Windows voorbereiden 9

Vereisten voor systeem- en netwerkconfiguratie 9

Maak DNS-records en IP-adressen 15

De database van VMware Identity Manager Service maken 16

Implementatiecontrolelijsten 23

3 Customer Experience Improvement Program 25

4 De machine met de VMware Identity Manager achter een load balancer

implementeren 26Een load-balancer of reverse proxy gebruiken om externe toegang tot VMware Identity Manager in

te schakelen 26

5 VMware Identity Manager Service instellen 29

VMware Identity Manager installeren 29

De installatie voltooien met de installatiewizard 33

De machine met de VMware Identity Manager achter een load balancer implementeren 34

Een load-balancer of reverse proxy gebruiken om externe toegang tot VMware Identity Manager in

te schakelen 34

Het basiscertificaat van VMware Identity Manager toepassen op de load-balancer 37

Basiscertificaat van load-balancer toepassen op VMware Identity Manager 38

Failover en redundantie configureren in één datacenter (Windows) 40

Active Directory of LDAP-directoryverbindingen instellen 45

Goedgekeurde IP-adressen aan uw externe firewall toevoegen 55

Proxyinstellingen inschakelen na de installatie 56

De licentiecode invoeren 57

6 Instellingen voor VMware Identity Manager -configuratie beheren 58

Configuratie-instellingen voor de appliance wijzigen 59

SSL-certificaten gebruiken 59

VMware Identity Manager configureren om een externe database te gebruiken 62

De URL van de VMware Identity Manager-service wijzigen 63

De connector-URL aanpassen 64

Logboekbestandsgegevens 64

VMware, Inc. 3

Page 4: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Uw wachtwoord beheren 66

SMTP-instellingen configureren 67

7 Installatie- en configuratieproblemen oplossen 69

Na synchronisatie van de directory worden geen leden in de groepen weergegeven 69

Problemen met Elasticsearch oplossen 70

8 VMware Identity Manager controleren 71

Aanbevelingen voor controleren van hardwarebelastingscapaciteit 71

VMware Identity Manager URL-endpoints voor controle 72

Systeem logboekregistratie 80

Standaardgeheugen wijzigen dat is toegewezen aan VMware Identity Manager Service 81

9 Limieten instellen 83

Limieten instellen voor VMware Identity Manager Service 83

Limieten instellen voor VMware Identity Manager Connector 86

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 4

Page 5: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Over het installeren en configureren vanVMware Identity Manager voor Windows

VMware Identity Manager installeren en configureren biedt informatie over het installeren en configurerenvan de VMware Identity Manager-service op Windows-servers voor implementaties op locatie. Nadat deinstallatie is voltooid, kunt u de VMware Identity Manager-console gebruiken om gebruikers op meerderebeheerde apparaten toegang te verlenen tot de applicaties van uw organisatie, waaronderwebapplicaties, Horizon-applicaties en -desktops en gepubliceerde Citrix-bronnen. In de handleidingwordt ook uitgelegd hoe u uw implementatie voor hoge beschikbaarheid kunt configureren.

DoelgroepDeze informatie is bedoeld voor beheerders van VMware Identity Manager. De informatie is geschrevenvoor ervaren beheerders van Windows- en Linux-systemen die vertrouwd zijn met VMware-technologie,met name vCenter™, ESX™, vSphere®, netwerkconcepten, Active Directory-servers, databases, back-up- en herstelprocedures, Simple Mail Transfer Protocol (SMTP) en NTP-servers. Kennis van anderetechnologieën, zoals RSA SecurID, is handig als u deze functies wilt implementeren.

VMware, Inc. 5

Page 6: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Overzicht vanVMware Identity ManagerServices 1VMware Identity Manager is het onderdeel voor identiteits- en toegangsbeheer van Workspace ONE.Naast Workspace ONE UEM en VMware Horizon kan VMware Identity Manager een universeleapplicatiecatalogus implementeren met web-, systeemeigen en virtuele applicaties.

VMware Identity Manager is ook essentieel om Single Sign-On voor mobiel en voorwaardelijke toegang,die apparaatbeheer en compliancecontroles bevat, te implementeren. VMware Identity Manager isbeschikbaar in gedeelde SaaS en implementatiemodellen op locatie.

Deze handleiding beschrijft hoe u VMware Identity Manager voor Windows implementeert in eenomgeving op locatie, met inbegrip van configuraties voor hoge beschikbaarheid en load balancers.Aanbevolen implementatiepatronen en hoe u de database, connector en VMware Identity Manager-servers schaalt op basis van de grootte van uw organisatie, worden beschreven in het hoofdstukInstallatie van VMware Identity Manager voorbereiden.

De afbeelding VMware Identity Manager voor het Windows-implementatiemodel bevat hetimplementatiepatroon op hoog niveau voor Workspace ONE. De Workspace ONE UEM-apparaatserviceen VMware Identity Manager-service worden geïmplementeerd in de DMZ waar apparaten direct toeganghebben tot de services. De service VMware Horizon wordt geïmplementeerd in het interne netwerk.

Figuur 1‑1. Implementatiemodel van VMware Identity Manager voor Windows

VMware IdentityManager-server

AirWatch-server

Active Directory/

andere directoryservices

Horizon Server

Connectoren

Op locatie

Workspace ONE-implementatie

DMZ

Bedrijfsnetwerk

VMware, Inc. 6

Page 7: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

De afbeelding van het VMware Identity Manager-architectuurdiagram voor typische implementaties bevateen gedetailleerd diagram met de configuratie van de load balancer die is vereist voor een geclusterdeVMware Identity Manager.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 7

Page 8: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Figuur 1‑2. VMware Identity Manager-architectuurdiagram voor typische implementaties

Externe apparatenHTTP(s) 80/88/443

en iOS

Poort 443/88Poort 443/88/5262

Poort 443

Poort 443

Poort 80

8 GBLoad-balancer

Identity Manager

Identity ManagerDB-server

Enterprise Connector

Beheerders

RSA/DNS/DC53/88/464/135/5500

LDAP 389/636/3268/3269

Poort 80

Poort 443

AD/LDAP

SMTP-server

Enterprise- certificatieautoriteit

Workspace OneIntelligence Connector

Interne apparaten

Externefirewall

Loadbalancer

Loadbalancer

Interne firewall

DMZ

Intern netwerk

HTTP(s) 80/443

Poort 443/88/5262

Poort 1443

Poort 1443

Poort 8443

Poort 443

4 core 100 GB

40 GBDB 12 core 300 GB

12 GB 6 core 100 GB

8 GB 1 core 50 GB

Internet

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 8

Page 9: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Installatie vanVMware Identity Manager voorWindows voorbereiden 2VMware Identity Manager Service kan worden geïnstalleerd op een nieuwe zelfstandige server of in eencluster van drie of meer knooppunten.

Denk na over uw gehele implementatie, onder andere over hoe u bronnen integreert, en wanneer ubeslissingen neemt over hardware, bronnen en netwerkvereisten.

Dit hoofdstuk omvat de volgende onderwerpen:

n Vereisten voor systeem- en netwerkconfiguratie

n Maak DNS-records en IP-adressen

n De database van VMware Identity Manager Service maken

n Implementatiecontrolelijsten

Vereisten voor systeem- en netwerkconfiguratieDenk na over uw gehele implementatie, onder andere over hoe u bronnen integreert, en wanneer ubeslissingen neemt over hardware, bronnen en netwerkvereisten.

Groottevereisten voor de hardwareZorg ervoor dat u voldoet aan de hardwarevereisten voor VMware Identity Manager-installaties voorWindows.

Aantal gebruikers Tot 1.000 1000-10.000 10.000-25.000 25.000-50.000 50.000-100.000

AantalVMware IdentityManager-servers

1 server 3 servers met loadbalancing

3 servers met loadbalancing

3 servers met loadbalancing

3 servers met loadbalancing

CPU (per server) 2 CPU's 2 CPU's 4 CPU's 8 CPU's 8 CPU's

RAM (per server) 6 GB 6 GB 8 GB 16 GB 32 GB

Schijfruimte (perserver)

60 GB 100 GB 100 GB 100 GB 100 GB

Als u extra, externe connectoren installeert, moet u ervoor zorgen dat u aan de volgende vereistenvoldoet.

VMware, Inc. 9

Page 10: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Aantal gebruikers Tot 1.000 1000-10.000 10.000-25.000 25.000-50.000 50.000-100.000

Aantalconnectorservers

1 server 2 servers met loadbalancing

2 servers met loadbalancing

2 servers met loadbalancing

2 servers met loadbalancing

CPU (per server) 2 CPU's 4 CPU's 4 CPU's 4 CPU's 4 CPU's

RAM (per server) 6 GB 6 GB 8 GB 16 GB 16 GB

Schijfruimte (perserver)

60 GB 60 GB 60 GB 60 GB 60 GB

Softwarevereisten voor Windows-installatieZorg ervoor dat uw VMware Identity ManagerWindows-server voldoet aan alle onderstaandesoftwarevereisten.

Vereiste Opmerkingen

Ondersteunde versies van Windows Servern Windows Server 2008 R2n Windows Server 2012 R2n Windows Server 2016

PowerShell 4.0 of hoger Active Directory-module voor PowerShell (RSAT-AD-PowerShell)

JRE 1.8 geïnstalleerd Het installatieprogramma voor VMware Identity Managerinstalleert de nieuwste versie, als deze niet is geïnstalleerdvóór de implementatie.

Als uw JRE een oudere versie is, werkt hetinstallatieprogramma de versie automatisch bij, maar wordt debestaande JRE niet verwijderd. U moet eerdere versieshandmatig verwijderen.

RabbitMQ Server Het installatieprogramma voor VMware Identity Managerinstalleert RabbitMQ Server, als dit niet is geïnstalleerd vóór deimplementatie.

Erlang Het installatieprogramma voor VMware Identity Managerinstalleert Erlang, als dit niet is geïnstalleerd vóór deimplementatie.

DatabasevereistenStel VMware Identity Manager in met een externe Microsoft SQL-database om servergegevens op teslaan en te ordenen.

Raadpleeg voor meer informatie over de Microsoft SQL-databaseversies en servicepackconfiguraties dieworden ondersteund, de VMware-productinteroperabiliteitsmatrix op https://www.vmware.com/resources/compatibility/sim/interop_matrix.php.

De volgende vereisten gelden voor een externe SQL Server-database. De exacte specificaties die nodigzijn voor uw SQL-server, zijn afhankelijk van de grootte en de behoeften van uw implementatie.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 10

Page 11: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Aantal gebruikers Tot 1.000 1000-10.000 10.000-25.000 25.000-50.000 50.000-100.000

CPU 2 CPU's 2 CPU's 4 CPU's 8 CPU's 8 CPU's

RAM 4 GB 4 GB 8 GB 16 GB 32 GB

Schijfruimte 50 GB 50 GB 50 GB 100 GB 100 GB

De SQL Server AlwaysOn-mogelijkheid is een combinatie van failoverclustering en databasespiegelingmet logboekverzending voor hoge beschikbaarheid. AlwaysON staat meerdere leesexemplaren van uwdatabase en één lees- en schrijfexemplaar voor bewerkingen toe. Als uw implementatieomgevingvoldoende bandbreedte heeft voor het gegenereerde verkeer, ondersteunt de VMware Identity Manager-database AlwaysOn.

Vereisten voor netwerkconfiguratie

Onderdeel Minimumvereiste

DNS-record en IP-adres IP-adres en DNS-record

VMware Identity Manager gebruikt de hostname.domainname ofhostname.workgroupname tijdens de installatie. Deze namen moeten worden ingesteldzodat deze overeenkomen met de DNS-naam van de server.

Firewallpoort Zorg ervoor dat de ingaande firewallpoort 443 naar de VMware Identity Manager-instantie of de load-balancer is geopend voor gebruikers.

Reverse proxy Implementeer een reverse proxy zoals F5 Access Policy Manager in DMZ omgebruikers toe te staan op afstand toegang te krijgen tot de VMware Identity Manager-gebruikersportal.

VMware Unified Access Gateway 2.8 en hoger biedt ondersteuning voor de functiereverse proxy zodat gebruikers op een veilige manier op afstand toegang hebben tot deuniforme catalogus van VMware Identity Manager. Unified Access Gateway kan wordengeïmplementeerd in de DMZ achter de front-end load balancers van de VMware IdentityManager-appliance.

Vereisten voor de poortenDe poorten die worden gebruikt in de serverconfiguratie, worden hieronder beschreven. Uwimplementatie kan slechts een subset van deze poorten bevatten. Bijvoorbeeld:

n Als u gebruikers en groepen wilt synchroniseren vanuit Active Directory, moetVMware Identity Manager zijn verbonden met Active Directory.

Poort Protocol Source Target Beschrijving

443 HTTPS Load-balancer VMware Identity Manager-machine

443 HTTPS VMware Identity Manager-machine

Load-balancer Nodig om de vollediggekwalificeerdedomeinnaam van deload balancer tevalideren wanneerdeze is ingesteld.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 11

Page 12: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Poort Protocol Source Target Beschrijving

443, 8443 HTTPS/HTTP

VMware Identity Manager-machine

VMware Identity Manager-machine Voor alle VMwareIdentity Manager-instanties in eencluster en inmeerdere clusters inverschillendedatacentrums.

443 HTTPS Browsers VMware Identity Manager-machine

443 HTTPS VMware Identity Manager-machine

discovery.awmdm.com Toegang voorautomatischeontdekking vanWorkspace ONE App

443 HTTPS VMware Identity Manager-machine

catalog.vmwareidentity.com Toegang totcloudcatalogus

8443 HTTPS Browsers VMware Identity Manager-machine Poort voorbeheerders

25 SMTP VMware Identity Manager-machine

SMTP Poort om uitgaandee-mails door tegeven

389

636

3268

3269

LDAP

LDAPS

MSFT-GC

MSFT-GC-SSL

VMware Identity Manager-machine

Active Directory Destandaardwaardenwordenweergegeven. Dezepoorten kunnenwordengeconfigureerd.

5500 UDP VMware Identity Manager-machine

RSA SecurID-systeem De standaardwaardewordt weergegeven.Deze poort kanwordengeconfigureerd.

53 TCP/UDP VMware Identity Manager-machine

DNS-server Elke virtual appliancemoet toeganghebben tot de DNS-server op poort 53 eninkomend SSH-verkeer moet zijningeschakeld oppoort 22.

88, 464,135, 445

TCP/UDP VMware Identity Manager-machine

Domeincontroller

9300 TCP VMware Identity Manager-machine

VMware Identity Manager-machine Auditbehoeften

54328 UDP

5701 TCP VMware Identity Manager-machine

VMware Identity Manager-machine Hazelcast-cache

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 12

Page 13: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Poort Protocol Source Target Beschrijving

40002

40003

TCP VMware Identity Manager-machine

VMware Identity Manager-machine Ehcache

1433 TCP VMware Identity Manager-machine

Database De standaardpoortvoor Microsoft SQL is1433.

443 VMware Identity Manager-machine

View-server Toegang tot de View-server

80, 443 TCP VMware Identity Manager-machine

Integration Broker-server Verbinding met deIntegration Broker.De poortoptie isafhankelijk van deinstallatie van eencertificaat op deIntegration Broker-server

443 HTTPS VMware Identity Manager-machine

AirWatch REST API Voorcompliancecontrolevan het apparaat ende verificatiemethodevan het AirWatchCloud Connector-wachtwoord, als datwordt gebruikt.

88 UDP Unified Access Gateway VMware Identity Manager-machine UDP-poort die moetworden geopendvoor mobiele SSO

5262 TCP mobiel Android-apparaat AirWatch HTTPS-proxyservice AirWatch Tunnel-client leidt verkeernaar de HTTPS-proxy voor Android-apparaten.

88 UDP mobiel iOS-apparaat VMware Identity Manager-machine Poort die wordtgebruikt voorKerberos-verkeervan iOS-apparatennaar de in de cloudgehoste KDC-service.

443 HTTPS/TCP

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 13

Page 14: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Poort Protocol Source Target Beschrijving

514 UDP VMware Identity Manager-machine

syslog-server UDP

Voor externe Syslog-server, indiengeconfigureerd

88 UDP VMware Identity Manager-machine

Hybride KDC-server in de cloud.Hostnaam is kdc.<realm>.Bijvoorbeeld:kdc.op.vmwareidentity.com

UDP-poort die wordtgebruikt omconfiguratie-updatesvan deverificatieadaptervoor Mobiele SSOvoor iOS te verifiërendie in de KDC-service in de cloudworden opgeslagen.Deze poort wordtalleen gebruikt als dehybride KDC-functieMobiele SSO vooriOS wordt gebruikt.

Ondersteunde directory'sU kunt uw bedrijfsdirectory integreren met VMware Identity Manager om gebruikers en groepen van uwbedrijfsdirectory te synchroniseren met de service.

n De Active Directory-omgeving kan bestaan uit één domein van Active Directory, meerdere domeinenin één forest van Active Directory of meerdere domeinen over meerdere forests van Active Directory.

VMware Identity Manager ondersteunt Active Directory in Windows 2008, 2008 R2, 2012 en 2012 R2en 2016 met het functionaliteitsniveau domein en het functionaliteitsniveau forest voor Windows 2003en hoger.

Opmerking Voor bepaalde functies is mogelijk een hoger functioneel niveau vereist. Bijvoorbeeld:als u wilt dat gebruikers de Active Directory-wachtwoorden kunnen wijzigen via Workspace ONE,moet het functionaliteitsniveau Domein Windows 2008 of hoger zijn.

Ondersteunde webbrowsers om toegang te krijgen tot deVMware Identity Manager -consoleDe VMware Identity Manager-console is een webapplicatie die u gebruikt om uw tenant te beheren. Ukunt de VMware Identity Manager-console benaderen vanaf de laatste versies van Mozilla Firefox,Google Chrome, Safari, Microsoft Edge en Internet Explorer 11.

Opmerking In Internet Explorer 11 moet JavaScript zijn ingeschakeld en moeten cookies wordentoegestaan om te kunnen verifiëren via VMware Identity Manager.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 14

Page 15: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Ondersteunde browsers voor toegang tot Workspace ONE-portalEindgebruikers hebben toegang tot de Workspace ONE-portal via de volgende browsers.

n Mozilla Firefox (meest recente versie)

n Google Chrome (meest recente versie)

n Safari (meest recente versie)

n Internet Explorer 11

n Microsoft Edge-browser

n Systeemeigen browser en Google Chrome op Android-apparaten

n Safari op iOS-apparaten

Opmerking In Internet Explorer 11 moet JavaScript zijn ingeschakeld en moeten cookies wordentoegestaan om te kunnen verifiëren via VMware Identity Manager.

Maak DNS-records en IP-adressenEen DNS-vermelding en een statisch IP-adres moeten beschikbaar zijn voor de virtual appliance van deVMware Identity Manager. Aangezien elk bedrijf zijn IP-adressen en DNS-records op een andere wijzebeheert, vraagt u, voordat u met de installatie begint, om de DNS-record en de IP-adressen die u wiltgebruiken.

Reverse lookup configureren is optioneel. Wanneer u reverse lookup implementeert, moet u een PTR-record definiëren op de DNS-server, zodat de virtual appliance de juiste netwerkconfiguratie gebruikt.

U kunt de volgende lijst voorbeelden van DNS-records gebruiken wanneer u uw netwerkbeheerderspreekt. Vervang de voorbeeldinformatie door informatie uit uw omgeving. Dit voorbeeld toont forwardDNS-records en IP-adressen.

Tabel 2‑1. Voorbeelden van forward DNS-records en IP-adressen

Domeinnaam Brontype IP-adres

myidentitymanager.example.com De 10.28.128.3

Dit voorbeeld toont reverse DNS-records en IP-adressen.

Tabel 2‑2. Voorbeelden van reverse DNS-records en IP-adressen

IP-adres Brontype Hostnaam

10.28.128.3 PTR myidentitymanager.example.com

Nadat u de configuratie van DNS hebt voltooid, controleert u of de reverse DNS-lookup goed isgeconfigureerd. De opdracht host IPaddress van de virtual appliance moet bijvoorbeeld leiden tot hetopzoeken van de DNS-naam.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 15

Page 16: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Kerberos-verificatie plannenAls u van plan bent om Kerberos-verificatie in te stellen, houdt u rekening met de volgende vereisten:

n In een scenario waarbij u de ingesloten connector in VMware Identity Manager voor Kerberos-verificatie gebruikt, moet de naam van de VMware Identity Manager-host overeenkomen met hetActive Directory-domein waaraan VMware Identity Manager wordt toegevoegd. Bijvoorbeeld: als hetActive Directory-domein sales.example.com is, moet de naam van de VMware Identity Manager-hostvidmhost.sales.example.com zijn.

Als u geen hostnaam kunt toewijzen die overeenkomt met de structuur van het Active Directory-domein, moet u VMware Identity Manager en Active Directory handmatig configureren. Zie deKnowledge Base voor meer informatie.

n In een scenario waarbij u externe connectoren voor Kerberos-verificatie gebruikt, moet de hostnaamvan de connector overeenkomen met het Active Directory-domein waaraan de connector wordttoegevoegd. Bijvoorbeeld: als het Active Directory-domein sales.example.com is, moet de hostnaamvan de connector connectorhost.sales.example.com zijn.

Als u geen hostnaam kunt toewijzen die overeenkomt met de structuur van het Active Directory-domein, moet u de connector en Active Directory handmatig configureren. Zie de Knowledge Basevoor meer informatie.

Een op Unix/Linux gebaseerde DNS-server gebruikenAls u een op Unix of Linux gebaseerde DNS-server gebruikt en van plan bent om de van deVMware Identity Manager toe te voegen aan het domein van Active Directory, zorgt u ervoor dat de juisteservicebronrecords (SRV) voor elke domeincontroller van Active Directory worden gemaakt.

Opmerking Als u een load balancer hebt met een Virtual IP-adres (VIP) vóór de DNS-servers, houd erdan rekening mee dat VMware Identity Manager het gebruik van een VIP niet ondersteunt. U kuntmeerdere DNS-servers specificeren die door een komma worden gescheiden.

De database van VMware Identity Manager Service makenDe VMware Identity Manager-service heeft een externe Microsoft SQL Server-database nodig omservergegevens op te slaan en te ordenen. Voordat u VMware Identity Manager installeert moet uwdatabasebeheerder een lege Microsoft SQL Server-database en een schema voorbereiden.

Wanneer u verbinding maakt met de Microsoft SQL-server, voert u de naam van de instantie in waarmeeu verbinding wilt maken, evenals de verificatiemodus. U kunt de Windows-verificatiemodus selecteren endomein\gebruikersnaam opgeven, of de SQL Server-verificatiemodus selecteren en de lokalegebruikersnaam en het wachtwoord opgeven.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 16

Page 17: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

U brengt een koppeling tot stand met de externe databaseverbinding wanneer u deVMware Identity Manager-installatiewizard uitvoert. U kunt ook naar de pagina Appliance-instellingen >VA-configuratie > Installatie databaseverbinding gaan om de verbinding met de externe database teconfigureren.

U kunt Microsoft SQL Server gebruiken om een databaseomgeving met hoge beschikbaarheid in testellen.

Vereisten voor databaseserverVoordat u de Microsoft SQL-database configureert, zorgt u dat de hardware- en softwarevereisten juistzijn voor uw implementatie.

Voor de juiste grootte van uw servers raadpleegt u de handleiding VMware Workspace ONE UEMRecommended Architecture voor informatie over het aanpassen van de grootte van de hardware enandere technische details om ervoor te zorgen dat uw database correct kan worden geconfigureerd.

Softwarevereisten voor SQL Servern SQL Server 2012, SQL Server 2014 of SQL Server 2016 met clienthulpprogramma's (SQL

Management Studio, Reporting Services, Integration Services, SQL Server Agent, meest recenteservicepacks). Zorg ervoor dat de SQL-servers 64-bits zijn (zowel de OS- als de SQL-server). AlleenStandard- en Enterprise-edities worden ondersteund.

n .NET 4.6.2 is vereist voor het uitvoeren van het installatieprogramma van de database. Als u .NETniet op uw databaseserver wilt installeren, voert u het installatieprogramma van de database uit opeen andere Workspace ONE UEM-server of een linkserver waarop .NET kan worden geïnstalleerd.

n Zorg ervoor dat de SQL Server Agent Windows-service is ingesteld op Automatisch of Automatisch(vertraagd) als het starttype voor de service. Indien ingesteld op handmatig, moet de SQL ServerAgent Windows-service handmatig worden gestart vóór de installatie van de database.

TCP/IP ingeschakeldGebruik TCP/IP om verbinding te maken met de database en schakel Named pipes uit. Navigeer in SQLServer Configuration Manager naar de pagina Netwerkconfiguratie van SQL Server en selecteerProtocollen voor MSSQLSERVER.

De Microsoft SQL-database met Windows-verificatiemodusconfigurerenOm een Microsoft SQL-database voor de VMware Identity Manager te gebruiken, moet u een nieuwedatabase in de Microsoft SQL-server maken. Tijdens de installatie moet u een verificatiemodus voor dedatabase selecteren. Als u Windows-verificatie selecteert wanneer u de database maakt, voert u degebruikersnaam en het domein in. De gebruikersnaam en het domein worden ingevoerd alsdomain\username.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 17

Page 18: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Wanneer u de Microsoft SQL-opdrachten uitvoert, maakt u een database op de Microsoft SQL-server,voert u de naam van de database in, voegt u de aanmeldgegevens van de gebruiker toe en maakt u hetschema. De naam van het schema is saas.

Opmerking De standaardsortering is hoofdlettergevoelig.

Voorwaarden

n Ondersteunde versie van de Microsoft SQL-server is geïnstalleerd als een externe databaseserver.

n Implementatie van load-balancer is geconfigureerd.

n Windows-verificatie is geselecteerd als verificatiemodus.

n Beheerdersrechten om databasecomponenten te openen en te maken met behulp van Microsoft SQLServer Management Studio of van een andere Microsoft SQL Server CLI client.

Procedure

1 Meld u aan op de sessie van Microsoft SQL Server Management Studio als de systeembeheerdervan een gebruikersaccount met rechten van een systeembeheerder.

Het editorvenster verschijnt.

2 Klik in de werkbalk op Nieuwe zoekopdracht.

3 Als u de database met het standaardschema saas wilt maken, voert u de volgende opdrachten in heteditorvenster in.

/*

Values within angle brackets (< >) are example values. When replacing the example value,

remove the angle brackets. The database name is case sensitive. Make sure you enter the database

name the same in all instances.

*/

CREATE DATABASE <saasdb>

COLLATE Latin1_General_CS_AS;

ALTER DATABASE <saasdb> SET READ_COMMITTED_SNAPSHOT ON;

GO

IF NOT EXISTS

(SELECT name

FROM master.sys.server_principals

WHERE name=N'<domain\username>')

BEGIN

CREATE LOGIN [<domain\username>] FROM WINDOWS;

END

GO

USE <saasdb>;

IF EXISTS (SELECT * FROM sys.database_principals WHERE name=N'<domein\gebruikersnaam>')

DROP USER [<domein\gebruikersnaam>]

GO

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 18

Page 19: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

CREATE USER [<domein\gebruikersnaam>] FOR LOGIN [<domein\gebruikersnaam>]

WITH DEFAULT_SCHEMA=saas;

GO

CREATE SCHEMA saas AUTHORIZATION "<domein\gebruikersnaam>"

GRANT ALL ON DATABASE::<saasdb> TO "<domein\gebruikersnaam>";

GO

ALTER ROLE db_owner ADD MEMBER "<domein\gebruikersnaam>";

GO

4 Klik op de werkbalk op Uitvoeren.

De databaseserver van Microsoft SQL is nu klaar om te worden verbonden met de database vanVMware Identity Manager.

De serverrol die is gebruikt om beveiligingsmachtigingen te verlenen voor de hele server, is ingesteldop openbaar. Het lidmaatschap van de databaserol is db_owner. Stel geen andere rollen in.

Wanneer u VMware Identity Manager voor Windows installeert, selecteert u deze instantie van dedatabaseserver om er verbinding mee te maken. Na de installatie worden de JDBC-URL en degebruikersnaam en het wachtwoord die voor de database zijn gemaakt, geconfigureerd op de paginaInstallatie databaseverbinding op de VMware Identity Manager-server. Zie VMware Identity Managerconfigureren om een externe database te gebruiken.

Microsoft SQL-database configureren met lokale SQL Server-verificatiemodusOm een Microsoft SQL-database voor de VMware Identity Manager te gebruiken, moet u een nieuwedatabase in de Microsoft SQL-server maken. Tijdens de installatie moet u een verificatiemodus voor dedatabase selecteren. Als u SQL Server-verificatie selecteert wanneer u de database maakt, voert u eenlokale gebruikersnaam en wachtwoord in.

Wanneer u de Microsoft SQL-opdrachten uitvoert, maakt u een database op de Microsoft SQL-server,voert u de naam van de database in, voegt u de aanmeldgegevens van de gebruiker toe en maakt u hetschema. Het schema wordt saas genoemd.

Opmerking De standaarddatabasesortering is hoofdlettergevoelig.

Voorwaarden

n Ondersteunde versie van de Microsoft SQL-server is geïnstalleerd als een externe databaseserver.

n Implementatie van load-balancer is geconfigureerd.

n SQL Server-verificatie is geselecteerd als verificatiemodus.

n Beheerdersrechten om databasecomponenten te openen en te maken met behulp van Microsoft SQLServer Management Studio of van een andere Microsoft SQL Server CLI client.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 19

Page 20: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Procedure

1 Meld u aan op de sessie van Microsoft SQL Server Management Studio als de systeembeheerdervan een gebruikersaccount met rechten van een systeembeheerder.

Het editorvenster verschijnt.

2 Klik in de werkbalk op Nieuwe zoekopdracht.

3 Als u de database met het standaardschema saas wilt maken, voert u de volgende opdrachten in heteditorvenster in.

/*

Values within angle brackets (< >) are example values. When replacing the example value,

remove the angle brackets. The database name is case sensitive. Make sure you enter the database

name the same in all instances.

*/

CREATE DATABASE <saasdb>

COLLATE Latin1_General_CS_AS;

ALTER DATABASE <saasdb> SET READ_COMMITTED_SNAPSHOT ON;

GO

BEGIN

CREATE LOGIN <gebruikersnaam_aanmelding> WITH PASSWORD = N'<wachtwoord>';

END

GO

USE <saasdb>;

IF EXISTS (SELECT * FROM sys.database_principals WHERE name=N'<gebruikersnaam_aanmelding>')

DROP USER [<loginusername>]

GO

CREATE USER [<gebruikersnaam_aanmelding>] FOR LOGIN [<gebruikersnaam_aanmelding>]

WITH DEFAULT_SCHEMA=saas;

GO

CREATE SCHEMA saas AUTHORIZATION <gebruikersnaam_aanmelding>

GRANT ALL ON DATABASE::<saasdb> TO <gebruikersnaam_aanmelding>;

GO

ALTER ROLE [db_owner] ADD MEMBER <gebruikersnaam_aanmelding>;

GO

4 Klik op de werkbalk op Uitvoeren.

De databaseserver van Microsoft SQL is nu klaar om te worden verbonden met de database vanVMware Identity Manager.

De serverrol die is gebruikt om beveiligingsmachtigingen te verlenen voor de hele server, is ingesteldop openbaar. Het lidmaatschap van de databaserol is db_owner. Stel geen andere rollen in.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 20

Page 21: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Wanneer u VMware Identity Manager voor Windows installeert, selecteert u deze instantie van dedatabaseserver om er verbinding mee te maken. Na de installatie worden de JDBC-URL en degebruikersnaam en het wachtwoord die voor de database zijn gemaakt, geconfigureerd op de paginaInstallatie databaseverbinding op de VMware Identity Manager-server. Zie VMware Identity Managerconfigureren om een externe database te gebruiken.

Bevestigen dat de Microsoft SQL-database correct isgeconfigureerdOm te bevestigen dat de Microsoft SQL-database correct is geconfigureerd om te werken metVMware Identity Manager, wordt het volgende script uitgevoerd nadat de database is geconfigureerd.

Voorwaarden

De Microsoft SQL-database wordt gemaakt voor VMware Identity Manager Service.

Procedure

1 Meld u aan bij de Microsoft SQL Server Management Studio-sessie met uw <saasdb>-gebruikersnaam en -wachtwoord voor aanmelding die zijn gemaakt in het script dat u heeft gebruiktom de database te maken.

Het editorvenster verschijnt.

2 Klik in de werkbalk op Nieuwe zoekopdracht.

3 Voer de volgende opdrachten uit. Bewerk de opdrachten zoals vereist.

execute as user = 'domain\username'

/* Check if user is db owner. Return true */

SELECT IS_ROLEMEMBER('db_owner') as isRoleMember

/* Make sure user is not sysadmin. Should return false */

SELECT IS_SRVROLEMEMBER('sysadmin') as isSysAdmin

/* check if saas schema exists, should be not null */

SELECT SCHEMA_ID('saas') as schemaId

/* check schema owner, should be user provided to installer */

SELECT SCHEMA_OWNER FROM INFORMATION_SCHEMA.SCHEMATA where SCHEMA_NAME='saas'

/* check if saas is user default schema, should return saas */

SELECT SCHEMA_NAME() as SchemaName

/* check db collation, should return Latin1_General_CS_AS */

SELECT DATABASEPROPERTYEX('<saasdb>', 'Collation') AS Collation

/* check if read committed snapshot is on, should return true */

SELECT is_read_committed_snapshot_on FROM sys.databases WHERE name='<saasdb>'

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 21

Page 22: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

4 Klik op de werkbalk op Uitvoeren.

Als de configuratie onjuist is, worden foutberichten weergegeven. Voordat u doorgaat en het gebruikvan de externe Microsoft SQL-database door de VMware Identity Manager-service configureert,corrigeert u de problemen zoals beschreven in de foutberichten.

Wijzig Rollen op database-niveauWanneer het saas-schema wordt gebruikt voor het maken van de Microsoft SQL-database voor deVMware Identity Manager-service, wordt lidmaatschap van de databaserol toegekend aan de roldb_owner. Leden van de vaste databaserol db_owner kunnen alle configuraties enonderhoudsactiviteiten in de database uitvoeren.

Nadat de database is ingesteld en geconfigureerd in de VMware Identity Manager-service, kunt utoegang tot db_owner intrekken en db_datareader en db_datawriter toevoegen als de databaserollen.Leden van de rol db_datareader kunnen alle gegevens van alle gebruikerstabellen lezen. Leden van derol db_datawriter kunnen gegevens in alle gebruikerstabellen toevoegen, verwijderen of wijzigen.

Opmerking Als u toegang tot db_owner intrekt, moet u ervoor zorgen dat de rol db_owner opnieuwwordt toegekend voordat u een upgrade naar een nieuwe versie van VMware Identity Manager start.

Voorwaarden

Gebruikersrol voor de Microsoft SQL Server Management Studio als systeembeheerder of als eengebruikersaccount met rechten van een systeembeheerder.

Procedure

1 Maak verbinding met de database-instantie <saasdb> voor VMware Identity Manager in de MicrosoftSQL Server Management Studio-sessie als beheerder met rechten van een systeembeheerder.

2 Voor het intrekken van de rol db_owner in de database, voert u de volgende opdracht in

Verificatiemodus Opdracht

Windows-verificatie(domein\gebruiker) ALTER ROLE db_owner DROP MEMBER <domain\username>;

SQL Server-verificatie(lokale gebruiker) ALTER ROLE db_owner DROP MEMBER <loginusername>;

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 22

Page 23: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

3 Rollidmaatschap db_datawriter en db_datareader toevoegen aan de database.

Verificatiemodus Opdracht

Windows-verificatie(domein\gebruiker) ALTER ROLE db_datawriter ADD MEMBER <domain\username>;

GO

ALTER ROLE db_datareader ADD MEMBER <domain\username>;GO

SQL Server-verificatie(lokale gebruiker) ALTER ROLE db_datawriter ADD MEMBER <loginusername>;

GOALTER ROLE db_datareader ADD MEMBER <loginusername>;GO

ImplementatiecontrolelijstenU kunt de implementatiecontrolelijst gebruiken om de benodigde informatie te verzamelen om de virtualappliance van VMware Identity Manager te installeren.

Directory-informatieVMware Identity Manager ondersteunt de integratie met omgevingen van Active Directory of LDAP-directory.

Tabel 2‑3. Controlelijst van domeincontroller van Active Directory

Informatie om te verzamelen Vermeld de informatie

Servernaam van Active Directory

Domeinnaam van Active Directory

Basis-DN

Voor Active Directory over LDAP: de Bind-DN-gebruikersnaamen het wachtwoord

Voor Active Directory met geïntegreerde Windows-verificatie:de gebruikersnaam en het wachtwoord van het account datrechten heeft om computers aan het domein toe te voegen.

Tabel 2‑4. Informatiecontrolelijst van LDAP-directoryserver

Informatie om te verzamelen Vermeld de informatie

Naam of IP-adres van LDAP-directoryserver

Poortnummer van LDAP-directoryserver

Basis-DN

Bind-DN-gebruikersnaam en wachtwoord

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 23

Page 24: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Tabel 2‑4. Informatiecontrolelijst van LDAP-directoryserver (Vervolgd)

Informatie om te verzamelen Vermeld de informatie

LDAP-zoekfilters voor groepsobjecten, objecten vanbindingsgebruikers en gebruikersobjecten

LDAP-kenmerknamen voor lidmaatschap, object-UUID enkenmerkende naam (DN)

SSL-certificatenU kunt een SSL-certificaat toevoegen nadat u de VMware Identity Manager-service hebtgeïmplementeerd.

Tabel 2‑5. Informatiecontrolelijst SSL-certificaat

Informatie om te verzamelen Vermeld de informatie

SSL-certificaat

Privésleutel

LicentiecodeTabel 2‑6. Informatiecontrolelijst van licentiecode van VMware Identity Manager

Informatie om te verzamelen Vermeld de informatie

Licentiecode

Opmerking De informatie van de licentiecode wordt ingevoerd in de VMware Identity Manager-consoleop de pagina Appliance-instellingen > Licentie nadat de installatie is voltooid.

Externe databaseTabel 2‑7. Informatiecontrolelijst van externe database

Informatie om te verzamelen Vermeld de informatie

Hostnaam van database

Poort

Gebruikersnaam

Wachtwoord

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 24

Page 25: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Customer ExperienceImprovement Program 3Het Customer Experience Improvement Program ('CEIP') van VMware verstrekt VMware informatie opbasis waarvan VMware zijn producten en services kan verbeteren, problemen kan oplossen en u kanadviseren hoe u producten het beste kunt implementeren en gebruiken. Als onderdeel van het CEIPverzamelt VMware regelmatig technische informatie over het gebruik van de producten en services vanVMware door uw organisatie gerelateerd aan de VMware-licentiesleutel(s) van uw organisatie. Hierbijworden geen individuele persoonsgegevens geïdentificeerd.

Als u niet wilt deelnemen aan het VMware CEIP voor dit product, schakelt u het selectievakje uit wanneeru VMware Identity Managerinstalleert.

U kunt het CEIP op elk gewenst moment na de installatie verlaten en ook altijd opnieuw deelnemen aanhet programma.

VMware, Inc. 25

Page 26: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

De machine met deVMware Identity Managerachter een load balancerimplementeren 4In een bedrijfsomgeving wordt voor de configuratie van de machine met VMware Identity Manager eenimplementatie van een cluster met drie knooppunten van de VMware Identity Manager Serviceaanbevolen voor hoge beschikbaarheid. Nadat het eerste knooppunt van IDM is geïnstalleerd,geconfigureerd en is getest achter de load balancer, wordt op het eerste knooppunt een script uitgevoerdom een kopie van de eerste instantie te maken. Dit gekopieerd bestand wordt gebruikt om de andereknooppunten in het cluster te maken.

Het architectuurschema van VMware Identity Manager toont hoe u de VMware Identity Manager-omgeving kunt implementeren.

Zie Hoofdstuk1Overzicht van VMware Identity Manager Services.

Een load-balancer of reverse proxy gebruiken om externetoegang tot VMware Identity Manager in te schakelenTijdens de implementatie wordt de machine van de VMware Identity Manager- ingesteld in het internenetwerk. Als u wilt dat gebruikers van buiten het netwerk verbinding kunnen maken met de service, moetu een load balancer of een reverse proxy, zoals Apache, Nginx of F5, in de DMZ installeren.

Als u geen load balancer of reverse proxy gebruikt, kunt u het aantal VMware Identity Manager-machineslater niet uitbreiden. Wellicht moet u meer machines toevoegen om redundantie en load balancing tekunnen bieden. Het volgende diagram bevat de basisimplementatiearchitectuur die u kunt gebruiken omexterne toegang in te schakelen.

VMware, Inc. 26

Page 27: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Figuur 4‑1. Externe load-balancerproxy met virtual machine

Externe load-balancerHostnaam: VMware Identity Manager FQDNVoorbeeld-IP-adres: 64.x.y.zPoort: VMware Identity Manager-poortMoet X-Forwarded-For-koppen inschakelen.

Externe gebruikers

Interne load-balancerHostnaam: VMware Identity Manager FQDNVoorbeeld-IP-adres: 10..x.y.zPoort: VMware Identity Manager-poortMoet X-Forwarded-For-koppen inschakelen.

Interne gebruikers

Poort 443

Poort 443

VMware Identity Manager-cluster

DMZ-firewall

De VMware Identity Manager -FQDN opgeven tijdens deimplementatieTijdens de implementatie van de machine van de VMware Identity Manager- voert u de FQDN van deVMware Identity Manager- en het poortnummer in. Deze waarden moeten naar de hostnaam verwijzenwaarvan u wilt dat deze toegankelijk is voor eindgebruikers.

De machine van de VMware Identity Manager- wordt altijd uitgevoerd op poort 443. U kunt een anderpoortnummer voor de load-balancer gebruiken. Als u een ander poortnummer gebruikt, moet u ditopgeven tijdens de implementatie. Gebruik niet 8443, als het poortnummer, omdat dit poortnummer deVMware Identity Manager-beheerderspoort is en uniek is voor elke machine in een cluster.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 27

Page 28: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Instellingen voor de load-balancer die moeten wordengeconfigureerd.Instellingen voor de load balancer die moeten worden geconfigureerd, zijn onder andere het inschakelenvan de X-Forwarded-For-koppen, het op de juiste manier instellen van de time-out van de load balanceren het inschakelen van sticky-sessies. Bovendien moet SSL-vertrouwen worden geconfigureerd tussende machine van de VMware Identity Manager- en de load balancer.

n X-Forwarded-For-koppen

U moet X-Forwarded-For-koppen inschakelen op uw load-balancer. Hiermee wordt deverificatiemethode bepaald. Raadpleeg de documentatie die is meegeleverd door de leverancier vanuw load-balancer voor meer informatie.

n Time-out van load-balancer

Voor een juiste werking van VMware Identity Manager moet u de standaardtime-out voor load-balancer-verzoeken verhogen. De waarde is ingesteld in minuten. Als de time-outinstelling te laag is,wordt wellicht de volgende foutmelding weergegeven: '502 fout: de service is niet beschikbaar'.

n Sticky-sessies inschakelen

U moet de instelling voor sticky-sessies inschakelen op de load balancer als uw implementatiemeerdere VMware Identity Manager-machines heeft. De load balancer bindt vervolgens de sessievan een gebruiker aan een specifieke instantie.

n WebSocket-ondersteuning

De load balancer moet WebSocket-ondersteuning hebben voor veilige communicatiekanalen tussenconnectoren en de VMware Identity Manager-knooppunten.

n Codes met PFS (Perfect Forward Secrecy)

Apple iOS App Transport Security-vereisten gelden voor de Workspace ONE-app in iOS. Als u wiltdat gebruikers de Workspace ONE-app in iOS kunnen gebruiken, moet de load balancer codes metPFS hebben. De volgende codes voldoen aan deze vereisten:

ECDHE_ECDSA_AES en ECDHE_RSA_AES in de modus GCM of CBC

zoals is beschreven in het document iOS-beveiliging voor iOS 11:

'App Transport Security biedt standaard verbindingsvereisten zodat applicaties best practices voorveilige verbindingen volgen wanneer NSURLConnection, CFURL of NSURLSession API's wordengebruikt. App Transport Security beperkt codeselectie standaard om alleen suites met PerfectForward Secrecy op te nemen, in het bijzonder ECDHE_ECDSA_AES en ECDHE_RSA_AES in demodus GCM of CBC.'

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 28

Page 29: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

VMware Identity ManagerService instellen 5Dit hoofdstuk omvat de volgende onderwerpen:n VMware Identity Manager installeren

n De installatie voltooien met de installatiewizard

n De machine met de VMware Identity Manager achter een load balancer implementeren

n Een load-balancer of reverse proxy gebruiken om externe toegang tot VMware Identity Manager inte schakelen

n Het basiscertificaat van VMware Identity Manager toepassen op de load-balancer

n Basiscertificaat van load-balancer toepassen op VMware Identity Manager

n Failover en redundantie configureren in één datacenter (Windows)

n Active Directory of LDAP-directoryverbindingen instellen

n Goedgekeurde IP-adressen aan uw externe firewall toevoegen

n Proxyinstellingen inschakelen na de installatie

n De licentiecode invoeren

VMware Identity Manager installerenVoer het installatieprogramma voor VMware Identity Manager uit op een Windows-server die voldoet aanalle vermelde vereisten voor de systeemconfiguratie.

Voorwaarden

Zie Vereisten voor systeem- en netwerkconfiguratie.

Procedure

1 Dubbelklik op het installatieprogramma voor VMware Identity Manager.

Voer het installatieprogramma uit met een account met beheerdersrechten.

VMware, Inc. 29

Page 30: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

2 Klik in het dialoogvenster Welkom op Volgende.

De installer controleert de vereisten op de server. Als vereiste software zoals .NET of TLS niet isgeïnstalleerd, wordt u gevraagd om de software te installeren en de server opnieuw te starten. Nadatde server opnieuw is gestart, voert u het installatieprogramma voor VMware Identity Manageropnieuw uit.

3 Accepteer de licentieovereenkomst voor eindgebruikers (EULA) en klik op Volgende.

4 In het dialoogvenster Customer Experience Improvement Program is de standaardactie ingesteldop Ja.

Dit product neemt deel aan het Customer Experience Improvement Program (CEIP) van VMware.Details over de gegevens die via het CEIP worden verzameld en het doel waarvoor deze wordengebruikt door VMware, vindt u in het Trust & Assurance Center op http://www.vmware.com/trustvmware/ceip.html. Als u niet wilt deelnemen aan het CEIP van VMwarevoor dit product, schakelt u het vakje uit.

U kunt het CEIP op elk gewenst moment na de installatie verlaten en ook altijd opnieuw deelnemenaan het programma.

Opmerking Als uw netwerk is geconfigureerd voor toegang tot internet via HTTP-proxy, om degegevens die via het CEIP worden verzameld naar VMware te verzenden, moet u deproxyinstellingen op de VMware Identity Manager-machine aanpassen.

5 De vereisten voor VMware Identity Manager worden weergegeven. Het installatieprogrammacontroleert op de vereiste modules. U wordt gevraagd om ontbrekende modules te installeren.

Figuur 5‑1. Geïnstalleerde vereisten bevestigen

6 Selecteer de directory waarin u de VMware Identity Manager-service wilt installeren.

7 Als dit knooppunt de eerste service-instantie is die in het cluster wordt geïnstalleerd, klikt u opVolgende.

Wanneer u extra instanties in het cluster installeert, schakelt u het selectievakje in en bladert u naarhet geëxporteerde ZIP-bestand voor de eerste instantie die u wilt importeren.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 30

Page 31: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

8 De hostnaam en poort 443 worden vooraf ingevuld in het dialoogvenster Configuratie. Klik opVolgende.

9 Selecteer in het dialoogvenster de VMware Identity Manager-databaseserverinstantie om verbindingmee te maken en de verificatiemodus.

Optie Beschrijving

VMware Identity Manager-databaseserver

Voer de FQDN van de database in of klik op Bladeren om de URL van dedatabaseserver in de lijst te selecteren. Voorbeeld van de database-FQDN, voerhttp://MyDBServer in.

Applicatie maakt verbinding met U kunt de Windows-verificatiemodus of SQL Server-verificatiemodusselecteren. Voer de lokale gebruikersnaam en het wachtwoord voor SQL Server-verificatie in.

VMware Identity Manager-databasenaam

Voer de naam in van de database die u heeft gemaakt bij het instellen van deMySQL-database of blader op de SQL-server om de naam uit een lijst teselecteren, als u de naam van de database hebt gewijzigd.

SQL AlwaysON? SQL AlwaysON inschakelen om MultiSubNetFailover in te stellen op True opde SQL-server om snellere failover op de SQL-server mogelijk te maken.

De SQL Server AlwaysOn-mogelijkheid is een combinatie van failoverclusteringen databasespiegeling/logboekverzending. Hierdoor zijn meerdereleesexemplaren van uw database en één exemplaar voor lees- enschrijfbewerkingen mogelijk. Als uw netwerk de bandbreedte heeft om hetgegenereerde verkeer te ondersteunen, ondersteunt de Identity Manager-database AlwaysOn.

Figuur 5‑2. Configuratie van de database met de SQL AlwayOn-optie

Klik op Volgende.

Het installatieprogramma valideert of de database goed is geconfigureerd. Als de configuratie nietjuist is, worden foutberichten weergegeven en kan de installatie niet doorgaan. Corrigeer deproblemen die zijn beschreven in de foutberichten. Zie Bevestigen dat de Microsoft SQL-databasecorrect is geconfigureerd.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 31

Page 32: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

10 Schakel het selectievakje in het dialoogvenster Serviceaccount van VMware Identity Manager in als ude service als Windows-domeingebruiker wilt uitvoeren.

Voer de service in de volgende gevallen als domeingebruiker uit.

n Als u van plan bent verbinding te maken met Active Directory (geïntegreerde Windows-verificatie).

n Als u van plan bent gebruik te maken van Kerberos-verificatie.

n Als u van plan bent Horizon View te integreren met VMware Identity Manager en gebruik wiltmaken van de opties Directorysynchronisatie uitvoeren of 5.x-verbindingsserver configureren.

Als u geen domeingebruikersaccount gebruikt, wordt de service uitgevoerd als lokaal systeem.

Figuur 5‑3. Configuratie van domeingebruikersaccount

11 Klik op Installeren om de installatie te starten.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 32

Page 33: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

12 Klik op Voltooien.

De VMware Identity Server wordt geïnitialiseerd en de VMware Identity Manager-URL vooraanmelding bij de VMware Identity Manager-console om de installatie te voltooien, wordtweergegeven. Klik op Ja om de installatie nu te voltooien. Houd de URL anders bij om u later aan temelden.

Figuur 5‑4. Informatie over het aanmelden bij de Identity Manager-console

Wat nu te doen

Voer de installatiewizard voor VMware Identity Manager uit om de serviceconfiguratie te voltooien.

Figuur 5‑5. Installatiewizard

De installatie voltooien met de installatiewizardNadat VMware Identity Manager is geïmplementeerd, kunt u de installatiewizard gebruiken om hetbeheerderswachtwoord voor de machine van VMware Identity Manager in te stellen, het automatischondertekend certificaat te accepteren en de JDBC-URL van de database te controleren.

Zorg ervoor dat u de installatiewizard met de volledig gekwalificeerde hostnaam uitvoert. Voer het IP-adres niet als naam in.

Procedure

1 Ga naar de VMware Identity Manager-URL die wordt weergegeven wanneer u de installatie hebtvoltooid. Voer de volledig gekwalificeerde domeinnaam (FQDN) in. Bijvoorbeeldhttps://hostname.example.com.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 33

Page 34: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

2 Accepteer het certificaat, indien hierom wordt gevraagd.

Tijdens de installatie wordt een automatisch ondertekend certificaat geïmplementeerd. Na deinstallatie kunt u dit bijwerken naar een ondertekend certificaat.

3 Klik op de pagina Aan de slag op Doorgaan.

4 Configureer het beheerderswachtwoord van de appliance op de pagina Wachtwoorden instellen. Hetwachtwoord voor de beheerdersgebruiker moet minstens zes tekens lang zijn. Klik op Doorgaan.

Het account van de beheerdersgebruiker wordt gebruikt om de appliance-instellingen te beheren.

5 Op de pagina Database selecteren wordt JDBC-URL van de database weergegeven.

De verbinding met de database wordt geconfigureerd en de database wordt opgestart.

De pagina Het instellen is voltooid wordt weergegeven.

Wat nu te doen

Stel Active Directory in. Zie Active Directory of LDAP-directoryverbindingen instellen.

De machine met de VMware Identity Manager achter eenload balancer implementerenIn een bedrijfsomgeving wordt voor de configuratie van de machine met VMware Identity Manager eenimplementatie van een cluster met drie knooppunten van de VMware Identity Manager Serviceaanbevolen voor hoge beschikbaarheid. Nadat het eerste knooppunt van IDM is geïnstalleerd,geconfigureerd en is getest achter de load balancer, wordt op het eerste knooppunt een script uitgevoerdom een kopie van de eerste instantie te maken. Dit gekopieerd bestand wordt gebruikt om de andereknooppunten in het cluster te maken.

Het architectuurschema van VMware Identity Manager toont hoe u de VMware Identity Manager-omgeving kunt implementeren.

Zie Hoofdstuk1Overzicht van VMware Identity Manager Services.

Een load-balancer of reverse proxy gebruiken om externetoegang tot VMware Identity Manager in te schakelenTijdens de implementatie wordt de machine van de VMware Identity Manager- ingesteld in het internenetwerk. Als u wilt dat gebruikers van buiten het netwerk verbinding kunnen maken met de service, moetu een load balancer of een reverse proxy, zoals Apache, Nginx of F5, in de DMZ installeren.

Als u geen load balancer of reverse proxy gebruikt, kunt u het aantal VMware Identity Manager-machineslater niet uitbreiden. Wellicht moet u meer machines toevoegen om redundantie en load balancing tekunnen bieden. Het volgende diagram bevat de basisimplementatiearchitectuur die u kunt gebruiken omexterne toegang in te schakelen.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 34

Page 35: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Figuur 5‑6. Externe load-balancerproxy met virtual machine

Externe load-balancerHostnaam: VMware Identity Manager FQDNVoorbeeld-IP-adres: 64.x.y.zPoort: VMware Identity Manager-poortMoet X-Forwarded-For-koppen inschakelen.

Externe gebruikers

Interne load-balancerHostnaam: VMware Identity Manager FQDNVoorbeeld-IP-adres: 10..x.y.zPoort: VMware Identity Manager-poortMoet X-Forwarded-For-koppen inschakelen.

Interne gebruikers

Poort 443

Poort 443

VMware Identity Manager-cluster

DMZ-firewall

De VMware Identity Manager -FQDN opgeven tijdens deimplementatieTijdens de implementatie van de machine van de VMware Identity Manager- voert u de FQDN van deVMware Identity Manager- en het poortnummer in. Deze waarden moeten naar de hostnaam verwijzenwaarvan u wilt dat deze toegankelijk is voor eindgebruikers.

De machine van de VMware Identity Manager- wordt altijd uitgevoerd op poort 443. U kunt een anderpoortnummer voor de load-balancer gebruiken. Als u een ander poortnummer gebruikt, moet u ditopgeven tijdens de implementatie. Gebruik niet 8443, als het poortnummer, omdat dit poortnummer deVMware Identity Manager-beheerderspoort is en uniek is voor elke machine in een cluster.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 35

Page 36: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Instellingen voor de load-balancer die moeten wordengeconfigureerd.Instellingen voor de load balancer die moeten worden geconfigureerd, zijn onder andere het inschakelenvan de X-Forwarded-For-koppen, het op de juiste manier instellen van de time-out van de load balanceren het inschakelen van sticky-sessies. Bovendien moet SSL-vertrouwen worden geconfigureerd tussende machine van de VMware Identity Manager- en de load balancer.

n X-Forwarded-For-koppen

U moet X-Forwarded-For-koppen inschakelen op uw load-balancer. Hiermee wordt deverificatiemethode bepaald. Raadpleeg de documentatie die is meegeleverd door de leverancier vanuw load-balancer voor meer informatie.

n Time-out van load-balancer

Voor een juiste werking van VMware Identity Manager moet u de standaardtime-out voor load-balancer-verzoeken verhogen. De waarde is ingesteld in minuten. Als de time-outinstelling te laag is,wordt wellicht de volgende foutmelding weergegeven: '502 fout: de service is niet beschikbaar'.

n Sticky-sessies inschakelen

U moet de instelling voor sticky-sessies inschakelen op de load balancer als uw implementatiemeerdere VMware Identity Manager-machines heeft. De load balancer bindt vervolgens de sessievan een gebruiker aan een specifieke instantie.

n WebSocket-ondersteuning

De load balancer moet WebSocket-ondersteuning hebben voor veilige communicatiekanalen tussenconnectoren en de VMware Identity Manager-knooppunten.

n Codes met PFS (Perfect Forward Secrecy)

Apple iOS App Transport Security-vereisten gelden voor de Workspace ONE-app in iOS. Als u wiltdat gebruikers de Workspace ONE-app in iOS kunnen gebruiken, moet de load balancer codes metPFS hebben. De volgende codes voldoen aan deze vereisten:

ECDHE_ECDSA_AES en ECDHE_RSA_AES in de modus GCM of CBC

zoals is beschreven in het document iOS-beveiliging voor iOS 11:

'App Transport Security biedt standaard verbindingsvereisten zodat applicaties best practices voorveilige verbindingen volgen wanneer NSURLConnection, CFURL of NSURLSession API's wordengebruikt. App Transport Security beperkt codeselectie standaard om alleen suites met PerfectForward Secrecy op te nemen, in het bijzonder ECDHE_ECDSA_AES en ECDHE_RSA_AES in demodus GCM of CBC.'

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 36

Page 37: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Het basiscertificaat van VMware Identity Managertoepassen op de load-balancerWanneer de virtual appliance van de VMware Identity Manager achter een load balancer isgeconfigureerd, moet u SSL-vertrouwen tot stand brengen tussen de load balancer enVMware Identity Manager. Het basiscertificaat van VMware Identity Manager moet naar de load-balancerworden gekopieerd.

Het rootcertificaat voor VMware Identity Manager kan worden gedownload vanaf de pagina Appliance-instellingen > Configuratie beheren > SSL-certificaten installeren > Servercertificaat in deVMware Identity Manager-beheerconsole.

Als de FQDN van VMware Identity Manager naar een load-balancer wijst, kan het SSL-certificaatuitsluitend worden toegepast op de load-balancer.

Aangezien de load balancer met de virtual appliance van de VMware Identity Manager communiceert,moet u het root-CA-certificaat van VMware Identity Manager kopiëren naar de load balancer als eenvertrouwd rootcertificaat.

Procedure

1 Selecteer in de VMware Identity Manager-console het tabblad Appliance-instellingen en klikachtereenvolgens op VA-configuratie > Configuratie beheren.

2 In het geopende dialoogvenster voert u het wachtwoord van de admingebruiker in.

3 Selecteer SSL-certificaten installeren > Servercertificaat.

4 Klik op de koppeling Automatisch ondertekende root-CA-certificaten van appliance.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 37

Page 38: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Het certificaat wordt weergegeven.

5 Kopieer alles tussen en inclusief de regels -----BEGIN CERTIFICATE----- en -----ENDCERTIFICATE----- en plak het basiscertificaat op de juiste locatie op elk van uw load-balancers.Raadpleeg de documenten die worden verstrekt door de verkoper van uw load-balancer.

Wat nu te doen

Kopieer en plak het rootcertificaat van de load balancer naar de VMware Identity Manager-appliance.

Basiscertificaat van load-balancer toepassen opVMware Identity ManagerWanneer de virtual appliance van de VMware Identity Manager achter een load balancer isgeconfigureerd, moet u vertrouwen tot stand brengen tussen de load balancer enVMware Identity Manager. Naast het kopiëren van het basiscertificaat van VMware Identity Manager naarde load-balancer, moet u het basiscertificaat van de load-balancer kopiëren naarVMware Identity Manager.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 38

Page 39: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Procedure

1 Basiscertificaat van load-balancer verkrijgen

2 Selecteer in de VMware Identity Manager-console het tabblad Appliance-instellingen en klikachtereenvolgens op VA-configuratie > Configuratie beheren.

3 In het geopende dialoogvenster voert u het wachtwoord van de admingebruiker in.

4 Selecteer SSL-certificaten installeren > Vertrouwde CA's.

5 Plak het rootcertificaat van de load balancer in het tekstvak Root- of tussencertificaat.

6 Klik op Toevoegen.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 39

Page 40: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Failover en redundantie configureren in één datacenter(Windows)U kunt meerdere VMware Identity Manager-machines in een cluster toevoegen voor failover enredundantie. Als een van de machines om een bepaalde reden wordt afgesloten, isVMware Identity Manager nog steeds beschikbaar.

U installeert en configureert VMware Identity Manager op een Windows-server en voert vervolgens eenscript uit om een ENC-bestand te maken dat een kopie is van de eerste instantie van VMware IdentityManager voor Windows met dezelfde configuratie als de oorspronkelijke instantie.

Voordat u een kopie van de eerste instantie maakt, moet u het eerste knooppunt achter een loadbalancer configureren en de volledig gekwalificeerde domeinnaam (FQDN) wijzigen zodat dezeovereenkomt met de FQDN van de load balancer. Voltooi ook de configuratie van de directory inVMware Identity Manager Service voordat u het ENC-bestand maakt.

U voert het installatieprogramma van VMware Identity Manager voor Windows uit op elk knooppunt enimporteert het gekopieerde ENC-bestand. U kunt deze gekloonde knooppunten aanpassen om de naam,de netwerkinstellingen en andere eigenschappen, indien nodig, te wijzigen. Elk knooppunt heeft eenander IP-adres. Dit IP-adres moet aan dezelfde richtlijnen voldoen als het IP-adres voor het eersteknooppunt. Het IP-adres moet leiden tot een geldige hostnaam met behulp van forward- en reverse DNS.

Alle knooppunten in het cluster zijn identiek en bijna staatloze kopieën van elkaar. Synchronisatie naarActive Directory en naar bronnen die zijn geconfigureerd, zoals Horizon, is ingeschakeld op het eersteknooppunt, maar uitgeschakeld op alle andere knooppunten in het cluster.

Wijzig FQDN van VMware Identity Manager in FQDN van load-balancerVoordat u de instantie van de VMware Identity Manager-machine kopieert, moet u de vollediggekwalificeerde domeinnaam (FQDN) wijzigen, zodat deze overeenkomt met de FQDN van de loadbalancer.

Voorwaarden

n De VMware Identity Manager-instantie wordt aan een load balancer toegevoegd.

n U heeft het basis CA-certificaat van de load-balancer toegepast op VMware Identity Manager.

Procedure

1 Meld u aan op de beheerconsole van VMware Identity Manager.

2 Selecteer het tabblad Appliance-instellingen.

3 Op de pagina Configuratie van virtual appliance klikt u op Configuratie beheren.

4 Voer uw beheerderswachtwoord in om u aan te melden.

5 Klik op Identity Manager configuratie.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 40

Page 41: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

6 In het veld Identity Manager FQDN wijzigt u het hostnaamdeel van de URL van de hostnaam vanVMware Identity Manager in de hostnaam van de load-balancer.

Als uw hostnaam van VMware Identity Manager bijvoorbeeld myservice is en de hostnaam van uwload-balancer is mylb, wijzigt u de URL

https://myservice.example.com

als volgt:

https://mylb.example.com

7 Klik op Opslaan.

n De FQDN van de service is gewijzigd in de FQDN van de load-balancer.

n De URL van de identiteitsprovider is gewijzigd in de URL van de load-balancer.

Wat nu te doen

Voer het script uit om een ENC-bestand van het eerste knooppunt voor VMware Identity Manager voorWindows te genereren.

Knooppunten voor het maken van een VMware Identity Manager -cluster toevoegenAls u een cluster met de VMware Identity Manager -service wilt maken nadat u de eerste instantie vanVMware Identity Managerhebt geïnstalleerd, kopieert u die instantie om een image te maken metdezelfde configuratie als de oorspronkelijke instantie.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 41

Page 42: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Wanneer u meerdere VMware Identity Manager-services gebruikt, zijn drie of meer knooppunten vereist.

Opmerking Het onderdeel VMware Identity Manager bevat Elasticsearch, een zoek- en analyse-engine.Elasticsearch heeft een bekende beperking bij een cluster met twee knooppunten.

Voorwaarden

De eerste VMware Identity Manager-instantie geïmplementeerd en getest.

Een configuratiebestand voor een cluster gemaakt op basis van de configuratie van de eerste instantie.

1 Open in de VMware Identity Manager-console de pagina Appliance-instellingen > VA-configuratie enklik op Configuratie beheren.

2 Klik op Locatie van clusterbestand.

3 Voer het wachtwoord in waarmee u het clusterbestand wilt versleutelen en ontsleutelen.

4 Klik op Clusterbundel voorbereiden. Er wordt een ZIP-bestand gemaakt met de instantie vanVMware Identity Manager.

5 Download het ZIP-bestand naar een locatie waar u toegang toe hebt.

Procedure

1 Voer het installatieprogramma voor VMware Identity Manager voor Windows uit op elke machine diein het cluster wordt geconfigureerd.

Voer het installatieprogramma uit met een account met beheerdersrechten.

2 Klik in het dialoogvenster Welkom op Volgende.

De installer controleert de vereisten op de server. Als de vereiste software zoals .NET of TLS niet isgeïnstalleerd, wordt u gevraagd om de software te installeren en de server opnieuw te starten. Nadatde server opnieuw is gestart, voert u het installatieprogramma voor VMware Identity Manageropnieuw uit.

3 Accepteer de licentieovereenkomst voor eindgebruikers (EULA) en klik op Volgende.

4 Het keuzerondje Customer Experience Improvement Program is standaard geselecteerd.Deselecteer het keuzerondje als u niet wilt dat de gegevens worden verzameld.

Om beter te kunnen reageren op de vereisten van gebruikers, verzamelt VMware anoniemegegevens over uw implementatie.

5 De vereisten voor VMware Identity Manager worden weergegeven. Het installatieprogrammacontroleert op de vereiste modules. U wordt gevraagd om ontbrekende modules te installeren.

6 Selecteer de directory waarin u de VMware Identity Manager-service wilt installeren.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 42

Page 43: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

7 Schakel in het dialoogvenster Configuratie het selectievakje Are you joining an existing cluster(Wordt u lid van een bestaand cluster?) in en ga naar het configuratiebestand van een bestaandcluster (ENC) voor de eerste instantie.

Standaard bevindt het bestand zich in <INSTALL_DIR>\VMwareIdentityManager\usr\local\horizon\<bestandsnaam>.enc.

8 Voer het wachtwoord van het cluster in dat is gemaakt voor het ENC-configuratiebestand van hetcluster en klik op Volgende.

9 Klik op Installeren om de installatie te starten.

10 Klik op Voltooien om de installatie te voltooien.

Alle configuratiebestanden voor VMware Identity Manager worden naar de server gekopieerd.

Wat nu te doen

Voeg de gekloonde machine toe aan de load balancer.

Een knooppunt verwijderen uit een clusterAls een knooppunt in een VMware Identity Manager-cluster niet correct werkt en u het niet kuntherstellen, kunt u het verwijderen uit de cluster met de opdracht Knooppunt verwijderen. De opdrachtverwijdert de knooppuntvermeldingen uit de VMware Identity Manager-database.

U kunt de status van de knooppunten in uw cluster controleren in het Dashboard voor systeemdiagnose.Het bericht Het huidige knooppunt heeft een ongeldige status geeft aan dat het knooppunt nietcorrect werkt.

Belangrijk Maak spaarzaam gebruik van de opdracht Knooppunt verwijderen. Gebruik deze alleen alseen knooppunt een onherstelbare status heeft en volledig moet worden verwijderd uit deVMware Identity Manager-implementatie.

Opmerking U kunt de opdracht Knooppunt verwijderen niet gebruiken om het laatste knooppunt in eencluster te verwijderen.

Connectoronderdeel ontkoppelen van domeinen, instellingen voordirectorysynchronisatie en ingebouwde identiteitsproviderVoordat u een knooppunt kunt verwijderen uit een VMware Identity Manager-cluster, moet u ervoorzorgen dat het connectoronderdeel van het knooppunt niet is toegevoegd aan domeinen, niet wordtgebruikt als synchronisatieconnector en niet is gekoppeld aan de ingebouwde identiteitsprovider.

Voorwaarden

U moet zich aanmelden als tenantbeheerder, oftewel een lokale beheerder bij deVMware Identity Manager-service. Een domeinbeheerder die is gesynchroniseerd vanuit debedrijfsdirectory, heeft niet de nodige rechten.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 43

Page 44: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Procedure

1 Meld u aan bij de VMware Identity Manager-console.

2 Klik op het tabblad Identiteits- en toegangsbeheer en klik vervolgens op Installatie.

De pagina Connectoren wordt geopend.

3 Als het connectoronderdeel van het knooppunt wordt gebruikt als synchronisatieconnector voor eendirectory, wijzigt u de instelling Synchronisatieconnector voor de directory.

a Controleer in de kolom Gekoppelde directory op de pagina Connectoren de directory's waaraanhet connectoronderdeel is gekoppeld.

b Klik op een directorykoppeling.

c Controleer in het gedeelte Directorysynchronisatie en -verificatie van de directorypagina dewaarde van de optie Synchronisatieconnector.

d Als het connectoronderdeel wordt gebruikt als synchronisatieconnector, selecteert u een andereconnector voor de optie Synchronisatieconnector en klikt u op Opslaan.

e Herhaal deze stappen voor alle directory's waaraan het connectoronderdeel is gekoppeld.

4 Als het connectoronderdeel is gekoppeld aan de ingebouwde identiteitsprovider, verwijdert u het uitde identiteitsprovider.

a Bekijk op de pagina Connectoren in de kolom Identiteitsprovider de identiteitsproviderswaaraan het connectoronderdeel is gekoppeld.

b Als de ingebouwde identiteitsprovider wordt vermeld, klikt u op de koppeling.

c Klik op de pagina voor de identiteitsprovider in het gedeelte Connectoren op het pictogramVerwijderen naast de connector.

Wat nu te doen

Verwijder het knooppunt uit de cluster.

Het knooppunt verwijderen uit de clusterNadat u het connectoronderdeel van het knooppunt hebt ontkoppeld van domeinen, instellingen voordirectorysynchronisatie en de ingebouwde identiteitsprovider, kunt u het knooppunt verwijderen uit decluster.

Opmerking U kunt de opdracht Verwijderen niet gebruiken om het laatste knooppunt in een cluster teverwijderen.

Voorwaarden

n Als u een knooppunt wilt verwijderen, moet u zich aanmelden als tenantbeheerder, oftewel een lokalebeheerder bij de VMware Identity Manager-service. Een domeinbeheerder die is gesynchroniseerdvanuit de bedrijfsdirectory, heeft niet de nodige rechten.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 44

Page 45: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

n U heeft het connectoronderdeel van het knooppunt ontkoppeld van domeinen, instellingen voordirectorysynchronisatie en, zo nodig, de ingebouwde identiteitsprovider. Zie Connectoronderdeelontkoppelen van domeinen, instellingen voor directorysynchronisatie en ingebouwdeidentiteitsprovider.

Procedure

1 Sluit de virtual machine van het knooppunt af.

a Meld u aan bij de vCenter Server-instantie.

b Klik met de rechtermuisknop op de virtual machine van het knooppunt en selecteer Energie >Uitschakelen.

2 Verwijder het knooppunt uit de load balancer.

3 Verwijder het knooppunt in de VMware Identity Manager-console.

a Meld u als lokale beheerder aan bij de VMware Identity Manager-console.

b Klik op de pijl omlaag op het tabblad Dashboard en selecteer Dashboard voorsysteemdiagnose.

c Zoek het knooppunt dat u wilt verwijderen.

Voor het knooppunt wordt de volgende status weergegeven:

Het huidige knooppunt heeft een ongeldige status. Wilt u het verwijderen?

d Klik op de koppeling Verwijderen naast het bericht.

Het knooppunt wordt verwijderd uit het cluster. Vermeldingen voor het knoppunt worden verwijderd uit deVMware Identity Manager-database. Het knooppunt wordt ook verwijderd uit de ingesloten Elasticsearch-en Ehcache-clusters.

Wat nu te doen

Wacht 5 tot 15 minuten tot de ingesloten Elasticsearch- en Ehcache-clusters stabiel zijn voordat u andereopdrachten uitvoert.

Active Directory of LDAP-directoryverbindingen instellenU kunt uw bedrijfsdirectory integreren met VMware Identity Manager om gebruikers en groepen van uwbedrijfsdirectory te synchroniseren met de VMware Identity Manager-service.

De volgende typen directory's worden ondersteund.

n Active Directory via LDAP

n Active Directory, Geïntegreerde Windows-verificatie

n LDAP-directory.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 45

Page 46: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Voorwaarden

n Zie Integratie van directory's met VMware Identity Manager voor vereisten en beperkingen.

n De informatie van uw Active Directory of LDAP-directory.

n Wanneer Active Directory met meerdere forests is geconfigureerd en de lokale domeingroep ledenvan domeinen in verschillende forests bevat, moet de Bind-DN-gebruiker die op de directorypaginavan VMware Identity Manager wordt gebruikt, worden toegevoegd aan de beheerdersgroep van hetdomein waarin de lokale domeingroep verblijft. Als u dit niet doet, ontbreken deze leden in de lokaledomeingroep.

Opmerking VMware Identity Manager Service moet worden geconfigureerd voor uitvoering alsWindows-domeingebruiker om Active Directory met meerdere forests te gebruiken.

n De lijst met de gebruikerskenmerken die u als filters wilt gebruiken en een lijst met de groepen die uwilt toevoegen aan VMware Identity Manager.

Procedure

1 Meld u als beheerder aan bij de VMware Identity Manager-console met het wachtwoord dat u heeftingesteld.

U bent aangemeld als een lokale beheerder. De Directorypagina verschijnt. Zie Integratie vandirectory's met VMware Identity Manager voor vereisten en beperkingen voordat u een directorytoevoegt.

2 Klik op het tabblad Identiteits- en toegangsbeheer.

3 Klik op Instellen > Gebruikerskenmerken om de gebruikerskenmerken te selecteren die naar dedirectory worden gesynchroniseerd.

Standaardkenmerken worden vermeld en u kunt de kenmerken selecteren die zijn vereist. Als eenkenmerk als vereist wordt gemarkeerd, worden alleen gebruikers met dat kenmerk naar de servicegesynchroniseerd. U kunt ook andere kenmerken toevoegen.

Belangrijk Nadat een directory is gemaakt, kunt u een kenmerk niet wijzigen naar een vereistkenmerk. U moet nu die selectie doen.

De instellingen op de pagina Gebruikerskenmerken gelden voor alle directory's in de service.Wanneer u een kenmerk markeert als vereist, moet u het gevolg ervan op de andere directory'soverwegen. Als een kenmerk als vereist is gemarkeerd, worden gebruikers zonder dat kenmerk nietop de service gesynchroniseerd.

Belangrijk Als u XenApp-bronnen wilt synchroniseren met VMware Identity Manager, moet udistinguishedName instellen als een vereist kenmerk.

4 Klik op Opslaan.

5 Klik op het tabblad Identiteits- en toegangsbeheer.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 46

Page 47: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

6 Klik op de Directorypagina op Directory toevoegen en selecteer Active Directory via LDAP/IWAtoevoegen of LDAP-directory toevoegen op basis van het type directory dat u integreert.

U kunt ook een lokale directory in de service maken. Raadpleeg de Handleiding VMware IdentityManager-beheer voor meer informatie over het gebruik van lokale directory's.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 47

Page 48: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

7 Voor Active Directory volgt u deze stappen.

a Voer een naam in voor de directory die u in VMware Identity Manager maakt en selecteer hettype directory, ofwel Active Directory via LDAP of Active Directory (geïntegreerde Windows-verificatie (IWA)).

b Verstrek de verbindingsinformatie.

Optie Beschrijving

Active Directory via LDAP 1 In het veld Synchronisatieconnector selecteert u de Connector die u wiltgebruiken om gebruikers en groepen van Active Directory tesynchroniseren naar de directory van VMware Identity Manager.

Een connectorcomponent is altijd standaard beschikbaar met deVMware Identity Manager-service. Deze connector verschijnt in hetvervolgkeuzemenu. Als u meerdere VMware Identity Manager-appliancesinstalleert voor hoge beschikbaarheid, verschijnt de connectorcomponentvan elk van die appliances in de lijst.

2 In het tekstvak Verificatie selecteert u Ja als u deze Active Directory wiltgebruiken om gebruikers te verifiëren.

Als u een externe identiteitsprovider wilt gebruiken om gebruikers teverifiëren, klikt u op Nee. Nadat u de verbinding van de Active Directoryhebt geconfigureerd om gebruikers en groepen te synchroniseren, gaat unaar de pagina Identiteits- en toegangsbeheer > Beheren >Identiteitsproviders om de externe identiteitsprovider voor verificatie toete voegen.

3 Selecteer in het tekstvak Zoekkenmerk directory het accountkenmerkdat de username bevat.

4 Als de Active Directory de opzoekfunctie DNS Service Location gebruikt,selecteert u het volgende.n Schakel in de sectie Serverlocatie het selectievakje Deze directory

ondersteunt DNS-servicelocatie in.n Als Active Directory STARTTLS-versleuteling vereist, schakelt u het

selectievakje Deze directory vereist dat alle verbindingen SSLgebruiken in de sectie Certificaten in en kopieert en plakt u het root-CA-certificaat van Active Directory in het tekstvak SSL-certificaat.

Zorg ervoor dat het certificaat in PEM-formaat is en neem de regels"BEGIN CERTIFICATE" en "END CERTIFICATE" op.

Opmerking Als de Active Directory STARTTLS vereist en u verstrekthet certificaat niet, kunt u de directory niet maken.

5 Als de Active Directory geen opzoekfunctie van DNS Service Locationgebruikt, selecteert u het volgende.n In de sectie Serverlocatie controleert u of het selectievakje Deze

directory ondersteunt DNS-servicelocatie niet is ingeschakeld envoert u de serverhostnaam en het poortnummer van de ActiveDirectory in.

Zie het gedeelte 'Active Directory-omgeving met één forest enmeerdere domeinen' in 'Active Directory-omgevingen' in Integratie vandirectory's met VMware Identity Manager als u de directory wiltconfigureren als algemene catalogus.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 48

Page 49: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Optie Beschrijving

n Als de Active Directory toegang via SSL vereist, schakelt u hetselectievakje Deze directory vereist dat alle verbindingen SSLgebruiken in de sectie Certificaten in en kopieert en plakt u het root-CA-certificaat van de Active Directory in het tekstvak SSL-certificaat.

Zorg ervoor dat het certificaat in PEM-formaat is en neem de regels"BEGIN CERTIFICATE" en "END CERTIFICATE" op.

Opmerking Als de Active Directory SSL vereist en u verstrekt hetcertificaat niet, kunt u de directory niet maken.

6 In de sectie Wijziging van wachtwoord toestaan selecteert u Wijzigingvan wachtwoord inschakelen als u wilt dat gebruikers hunwachtwoorden kunnen resetten vanaf de aanmeldingspagina vanVMware Identity Manager als het wachtwoord verloopt of als debeheerder van Active Directory het wachtwoord van de gebruiker reset.

7 In het tekstvak Basis-DN voert u de DN in vanwaar deaccountzoekopdrachten moeten starten. BijvoorbeeldOU=myUnit,DC=myCorp,DC=com.

8 In het tekstvak Bind-DN voert u het account in dat naar gebruikers kanzoeken. Bijvoorbeeld CN=binduser,OU=myUnit,DC=myCorp,DC=com.

Opmerking Het gebruik van een gebruikersaccount van Bind DN meteen wachtwoord dat niet verloopt, wordt aanbevolen.

9 Nadat u het bindingswachtwoord hebt ingevoerd, klikt u op Verbindingtesten om te controleren of de directory verbinding kan maken met uwActive Directory.

Active Directory (geïntegreerdeWindows-verificatie)

1 In het veld Synchronisatieconnector selecteert u de Connector die u wiltgebruiken om gebruikers en groepen van Active Directory tesynchroniseren naar de directory van VMware Identity Manager.

Een connectorcomponent is altijd standaard beschikbaar met deVMware Identity Manager-service. Deze connector verschijnt in hetvervolgkeuzemenu. Als u meerdere VMware Identity Manager-appliancesinstalleert voor hoge beschikbaarheid, verschijnt de connectorcomponentvan elk van die appliances in de lijst.

2 In het tekstvak Verificatie klikt u op Ja wanneer u deze Active Directorywilt gebruiken voor het verifiëren van gebruikers.

Als u een externe identiteitsprovider wilt gebruiken om gebruikers teverifiëren, klikt u op Nee. Nadat u de verbinding van de Active Directoryhebt geconfigureerd om gebruikers en groepen te synchroniseren, gaat unaar de pagina Identiteits- en toegangsbeheer > Beheren >Identiteitsproviders om de externe identiteitsprovider voor verificatie toete voegen.

3 Selecteer in het tekstvak Zoekkenmerk directory het accountkenmerkdat de username bevat.

4 Als Active Directory STARTTLS-versleuteling vereist, schakelt u hetselectievakje Deze directory vereist dat alle verbindingen STARTTLSgebruiken in de sectie Certificaten in en kopieert en plakt u het root-CA-certificaat van Active Directory in het tekstvak SSL-certificaat.

Zorg ervoor dat het certificaat in PEM-formaat is en neem de regels"BEGIN CERTIFICATE" en "END CERTIFICATE" op.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 49

Page 50: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Optie Beschrijving

Als de directory meerdere domeinen heeft, voegt u één voor één het basisCA-certificaat voor alle domeinen toe.

Opmerking Als de Active Directory STARTTLS vereist en u verstrekt hetcertificaat niet, kunt u de directory niet maken.

5 In de sectie Wijziging van wachtwoord toestaan selecteert u Wijzigingvan wachtwoord inschakelen als u wilt dat gebruikers hunwachtwoorden kunnen resetten vanaf de aanmeldingspagina vanVMware Identity Manager als het wachtwoord verloopt of als debeheerder van Active Directory het wachtwoord van de gebruiker reset.

6 In het veld Gebruikers-UPN Bind voert u de User Principal Name (UPN)van de gebruiker in die met het domein kan worden geverifieerd.Bijvoorbeeld [email protected].

Opmerking Het gebruik van een gebruikersaccount van Bind DN meteen wachtwoord dat niet verloopt, wordt aanbevolen.

7 Voer het wachtwoord van de Bind DN-gebruiker in.

c Klik op Opslaan en Volgende.

De pagina met de lijst domeinen verschijnt.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 50

Page 51: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

8 Voor LDAP-directory's volgt u deze stappen.

a Verstrek de verbindingsinformatie.

Optie Beschrijving

Directorynaam Een naam voor de directory die u in VMware Identity Manager maakt.

Directory synchroniseren enverificatie

1 In het tekstvak Synchronisatieconnector selecteert u de connector die uwilt gebruiken om gebruikers en groepen van uw LDAP-directory tesynchroniseren naar de VMware Identity Manager-directory.

Een connectorcomponent is altijd standaard beschikbaar met deVMware Identity Manager-service. Deze connector verschijnt in hetvervolgkeuzemenu. Als u meerdere VMware Identity Manager-appliancesinstalleert voor hoge beschikbaarheid, verschijnt de connectorcomponentvan elk van die appliances in de lijst.

U heeft geen afzonderlijke connector nodig voor een LDAP-directory. Eenconnector kan meerdere directory's ondersteunen, ongeacht of hetdirectory's zijn van Active Directory of LDAP.

2 In het tekstvak Verificatie selecteert u Ja als u deze LDAP-directory wiltgebruiken om gebruikers te verifiëren.

Als u een externe identiteitsprovider wilt gebruiken om gebruikers teverifiëren, selecteert u Nee. Nadat u de directoryverbinding hebttoegevoegd om gebruikers en groepen te synchroniseren, gaat u naar depagina Identiteits- en toegangsbeheer > Beheren >Identiteitsproviders om de identiteitsprovider voor verificatie toe tevoegen.

3 In het tekstvak Zoekkenmerk directory geeft u het LDAP-directorykenmerk op dat voor de gebruikersnaam moet worden gebruikt.Als het kenmerk niet wordt vermeld, selecteert u Aangepast en voert u dekenmerknaam in. Bijvoorbeeld cn.

Serverlocatie Voer de serverhost en het poortnummer van de LDAP-directory in. Voor deserverhost kunt u de FQDN of het IP-adres specificeren. BijvoorbeeldmyLDAPserver.example.com of 100.00.00.0.

Als u een cluster servers achter een load-balancer hebt, voert u in plaatsdaarvan de informatie van de load-balancer in.

LDAP-configuratie Specificeer de zoekfilters en kenmerken van LDAP dieVMware Identity Manager kan gebruiken om uw LDAP-directory op te vragen.Standaardwaarden worden verstrekt op basis van het kern-LDAP-schema.

LDAP-vragenn Groepen ophalen: het zoekfilter om groepsobjecten te verkrijgen.

Bijvoorbeeld: (objectClass=group)n Bindingsgebruiker ophalen: het zoekfilter om een

bindingsgebruikerobject te verkrijgen, ofwel de gebruiker die zich aan dedirectory kan binden.

Bijvoorbeeld: (objectClass=person)n Gebruiker ophalen: het zoekfilter om gebruikers te verkrijgen om te

synchroniseren.

Bijvoorbeeld:(&(objectClass=user)(objectCategory=person))

Kenmerken

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 51

Page 52: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Optie Beschrijving

n Lidmaatschap: het kenmerk dat wordt gebruikt in uw LDAP-directory omleden van een groep te definiëren.

Bijvoorbeeld: lidn Object-UUID: het kenmerk dat wordt gebruikt in uw LDAP-directory om de

UUID van een gebruiker of groep te definiëren.

Bijvoorbeeld: entryUUIDn Distinguished Name: het kenmerk dat wordt gebruikt in uw LDAP-

directory voor de kenmerkende naam van een gebruiker of groep.

Bijvoorbeeld: entryDN

Certificaten Als uw LDAP-directory toegang over SSL vereist, selecteert u Deze directoryvereist dat alle verbindingen SSL gebruiken en kopieert en plakt u hetbasis CA-SSL-certificaat van de LDAP-directoryserver. Zorg ervoor dat hetcertificaat in PEM-formaat is en neem de regels "BEGIN CERTIFICATE" en"END CERTIFICATE" op.

Gegevens van bindingsgebruiker Basis DN: voer de DN in vanwaar zoekopdrachten worden gestart.Bijvoorbeeld cn=users,dc=example,dc=com

Bind DN: voer de gebruikersnaam in die wordt gebruikt om aan de LDAP-directory te binden.

Opmerking Het gebruik van een gebruikersaccount van Bind DN met eenwachtwoord dat niet verloopt, wordt aanbevolen.

Wachtwoord Bind-DN: voer het wachtwoord in voor de Bind DN-gebruiker.

b Klik op Verbinding testen om de verbinding met de LDAP-directoryserver te testen.

Als de verbinding niet is gelukt, controleert u de informatie die u heeft ingevoerd en brengt upassende wijzigingen aan.

c Klik op Opslaan en Volgende.

De pagina die het domein vermeldt, verschijnt.

9 Voor een LDAP-directory wordt het domein vermeld. Dit kan niet worden aangepast.

Voor een Active Directory via LDAP worden de domeinen vermeld en kunnen deze niet wordenaangepast.

Voor Active Directory (met geïntegreerde Windows-verificatie) selecteert u de domeinen die moetenworden gekoppeld aan deze Active Directory-verbinding.

Opmerking Als u een vertrouwend domein toevoegt nadat de directory is gemaakt, stelt de serviceniet automatisch het nieuwe vertrouwende domein vast. Als u het vaststellen van het domein voor deservice wilt inschakelen, moet Connector het domein verlaten en hieraan opnieuw deelnemen.Wanneer Connector opnieuw deelneemt aan het domein, wordt het vertrouwende domein in de lijstweergegeven.

Klik op Volgende.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 52

Page 53: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

10 Controleer of de kenmerknamen van VMware Identity Manager zijn toegewezen aan de juistekenmerken van Active Directory of LDAP en breng zo nodig wijzigingen aan.

Belangrijk Als u een LDAP-directory integreert, moet u een toewijzing voor het domeinkenmerkspecificeren.

11 Klik op Volgende.

12 Selecteer de groepen die u vanaf uw Active Directory of LDAP-directory wilt synchroniseren naar deVMware Identity Manager-directory.

Optie Beschrijving

Geef de DN's van de groep op Als u groepen wilt selecteren, kunt u een of meer groeps-DN's opgeven en deonderliggende groepen selecteren.

a Klik op + en geef de groeps-DN op. BijvoorbeeldCN=gebruikers,DC=voorbeeld,DC=bedrijf,DC=com.

Belangrijk Geef de groeps-DN's op onder de basis-DN die u heeftingevoerd. Als een groeps-DN buiten de basis-DN ligt, worden gebruikers vandie DN gesynchroniseerd, maar kunnen zij zich niet aanmelden.

b Klik op Groepen zoeken.

De kolom Te synchroniseren groepen bevat het aantal groepen dat isgevonden in de DN.

c Als u alle groepen in de DN wilt selecteren, klikt u op Alles selecteren. Ofklik op Selecteren en selecteer de specifieke groepen die u wiltsynchroniseren.

Opmerking Wanneer uw LDAP-directory meerdere groepen met dezelfdenaam bevat, moet u voor deze groepen unieke namen opgeven in deVMware Identity Manager-service. U kunt de naam wijzigen wanneer u degroep selecteert.

Opmerking Wanneer u een groep synchroniseert, worden gebruikers die geenDomeingebruikers als hun primaire groep in Active Directory hebben, nietgesynchroniseerd.

Geneste groepsleden synchroniseren De optie Geneste groepsleden synchroniseren is standaard ingeschakeld.Wanneer deze optie is ingeschakeld, worden alle gebruikers gesynchroniseerddie direct tot de groep behoren die u selecteert en alle gebruikers die tot degeneste groepen eronder behoren. Let op dat de geneste groepen niet wordengesynchroniseerd; alleen de gebruikers die tot de geneste groepen behoren,worden gesynchroniseerd. In de VMware Identity Manager-directory zijn dezegebruikers leden van de bovenliggende groep die u heeft geselecteerd om tesynchroniseren.

Als de optie Geneste groepsleden synchroniseren is uitgeschakeld, wanneer ueen groep opgeeft om te synchroniseren, worden alle gebruikersgesynchroniseerd die tot die groep behoren. Gebruikers die tot geneste groepeneronder behoren, worden niet gesynchroniseerd. Het uitschakelen van dezefunctie is handig voor grote Active Directory-configuraties waarbij het doorkruisenvan een groepsstructuur veel tijd en middelen kost. Als u deze optie uitschakelt,zorgt u ervoor dat u alle groepen selecteert waarvan u de gebruikers wiltsynchroniseren.

13 Klik op Volgende.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 53

Page 54: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

14 Geef zo nodig extra gebruikers op om te synchroniseren.

a Klik op + en voer de gebruikers-DN's in. Bijvoorbeeld:CN=gebruikers,CN=Gebruikers,OU=mijnAfdeling,DC=mijnOnderneming,DC=com.

Belangrijk Geef de gebruikers-DN's op onder de basis-DN die u heeft ingevoerd. Als eengebruikers-DN buiten de basis-DN ligt, worden gebruikers van die DN gesynchroniseerd, maarkunnen zij zich niet aanmelden.

b (Optioneel) Als u gebruikers wilt uitsluiten, maakt u een filter om sommige gebruikerstypen uit tesluiten.

U selecteert het gebruikerskenmerk waarop moet worden gefilterd, de queryregel en de waarde.

15 Klik op Volgende.

16 Neem de pagina door om te zien hoeveel gebruikers en groepen naar de directory wordengesynchroniseerd en om het synchronisatieschema te bekijken.

Klik op de koppelingen Bewerken om wijzigingen aan te brengen aan gebruikers en groepen of aande synchronisatiefrequentie.

17 Klik op Directory synchroniseren om de synchronisatie van de directory te starten.

Opmerking Als zich een netwerkfout voordoet en de hostnaam kan niet uniek worden opgelost metbehulp van reverse DNS, dan stopt het configuratieproces. U moet de netwerkproblemen verhelpen ende virtual appliance opnieuw opstarten. Vervolgens kunt u doorgaan met het implementatieproces. Denieuwe netwerkinstellingen zijn niet beschikbaar totdat u de virtual appliance opnieuw hebt opgestart.

Wat nu te doen

Voor informatie over het instellen van een load-balancer of een configuratie met hoge beschikbaarheid,raadpleegt u Hoofdstuk4De machine met de VMware Identity Manager achter een load balancerimplementeren.

U kunt de catalogus met bronnen aanpassen voor de applicaties van uw organisatie engebruikerstoegang inschakelen tot deze bronnen. U kunt ook andere bronnen instellen, waaronder View,ThinApp en op Citrix gebaseerde applicaties. Zie Bronnen instellen in VMware Identity Manager

Synchronisatie van directory's inschakelen op een andere -instantie in geval van een foutIn het geval dat er fouten optreden met een service-instantie, wordt de verificatie automatischafgehandeld door een gekloonde instantie, zoals geconfigureerd in de load-balancer. Voor hetsynchroniseren van directory's moet u de directory-instellingen in de VMware Identity Manager-servicewijzigen om een gekloonde instantie te kunnen gebruiken. Directorysynchronisatie wordt door hetconnectoronderdeel van de service afgehandeld en kan slechts op één connector tegelijk wordeningeschakeld.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 54

Page 55: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Procedure

1 Meld u aan bij de VMware Identity Manager-console.

2 Klik op het tabblad Identiteits- en toegangsbeheer en klik vervolgens op Directory's.

3 Klik op de directory die is gekoppeld aan de oorspronkelijke service-instantie.

U kunt deze informatie bekijken op de pagina Installatie > Connectoren. Op de pagina wordt hetconnectoronderdeel van elk van de virtual appliances van de service in uw cluster vermeld.

4 In het gedeelte Directorysynchronisatie en -verificatie van de pagina met directory's selecteert u inhet veld Synchronisatieconnector een van de andere connectoren.

5 In het veld Wachtwoord van bindings-DN geeft u het wachtwoord van uw Active Directory-

bindingsaccount op.

6 Klik op Opslaan.

Goedgekeurde IP-adressen aan uw externe firewalltoevoegenWanneer u VMware Identity Manager met een externe firewall configureert, voegt u de IP-adresbereikenof URL's voor de volgende VMware Identity Manager-services aan een witte lijst toe om toegang tot dieservice te verlenen.

Gebruik de opdracht nslookup of een ander hulpprogramma voor opdrachtregels om een query op hetdomeinnaamsysteem uit te voeren en de IP-adressen te verkrijgen die u aan de witte lijst van uw externefirewall kunt toevoegen.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 55

Page 56: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Tabel 5‑1. Service Domeinnaamsysteem Beschrijving

VMware Identity Manager-catalogus catalog.vmwareidentity.com Voeg de URL's uit de lijst toe aan dewitte lijst om ervoor te zorgen dat deinhoud van de catalogus toegankelijk is.

Deze inhoud wordt ook geleverd viaAWS CloudFront CDN, dat een eigen lijstmet openbare IP-adressen onderhoudt.Zie http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/LocationsOfEdgeServers.html.

VMware Verify api.authy.com Als VMware Verify als verificatiemethodeis geconfigureerd, voegt u de URL's uitde lijst toe aan de witte lijst.

Hybride KDC kdc.op.<vmwareidentity.xxx> Wanneer hybride KDC is geconfigureerdvoor uw gebruik van VMware IdentityManager op locatie, selecteert u een vande volgende domeinen om de URL's opte zoeken.n vmwareidentity.can vmwareidentity.comn vmwareidentity.eun vmwareidentity.co.ukn vmwareidentity.den vmwareidentity.com.aun vmwareidentity.asia

Updates van VMware Identity Manager vapp-updates.vmware.com Als u updates van VMware IdentityManager wilt ontvangen en patches vande VMware Update Manager wiltdownloaden, voegt u de URL's uit de lijsttoe aan de witte lijst.

Proxyinstellingen inschakelen na de installatieDe VMware Identity Manager-machine heeft toegang tot de applicatiecatalogus in de cloud en anderewebservices op internet. Als uw netwerkconfiguratie internettoegang biedt via een HTTP-proxy, moet uuw proxyinstellingen aanpassen op de VMware Identity Manager-machine.

Schakel uw proxy in om alleen internetverkeer te verwerken. Als u er zeker van wilt zijn dat de proxygoed is ingesteld, moet u de parameter voor intern verkeer binnen het domein instellen op no-proxy.

Procedure

1 Meld u aan bij de VMware Identity Manager-console en navigeer naar de pagina Appliance-instellingen > VA-configuratie.

2 Klik op Configuratie beheren en klik vervolgens op Proxyconfiguratie.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 56

Page 57: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

3 Schakel proxy in.

4 Voer de proxynaam en de poort in het tekstvak Proxyhost met poort in. Bijvoorbeeld:proxyhost.example.com:3128

5 Voer de non-proxyhosts die worden geopend zonder tussenkomst van de proxyserver in het tekstvakHosts zonder proxy in.

Gebruik een komma om een lijst met hostnamen te scheiden.

6 Klik op Opslaan.

De licentiecode invoerenNadat u het VMware Identity Manager-appliance hebt geïmplementeerd, voert u uw licentiecode in.

Procedure

1 Meld u aan bij de VMware Identity Manager-console.

2 Selecteer het tabblad Appliance-instellingen en klik vervolgens op Licentie.

3 Op de pagina Licentie-instellingen voert u de licentiecode in en klikt u op Opslaan.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 57

Page 58: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Instellingen voorVMware Identity Manager -configuratie beheren 6Nadat de eerste configuratie van VMware Identity Manager is voltooid, kunt u naar deVMware Identity Manager-consolepagina's gaan om certificaten te installeren, wachtwoorden te beherenen logboekbestanden te downloaden. U kunt ook de database bijwerken, de Identity Manager FQDNwijzigen en een externe Syslog-server configureren.

De pagina's met configuratie-instellingen zijn beschikbaar op het tabblad Appliance-instellingen in deIdentity Manager-console.

Naam van pagina Beschrijving van instelling

Databaseverbinding De instelling voor de databaseverbinding, intern of extern, isingeschakeld. U kunt het type database wijzigen. Wanneer uExterne database selecteert, kunt u de URL van de externedatabase, de gebruikersnaam en het wachtwoord invoeren. Alsu een externe database wilt instellen, raadpleegt u Dedatabase van VMware Identity Manager Service maken.

SSL-certificaten installeren Op de tabbladen van deze pagina kunt u een SSL-certificaatvoor VMware Identity Manager installeren, het automatischondertekende rootcertificaat van VMware Identity Managerdownloaden en vertrouwde rootcertificaten installeren.Bijvoorbeeld: als VMware Identity Manager achter een loadbalancer is geconfigureerd, kunt u het rootcertificaat van deload balancer installeren.

Opmerking Het tabblad Passthrough-certificaat wordtalleen gebruikt als certificaatverificatie is geconfigureerd op deingesloten connector in een DMZ-implementatiescenario. ZieVMware Identity Manager in de DMZ implementeren voorinformatie.

Zie SSL-certificaten gebruiken.

Identity Manager FQDN U kunt op deze pagina de VMware Identity Manager FQDNbekijken of wijzigen. De VMware Identity Manager FQDN is deURL waarmee gebruikers toegang krijgen tot de service.

Wachtwoord wijzigen Op deze pagina kunt u het beheerderswachtwoord van deVMware Identity Manager wijzigen.

Proxyconfiguratie (VMware Identity Manager voor Windows) HTTPS-proxyinstellingen configureren

VMware, Inc. 58

Page 59: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Naam van pagina Beschrijving van instelling

Locaties van logboekbestanden U kunt de logboeken in een zip-bestand downloaden. Zie Logboekbestandsgegevens.

Locatie van clusterbestand (VMware Identity Manager voorWindows)

U kunt een versleuteld bestand van de instantie van deVMware Identity Manager-configuratie maken. Dit ENC-bestand kan worden gedownload en gebruikt voor het makenvan een cluster van VMware Identity Manager-knooppunten.

U kunt ook de connector-URL wijzigen. Zie De connector-URL aanpassen.

Dit hoofdstuk omvat de volgende onderwerpen:

n Configuratie-instellingen voor de appliance wijzigen

n SSL-certificaten gebruiken

n VMware Identity Manager configureren om een externe database te gebruiken

n De URL van de VMware Identity Manager-service wijzigen

n De connector-URL aanpassen

n Logboekbestandsgegevens

n Uw wachtwoord beheren

n SMTP-instellingen configureren

Configuratie-instellingen voor de appliance wijzigenNadat u VMware Identity Manager hebt geconfigureerd, kunt u naar de pagina's met Appliance-instellingen gaan om de huidige configuratie bij te werken en systeeminformatie van de virtual appliancete bewaken.

Procedure

1 Meld u aan bij de VMware Identity Manager-console.

2 Selecteer het tabblad Appliance-instellingen en klik op Configuratie beheren.

3 Meld u aan met het wachtwoord voor de servicebeheerder.

4 Selecteer in het linkerdeelvenster de pagina die u wilt bekijken of bewerken.

Wat nu te doen

Controleer of de instellingen of updates die u doorvoert, van kracht zijn.

SSL-certificaten gebruikenWanneer de VMware Identity Manager-appliance is geïnstalleerd, wordt automatisch een standaard SSL-servercertificaat gegenereerd. U kunt dit automatisch ondertekende certificaat gebruiken voor algemenetests van uw implementatie. VMware raadt u sterk aan SSL-certificaten die zijn ondertekend door eenopenbare certificaatautoriteit (CA) aan te vragen en te installeren in uw productieomgeving.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 59

Page 60: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Een certificaatautoriteit (CA) is een vertrouwde entiteit die de identiteit van het certificaat en de makergarandeert. Wanneer een certificaat is ondertekend door een vertrouwde CA, ontvangen gebruikers geenberichten meer waarin ze worden gevraagd het certificaat te controleren.

U kunt een ondertekend CA-certificaat installeren vanaf de pagina Appliance-instellingen >Configuratie beheren > SSL-certificaten installeren > Servercertificaten.

Als u VMware Identity Manager implementeert met het automatisch ondertekende SSL-certificaat, moethet CA-basiscertificaat beschikbaar zijn als vertrouwde CA voor alle clients die toegang hebben tot deVMware Identity Manager-service. De clients kunnen machines van eindgebruikers, load-balancers,proxy's, enzovoort zijn. U kunt de root-CA downloaden van de pagina SSL-certificaten installeren >Servercertificaten.

Een SSL-certificaat installeren voor de VMware Identity Manager -serviceWanneer de VMware Identity Manager-service is geïnstalleerd, wordt een standaard SSL-servercertificaat gegenereerd. U kunt dit automatisch ondertekende certificaat gebruiken voortestdoeleinden. VMware raadt u echter sterk aan om voor uw productieomgeving SSL-certificaten tegebruiken die zijn ondertekend door een openbare certificaatautoriteit (CA).

Opmerking Als een load balancer vóór VMware Identity Manager de SSL beëindigt, wordt het SSL-certificaat toegepast op de load balancer.

Voorwaarden

n Genereer een aanvraag voor certificaatondertekening (CSR) om een geldig, ondertekend SSL-certificaat van een certificaatautoriteit te verkrijgen. Het certificaat moet de indeling PEM hebben.

n Voor het onderdeel Algemene naam van de onderwerp-DN gebruikt u de volledig gekwalificeerdedomeinnaam die gebruikers gebruiken om toegang te krijgen tot VMware Identity ManagerService.Als de VMware Identity Manager-appliance zich achter een load balancer bevindt, is dit deservernaam van de load balancer.

n Als SSL niet wordt beëindigd op de load balancer, moet het SSL-certificaat dat wordt gebruikt door deservice, alternatieve onderwerpnamen (SAN's) voor elk van de volledig gekwalificeerdedomeinnamen in het VMware Identity Manager-cluster opnemen zodat knooppunten binnen hetcluster aanvragen bij elkaar kunnen indienen. Ook een SAN voor de FQDN-hostnaam die gebruikersgebruiken voor toegang tot VMware Identity Manager Service, naast het gebruik als algemene naamomdat sommige browsers dit vereisen.

Procedure

1 Klik in de VMware Identity Manager-console op de tab Appliance-instellingen.

2 Klik op Configuratie beheren en voer het wachtwoord van de admingebruiker in.

3 Selecteer SSL-certificaten installeren > Servercertificaat.

4 Selecteer Aangepast certificaat in het veld SSL-certificaat.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 60

Page 61: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

5 Plak het server-, tussen- en rootcertificaat in het tekstvak SSL-certificaatketen, in die volgorde.

U moet de hele certificaatketen in de juiste volgorde opnemen. Kopieer voor elk certificaat devolledige inhoud vanaf de regel -----BEGIN CERTIFICATE----- tot en met -----END CERTIFICATE----.

6 Plak de persoonlijke sleutel in het tekstvak Persoonlijke sleutel. Kopieer alle inhoud vanaf ----BEGIN RSA PRIVATE KEY tot en met ---END RSA PRIVATE KEY.

7 Klik op Toevoegen.

Voorbeeld:Voorbeelden van certificaten

Voorbeeld van certificaatketen

-----BEGIN CERTIFICATE-----

jlQvt9WdR9Vpg3WQT5+C3HU17bUOwvhp/r0+

...

W53+O05j5xsxzDJfWr1lqBlFF/OkIYCPcyK1

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

WdR9Vpg3WQT5+C3HU17bUOwvhp/rjlQvt90+

...

O05j5xsxzDJfWr1lqBlFF/OkIYCPW53+cyK1

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

dR9Vpg3WQTjlQvt9W5+C3HU17bUOwvhp/r0+

...

5j5xsxzDJfWr1lqW53+O0BlFF/OkIYCPcyK1

-----END CERTIFICATE-----

Voorbeeld van privésleutel

-----BEGIN RSA PRIVATE KEY-----

jlQvtg3WQT5+C3HU17bU9WdR9VpOwvhp/r0+

...

1lqBlFFW53+O05j5xsxzDJfWr/OkIYCPcyK1

-----END RSA PRIVATE KEY-----

Vertrouwde rootcertificaten installerenInstalleer de root- of tussencertificaten die moeten worden vertrouwd door de VMware Identity Manager-server. De VMware Identity Manager-server kan veilige verbindingen tot stand brengen met serverswaarvan de certificaatketen een van deze certificaten bevat.

Als de VMware Identity Manager-server achter een load balancer is geconfigureerd en SSL wordtbeëindigd op de load balancer, moet u het rootcertificaat van de load balancer installeren.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 61

Page 62: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Procedure

1 Klik in de VMware Identity Manager-console op de tab Appliance-instellingen.

2 Klik op Configuratie beheren en voer het wachtwoord van de admingebruiker in.

3 Klik op SSL-certificaten installeren en selecteer het tabblad Vertrouwde CA's .

4 Plak het root- of tussencertificaat in het tekstvak.

Voeg alle inhoud vanaf de regel -----BEGIN CERTIFICATE----- tot en met -----END CERTIFICATE----in.

5 Klik op Toevoegen.

Een passthrough-certificaat installerenHet tabblad Passthrough-certificaat wordt alleen gebruikt als certificaatverificatie is geconfigureerd opde ingesloten connector in een DMZ-implementatiescenario. Het wordt niet gebruikt in andere scenario's.Zie VMware Identity Manager in de DMZ implementeren voor informatie.

VMware Identity Manager configureren om een externedatabase te gebruikenAls, nadat u de Microsoft SQL-database hebt gemaakt, de externe database die u heeft gemaakt nietautomatisch wordt geconfigureerd in VMware Identity Manager, kunt u op de pagina Appliance-instellingen VMware Identity Manager configureren om de database te gebruiken.

Voorwaarden

n De database met het SaaS-schema die in de Microsoft SQL-server is gemaakt als externedatabaseserver. Zie de VMware-matrices voor interoperabiliteit van producten voor informatie overspecifieke versies die worden ondersteund door VMware Identity Manager.

Procedure

1 Klik in de VMware Identity Manager-console op Appliance-instellingen en selecteer VA-configuratie.

2 Klik op Configuratie beheren.

3 Meld u aan met het beheerderswachtwoord van VMware Identity Manager.

4 Op de Setuppagina van de databaseverbinding selecteert u Externe database als het databasetype.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 62

Page 63: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

5 Voer informatie in over de databaseverbinding.

a Typ de JDBC-URL van de Microsoft SQL-databaseserver.

Verificatiemodus JDBC-URL-tekenreeks

Windows-verificatie(domein\gebruiker) jdbc:jtds:sqlserver://<hostname_or_IP_address:port#>/<saasdb>;integra

tedSecurity=true;domain=<domainname>;useNTLMv2=true

SQL Server-verificatie(lokale gebruiker) jdbc:sqlserver://<hostname_or_IP_address:port#>;DatabaseName=<saasdb>

Opmerking Als u de mogelijkheid SQL Server AlwaysOn wilt inschakelen, moet uMultiSubNetFailover instellen op True in SQL. De tekenreeks van de JDBC-URL is

jdbc:jtds:sqlserver://<hostname_or_IP_address:port#>/<saasdb>;integratedSecurity=true;domain=<d

omainname>;useNTLMv2=true;multiSubnetFailover=true

b Voer de gebruikersnaam en het wachtwoord voor aanmelding in die u heeft geconfigureerd bij hetmaken van de database. Zie Microsoft SQL-database configureren met lokale SQL Server-verificatiemodus.

6 Klik op Verbinding testen om de informatie te controleren en op te slaan.

Wat nu te doen

(Optioneel) Wijzig de lidmaatschapsmachtigingen voor databaserol db_owner. Zie Wijzig Rollen opdatabase-niveau.

De URL van de VMware Identity Manager-service wijzigenU kunt de URL van de VMware Identity Manager-service wijzigen. Dit is de URL die gebruikers gebruikenom toegang te krijgen tot de service. U kunt bijvoorbeeld de URL wijzigen in een URL voor een load-balancer.

Procedure

1 Meld u aan bij de VMware Identity Manager-console.

2 Klik op het tabblad Appliance-instellingen en selecteer vervolgens VA-configuratie.

3 Klik op Configuratie beheren en meld u aan met het wachtwoord van de beheerdersgebruiker.

4 Klik op Identity Manager FQDN en geef de nieuwe URL op in het veld Identity Manager FQDN.

Gebruik de indeling https://FQDN:poort. Een poort specificeren is optioneel. De standaardpoort is443.

Bijvoorbeeld: https://myservice.example.com.

5 Klik op Opslaan.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 63

Page 64: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Wat nu te doen

Schakel de gebruikersinterface van de nieuwe portal in.

1 Ga naar https://VMwareIdentityManagerURL/admin om de beheerconsole te openen.

2 Klik in de beheerconsole op de pijl op het tabblad Catalogus en selecteer Instellingen.

3 Selecteer Nieuwe eindgebruikersinterface van portal in het linkerdeelvenster en klik op Nieuwegebruikersinterface van portal inschakelen.

De connector-URL aanpassenU kunt de connector-URL wijzigen door de hostnaam van de identiteitsprovider in deVMware Identity Manager-console bij te werken.

Procedure

1 Meld u aan bij de VMware Identity Manager-console.

2 Klik op het tabblad Identiteits- en toegangsbeheer en klik vervolgens op het tabbladIdentiteitsproviders.

3 Op de pagina Identiteitsproviders selecteert u de identiteitsprovider die u wilt bijwerken.

4 In het veld IdP-hostnaam voert u de nieuwe hostnaam in.

Gebruik de notatie hostnaam:poort. Een poort specificeren is optioneel. De standaardpoort is 443.

Bijvoorbeeld vidm.example.com.

5 Klik op Opslaan.

LogboekbestandsgegevensDe VMware Identity Manager-logboekbestanden kunnen u helpen bij het verhelpen van bugs en hetoplossen van problemen. De onderstaande logboekbestanden zijn een algemeen startpunt. Aanvullendelogboeken kunnen worden gevonden in de directory met logboeken.

Tabel 6‑1. Logboekbestanden

OnderdeelLocatie van logboekbestandvoor Linux

Locatie van logboekbestand voorWindows Beschrijving

IdentityManagerService-logboeken

/opt/vmware/horizon/workspa

ce/logs/horizon.log

<INSTALL_DIR>\opt\vmware\horiz

on\workspace\logs\horizon.log

Informatie over activiteiten binnende service, zoals rechten,gebruikers en groepen.

Configuratielogboekbestanden

/opt/vmware/horizon/workspa

ce/logs/configurator.log

<INSTALL_DIR>\opt\vmware\horiz

on\workspace\logs\configurator

.log

Aanvragen die de configurator vande REST-client en de webinterfaceontvangt.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 64

Page 65: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Tabel 6‑1. Logboekbestanden (Vervolgd)

OnderdeelLocatie van logboekbestandvoor Linux

Locatie van logboekbestand voorWindows Beschrijving

Connectorlogboekbestanden

/opt/vmware/horizon/workspa

ce/logs/connector.log

<INSTALL_DIR>\opt\vmware\horiz

on\workspace\logs\connector.lo

g

Een record van elke ontvangenaanvraag van de webinterface.Elke logboekvermelding bevattevens de verzoek-URL, hettijdstempel en de uitzonderingen.Er worden geen synchronisatie-acties geregistreerd.

/opt/vmware/horizon/workspa

ce/logs/connector-dir-

sync.log

InstallDirectory\IDMConnecto

r\opt\vmware\horizon\workspac

e\logs\connector-dir-sync.log

Berichten over de synchronisatievan directory's.

ApacheTomcat-logboeken

/opt/vmware/horizon/workspa

ce/logs/catalina.log

<INSTALL_DIR>\opt\vmware\horiz

on\workspace\logs\catalina.log

Apache Tomcat-registraties vanberichten die niet in anderelogboekbestanden zijngeregistreerd.

Logboekgegevens verzamelenTijdens testen of problemen oplossen kunnen de logboeken feedback geven over de activiteiten enprestaties van de virtual appliance en ook informatie geven over problemen die zich voordoen.

Haal de logboeken van elke appliance in uw omgeving op.

Procedure

1 Meld u aan bij de VMware Identity Manager-console.

2 Selecteer het tabblad Appliance-instellingen en klik op Configuratie beheren.

3 Klik op Bestandslocaties vastleggen en klik op Logboekbundel voorbereiden.

De informatie wordt verzameld op een tar.gz-bestand dat u kunt downloaden.

4 Download de voorbereide bundel.

Wat nu te doen

Doe dit voor elke appliance om alle logboeken te verzamelen.

Het logboekniveau van de VMware Identity Manager-serviceinstellen op FOUTOPSPORINGU kunt het logboekniveau instellen op FOUTOPSPORING om extra informatie te registreren die kanhelpen bij het vinden van oplossingen voor problemen.

Procedure

1 Meld u aan bij de machine.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 65

Page 66: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

2 Open het pad naar de map conf.

Voor Linux gaat u naar /usr/local/horizon/conf/.

Voor Windows gaat u naar \usr\local\horizon\conf\.

3 Werk het logboekniveau in de bestanden cfg-log4j.properties hc-log4j.propertiesen saas-log4j.properties bij. Dit zijn de meest gebruikte log4j-bestanden voor de service.

a Bewerk het bestand.

b Vervang INFO door DEBUG op de regels waarvoor het logboekniveau is ingesteld op INFO.

Bijvoorbeeld, wijzig:

rootLogger.level=INFO

in:

rootLogger.level=DEBUG

c Sla het bestand op.

U hoeft de service of het systeem niet opnieuw te starten.

Uw wachtwoord beherenWanneer u VMware Identity Manager voor Windows voor het eerst hebt geconfigureerd, hebt uwachtwoorden voor de beheerdergebruiker gemaakt. U kunt het beheerderswachtwoord wijzigen op hettabblad Appliance-instellingen in de Identity Manager-console.

Zorg dat u sterke wachtwoorden maakt. Sterke wachtwoorden moeten minstens acht tekens lang zijn enbestaan uit een combinatie van hoofdletters en kleine letters en minstens één cijfer of speciaal teken.

Opmerking Als u zich niet kunt aanmelden en het wachtwoord opnieuw moet instellen, kunt u het scripthznSetAdminPassword.bat gebruiken om het wachtwoord opnieuw in te stellen. Zie Wachtwoord vanbeheerdersgebruiker voor VMware Identity Manager voor Windows opnieuw instellen.

Procedure

1 Klik in de VMware Identity Manage-console op de tab Appliance-instellingen.

2 Klik op VA-configuratie > Configuratie beheren.

3 Als u het beheerderswachtwoord wilt wijzigen, selecteert u Wachtwoord wijzigen.

Belangrijk Het wachtwoord voor de beheerdersgebruiker moet minstens zes tekens lang zijn.

4 Geef het nieuwe wachtwoord op.

5 Klik op Opslaan.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 66

Page 67: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Wachtwoord van beheerdersgebruiker voorVMware Identity Manager voor Windows opnieuw instellenU kunt het beheerderswachtwoord voor VMware Identity Manager Service wijzigen op de beheerpagina'svan de connector via https://<hostnameFQDN>:8443/cfg/login. Als u zich echter niet kunt aanmelden enhet wachtwoord opnieuw moet instellen, kunt u het script hznSetAdminPassword.bat gebruiken om hetwachtwoord opnieuw in te stellen.

Procedure

1 Open een opdrachtpromptvenster op de Windows-server.

2 Navigeer naar de map IDM_INSTALL_DIR>\usr\local\horizon\bin.

cd <IDM_INSTALL_DIR>\usr\local\horizon\bin

waarbij IDM_INSTALL_DIR de installatiemap van de VMware Identity Manager-service is.

3 Voer de volgende opdracht uit.

hznSetAdminPassword.bat newPassword

Het wachtwoord voor de beheerdersgebruiker moet minstens zes tekens lang zijn.

SMTP-instellingen configurerenConfigureer SMTP-serverinstellingen om e-mailmeldingen te ontvangen van de serviceVMware Identity Manager. E-mailmeldingen worden bijvoorbeeld verzonden wanneer nieuwe lokalegebruikers worden gemaakt, wanneer een wachtwoord opnieuw wordt ingesteld, of met hetverificatietoken voor automatische ontdekking.

Procedure

1 Meld u aan bij de VMware Identity Manager-console.

2 Klik op het tabblad Appliance-instellingen en klik op SMTP.

3 Voer de hostnaam van de SMTP-server in.

Bijvoorbeeld: smtp.example.com.

4 Voer het poortnummer van de SMTP-server in.

Bijvoorbeeld: 25.

5 (Optioneel) Als er verificatie vereist is voor de SMTP-server, voert u hier de gebruikersnaam en hetwachtwoord in.

6 Klik op Opslaan.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 67

Page 68: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

7 Als u het adres van de afzender in de e-mailmeldingen wilt aanpassen, voegt u het adres toe aan hetbestand runtime-config.properties.

a Meld u aan bij de VMware Identity Manager-machine.

b Bewerk het bestand /usr/local/horizon/conf/runtime-config.properties en voeg devolgende eigenschap toe.

notification.emails.support=e-mailadres

Bijvoorbeeld:

[email protected]

c Sla het bestand op.

d Start de machine opnieuw.

<install dir>\usr\local\horizon\scripts\horizonService.bat restart

Hierdoor wordt het adres van de afzender van de standaardwaarde [email protected] in het aangepaste adres.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 68

Page 69: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Installatie- enconfiguratieproblemen oplossen 7De onderwerpen beschrijven oplossingen voor potentiële problemen die u kunt ondervinden wanneer uVMware Identity Manager installeert of configureert.

Dit hoofdstuk omvat de volgende onderwerpen:

n Na synchronisatie van de directory worden geen leden in de groepen weergegeven

n Problemen met Elasticsearch oplossen

Na synchronisatie van de directory worden geen leden inde groepen weergegevenDe synchronisatie van de directory is voltooid, maar er worden geen gebruikers weergegeven ingesynchroniseerde groepen.

Probleem

Nadat een directory handmatig of automatisch op basis van het synchronisatieschema isgesynchroniseerd, is het synchronisatieproces voltooid, maar worden er geen gebruikers ingesynchroniseerde groepen weergegeven.

Oorzaak

Dit probleem doet zich voor als u twee of meer knooppunten in een cluster hebt en er een tijdverschil vanmeer dan vijf seconden tussen de knooppunten bestaat.

Oplossing

1 Zorg ervoor dat er geen tijdverschil tussen de knooppunten zit. Gebruik dezelfde NTP-server op alleknooppunten in het cluster om de tijd te synchroniseren.

Voer bijvoorbeeldhttps://community.spiceworks.com/how_to/5765-configure-windows-server-to-query-

an-external-ntp-server in.

2 Start de service opnieuw op alle knooppunten.

<install dir>\usr\local\horizon\scripts\horizonService.bat restart

3 (Optioneel) Verwijder de groep in de VMware Identity Manager-console, voeg de groep weer toe bijde synchronisatie-instellingen en synchroniseer de directory vervolgens opnieuw.

VMware, Inc. 69

Page 70: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Problemen met Elasticsearch oplossenGebruik deze informatie om problemen met Elasticsearch in een clusteromgeving op te lossen.Elasticsearch, een zoek- en analyse-engine die wordt gebruikt voor audits, rapportage endirectorysynchronisatielogboeken, is geïntegreerd in de virtual appliance van VMware Identity Manager.

Problemen met Elasticsearch oplossenOm de status van Elasticsearch te controleren, moet u de tool curl gebruiken. Als curl niet is geïnstalleerdop de Windows-machine, kunt u een query uitvoeren vanaf een Linux- of Mac-machine naar curlhttp://<hostname>:9200/_cluster/health?pretty. De firewall moet zijn ingeschakeld voor hetuitvoeren van de externe query.

De opdracht moet een resultaat teruggeven dat vergelijkbaar is met het volgende.

{

"cluster_name" : "horizon",

"status" : "green",

"timed_out" : false,

"number_of_nodes" : 3,

"number_of_data_nodes" : 3,

"active_primary_shards" : 20,

"active_shards" : 40,

"relocating_shards" : 0,

"initializing_shards" : 0,

"unassigned_shards" : 0,

"delayed_unassigned_shards" : 0,

"number_of_pending_tasks" : 0,

"number_of_in_flight_fetch" : 0

}

Als Elasticsearch niet goed wil starten of als de status rood is, volgt u deze stappen om problemen op telossen.

1 Zorg dat poort 9300 is geopend.

a Werk de knooppuntgegevens bij door de IP-adressen van alle knooppunten in het cluster aan hetbestand \usr\local\horizon\scripts\updateiptables.hzn toe te voegen.

ALL_IPS="node1IPadd node2IPadd node3IPadd"

b Voer het volgende script uit op alle knooppunten in het cluster.

\usr\local\horizon\scripts\updateiptables.hzn

2 Start Elasticsearch opnieuw op alle knooppunten in het cluster.

3 Bekijk de logboeken voor meer informatie.

cd /opt/vmware/elasticsearch/logs

U kunt Powershell of NotePad++ met de invoegtoepassing Document Monitor gebruiken om delogboekbestanden te controleren. In Powershell is de syntaxis: Get-Conent myTestLog.log-Wait.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 70

Page 71: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

VMware Identity Managercontroleren 8Controle van VMware Identity Manager is een belangrijk onderdeel van garanderen dat uw WorkspaceONE-oplossing correct werkt.

U kunt externe tools zoals Nagios, Splunk, Symantec Altiris, Spotlight, Ignite of Montastic gebruiken.Neem contact op met de IT-afdeling van uw bedrijf voor specifieke aanbevelingen voor het controlerenvan tools als u nog niet een oplossing op locatie hebt.

Dit document biedt aanbevelingen voor algemene hardware loadcapaciteiten en informatie overlogboekbestanden en URL-endpoints. Het bespreekt niet expliciet hoe u een oplossing voor controlerenmoet configureren.

Dit hoofdstuk omvat de volgende onderwerpen:n Aanbevelingen voor controleren van hardwarebelastingscapaciteit

n VMware Identity Manager URL-endpoints voor controle

n Systeem logboekregistratie

n Standaardgeheugen wijzigen dat is toegewezen aan VMware Identity Manager Service

Aanbevelingen voor controleren vanhardwarebelastingscapaciteitDeze standaarden voor controle gebruiken om ervoor te zorgen dat de status van server goed is.

Statistieken om vast te leggen

Hardware Beeldschermen

CPU Gebruik

Geheugen Gebruik

Harde schijf Vrije ruimte

Netwerk Gebruik

Waarschuwingen en drempelsVMware raadt aan elk geval van individueel gebruik te analyseren om te bepalen wat de juistedrempelwaarden voor individuele omgevingen zijn.

VMware, Inc. 71

Page 72: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Hardware Waarschuwingen, voorbeelden, drempels

CPU Voorbeelden: voorbeelden in 5 minuten

Drempel: 90% meer dan 1 uur, 95 meer dan 1 uur

Waarschuwingen: 90% load is een waarschuwing, 95% iskritiek

Geheugen Voorbeelden: voorbeelden in 5 minuten

Drempel: 90% meer dan 1 uur, 95 meer dan 1 uur

Waarschuwingen: 90% gebruikt is een waarschuwing, 95%gebruikt is kritiek

Harde schijf Voorbeelden: voorbeelden in 5 minuten

Drempel: 90% meer dan 1 uur, 95 meer dan 1 uur

Waarschuwingen: 90% gebruikt is een waarschuwing, 95%gebruikt is kritiek

Netwerk Voorbeelden: voorbeelden in 5 minuten

Drempel: 90% meer dan 1 uur, 95 meer dan 1 uur

Waarschuwingen: 90% load is een waarschuwing, 95% iskritiek

Strategieën voor het vastleggenn VMware Identity Manager Linux Virtual Appliance: voor een virtual appliance worden door de

onderliggende virtuele infrastructuur statistieken vastgelegd met tools zoals vSphere of vRealizeOperations.

n VMware Identity Manager voor Windows: een controlerende agent installeren die wordt ondersteundvoor Windows-servers en deze statistieken kan vastleggen. U kunt voor virtuele servers daarnaastsysteemeigen tools van vSphere gebruiken om relevante statistieken vast te leggen.

VMware Identity Manager URL-endpoints voor controleHou toezicht op de URL-endpoints voor verschillende onderdelen van de VMware Identity Manager omervoor te zorgen dat de omgeving goed functioneert. Bepaalde endpoints kunnen ook worden gebruiktvoor load balancers om te garanderen dat de service verkeer kan verwerken.

Statuscontroles voor load balancers

Onderdeel Statuscontrole Verwachte antwoord Opmerkingen

VMware Identity Manager-service

/SAAS/API/1.0/REST/syste

m/health/heartbeat

String: ok

Http: 200

Frequentie elke 30 seconden.

Mobiele SSO voor Android -Certproxy:

:5262/system/health

Http: 200 Frequentie elke 30 seconden.

Mobiele SSO voor iOS - KDC:

TCP half-open to port 88

Verbinding Frequentie elke 30 seconden.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 72

Page 73: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Onderdeel Statuscontrole Verwachte antwoord Opmerkingen

VMware Identity Manager-connector

/hc/API/1.0/REST/syste

m/health/allOk

String: true

Http: 200

Frequentie elke 30 seconden.

Integration Broker /IB/API/RestServiceImpl.

svc/ibhealthcheck

String: All Ok

Http: 200

Frequentie elke 30 seconden.

XenApp 7.x-integratie:

/IB/API/RestServiceImpl.

svc/hznxenapp/admin/xenf

arminfo?

computerName=&xenappvers

ion=Version7x

String: 'SiteName'

Http: 200

Frequentie elke vijf minuten

XenApp 6.x-integratie:

/IB/API/RestServiceImpl.

svc/hznxenapp/admin/xenf

arminfo?

computerName=&xenappvers

ion=Version65orLater

String: 'FarmName'

Http: 200

Frequentie elke vijf minuten

De statuscontroles voor load-balancers retourneren eenvoudige waarden die eenvoudig doornetwerkapparatuur kunnen worden geparseerd.

Aanvullende statuscontrole voor bewakingDe hier vermeldde statuscontroles mogen worden gebruikt door monitoring-oplossingen die demogelijkheid hebben om gegevens te parseren en dashboards te maken. Stel de frequentie elke 5minuten.

VMware Identity Manager-Service controleren en -status

URL-aanroep: /SAAS/jersey/manager/api/system/health

of

/SAAS/API/1.0/REST/system/health

Ruwe uitvoer

{

"AnalyticsUrl":"unknown",

"ElasticsearchServiceOk":"true",

"EhCacheClusterPeers":"unknown",

"ElasticsearchMasterNode":"unknown",

"ElasticsearchIndicesCount":"unknown",

"ElasticsearchDocsCount":"unknown",

"AuditPollInterval":"0",

"AnalyticsConnectionOk":"true",

"EncryptionServiceVerified":"unknown",

"FederationBrokerStatus":"unknown",

"ServiceReadOnlyMode":"false",

"ElasticsearchUnassignedShards":"unknown",

"AuditWorkerThreadAlive":"true",

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 73

Page 74: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

"BuildVersion":"3.3.0.0 Build xxxxxxx",

"AuditQueueSize":"0",

"DatabaseStatus":"unknown",

"HostName":"unknown",

"ElasticsearchNodesCount":"unknown",

"EncryptionStatus":"unknown",

"FederationBrokerOk":"true",

"EncryptionConnectionOk":"true",

"EncryptionServiceImpl":"unknown",

"ClusterId":"22f6e089-45df-41ab-9c8a-77f3e4589230",

"EhCacheClusterDiagnostics":"unknown",

"ElasticsearchNodesList":"unknown",

"DatabaseConnectionOk":"true",

"ElasticsearchHealth":"unknown",

"StatusDate":"2018-08-06 19:14:40 UTC",

"ClockSyncOk":"true",

"MaintenanceMode":"false",

"MessagingConnectionOk":"true",

"fipsModeEnabled":"true",

"ServiceVersion":"3.3.0",

"AuditQueueSizeThreshold":"null",

"IpAddress":"unknown",

"AuditDisabled":"false",

"AllOk":"true"

}

"AllOk" "true", "false" Roll-up statuscontrole om algemenestatus van de VMware Identity Manager-services te controleren

"MessagingConnectionOk" "true", "false" Controleert of alle makers enconsumenten van berichten verbondenzijn met RabbitMQ

"DatabaseConnectionOk" "true", "false" Controleert de verbinding met dedatabase

"EncryptionConnectionOk" "true", "false" Controleert of de verbinding met decoderingsservice goed is en de master-key store klopt

"AnalyticsConnectionOk" "true", "false" Controleert of de verbinding met deanalyseservice goed is

"FederationBrokerOk" "true", "false" Controleert de ingeslotenverificatieadapters om er zeker van tezijn dat hun subsystemen in orde zijn

Opmerking Het label 'Onbekend' in de uitvoer geeft aan dat de informatie beperkt is. Gevoeligegegevens zoals IP-adressen en hostnamen zijn standaard verborgen. Zie Extra informatie instatuscontrole-API als u deze informatie wilt weergeven.

URL oproepen: /Catalog-Portal/Services/Health

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 74

Page 75: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Deze statuscontrole is specifiek voor de gebruikersinterface die onderdeel is van VMware IdentityManager.

Ruwe uitvoer

{

"status": "UP",

"uiService": {

"status": "UP"

},

"apiService": {

"status": "UP"

},

"eucCacheEngine": {

"status": "UP"

},

"cacheEngineClient": {

"status": "UP"

},

"persistenceEngine": {

"status": "UP",

"database": "Microsoft SQL Server",

"hello": 1

},

"tenantPersistenceEngine": {

"status": "UP",

"database": "Microsoft SQL Server",

"hello": 1

},

"diskSpace": {

"status": "UP",

"total": 8460120064,

"free": 4898279424,

"threshold": 10485760

}

}

"status" "ACTIEF", "NIET-WERKEND" Roll-up statuscontrole om algemenestatus van de VMware Identity Manager(gebruikersinterface) te controleren

"uiServer.status" "ACTIEF", "NIET-WERKEND" Als de belangrijkste UI-service wordtuitgevoerd: UP

"apiService.status" "ACTIEF", "NIET-WERKEND" Als de belangrijkste UI-API-service wordtuitgevoerd: UP

"eucCacheEngine.status" "ACTIEF", "NIET-WERKEND" Als de cluster engine voor de Hazelcastwordt uitgevoerd: UP

"cacheEngineClient.status" "ACTIEF", "NIET-WERKEND" Als de Hazelcast client voor de UI wordtuitgevoerd: UP

"persistenceEngine.status" "ACTIEF", "NIET-WERKEND" Als de belangrijkste database (SQL)wordt uitgevoerd: UP

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 75

Page 76: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

"tenantPersistenceEngine.status" "ACTIEF", "NIET-WERKEND" Als de belangrijkste database (SQL)wordt uitgevoerd: UP

"diskSpace.status" "ACTIEF", "NIET-WERKEND" Als is de vrije schijfruimte groter is dande geconfigureerde drempel, 10 MB: UP

"diskSpace.free" Bytes Ruimte vrij in Bytes op de partitie waarde UI van de VMware Identity Manageris geïnstalleerd

VMware Identity Manager Connector controleren en status

URL oproepen: /hc/API/1.0/REST/system/health

Ruwe uitvoer

{

"HorizonDaaSSyncConfigurationStatus": "",

"AppManagerServiceOk": "true",

"DomainJoinEnabled": "false",

"XenAppEnabled": "true",

"ViewSyncConfigurationStatus": "",

"ThinAppServiceOk": "true",

"ThinAppSyncConfigurationStatus": "unknown",

"Activated": "true",

"XenAppServiceOk": "false",

"DirectoryServiceStatus": "Connection test successful",

"BuildVersion": "2017.1.1.0 Build 5077496",

"ThinAppServiceStatus": "unknown",

"XenAppServiceStatus": "A problem was encountered Sync Integration Broker",

"HostName": "hostname.company.local",

"NumberOfWarnAlerts": "0",

"JoinedDomain": "true",

"XenAppSyncConfigurationStatus": "Sync configured (manually)",

"DirectorySyncConfigurationStatus": "Sync configured (manually)",

"NumberOfErrorAlerts": "0",

"DirectoryServiceOk": "true",

"HorizonDaaSTenantOk": "true",

"ThinAppDirectoryPath": "",

"StatusDate": "2017-06-27 10:52:59 EDT",

"ViewSyncEnabled": "false",

"ViewServiceOk": "true",

"HorizonDaaSEnabled": "false",

"AppManagerUrl": "https://workspaceurl.com/SAAS/t/qwe12312qw/",

"HorizonDaaSServiceStatus": "unknown",

"DirectoryConnection": "ldap:///ldapcall",

"ServiceVersion": "VMware-C2-2017.1.1.0 Build 5077496",

"IpAddress": "169.118.86.105",

"DomainJoinStatus": "Domain: customerdomainname",

"AllOk": "false",

"ViewServiceStatus": "unknown",

"ThinAppEnabled": "false",

"XenAppSyncSsoBroker": "integrationbrokersso:443 / integrationbrokersync:443"

}

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 76

Page 77: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

"AllOk" "true", "false" Roll-up gezondheidscontrole omalgemene status van de VMware IdentityManager Connector Services tecontroleren.

"ViewServiceOk" "true", "false" Waar, als de verbinding met de View-Broker gelukt is. Dit kenmerk is waar alsView-synchronisatie is uitgeschakeld.

"HorizonDaaSTenantOk" "true", "false" Waar, als de verbinding met HorizonCloud gelukt is. Dit kenmerk is waar alsHorizon Cloud-synchronisatie isuitgeschakeld.

"DirectoryServiceOk" "true", "false" Waar, als de verbinding met de directoryis gelukt. Dit kenmerk is waar alsdirectorysynchronisatie is uitgeschakeld.

"XenAppServiceOk" "true", "false" Waar, als de verbinding met de Citrix-server gelukt is. Dit kenmerk is waar alsCitrix-server is uitgeschakeld.

"ThinAppServiceOk" "true", "false" Waar, als de verbinding met de ThinApp-verpakte toepassingsservice is gelukt.Dit kenmerk is waar als verpaktetoepassingen zijn uitgeschakeld.

"AppManagerServiceOk" "true", "false" Waar, als verificatie goed uitgevoerd kanworden voor de AppManager?

"NumberOfWarnAlerts" 0 - 1000 Het aantal waarschuwingsmeldingen dieop deze Connector is geactiveerd. Dezezijn beschikbaar op hetsynchronisatielogboek van de Connectorals "Notities". Ze kunnen aangeven dater een bron gesynchroniseerd is die eengebruiker of groep bevatte die niet in deVMware Identity Manager is opgenomen.Dit kan, afhankelijk van de configuratie,zo zijn ontworpen. De teller blijft oplopenvoor elke synchronisatie totdat dewaarschuwingen en foutmeldingen gelijkaan 1000 zijn en een beheerder dewaarschuwingen wist.

"NumberOfErrorAlerts" 0 - 1000 Het aantal foutmeldingen dat op dezeConnector is geactiveerd. Deze zijnbeschikbaar op hetsynchronisatielogboek van de Connectoronder "Fout". Ze kunnen aangeven dateen synchronisatie mislukt is. De tellerblijft oplopen voor elke synchronisatietotdat de waarschuwingen enfoutmeldingen gelijk aan 1000 zijn eneen beheerder de waarschuwingen wist.

VMware Identity Manager Integration Broker controleren en status

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 77

Page 78: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

URL-aanroep: /IB/API/RestServiceImpl.svc/ibhealthcheck

Ruwe uitvoer

“All Ok”

Deze statuscontrole controleert of alle software op de Integration Broker goed reageert. Het levert een200 reactie op met de string 'All Ok'.

VMware Identity Manager Integration Broker controleren en status met Citrix XenApp 7.x

URL-aanroep: /IB/API/RestServiceImpl.svc/hznxenapp/Admin/xenfarminfo?computerName=&xenappversion=Version7x

Dit haalt informatie terug van een API-aanroep naar Citrix. Controle kan ervoor zorgen dat de waardenconsistent zijn.

Ruwe uitvoer

[{

\ “ConfigurationLoggingServiceGroupUid \ “: \ “5e2a5602 - 45a8 - 4b56 - 92e6 - 9fae5a3ff459 \ “,

\ “ConfigurationServiceGroupUid \ “: \ “620d7c6e - b7c1 - 4ee7 - b192 - d00764f477e7 \

“, \ “DelegatedAdministrationServiceGroupUid \ “: \ “0a59914d - 4b6e - 4cca - bbaa -

a095067092e3 \ “,

\ “LicenseServerName \ “: \ “xd.hs.trcint.com \ “,

\ “LicenseServerPort \ “: \ “27000 \ “,

\ “LicenseServerUri \ “: \ “https: \ / \ / xd.hs.domain.com: 8083 \ / \ “,

\ “LicensingBurnIn \ “: \ “2014.0815 \ “,

\ “LicensingBurnInDate \ “: \ “8 \ / 14 \ / 2014 5: 00: 00 PM \ “,

\ “LicensingModel \ “: \ “UserDevice \ “,

\ “MetadataMap \ “: \ “System.Collections.Generic.Dictionary `2[System.String,System.String]\“,

\“PrimaryZoneName\“:\“\”,

\“PrimaryZoneUid\“:\“00000000-0000-0000-0000-000000000000\“,

\“ProductCode\“:\“XDT\“,

\“ProductEdition\“:\“PLT\“,

\“ProductVersion\“:\“7.6\“,

\“SiteGuid\“:\“0c074098-02d2-47cf-aa87-7e3asdsad7c\“,

\“SiteName\“:\“customer\“

}]

Ruwe uitvoer uitzondering:

{“ExceptionType”:“System.Management.Automation.CmdletInvocationException”,“Message”:“An invalid URL

was given for the service. The value given was ‘mit-xen751.hs.trcint.com’.\u000d\u000a The reason

given was: Failed to connect to back-end server ‘mit-xen751.hs.trcint.com’ on port 80 using binding

WSHttp. The server may be off-line or may not be running the appropriate

service\u000d\u000a\u0009There was no endpoint listening at http:\/\/mit-

xen751.hs.trcint.com\/Citrix\/ConfigurationContract\/v2 that could accept the message. This is often

caused by an incorrect address or SOAP action. See InnerException, if present, for more

details.\u000d\u000a\u0009The remote name could not be resolved: ‘mit-xen751.hs.trcint.com’.

“,”StackTrace”:” at

System.Management.Automation.Internal.PipelineProcessor.SynchronousExecuteEnumerate(Object input,

Hashtable errorResults, Boolean enumerate)\u000d\u000a at

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 78

Page 79: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

System.Management.Automation.Internal.PipelineProcessor.SynchronousExecute(Array input, Hashtable

errorResults)\u000d\u000a at

System.Management.Automation.Runspaces.LocalPipeline.InvokeHelper()\u000d\u000a at

System.Management.Automation.Runspaces.LocalPipeline.InvokeThreadProc()“}

VMware Identity Manager Integration Broker controleren en status met Citrix XenApp 6.x

URL-aanroep: /IB/API/RestServiceImpl.svc/hznxenapp/Admin/xenfarminfo?computerName=&xenappversion=Version65orLater

Dit haalt informatie terug van een API-aanroep naar Citrix. Controle kan ervoor zorgen dat de waardenconsistent zijn.

Ruwe uitvoer

“[{

\ “FarmName \ “: \ “NewFarm \ “,

\ “ServerVersion \ “: \ “6.5.0 \ “,

\ “AdministratorType \ “: \ “Full \ “,

\ “SessionCount \ “: \ “0 \ “,

\ “MachineName \ “: \ “XENAPPTEST \ “

}]”

Extra informatie in statuscontrole-APIU kunt bepalen of gevoelige informatie, zoals IP-adressen en hostnamen, wordt weergegeven in deuitvoer van de statuscontrole-API'shttps://<VIDM_FQDN>/SAAS/jersey/manager/api/system/health enhttps://<VIDM_FQDN>/SAAS/API/1.0/REST/system/health. Deze informatie is niet standaardinbegrepen in de API-uitvoer.

De eigenschap service.health.check.basic in het bestand runtime-config.properties bepaaltdeze instelling. Wanneer de eigenschap op waar is ingesteld, wordt alleen basisinformatie weergegevenen zijn gevoelige gegevens verborgen. Het label Onbekend in de uitvoer geeft aan dat de informatiebeperkt is. Bijvoorbeeld:

AnalyticsUrl: "unknown"

ElasticsearchServiceOk: "true"

EhCacheClusterPeers: "unknown"

ElasticsearchMasterNode: "unknown"

ElasticsearchIndicesCount "unknown"

ElasticsearchDocsCount: "unknown"

AuditPollInterval: "1000"

AnalyticsConnectionOk: "true"

...

IpAddress: "unknown"

AuditDisabled: "false"

AllOk: "true"

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 79

Page 80: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Als de eigenschap op niet waar is ingesteld, wordt alle beschikbare informatie weergegeven.Bijvoorbeeld:

AnalyticsUrl: "http://198.51.100.0"

ElasticsearchServiceOk: "true"

EhCacheClusterPeers: ""

ElasticsearchMasterNode: "198.51.100.1"

ElasticsearchIndicesCount: "13"

ElasticsearchDocsCount: "11173"

AuditPollInterval: "1000"

AnalyticsConnectionOk: "true"

...

IpAddress: "198.51.100.2"

AuditDisabled: "false"

AllOk: "true"

De eigenschap is standaard op waar ingesteld.

Opmerking Als u een VMware Identity Manager-cluster hebt ingesteld en u de eigenschap wijzigt, moetu ervoor zorgen dat u de wijziging in alle knooppunten in het cluster aanbrengt.

Procedure

1 Meld u aan op de VMware Identity Manager-server.

2 Bewerk het bestand install_dir\usr\local\horizon\conf\runtime-config.properties enstel de waarde van de eigenschap service.health.check.basic in op waar of niet waar.

Optie Beschrijving

waar Alleen basisinformatie wordt weergegeven. Gevoelige informatie is verborgen enin plaats daarvan wordt het label Onbekend weergegeven.

niet waar Alle beschikbare informatie wordt weergegeven.

3 Sla het bestand op.

4 Start de service opnieuw op.

install_dir\usr\local\horizon\scripts\horizonService.bat restart

5 Als u een VMware Identity Manager-cluster heeft ingesteld, brengt u deze wijzigingen in elkknooppunt van het cluster aan.

Systeem logboekregistratieLogboekregistratie van de VMware Identity Manager-service en de VMware Identity Manager-connectoronderdelen is beschikbaar met behulp van de syslog. Het onderdeel Integration Broker registreert lokaal.De logboeken kunnen worden verzameld en worden bekeken op de server of via een centralelogboekregistratieservice zoals vRealize Log Insight of Splunk.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 80

Page 81: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Logboekregistratie van VMware Identity Manager-Service enConnectorLogboeklocaties

De meeste service- en connectorlogboeken bevinden zich op de volgende locatie:

n Linux-gebaseerde virtual appliance van VMware IdentityManager: /opt/vmware/horizon/workspace/logs/

n VMware Identity Manager voor Windows: \<Install_Dir>\VMware IdentityManager\opt\vmware\horizon\workspace\logs

Logboek Doel

greenbox_web.log Logboek dat alle interacties van de gebruikersinterface voorweb en mobiel bevat

horizon.log VMware Identity Manager service-logboek dat Identity-Adapters, RabbitMQ Elasticsearch, Ehcache en anderesubsystemen bevat

connector.log VMware Identity Manager connector registreert voor alleverificatiemethoden en Horizon- en Citrix-integraties

cert-proxy.log Onderdeel van VMware Identity Manager-service CertProxyvoor Android mobiele SSO

configurator.log Aanvragen die de configurator van de REST-client en dewebinterface ontvangt.

catalina.log Apache Tomcat-registraties van berichten die niet in anderelogboekbestanden zijn geregistreerd.

Integration Broker-LogboekregistratieIntegration Broker-logboeken bevinden zich op de volgende locatie:

C:\ProgramData\VMware\HorizonIntegrationBroker

De logboeken zijn vastgelegd per dag en bevatten alle REST API-oproepen gemaakt naar en door deIntegration Broker.

Standaardgeheugen wijzigen dat is toegewezen aanVMware Identity Manager ServiceVoor nauwkeurige controle over de hoeveelheid geheugen die aan de VMware Identity Manager-serviceis toegewezen, kunt u het geheugen dat in Tomcat is toegewezen, wijzigen via de pagina metomgevingsvariabelen voor de Windows-systeemeigenschappen.

Wanneer de VMware Identity Manager-service is geïnstalleerd, wordt de geheugeninstelling standaardingesteld op de helft van het beschikbare geheugen. De standaardinstelling hoeft doorgaans niet teworden gewijzigd.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 81

Page 82: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Procedure

1 Open het configuratiescherm op de Windows-machine met VMware Identity Manager en ga naar hettabblad Systeemeigenschappen > Geavanceerd.

2 Klik op Omgevingsvariabelen onderaan het dialoogvenster.

3 Klik in het gedeelte Omgevingsvariabelen > Gebruikersvariabelen op Nieuw.

4 Voer in het dialoogvenster Nieuwe gebruikersvariabele de variabele in als IDM_TOMCAT_MEM= <#>g

#g is het toe te wijzen geheugen. 2G is de minimale geheugeninstelling om toe te wijzen, maar er isgeen maximum.

5 Start de service opnieuw op. Typ de batchbestandsopdracht, horizonService.bat restart.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 82

Page 83: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Limieten instellen 9U kunt limieten voor de VMware Identity Manager-service en de VMware Identity Manager-connectorinstellen.

Dit hoofdstuk omvat de volgende onderwerpen:n Limieten instellen voor VMware Identity Manager Service

n Limieten instellen voor VMware Identity Manager Connector

Limieten instellen voor VMware Identity Manager ServiceU kunt limieten instellen voor het aantal aanmeldings-, start- en WS-Fed-aanvragen dat per minuut naarde VMware Identity Manager-service kan worden verzonden. Wanneer de limiet wordt bereikt, wordendaaropvolgende aanvragen geweigerd. Door limieten in te stellen helpt u overbelasting van het systeemte voorkomen.

Bijvoorbeeld: als u de limiet voor aanmeldingsaanvragen op 100 instelt, worden de eerste 100aanmeldingsaanvragen per minuut geaccepteerd, maar worden alle aanvragen vanaf de 101stegeweigerd.

Voor een VMware Identity Manager-cluster is de limiet van toepassing op elk knooppunt in het cluster.Bijvoorbeeld: als u de limiet voor aanmeldingsaanvragen op 100 instelt voor een cluster met knooppuntA, knooppunt B en knooppunt C, kan knooppunt A 100 aanmeldingsaanvragen per minuut verwerken,kan knooppunt B 100 aanmeldingsaanvragen per minuut verwerken en kan knooppunt C 100aanmeldingsaanvragen per minuut verwerken. U kunt afzonderlijke aanmeldingslimieten per knooppuntinstellen.

Wanneer de limiet wordt bereikt en aanvragen worden geweigerd, zien eindgebruikers het volgendefoutbericht:

VMware, Inc. 83

Page 84: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Er zijn standaard geen limieten ingesteld.

U stelt limieten in met een REST API. Gebruik een REST-client zoals Postman voor de aanroepen naarde VMware Identity Manager-service. De wijzigingen worden over een paar minuten van kracht.

Limieten instellenGebruik deze API om limieten voor de VMware Identity Manager-service in te stellen.

Eindpunt:https://hostnaam/SAAS/jersey/manager/api/system/tuning/resiliency/tenant/orgResilien

cyConfiguration?tenantId=tenantId

Methode: PUT

Beschrijving: Stelt het maximum aantal aanmeldings-, start- en WS-Fed-aanvragen per minuut in datdoor de VMware Identity Manager-service is toegestaan.

Headers:

Inhoudtype application/vnd.vmware.horizon.manager.system.tuning.resiliency.config+json;charset=UTF-8

Accepteren application/vnd.vmware.horizon.manager.system.tuning.resiliency.config+json

Autorisatie HZN cookie_waarde

Om de cookie_waarde op te halen, meldt u zich als tenantbeheerder aan bij de VMware Identity Manager-service.Dit is de beheerder die wordt gemaakt wanneer u VMware Identity Manager voor het eerst installeert en de waardevan de HZN-cookie uit de cookiecache van uw browser verkrijgt.

Parameters voor pad:

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 84

Page 85: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

hostname De volledig gekwalificeerde domeinnaam van de service of load balancer van VMware Identity Manager.

tenantId De tenant-ID van de VMware Identity Manager-service. De tenant-ID is de naam van de tenant die in derechterbovenhoek van de VMware Identity Manager-console wordt weergegeven.

Aanvraagtekst:

{

"config": {

"rateLimitingDisabled": false,

"rateLimits": {

"login": {

"requestsPerMinute": n

},

"launch": {

"requestsPerMinute": n

},

"ws-fed": {

"requestsPerMinute": n

}

}

}

}

Tekstparameters voor aanvraag

login requestsPerMinute Geef het maximum aantal aanmeldingsaanvragen op dat per minuut is toegestaan.

Opmerking Houd er rekening mee dat meerdere API-aanvragen nodig kunnen zijn om eenaanmeldingsaanvraag te voltooien en elke API-aanroep telt mee voor de limieten. Bijvoorbeeld: voorwachtwoordverificatie zijn twee API-aanroepen nodig, één om de aanmeldingspagina weer te gevenen de tweede om verificatiegegevens te verzenden.

launchrequestsPerMinute

Geef het maximum aantal startaanvragen op dat per minuut is toegestaan.

ws-fedrequestsPerMinute

Geef het maximum aantal WS-Fed-aanvragen op dat per minuut is toegestaan. WS-Fed-limieten zijnalleen bedoeld voor actieve aanmeldingsconfiguraties.

Limieten weergevenGebruik deze API om limieten weer te geven die voor de VMware Identity Manager-service zijn ingesteld.

Eindpunt:https://hostnaam/SAAS/jersey/manager/api/system/tuning/resiliency/tenant/orgResilien

cyConfiguration?tenantId=tenantId

Methode: GET

Beschrijving: Haalt de limieten op die momenteel voor aanmeldings-, start- en WS-Fed-aanvragen voorde VMware Identity Manager-service zijn ingesteld.

Headers:

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 85

Page 86: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Autorisatie HZN cookie_waarde

Om de cookie_waarde op te halen, meldt u zich als tenantbeheerder aan bij de VMware Identity Manager-service.Dit is de beheerder die wordt gemaakt wanneer u VMware Identity Manager voor het eerst installeert en de waardevan de HZN-cookie uit de cookiecache van uw browser verkrijgt.

Parameters voor pad: hostname De volledig gekwalificeerde domeinnaam van de service of load balancer van VMware Identity Manager.

tenantId De tenant-ID van de VMware Identity Manager-service. De tenant-ID is de naam van de tenant die in derechterbovenhoek van de VMware Identity Manager-console wordt weergegeven.

Voorbeeld van uitvoer:

{

"config": {

"rateLimitingDisabled": false,

"rateLimits": {

"login": {

"requestsPerMinute": 100

},

"launch": {

"requestsPerMinute": 100

},

"ws-fed": {

"requestsPerMinute": 100

}

}

}

}

login requestsPerMinute Het maximum aantal aanmeldingsaanvragen dat per minuut is toegestaan.

launch requestsPerMinute Het maximum aantal startaanvragen dat per minuut is toegestaan.

ws-fed requestsPerMinute Het maximum aantal WS-Fed-aanvragen dat per minuut is toegestaan. WS-Fed-limieten zijn alleenbedoeld voor actieve aanmeldingsconfiguraties.

Limieten instellen voor VMware Identity ManagerConnectorNet zoals u limieten voor de VMware Identity Manager-service kunt instellen, kunt u limieten voor deVMware Identity Manager-connector instellen.

Voor de connector kunt u een limiet instellen voor het aantal aanmeldingsaanvragen dat per minuut istoegestaan. Wanneer de limiet wordt bereikt, worden daaropvolgende aanvragen geweigerd. Doorlimieten in te stellen helpt u overbelasting van het systeem te voorkomen.

Bijvoorbeeld: als u de limiet voor aanmeldingsaanvragen op 100 instelt, worden de eerste 100aanmeldingsaanvragen per minuut geaccepteerd, maar worden alle aanvragen vanaf de 101stegeweigerd.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 86

Page 87: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Voor een VMware Identity Manager-connectorcluster is de limiet van toepassing op elk knooppunt in hetcluster. Bijvoorbeeld: als u de limiet voor aanmeldingsaanvragen op 100 instelt voor een cluster metknooppunt A, knooppunt B en knooppunt C, kan knooppunt A 100 aanmeldingsaanvragen per minuutverwerken, kan knooppunt B 100 aanmeldingsaanvragen per minuut verwerken en kan knooppunt C 100aanmeldingsaanvragen per minuut verwerken. U kunt afzonderlijke aanmeldingslimieten per knooppuntinstellen.

Wanneer de limiet wordt bereikt en aanvragen worden geweigerd, zien eindgebruikers het volgendefoutbericht:

Er zijn standaard geen limieten ingesteld.

U stelt limieten in met een REST API. Gebruik een REST-client zoals Postman voor de aanroepen naarde VMware Identity Manager-service.

Wijzigingen wordt na ongeveer een uur van kracht. Start de connector opnieuw als u wilt dat dewijzigingen onmiddellijk van kracht worden.

Als u de Linux-gebaseerde virtual appliance van de connector opnieuw wilt starten, meldt u zich aan bijde virtual appliance en voert u de volgende opdracht uit:

service horizon-workspace restart

Voer het volgende script uit om de Windows-connector opnieuw te starten:

install_dir\usr\local\horizon\scripts\horizonService.bat restart

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 87

Page 88: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Limieten instellenGebruik deze API om limieten voor de VMware Identity Manager-connector in te stellen.

Eindpunt:https://hostnaam/SAAS/jersey/manager/api/system/tuning/resiliency/tenant/orgResilien

cyConnectorConfiguration?tenantId=tenantId

Methode: PUT

Beschrijving: Stelt het maximum aantal aanmeldingsaanvragen per minuut in dat door de VMwareIdentity Manager-connector is toegestaan.

Headers:

Inhoudtype application/vnd.vmware.horizon.manager.system.tuning.resiliency.config+json;charset=UTF-8

Accepteren application/vnd.vmware.horizon.manager.system.tuning.resiliency.config+json

Autorisatie HZN cookie_waarde

Om de cookie_waarde op te halen, meldt u zich als tenantbeheerder aan bij de VMware Identity Manager-service.Dit is de beheerder die wordt gemaakt wanneer u VMware Identity Manager voor het eerst installeert en de waardevan de HZN-cookie uit de cookiecache van uw browser verkrijgt.

Parameters voor pad: hostname De volledig gekwalificeerde domeinnaam van de service of load balancer van VMware Identity Manager.

tenantId De tenant-ID van de VMware Identity Manager-service. De tenant-ID is de naam van de tenant die in derechterbovenhoek van de VMware Identity Manager-console wordt weergegeven.

Aanvraagtekst:

{

"config": {

"rateLimitingDisabled": false,

"rateLimits": {

"login": {

"requestsPerMinute": n

}

}

}

}

Tekstparameters voor aanvraag

loginrequestsPerMinute

Geef het maximum aantal aanmeldingsaanvragen op dat per minuut is toegestaan.

Opmerking Houd er rekening mee dat meerdere API-aanvragen nodig kunnen zijn om eenaanmeldingsaanvraag te voltooien en elke API-aanroep telt mee voor de limieten. Bijvoorbeeld: voorwachtwoordverificatie zijn twee API-aanroepen nodig, één om de aanmeldingspagina weer te geven ende tweede om verificatiegegevens te verzenden.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 88

Page 89: VMware Identity Manager voor Windows installeren en … · 2018-10-18 · VMware Identity Manager gebruikt de hostname.domainname of hostname.workgroupname tijdens de installatie.

Limieten weergevenGebruik deze API om limieten weer te geven die momenteel voor de VMware Identity Manager-connectorzijn ingesteld.

Eindpunt:https://hostnaam/SAAS/jersey/manager/api/system/tuning/resiliency/tenant/orgResilien

cyConnectorConfiguration?tenantId=tenantId

Methode: GET

Beschrijving: Haalt de limieten op die momenteel voor aanmeldingsaanvragen voor de VMware IdentityManager-connector zijn ingesteld.

Headers:

Autorisatie HZN cookie_value

Om de cookie_waarde op te halen, meldt u zich als tenantbeheerder aan bij de VMware Identity Manager-service.Dit is de beheerder die wordt gemaakt wanneer u VMware Identity Manager voor het eerst installeert en de waardevan de HZN-cookie uit de cookiecache van uw browser verkrijgt.

Parameters voor pad: hostname De volledig gekwalificeerde domeinnaam van de service of load balancer van VMware Identity Manager.

tenantId De tenant-ID van de VMware Identity Manager-service. De tenant-ID is de naam van de tenant die in derechterbovenhoek van de VMware Identity Manager-console wordt weergegeven.

Voorbeeld van uitvoer:

{

"config": {

"rateLimitingDisabled": false,

"rateLimits": {

"login": {

"requestsPerMinute": 100

}

}

}

}

login requestsPerMinute Het maximum aantal aanmeldingsaanvragen dat per minuut is toegestaan.

VMware Identity Manager voor Windows installeren en configureren

VMware, Inc. 89