implementar vmware identity manager en dmz - …...vmware identity manager para sincronizar los...

Implementar VMware IdentityManager en DMZ

VMware Identity Manager 2.9.1VMware Identity Manager 2.8

Implementar VMware Identity Manager en DMZ

2 VMware, Inc.

Puede encontrar la documentación técnica más actualizada en el sitio web de WMware en:

https://docs.vmware.com/es/

En el sitio web de VMware también están disponibles las últimas actualizaciones del producto.

Si tiene algún comentario sobre esta documentación, envíelo a la siguiente dirección de correo electrónico:

[email protected]

Copyright © 2017 VMware, Inc. Todos los derechos reservados. Copyright e información de marca registrada.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware, Inc.Paseo de la Castellana 141. Planta 8.28046 Madrid.Tel.:+ 34 91 418 58 01Fax: + 34 91 418 50 55www.vmware.com/es

https://docs.vmware.com/es/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

Contenido

Implementar VMware Identity Manager en DMZ 5

1 Modelos de implementación 7

Modelo de implementación local mediante AirWatch Cloud Connector 8Modelo de implementación local mediante el conector de VMware Identity Manager en modo de

conexión de solo salida 10

2 Implementar VMware Identity Manager en DMZ 15

3 Implementar el conector de VMware Identity Manager en la red empresarial 17

Implementar el conector de VMware Identity Manager 18Configurar alta disponibilidad para el conector de VMware Identity Manager 26Agregar la compatibilidad con la autenticación Kerberos a la implementación de VMware Identity

Manager Connector 29

Índice 35

VMware, Inc. 3


4 VMware, Inc.


En Implementar VMware Identity Manager en DMZ, se proporciona información sobre la forma deimplementar VMware Identity Manager en DMZ en lugar de la red interna. Para obtener información sobrela implementación de VMware Identity Manager en la red interna, consulte Instalar y configurar VMwareIdentity Manager.

Público objetivoEsta información está destinada a administradores de sistemas Windows o Linux con experiencia yfamiliarizados con la tecnología VMware, en particular con vCenter™, ESX™ y vSphere®, así comoconceptos de red, Active Directory y bases de datos. SUSE Linux 11 es el sistema operativo subyacente delos dispositivos virtuales de VMware Identity Manager y de conector de VMware Identity Manager.

También es útil tener conocimientos de otras tecnologías, como la autenticación adaptativa de RSA, RSASecurID y RADIUS, si piensa implementar dichas funciones.

Glosario de publicaciones técnicas de VMwareEl departamento de Publicaciones técnicas de VMware ofrece un glosario con términos que quizás usteddesconozca. Para consultar las definiciones de términos tal como se utilizan en la documentación técnica deVMware, visite http://www.vmware.com/es/support/pubs.

VMware, Inc. 5

http://www.vmware.com/support/pubs


6 VMware, Inc.

Modelos de implementación 1Se encuentran disponibles dos tipos principales de modelos de implementación para implementarVMware Identity Manager en DMZ, uno que se integra con una implementación de VMware AirWatch®, yotro que no necesita AirWatch y utiliza el conector de VMware Identity Manager.

También puede combinar modelos de implementación si necesita alguna funcionalidad que no admitealguno de estos modelos.

n Modelo de implementación con AirWatch Cloud Connector

Si ya existe una implementación de AirWatch, puede integrarla con VMware Identity Manager deforma rápida. En este modelo, la sincronización del usuario y el grupo desde el directorio empresarial yla autenticación del usuario se realiza mediante AirWatch. Implemente VMware Identity Manager enDMZ.

Tenga en cuenta que este modelo no admite la integración de VMware Identity Manager con recursoscomo los publicados por Horizon 7 y Citrix. Solo se admite la integración con aplicaciones web yaplicaciones móviles nativas.

Consulte “Modelo de implementación local mediante AirWatch Cloud Connector,” página 8.

n Modelo de implementación con el conector de VMware Identity Manager en modo de conexión de solosalida

En los escenarios donde no se requiere una implementación de AirWatch, puede instalar el dispositivovirtual de servidor de VMware Identity Manager en DMZ y un dispositivo virtual de conector deVMware Identity Manager en la red empresarial. Este conector conecta el servidor con los servicioslocales como Active Directory. El conector se instala en modo de conexión de solo salida y no necesitaque el puerto del firewall 443 de entrada esté abierto. En este modelo, la sincronización del usuario y elgrupo desde el directorio empresarial y la autenticación del usuario se llevan a cabo mediante elconector de VMware Identity Manager.

Consulte “Modelo de implementación local mediante el conector de VMware Identity Manager enmodo de conexión de solo salida,” página 10.

n Agregar la compatibilidad con la autenticación Kerberos a la implementación de un conector deVMware Identity Manager

Puede agregar a la implementación para los usuarios internos la autenticación Kerberos (donde serequiere el modo de conexión entrante) en función de los conectores de modo de conexión de solosalida.

Consulte “Agregar compatibilidad con la autenticación de Kerberos a la implementación,”página 12.

VMware, Inc. 7

Este capítulo cubre los siguientes temas:

n “Modelo de implementación local mediante AirWatch Cloud Connector,” página 8

n “Modelo de implementación local mediante el conector de VMware Identity Manager en modo deconexión de solo salida,” página 10

Modelo de implementación local mediante AirWatch Cloud ConnectorSi ya existe una implementación de AirWatch, puede integrarla con VMware Identity Manager. Implementeel dispositivo virtual de VMware Identity Manager en DMZ. En este modelo, la sincronización de usuarios ygrupos en el directorio empresarial, así como la autenticación de usuarios, se realizan mediante AirWatch.

Tenga en cuenta que este modelo no admite la integración de VMware Identity Manager con recursos comolos publicados por Horizon 7 o Citrix. Solo se admite la integración con aplicaciones web y aplicacionesmóviles nativas.

Figura 1‑1. Implementación con AirWatch Cloud Connector

Servidor de VMwareIdentity Manager

Servidor deAirWatch

CanalWebsocket

solicitud

autenticaciónde usuario

sincronizaciónusuario/

grupo

respuesta

HTTPS 443(solo salida)

Serviciosde Active

Directory/otrosdirectorios

AirWatch Cloud Connector

En las instalacionesDMZ Red empresarial

RequisitosDebe tener los siguientes componentes:

n Una implementación de servidor de AirWatch

n Una instancia de AirWatch Cloud Connector implementada en las instalaciones e integrada en eldirectorio empresarial

Requisitos de puertosSe requieren los siguientes puertos para el servidor de VMware Identity Manager:

n 443 de entrada (HTTPS)

n 88 de entrada (TCP/UDP); solo iOS


8 VMware, Inc.

n 5262 de entrada (TCP/UDP); solo Android

Para obtener más información sobre los requisitos de implementación de AirWatch, consulte ladocumentación de AirWatch.

Métodos de autenticación compatiblesEste modelo de implementación admite los siguientes métodos de autenticación. Estos métodos estándisponibles a través del proveedor de identidades integrado de VMware Identity Manager.

n Contraseña (AirWatch Connector)

n SSO móvil (para iOS)

n SSO móvil (para Android)

n Cumplimiento normativo del dispositivo (con AirWatch)

n Certificado (implementación en la nube)

n VMware Verify

Integraciones de directorios admitidasDebe integrar el directorio empresarial con AirWatch. Consulte la documentación de AirWatch para obtenerinformación sobre los directorios compatibles.

Recursos compatiblesPuede integrar los siguientes tipos de recursos con VMware Identity Manager en este modelo deimplementación:

n aplicaciones web

n Aplicaciones móviles nativas

No puede integrar los siguientes recursos con VMware Identity Manager en este modelo deimplementación:

n Grupos de aplicaciones y escritorios de View, Horizon 6 u Horizon 7

n Recursos publicados de Citrix

n Las aplicaciones que aparecen en el paquete de ThinApp

n Horizon Air: aplicaciones y escritorios alojados en la nube

Información adicionaln Capítulo 2, “Implementar VMware Identity Manager en DMZ,” página 15

n Integrar AirWatch con VMware Identity Manager en Guía de administración de VMware Identity Manager

n Documentación de AirWatch

Capítulo 1 Modelos de implementación

VMware, Inc. 9

http://pubs.vmware.com/identity-manager-29_1/topic/com.vmware.wsp-administrator_29/GUID-F072888F-FC6F-4A6B-9574-2CAAE7E96A85.html

Modelo de implementación local mediante el conector de VMwareIdentity Manager en modo de conexión de solo salida

En este modelo, debe instalar el dispositivo virtual de VMware Identity Manager en DMZ. También debeinstalar un dispositivo virtual de conector VMware Identity Manager independiente en modo de conexiónde solo salida en la red empresarial. Este modelo no incluye componentes de AirWatch.

La sincronización de usuarios y grupos en el directorio empresarial, así como la autenticación de usuarios,se realizan mediante el conector independiente de VMware Identity Manager. El conector también puedesincronizar recursos, como las aplicaciones o escritorios de Horizon 7, con el servicio deVMware Identity Manager.

NOTA: Algunos métodos de autenticación no necesitan el conector y el servicio los administradirectamente.

IMPORTANTE: Utilice el conector independiente en lugar del conector integrado con el dispositivo deVMware Identity Manager para sincronizar los usuarios y los grupos, y para la autenticación de usuarios.

Figura 1‑2. Utilizar el conector de VMware Identity Manager en modo de salida

IntegrationBroker

Granjas de Citrix

Servidores de conexión

de View

RSASecurID

Autenticación adaptativade RSA

ServidorRADIUS

ThinApp

solicitudrespuestaServidor de VMware

Identity Manager

CanalWebsocket

HTTPS 443(solo salida)

Active Directory/

LDAPConector de

VMware Identity Manager

En las instalaciones

Serviciosopcionales

1

12

3

DMZ Red empresarial

Requisitos de puertosSe requieren los siguientes puertos para el servidor de VMware Identity Manager:

n 443 de entrada (HTTPS)

n 88 de entrada (TCP/UDP); solo iOS

n 5262 de entrada (TCP/UDP); solo Android


10 VMware, Inc.

El conector de VMware Identity Manager se instala en modo de conexión de solo salida y no necesita que elpuerto de entrada 443 esté abierto. El conector se comunica con el servicio de VMware Identity Manager através de un canal de comunicación basado en Websocket.

Para obtener la lista completa de puertos usados, consulte Capítulo 2, “Implementar VMware IdentityManager en DMZ,” página 15 y Capítulo 3, “Implementar el conector de VMware Identity Manager en lared empresarial,” página 17.

Métodos de autenticación compatiblesEste modelo de implementación admite todos los métodos de autenticación. Algunos de estos métodos deautenticación no necesitan el conector y el servicio los administra directamente a través del proveedor deidentidades integrado.

n Contraseña: usa el conector

n Autenticación adaptativa de RSA: usa el conector

n RSA SecurID: usa el conector

n RADIUS: usa el conector

n Certificado (implementación en la nube): a través del proveedor de identidades integrado

n VMware Verify: a través del proveedor de identidades integrado

n SSO móvil (iOS): a través del proveedor de identidades integrado

n SSO móvil (Android): a través del proveedor de identidades integrado

n SAML entrante: a través de un proveedor de identidades de terceros

NOTA: Para obtener información sobre cómo usar Kerberos, consulte “Agregar compatibilidad con laautenticación de Kerberos a la implementación,” página 12.

NOTA: Este modelo de implementación no admite la autenticación del certificado a través del conector. Elmétodo de autenticación Certificado (implementación en la nube) está disponible.

Integraciones de directorios admitidasPuede integrar los siguientes tipos de directorios empresariales con el servicio de VMware Identity Manageren este modelo de implementación:

n Active Directory mediante LDAP

n Active Directory, Autenticación de Windows integrada

n Directorio LDAP

Si planea integrar un directorio LDAP, consulte las limitaciones en “Integración con directorios LDAP”en Instalar y configurar VMware Identity Manager.

De forma alternativa, puede utilizar los siguientes métodos para crear usuarios en el servicio deVMware Identity Manager:

n Cree usuarios locales directamente en el servicio de VMware Identity Manager.

n Use el aprovisionamiento Just-In-Time para crear usuarios en el servicio de VMware Identity Managerde forma dinámica al iniciar sesión, usando aserciones SAML enviadas por un proveedor deidentidades externo.


VMware, Inc. 11

Recursos compatiblesPuede integrar los siguientes tipos de recursos con el servicio de VMware Identity Manager en este modelode implementación:

n aplicaciones web

n Grupos de aplicaciones y escritorios de View, Horizon 6 u Horizon 7

n Recursos publicados de Citrix

n Las aplicaciones que aparecen en el paquete de ThinApp

n Horizon Air: Escritorios y aplicaciones alojadas en la nube (Tech Preview)

Información adicionaln Capítulo 2, “Implementar VMware Identity Manager en DMZ,” página 15 y Capítulo 3, “Implementar

el conector de VMware Identity Manager en la red empresarial,” página 17

n Directorios

n “Integración con el directorio empresarial” en Instalar y configurar VMware Identity Manager

n “Usar directorios locales” en Instalar y configurar VMware Identity Manager

n “Aprovisionamiento de usuarios Just-in-Time” en Administración de VMware Identity Manager

n “Configurar la autenticación de usuario en VMware Identity Manager” en Administración de VMwareIdentity Manager

n Configurar recursos en VMware Identity Manager

Agregar compatibilidad con la autenticación de Kerberos a la implementaciónPuede agregar a la implementación para los usuarios internos la autenticación de Kerberos, donde serequiere el modo de conexión entrante, en función de los conectores de modo de conexión de solo salida deVMware Identity Manager. Puede configurar los mismos conectores para que los usuarios de la red internausen la autenticación Kerberos y los usuarios externos usen otro método de autenticación. Para hacerlo,defina directivas de autenticación en función de rangos de redes.

Figura 1‑3. Agregar la autenticación de Kerberos

Servidor de VMware Identity

ManagerEquilibrador

de carga

Conector 1 de VMware Identity

Manager

Conector 2 de VMware Identity

Manager

En las instalaciones

DMZ Red empresarial

443443

443

443

443


12 VMware, Inc.

Tenga en cuenta que el proceso para configurar la alta disponibilidad de la autenticación Kerberos esdiferente.

Para obtener más información, consulte “Agregar la compatibilidad con la autenticación Kerberos a laimplementación de VMware Identity Manager Connector,” página 29.


VMware, Inc. 13


14 VMware, Inc.

Implementar VMware IdentityManager en DMZ 2

Puede implementar el dispositivo virtual de VMware Identity Manager en DMZ si no desea implementarloen la red empresarial. Cuando se implementa el dispositivo de VMware Identity Manager en DMZ, tambiénse implementa un conector de VMware Identity Manager independiente en modo de conexión de solo salidaen la red empresarial.

Requisitos de configuración de la red y el sistemaLos requisitos de configuración de la red y el sistema para implementar VMware Identity Manager en DMZson similares a los requisitos para implementar VMware Identity Manager en la red empresarial, los cualesse describen en Requisitos de configuración de la red y el sistema y Preparación para la implementación deVMware Identity Manager en Instalar y configurar VMware Identity Manager, excepto por las diferencias quese indican aquí.

n No es necesario abrir un puerto de firewall de entrada a cualquier dispositivo en la red empresarial.

El dispositivo virtual de VMware Identity Manager se implementa en DMZ. El conector de VMwareIdentity Manager se implementa en la red empresarial en modo de conexión de solo salida y secomunica con el servicio a través de un canal de comunicación basado en Websocket.

n No es necesario implementar un proxy inverso ni un equilibrador de carga para permitir el accesoexterno a VMware Identity Manager.

n Solo se necesita un equilibrador de carga si se configuran la alta disponibilidad y la redundancia para eldispositivo virtual de VMware Identity Manager.

n Se utilizan los siguientes puertos. Es posible que la implementación requiera solo un subconjunto deestos.

Puerto Origen destino Descripción

443 Equilibrador de carga Dispositivo virtual deVMware IdentityManager

HTTPS

443 Dispositivo virtual deVMware IdentityManager

Dispositivo virtual deVMware IdentityManager

HTTPS

443 Navegadores Dispositivo virtual deVMware IdentityManager

HTTPS


TCP/UDPSolo iOS

VMware, Inc. 15

http://pubs.vmware.com/identity-manager-29_1/topic/com.vmware.wsp-install_29/GUID-E81B6B1B-A3D1-40D0-806A-3D31502C53A5.html

http://pubs.vmware.com/identity-manager-29_1/topic/com.vmware.wsp-install_29/GUID-B9EA8802-18A6-4044-96DF-DFD991F482AE.html

http://pubs.vmware.com/identity-manager-29_1/topic/com.vmware.wsp-install_29/GUID-B9EA8802-18A6-4044-96DF-DFD991F482AE.html



TCP/UDPSolo Android


vapp-updates.vmware.com

Acceso al servidor deactualización de VMware


Puerto de administradorHTTPS


servidor SMTP Puerto TCP pararedireccionamiento decorreo saliente


Servidor DNS TCP/UDPTodos los dispositivosvirtuales deben teneracceso al servidor DNS enel puerto 53 y permitir eltráfico SSH entrante en elpuerto 22.

TCP: 9300-9400UDP: 54328



Necesidades de auditoría


Base de datos El puerto predeterminadode PostgreSQL es el 5432.El puerto predeterminadode Oracle es el 1521.


REST API de AirWatch HTTPSPara la comprobación deconformidad y el métodode autenticaciónContraseña de ACC, si seutilizan.

Implementar el dispositivo de VMware Identity ManagerPara obtener información sobre la forma de implementar y configurar el dispositivo virtual de VMwareIdentity Manager, consulte Implementar VMware Identity Manager y Administrar las opciones deconfiguración del sistema de un dispositivo en Instalar y configurar VMware Identity Manager.

Configurar la conmutación por error y la redundanciaPara obtener información sobre la configuración de la conmutación por error y la redundancia en eldispositivo virtual de VMware Identity Manager, consulte las siguientes secciones de Instalar y configurarVMware Identity Manager:

n Configurar la conmutación por error y la redundancia en un centro de datos único

n Implementar VMware Identity Manager en un centro de datos secundario para la conmutación porerror y la redundancia

NOTA: La sección “Utilizar un equilibrador de carga o proxy inverso para habilitar el acceso externo aVMware Identity Manager” no se aplica en escenarios donde VMware Identity Manager se implementa enDMZ.


16 VMware, Inc.

http://pubs.vmware.com/identity-manager-29_1/topic/com.vmware.wsp-install_29/GUID-9055C5B4-9D5C-419C-B318-8B18D31D2CC8.html

http://pubs.vmware.com/identity-manager-29_1/topic/com.vmware.wsp-install_29/GUID-D5C132C1-409C-40C0-B389-31EBF5E04F1C.html

http://pubs.vmware.com/identity-manager-29_1/topic/com.vmware.wsp-install_29/GUID-D5C132C1-409C-40C0-B389-31EBF5E04F1C.html

http://pubs.vmware.com/identity-manager-29_1/topic/com.vmware.wsp-install_29/GUID-A29C51E5-6FF5-4F7F-8FC2-1A0F687F6DC5.html

http://pubs.vmware.com/identity-manager-29_1/topic/com.vmware.wsp-install_29/GUID-4725FC8A-A501-4AF2-9977-192BB41E3F55.html

http://pubs.vmware.com/identity-manager-29_1/topic/com.vmware.wsp-install_29/GUID-4725FC8A-A501-4AF2-9977-192BB41E3F55.html

Implementar el conector deVMware Identity Manager en la redempresarial 3

Cuando se implementa el dispositivo virtual de VMware Identity Manager en DMZ, también se debeimplementar un dispositivo conector de VMware Identity Manager independiente en la red empresarial enmodo de conexión de solo salida.

El conector conecta el servicio de VMware Identity Manager a otros componentes dentro de la redempresarial como Active Directory y Horizon 7.

El conector se comunica con el servicio en modo de conexión de solo salida a través de un canal decomunicación.

NOTA: Si tiene una implementación de AirWatch y utiliza AirWatch Cloud Connector, no se requiere elconector de VMware Identity Manager a menos que necesite los casos de uso compatibles con el conector deVMware Identity Manager. Consulte “Modelo de implementación local mediante AirWatch CloudConnector,” página 8.

Requisitos de configuración de la red y el sistemaConsulte “Requisitos de configuración de la red y el sistema,” página 18.

Implementar y configurar el conector de VMware Identity ManagerPara obtener información sobre la implementación y la configuración de un conector deVMware Identity Manager en modo de conexión de solo salida, consulte los siguientes temas.n “Implementar el conector de VMware Identity Manager,” página 18

n “Configurar alta disponibilidad para el conector de VMware Identity Manager,” página 26

n “Agregar la compatibilidad con la autenticación Kerberos a la implementación de VMware IdentityManager Connector,” página 29

Conmutación por error y redundanciaPara obtener información sobre la forma de configurar el conector para la conmutación por error y laredundancia, consulte los siguientes temas.



VMware, Inc. 17

Este capítulo cubre los siguientes temas:

n “Implementar el conector de VMware Identity Manager,” página 18



Implementar el conector de VMware Identity ManagerPara implementar VMware Identity ManagerConnector, debe instalar el dispositivo virtual del conector envCenter Server, encenderlo y activarlo con un código de activación que se genera en la consola deadministración de VMware Identity Manager. También puede configurar los dispositivos así como lascontraseñas de configuración.

Después de instalar y configurar el conector, diríjase a la consola de administración deVMware Identity Manager para configurar la conexión al directorio empresarial, habilite los adaptadores deautenticación en el conector y habilite el modo de salida en el conector.

Requisitos de configuración de la red y el sistemaAl tomar decisiones respecto a requisitos de hardware, recursos y red, considere la implementacióncompleta, incluidos los recursos que piensa integrar.

Versiones compatibles de vSphere y ESXInstale el dispositivo virtual en vCenter Server. Son compatibles las siguientes versiones de servidor ESX yvSphere:

n 5.0 U2 y posteriores

n 5.1 y posteriores

n 5.5 y posteriores

n 6.0 y posteriores

Son necesarios VMware vSphere® Client™ o VMware vSphere® Web Client para implementar el archivoOVA y acceder al dispositivo virtual de forma remota. VSphere Client está disponible en la página dedescarga del producto de vSphere en my.vmware.com.

Requisitos del dispositivo virtual de VMware Identity Manager ConnectorAsegúrese de que cumple los requisitos de cantidad de servidores y recursos asignados a cada servidor.

Número deusuarios Hasta 1.000 1.000-10.000 10.000-25.000 25.000-50.000 50.000-100.1000

Número deservidores deconector

1 servidor 2 servidores conequilibrio decarga

2 servidores conequilibrio decarga

2 servidores conequilibrio decarga

2 servidores conequilibrio de carga

CPU (porservidor)

2 CPU 4 CPU 4 CPU 4 CPU 4 CPU

RAM (porservidor)

6 GB 6 GB 8 GB 16 GB 16 GB

Espacio de disco(por servidor)

60 GB 60 GB 60 GB 60 GB 60 GB


18 VMware, Inc.

Requisitos de configuración de red

Componente Requisito mínimo

Dirección IP estática y registro deDNS

Los requisitos para el conector son los mismos que los requisitos para eldispositivo virtual de VMware Identity Manager. Consulte Crear registros de DNSy direcciones IP en Instalar y configurar VMware Identity Manager.

Puerto del firewall Asegúrese de que el puerto 443 del firewall de salida está abierto desde lainstancia del conector hasta la URL de VMware Identity Manager.

Requisitos de puertosLos puertos utilizados en la configuración del servidor conector se describen a continuación. Laimplementación solo puede incluir un subconjunto de ellos.


443 Dispositivos virtuales delconector

Servicio de VMwareIdentity Manager

HTTPS


vapp-updates.vmware.com Acceso al servidor deactualización

8443 Navegadores Dispositivos virtuales delconector

Puerto de administradorHTTPS

389, 636, 3268, 3269 Dispositivos virtuales delconector

Active Directory Se muestran los valorespredeterminados. Estospuertos se puedenconfigurar.

445 Connector-va Repositorio de ThinApp deVMware

Acceso al repositorio deThinApp


Sistema RSA SecurID Se muestra el valorpredeterminado. Este puertose puede configurar


Servidor DNS TCP/UDPTodos los dispositivosvirtuales deben tener accesoal servidor DNS en el puerto53 y permitir el tráfico SSHentrante en el puerto 22

88, 464, 135 Dispositivos virtuales delconector

Controlador de dominio TCP/UDP

389, 443 Dispositivos virtuales delconector

Servidor de conexión deView

Acceso a las instancias delservidor de conexión deView para las integracionesde Horizon/View

Requisitos de los directoriosPuede integrar VMware Identity Manager con el directorio de su empresa y sincronizar usuarios y gruposde este directorio con el servicio. Puede integrar los siguientes tipos de directorios.

n Un entorno de Active Directory formado por un único dominio de Active Directory, varios dominios enun único bosque de Active Directory o varios dominios en varios bosques de Active Directory.

VMware Identity Manager es compatible con Active Directory en Windows 2008, 2008 R2, 2012 y 2012R2, con las opciones de Nivel funcional del dominio y Nivel funcional de bosque de Windows 2003 yversiones posteriores.

Capítulo 3 Implementar el conector de VMware Identity Manager en la red empresarial

VMware, Inc. 19

http://pubs.vmware.com/identity-manager-29_1/topic/com.vmware.wsp-install_29/GUID-D4AFABF4-5115-4AB1-BEFC-EA5767A34A5C.html

http://pubs.vmware.com/identity-manager-29_1/topic/com.vmware.wsp-install_29/GUID-D4AFABF4-5115-4AB1-BEFC-EA5767A34A5C.html

n Un directorio LDAP

El directorio debe ser accesible desde el dispositivo virtual de conector.

NOTA: También puede crear directorios locales en el servicio de VMware Identity Manager.

Listas de comprobación de implementaciónLos requisitos para el conector son similares a los requisitos para el dispositivo virtual de VMware IdentityManager. Consulte Listas de comprobación de implementación en Instalar y configurar VMware IdentityManager.

Generación de un código de activación para el conectorAntes de instalar VMware Identity Manager Connector, inicie sesión en la consola de administración deVMware Identity Manager y genere un código de activación para el conector. Este código de activación seusa para establecer la comunicación entre el servicio y el conector.

Procedimiento

1 Inicie sesión en la consola de administración.

2 Haga clic en la pestaña Administración de acceso e identidad.

3 Haga clic en Configurar.

4 En la página Conectores, haga clic en Agregar conector.

5 Introduzca un nombre para conector.

6 Haga clic en Generar código de activación.

El código de activación se muestra en la página.

7 Copie el código de activación y guárdelo.

Necesitará el código de activación cuando implemente el conector.

Ahora puede instalar el dispositivo virtual del conector.

Instalar y configurar el dispositivo virtual del conectorPara implementar el conector, instale el dispositivo virtual del conector en vCenter Server utilizandovSphere Client o vSphere Web Client, enciéndalo y actívelo utilizando el código de activación que generó enla consola de administración de VMware Identity Manager.

Prerequisitos

n Descargue el archivo OVA del conector de la página del producto VMware Identity Manager enmy.vmware.com.


20 VMware, Inc.

http://pubs.vmware.com/identity-manager-29_1/topic/com.vmware.wsp-install_29/GUID-3BE4CD76-9AD4-4B7C-BFD9-33B05D0AA244.html

n Asegúrese de que cuenta con vSphere Client o vSphere Web Client.

n Si utiliza vSphere Web Client, utilice los navegadores Firefox o Chrome. No utilice Internet Explorerpara implementar el archivo OVA.

n Identifique los registros de DNS y el nombre de host que utilizará para el dispositivo.

Procedimiento

1 En vSphere Client o vSphere Web Client, seleccione Archivo > Implementar plantilla de OVF.

2 Siga las instrucciones del asistente para implementar la plantilla.

Página Descripción

Origen Desplácese hasta la ubicación del paquete de OVA o introduzca una URLespecífica.

Detalles de la plantilla de OVA Compruebe que seleccionó la versión correcta.

Licencia Lea el Contrato de licencia para el usuario final y haga clic en Aceptar.

Nombre y ubicación Introduzca un nombre para el dispositivo virtual. El nombre debe serúnico en la carpeta de inventario y puede tener hasta 80 caracteres. Losnombres distinguen entre mayúsculas y minúsculas.Seleccione una ubicación para el dispositivo virtual.

Host / Clúster Seleccione el host o el clúster en el que desea ejecutar la plantillaimplementada.

Grupo de recursos Seleccione el grupo de recursos.

Almacenamiento Seleccione la ubicación en la que desea almacenar los archivos de lamáquina virtual.

Formato de disco Seleccione el formato de disco de los archivos. Para entornos deproducción, seleccione un formato Thick Provision. Para evaluación yrealización de pruebas, seleccione un formato Thin Provision.

Asignación de redes Asigne las redes de su entorno a las redes de la plantilla de OVF.

Propiedades a En el campo Configuración de zona horaria, seleccione la zona horariacorrecta.

b La casilla de verificación Programa de mejora de la experiencia delcliente está seleccionada de forma predeterminada. VMware recopiladatos anónimos sobre su implementación con el fin de mejorar larespuesta a los requisitos del usuario. Anule la selección de la casilla sino desea que se recopilen datos.

c En el cuadro de texto Nombre de host, introduzca el host que deseautilizar. Si se deja en blanco, se utilizará la DNS inversa para buscar elnombre de host.

d Si desea configurar la dirección IP estática para conector, introduzca ladirección de cada una de las opciones siguientes: Puerta de enlacepredeterminada, DNS, dirección IP y Máscara de red.IMPORTANTE: Si alguno de los cuatro campos de dirección,incluido Nombre de host, se deja en blanco, se utiliza DHCP.

Para configurar DHCP, deje en blanco los campos de dirección.

Listo para finalizar Revise las selecciones y haga clic en Finalizar. En función de la velocidad de la red, la implementación puede tardar varios minutos. Puede ver elprogreso en el cuadro de diálogo de progreso.

3 Cuando la implementación finalice, seleccione el conector dispositivo, haga clic con el botón derecho yseleccione Power > Power on.

El conector dispositivo se inicializará. Para ver los detalles, vaya a la pestaña consola. Cuando eldispositivo se inicialice, la pantalla de la consola mostrará la versión de conector y las URL de inicio desesión en el asistente de configuración del conector.


VMware, Inc. 21

4 Para ejecutar el asistente de configuración, dirija su navegador a la URL de conector que se muestra enla pestaña Consola.

5 En la página principal, haga clic en Continuar.

6 Cree contraseñas seguras para las siguientes cuentas de administrador del dispositivo virtual deconector.

Las contraseñas seguras deben tener al menos ocho caracteres e incluir mayúsculas, minúsculas y almenos un dígito o un carácter especial.

Opción Descripción

Administrador del dispositivo Cree la contraseña del administrador del dispositivo. El nombre de usuarioes admin y no se puede cambiar. Debe utilizar esta cuenta y estacontraseña para iniciar sesión en los servicios del conector y administrarcertificados, contraseñas del dispositivo y la configuración de syslog.IMPORTANTE: La contraseña del usuario admin debe tener 6 caracterescomo mínimo.

Cuenta raíz Se utilizó una contraseña raíz predeterminada de VMware para instalar eldispositivo del conector. Cree una contraseña raíz nueva.

Cuenta sshuser Cree la contraseña que va a utilizar para acceder de forma remota aldispositivo del conector.

7 Haga clic en Continuar.

8 En la página Activar Conector, pegue el código de activación y haga clic en Continuar.

El código de activación se verificará y se establecerá la comunicación entre el servicio deVMware Identity Manager y la instancia del conector.

La configuración del conector se completó.

Qué hacer a continuación

Haga clic en el vínculo de la página La configuración se completó para acceder a la consola deadministración. A continuación, configure la conexión del directorio.

Configurar un directorioDespués de implementar el dispositivo virtual del conector, configure un directorio en la consola deadministración de VMware Identity Manager. Puede sincronizar usuarios y grupos del directorio de suempresa con el servicio de VMware Identity Manager.

VMware Identity Manager admite la integración de los siguientes tipos de directorios.

n Active Directory mediante LDAP

n Active Directory, Autenticación de Windows integrada

n directorio LDAP

Para obtener más información, consulte Integración con el directorio empresarial.

NOTA: También puede crear directorios locales en el servicio de VMware Identity Manager. Consulte Usardirectorios locales.

Procedimiento

1 Haga clic en el vínculo de la página La configuración se completó, que aparece después de activar elconector.

Se muestra la pestaña Administración de acceso e identidad > Directorios.


22 VMware, Inc.

http://pubs.vmware.com/identity-manager-29_1/topic/com.vmware.wsp-install_29/GUID-6189C143-37F7-4DD3-8168-E2940F6ACE85.html

http://pubs.vmware.com/identity-manager-29_1/topic/com.vmware.wsp-install_29/GUID-FF1F0D8B-F68E-41CE-B2F7-733F32B82665.html

http://pubs.vmware.com/identity-manager-29_1/topic/com.vmware.wsp-install_29/GUID-FF1F0D8B-F68E-41CE-B2F7-733F32B82665.html

2 Haga clic en Agregar directorio y seleccione el tipo de directorio que desea agregar.

3 Siga las instrucciones del asistente para introducir la información de la configuración del directorio,seleccione los grupos y los usuarios que desea sincronizar y sincronice los usuarios al servicio deVMware Identity Manager.

Consulte Integración con el directorio empresarial para obtener información sobre cómo configurar undirectorio.


Haga clic en la pestaña Usuarios y grupos y verifique que los usuarios se han sincronizado.

Habilitar los adaptadores de autenticación en el conectorExisten varios adaptadores de autenticación disponibles para el conector en modo de salida, incluidosPasswordIdpAdapter, RSAAIdpAdapter, SecurIDAdapter y RadiusAuthAdapter. Configure y habilite losadaptadores que pretenda utilizar.

Procedimiento

1 En la consola de administración de VMware Identity Manager, haga clic en la pestaña Administraciónde acceso e identidad.

2 Haga clic en Configuración y, a continuación, en la pestaña Conectores.

Aparece el conector que implementó.

3 Haga clic en el vínculo de la columna Trabajo.

4 Haga clic en la pestaña Adaptadores de autenticación.

Aparecen todos los adaptadores de autenticación disponibles.

Si ya configuró un directorio, PasswordIdpAdapter ya está configurado y habilitado, con la informaciónde la configuración que especificó al crear el directorio.

5 Configure y habilite los adaptadores de autenticación que desee utilizar haciendo clic en el vínculo decada uno de ellos e introduciendo la información de la configuración. Debe habilitar al menos unadaptador de autenticación.

Para obtener más información sobre cómo configurar adaptadores de autenticación específicos, consultela Guía de administración de VMware Identity Manager.

Por ejemplo:


VMware, Inc. 23

http://pubs.vmware.com/identity-manager-29_1/topic/com.vmware.wsp-install_29/GUID-6189C143-37F7-4DD3-8168-E2940F6ACE85.html

Habilitar el modo de salida del conectorPara habilitar el modo de conexión de solo salida para el conector, vincúlelo con el proveedor de identidadesintegrado.

El proveedor de identidades integrado está disponible de forma predeterminada en el servicio de VMwareIdentity Manager y proporciona métodos de autenticación integrados adicionales, como VMware Verify.Para obtener más información sobre el proveedor de identidades integrado, consulte la Guía deadministración de VMware Identity Manager.

NOTA: El conector puede utilizarse simultáneamente en el modo normal y el de salida. Incluso si sehabilita el modo de salida, aún podrá configurar la autenticación de Kerberos para los usuarios internosmediante directivas y métodos de autenticación.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, haga clic enAdministrar.

2 Haga clic en la pestaña Proveedor de identidades.

3 Haga clic en el vínculo Integrado.

4 Escriba la siguiente información.


Usuarios Seleccione el directorio o los dominios que usarán el proveedor deidentidades integrado.

Red Seleccione los rangos de red que usarán el proveedor de identidadesintegrado.


24 VMware, Inc.


Conector(es) Seleccione el conector que configuró.NOTA: Posteriormente, cuando agregue conectores adicionales para unaalta disponibilidad, seleccione y agregue todos para asociarlos con elproveedor de identidades integrado. VMware Identity Manager distribuyeel tráfico de forma automática entre todos los conectores asociados alproveedor de identidades integrado. No es necesario un equilibrador decarga.

Métodos de autenticación delconector

Aparecen los métodos de implementación que habilitó para el conector.Seleccione los métodos de autenticación que desea utilizar.El PasswordIdpAdapter, que se configuró y se habilitó automáticamentecuando creó un directorio, aparece en esta página como Contraseña(implementación en la nube), que afirma que se utiliza con el conector enmodo de salida.

Por ejemplo:

5 Haga clic en Guardar para guardar la configuración del proveedor de identidades integrado.

6 Edite las directivas para usar los métodos de autenticación que habilitó.

a En la pestaña Administración de acceso e identidad, haga clic en Administrar.

b Haga clic en la pestaña Directivas y, a continuación, en la directiva que desee editar.

c En Reglas de la directiva, en la regla que desee editar, haga clic en el vínculo de la columnaMétodo de autenticación.

d En la página Editar regla de directivas, seleccione el método de autenticación que desea usar paraesta regla.

e Haga clic en Aceptar.

f Haga clic en Guardar.

Para obtener más información sobre la configuración de directivas, consulte la Guía de administración deVMware Identity Manager.

El modo de salida del conector está habilitado. Cuando un usuario inicia sesión con uno de los métodos deautenticación que habilitó para el conector en la página Proveedor de identidades integrado, no es necesarioun redireccionamiento HTTP al conector.


VMware, Inc. 25

Configurar alta disponibilidad para el conector deVMware Identity Manager

Puede configurar el conector de VMware Identity Manager para una alta disponibilidad y la conmutaciónpor error. Para ello, agregue varios conectores a un clúster. Aunque uno de los dispositivos virtuales deje deestar disponible por algún motivo, el resto de conectores seguirán disponibles.

Para crear el clúster, instale nuevos dispositivos virtuales de conectores y configúrelos exactamente igualque el primer conector.

A continuación debe asociar todas las instancias del conector con el proveedor de identidades integrado. Elservicio de VMware Identity Manager distribuye el tráfico de forma automática entre todos los conectoresasociados al proveedor de identidades integrado. No es necesario un equilibrador de carga. Si uno de losconectores no se encuentra disponible por un problema de red, el servicio no le enviará el tráfico. Cuando serestaura la conectividad, el servicio reanuda el envío del tráfico al conector.

Después de configurar el clúster del conector, los métodos de autenticación que habilitó en el conector sonde alta disponibilidad. La autenticación sigue disponible aunque una de las instancias del conector no loesté. Sin embargo, en la sincronización de directorios, tendrá que seleccionar manualmente otra instancia delconector como el conector de sincronización si se produce un error en la instancia del conector. Lasincronización de directorio solo se puede habilitar en un conector cada vez.

NOTA: Esta sección no se aplica a la alta disponibilidad de la autenticación Kerberos. Consulte “Agregar lacompatibilidad con la autenticación Kerberos a la implementación de VMware Identity ManagerConnector,” página 29.

Instalar instancias adicionales de conectoresDespués de instalar y configurar la primera instancia del conector, puede agregar conectores adicionalespara alta disponibilidad. Instale dispositivos virtuales de conectores nuevos y configúrelos exactamente dela misma manera que la primera instancia de conector.

Prerequisitos

Debe tener instalada y configurada la primera instancia del conector, como se describe en “Implementar elconector de VMware Identity Manager,” página 18.

Procedimiento

1 Instale y configure una nueva instancia del conector siguiendo estas instrucciones.

n “Generación de un código de activación para el conector,” página 20

n “Instalar y configurar el dispositivo virtual del conector,” página 20

2 Asocie el nuevo conector con el WorkspaceIDP de la primera instancia del conector.

a En la consola de administración, seleccione la pestaña Administración de acceso e identidad y, acontinuación, seleccione la pestaña Proveedores de identidades.

b En la página Proveedores de identidades, busque el WorkspaceIDP de la primera instancia delconector y haga clic en el vínculo.

c En el campo Conector(es), seleccione el nuevo conector.

d Introduzca la contraseña DN de enlace y haga clic en Agregar conector.

e Haga clic en Guardar.


26 VMware, Inc.

3 Si se unió a un dominio de Active Directory en la primera instancia del conector, también deberá unirseal dominio en la nueva instancia del conector.

a En la pestaña Administración de acceso e identidad, haga clic en Configuración.

La nueva instancia del conector aparecerá en la página Conectores.

b Haga clic en Unirse al dominio junto al nuevo conector y especifique la información del dominio.

NOTA: En directorios con tipo de autenticación integrada de Windows (IWA), debe realizar lassiguientes acciones:

a Debe unir la nueva instancia del conector al dominio al que estaba unido el directorio de IWA en lainstancia del conector original.

1 Seleccione la pestaña Administración de acceso e identidad y, a continuación, haga clic enConfiguración.

La nueva instancia del conector aparecerá en la página Conectores.

2 Haga clic en Unirse al dominio y especifique la información del dominio.

b Guarde la configuración del directorio de IWA.

1 Seleccione la pestaña Administración de acceso e identidad.

2 En la página Directorios, haga clic en el vínculo del directorio de IWA.

3 Haga clic en Guardar para guardar la configuración del directorio.

4 Configure y habilite los adaptadores de autenticación en el nuevo conector.

IMPORTANTE: Los adaptadores de autenticación de todos los conectores del clúster deben tener lamisma configuración. Se deben habilitar los mismos métodos de autenticación en todos los conectores.

a En la pestaña Administración de acceso e identidad, haga clic en Configurar y, a continuación,haga clic en la pestaña Directorios.

b Haga clic en el vínculo de la columna Trabajo del nuevo conector.

c Haga clic en la pestaña Adaptadores de autenticación.

Aparecen todos los adaptadores de autenticación disponibles.

PasswordIdpAdapter ya está configurado y habilitado porque asoció el nuevo conector con eldirectorio asociado con el primer conector.

d Configure y habilite los otros adaptadores de autenticación del mismo modo que el primerconector. Asegúrese de que la información de configuración sea idéntica.

Para obtener más información sobre la configuración de los adaptadores de autenticación, consultela Guía de administración de VMware Identity Manager.


“Agregar un nuevo conector al proveedor de identidades integrado,” página 28


VMware, Inc. 27

Agregar un nuevo conector al proveedor de identidades integradoDespués de implementar y configurar la nueva instancia del conector, agréguela al proveedor deidentidades integrado y habilite los mismos métodos de autenticación que están habilitados en el primerconector. VMware Identity Manager distribuye el tráfico de forma automática entre todos los conectoresasociados al proveedor de identidades integrado.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, haga clic enAdministrar.


3 Haga clic en el vínculo Integrado.

4 En el campo Conector(es), seleccione el nuevo conector de la lista desplegable y haga clic en Agregarconector.

5 En la sección Métodos de autenticación del conector, habilite los mismos métodos de autenticación queseleccionó para el primer conector.

El método de autenticación Contraseña (implementación en la nube) se configura y se habilitaautomáticamente. Debe habilitar los otros métodos de autenticación.

IMPORTANTE: Los adaptadores de autenticación de todos los conectores del clúster deben tener lamisma configuración. Se deben habilitar los mismos métodos de autenticación en todos los conectores.

Para obtener más información sobre cómo configurar adaptadores de autenticación específicos, consultela Guía de administración de VMware Identity Manager.

6 Haga clic en Guardar para guardar la configuración del proveedor de identidades integrado.

Habilitar la sincronización de directorio en otro conector en caso de errorEn caso de error en la instancia del conector, otra instancia gestiona la autenticación la gestionaautomáticamente. No obstante, para la sincronización del directorio debe modificar la configuración deldirectorio en el servicio de VMware Identity Manager para utilizar otra instancia del conector en lugar de laoriginal. La sincronización de directorio solo se puede habilitar en un conector cada vez.

Procedimiento

1 Inicie sesión en la consola de administración de VMware Identity Manager.

2 Haga clic en la pestaña Administración de acceso e identidad y, a continuación, en Directorios.

3 Haga clic en el directorio asociado al a instancia del conector original.

Tip Puede consultar esta información en la página Configuración > Conectores.

4 En la sección Sincronización y autenticación de directorios de la página del directorio, en la listadesplegable Conector de sincronización, seleccione otra instancia del conector.

5 En el cuadro de texto Contraseña del DN de enlace, introduzca la contraseña de la cuenta de enlace deActive Directory.

6 Haga clic en Guardar.


28 VMware, Inc.

Agregar la compatibilidad con la autenticación Kerberos a laimplementación de VMware Identity Manager Connector

Puede agregar a la implementación para los usuarios internos la autenticación Kerberos, que requiere elmodo de conexión entrante, basada en los conectores de modo de conexión de solo salida. Puede configurarlos mismos conectores para que los usuarios de la red interna usen la autenticación Kerberos y los usuariosexternos usen otro método de autenticación. Para hacerlo, defina directivas de autenticación en función derangos de redes.

NOTA: Para configurar una alta disponibilidad para la autenticación Kerberos, es necesario unequilibrador de carga.

Configurar y habilitar el adaptador de autenticación KerberosConfigure y habilite KerberosIdpAdapter en el conector de VMware Identity Manager. Si implementó unclúster para la alta disponibilidad, configure y habilite el adaptador en todos los conectores del clúster.

IMPORTANTE: Los adaptadores de autenticación de todos los conectores del clúster deben tener la mismaconfiguración. Se deben configurar los mismos métodos de autenticación en todos los conectores.

Para obtener más información sobre la configuración de la autenticación Kerberos, consulte la Guía deadministración de VMware Identity Manager.

Prerequisitos

El conector debe unirse al dominio de Active Directory.

Procedimiento

1 En la consola de administración de VMware Identity Manager, haga clic en la pestaña Administraciónde acceso e identidad.

2 Haga clic en Configuración y, a continuación, en la pestaña Conectores.

Aparecen todos los conectores que implementó.

3 Haga clic en el vínculo de la columna Trabajo de uno de los conectores.

4 Haga clic en la pestaña Adaptadores de autenticación.

5 Haga clic en el vínculo KerberosIdpAdapter, configure y habilite el adaptador.


Nombre El nombre predeterminado de los adaptadores es KerberosIdpAdapter.Puede cambiarlo.

Atributo de UID de directorio El atributo de la cuenta que contiene el nombre de usuario.

Habilitar autenticación de Windows Seleccione esta opción.

Habilitar NTLM No es necesario seleccionar esta opción a menos que la infraestructura deActive Directory se base en una autenticación NTLM.


VMware, Inc. 29


Habilitar redireccionamiento Si cuenta con varios conectores en un clúster y piensa configurar la altadisponibilidad de Kerberos con un equilibrador de carga, seleccione estaopción y especifique un valor para Nombre del host deredireccionamiento.Si la implementación solo tiene un conector, no necesita usar las opcionesHabilitar redireccionamiento ni Nombre del host de redireccionamiento.

Nombre del host deredireccionamiento

Es necesario un valor si se selecciona la opción Habilitarredireccionamiento. Introduzca el propio nombre del host del conector.Por ejemplo, si el nombre del host del conector es conector1.ejemplo.com,introduzca conector1.ejemplo.com en el cuadro de texto.

Por ejemplo:

Para obtener más información sobre KerberosIdPAdapter, consulte la Guía de administración de VMwareIdentity Manager.

6 Si implementó un clúster, configure KerberosIdPAdapter en todos los conectores del clúster.

Configure el adaptador de la misma manera en todos los conectores.


Si es necesario, configure la alta disponibilidad para la autenticación Kerberos. La autenticación Kerberos nocuenta con alta disponibilidad sin un equilibrador de carga.

Configurar alta disponibilidad para la autenticación KerberosPara configurar una alta disponibilidad en la autenticación Kerberos, instale un equilibrador de carga en lared interna dentro del firewall y agregue el dispositivo del conector.

También debe configurar algunas opciones en el equilibrador de carga, establecer una confianza SSL entre elequilibrador de carga y el conector y cambiar la URL de autenticación del conector para usar el nombre delhost del equilibrador de carga.

Establecer la configuración de equilibrador de cargaDebe configurar ciertas opciones en el equilibrador de carga, como habilitar encabezados X-Forwarded-For,establecer el tiempo de espera del equilibrador de carga correctamente y habilitar sesiones sticky.

Configure estas opciones.

n Encabezados X-Forwarded-For


30 VMware, Inc.

Debe habilitar encabezados X-Forwarded-For para su equilibrador de carga. Esto determina el métodode autenticación. Consulte la documentación proporcionada por el proveedor de su equilibrador decarga para obtener más información.

n Tiempo de espera del equilibrador de carga

Para que el conector funcione correctamente, es posible que necesite aumentar el valor predeterminadocorrespondiente al tiempo de espera para las solicitudes del equilibrador de carga. Este valor se expresaen minutos. Si el valor del tiempo de espera es demasiado bajo, es posible que aparezca el siguienteerror.

Error 502: El servicio no está disponible actualmente

n Habilitar sesiones sticky

Debe habilitar la configuración de las sesiones sticky en el equilibrador de carga si la implementacióntiene varios dispositivos conectores. El equilibrador de carga enlazará entonces la sesión de un usuarioa una instancia de conector específica.

Aplicar el certificado raíz de VMware Identity Manager Connector al equilibradorde cargaCuando el dispositivo virtual VMware Identity Managerconector se configure con un equilibrador de carga,deberá establecer la confianza SSL entre este y el conector. El certificado raíz del conector se debe copiar enel equilibrador de carga.

El certificado del conector se puede descargar desde las páginas de administración de dispositivos delconector en https://miconector.miempresa:8443/cfg/ssl.

Si el nombre de dominio del conector dirige a un equilibrador de carga, el certificado SSL solo se puedeaplicar al equilibrador de carga.

Como el equilibrador de carga se comunica con el dispositivo virtual del conector, debe copiar el certificadoraíz de la CA del conector en el equilibrador de carga como certificado raíz de confianza.

Procedimiento

1 Inicie la sesión en las páginas de administración de dispositivos del conector,https://miconector.miempresa:8443/cfg/ssl como usuario administrador.

2 Seleccione Instalar el certificado.

3 Seleccione la pestaña Terminar SSL en un equilibrador de carga y, en el campo Certificado de CA raízdel dispositivo, haga clic en el vínculo https://nombre de host/horizon_workspace_rootca.pem.

4 Copie todo lo que hay entre las líneas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE----,

incluyendo estas líneas, y pegue el certificado raíz en la ubicación correcta de cada uno de susequilibradores de carga. Consulte la documentación del equilibrador de carga.


VMware, Inc. 31


Copie y pegue el certificado raíz del equilibrador de carga en el dispositivoVMware Identity Managerconector.

Aplicar el certificado de raíz del equilibrador de carga a VMware Identity ManagerConnectorCuando el dispositivo virtual VMware Identity Manager conector se configure con un equilibrador de carga,deberá establecer la confianza entre este y el conector. Además de copiar el certificado raíz de conector en elequilibrador de carga, deberá copiar el certificado del equilibrador de carga en conector.

Procedimiento

1 Obtenga el certificado raíz del equilibrador de carga.

2 Vaya a la página de administración de dispositivos de conector en https://miconector.miempresa:8443/cfg/ssl e inicie la sesión como usuario administrador.

3 En la página Instalar el certificado, seleccione la pestaña Terminar SSL en un equilibrador de carga.

4 Pegue el texto del certificado del equilibrador de carga en el campo Certificado de CA raíz.

5 Haga clic en Guardar.

Cambiar el nombre de host de IdP del conector al nombre del host delequilibrador de cargaDespués de agregar los dispositivos virtuales del conector al equilibrador de carga, debe cambiar el nombrede host de IdP en el IdP de Workspace de cada conector del nombre de host del equilibrador de carga.

Prerequisitos

El dispositivo virtual de conector debe configurarse tras un equilibrador de carga. Compruebe que el puertodel equilibrador de carga es el 443. No use el puerto 8443 ya que es el puerto administrativo y es de usoexclusivo para cada dispositivo virtual.

Procedimiento

1 Inicie sesión en la consola de administración de VMware Identity Manager.


32 VMware, Inc.

2 Haga clic en la pestaña Administración de acceso e identidad.


4 En la página Proveedor de identidades, haga clic en el vínculo IdP de Workspace desde la instancia deconector.

5 En el cuadro de texto Nombre de host de IdP, cambie el nombre del host de conector al nombre de hostdel equilibrador de carga.

Por ejemplo, si su nombre de host de conector es miconector y el nombre de host de su equilibrador decarga es milb,

myconnector.mycompany.com:cambie el puerto

de la URL

por el siguiente:

mylb.mycompany.com:puerto


VMware, Inc. 33


34 VMware, Inc.

Índice

Aadaptadores de autenticación, habilitar 23alta disponibilidad

implementar nuevos conectores 26Kerberos 30

autenticación de Kerberos 29

CCertificado SSL, autoridad de certificación

principal 31código de activación 20configuración del equilibrador de carga 30configurar red, requisitos 18conmutación por error 26, 28, 32

Ddirectorio, agregar 22dispositivo virtual, requisitos 18

Eequilibrador de carga 32

Gglosario 5

Hhardware

ESX 18requisitos 18

IIdp integrado, agregar conectores 28implementación 15, 17implementación de AirWatch 8implementación de conector de VMware Identity

Manager 17implementar 18instalar 18

KKerberos 12, 29KerberosIdpAdapter 29KerberosIdPAdapter 29

Mmodelos de implementación 7, 8, 10, 12modo de conexión de solo salida 10, 12, 17

modo de salida, habilitar 24

Ppúblico objetivo 5

Rredundancia 28, 32

VVMware Identity Manager Connector 10, 12VMware Identity Manager en DMZ 15

Wworkspace portal, OVA 20

VMware, Inc. 35


36 VMware, Inc.

implementar vmware identity manager en dmz - …...vmware identity manager para sincronizar los...

Documents