instalación y configuración de vmware enterprise systems ... · modelo de implementación de...

Instalación yconfiguración de VMwareEnterprise SystemsConnectorMayo de 2018VMware Identity Manager 3.2VMware Identity ManagerVMware AirWatch 9.3

Instalación y configuración de VMware Enterprise Systems Connector

VMware, Inc. 2

Puede encontrar la documentación técnica más actualizada en el sitio web de VMware en:

https://docs.vmware.com/es/

Si tiene algún comentario sobre esta documentación, envíelo a la siguiente dirección de correo electrónico:

[email protected]

Copyright © 2017, 2018 VMware, Inc. Todos los derechos reservados. Copyright e información de marca registrada.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware, Inc.Paseo de la Castellana 141. Planta 8.28046 Madrid.Tel.:+ 34 91 418 58 01Fax: + 34 91 418 50 55www.vmware.com/es

https://docs.vmware.com/es/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

Contenido

Instalación y configuración de VMware Enterprise Systems Connector 5

1 Descripción general de VMware Enterprise Systems Connector 6

Acerca de VMware Enterprise Systems Connector 6

Requisitos del sistema de Enterprise Systems Connector 8

2 Introducción a la arquitectura de Enterprise Systems Connector 19

Modelo de implementación SaaS de Enterprise Systems Connector 19

Modelo de implementación de Enterprise Systems Connector en las instalaciones 20

Flujos de trabajo para la integración de certificados del componente ACC 22

3 Proceso de instalación de Enterprise Systems Connector 23

Determinar qué componentes instalar 24

(Solo para clientes locales) Instalar un certificado de canal seguro en AWCM 25

Establecer las comunicaciones con AWCM 25

Obtener el instalador de VMware Enterprise Systems Connector 26

Habilitar Enterprise Systems Connector en la consola de AirWatch 27

Ejecutar el instalador de Enterprise Systems Connector 29

Comprobar que Enterprise Systems Connector se instaló correctamente 35

4 Administración de ACC 37

Actualizaciones de ACC 37

Realizar una actualización de ACC manual 39

Regenerar certificados 39

5 Administración y configuración de VMware Identity Manager Connector 42

Configurar VMware Identity Manager Connector 42

Administrar las opciones de configuración del conector de VMware Identity Manager 51

Habilitar la configuración del proxy tras la instalación 56

Configurar alta disponibilidad para VMware Identity Manager Connector 57

Agregar la compatibilidad con la autenticación Kerberos a la implementación de VMware Identity

Manager Connector 61

Eliminar una instancia de VMware Identity Manager Connector 68

Actualizar el VMware Identity Manager Conector 68

6 Migrar directorios de ACC a VMware Identity Manager Connector 71

Convertir el directorio Otro a Active Directory mediante LDAP o a Active Directory (Autenticación

de Windows integrada) 72

VMware, Inc. 3

Detener la sincronización del directorio de AirWatch con VMware Identity Manager 74

7 Solución de problemas de Enterprise Systems Connector 75

Restablecer la contraseña del usuario administrador de VMware Identity Manager Connector 75


VMware, Inc. 4

Instalación y configuración deVMware Enterprise Systems Connector

La sección Instalación y configuración de VMware Enterprise Systems Connector proporcionainformación acerca de cómo configurar VMware Enterprise Systems Connector basado en Windows™, loque proporciona a las organizaciones la posibilidad de integrar VMware AirWatch® y VMware IdentityManager™ con los sistemas back-end de la empresa.

Este documento ofrece información sobre cómo instalar los dos componentes deVMware Enterprise Systems Connector: AirWatch Cloud Connector y VMware Identity ManagerConnector.

Esta información se aplica a ambos SaaS y a escenarios de implementación en las instalaciones. Lasnotas del texto muestran las diferencias entre los entornos.

Público objetivoEsta información está destinada a administradores de sistemas Windows. Se aplica a ambos SaaS y alos clientes locales.

Glosario de publicaciones técnicas de VMwareEl departamento de Publicaciones técnicas de VMware ofrece un glosario con términos que quizá usteddesconozca. Para consultar las definiciones de términos tal como se utilizan en la documentación técnicade VMware, visite http://www.vmware.com/es/support/pubs.

VMware, Inc. 5

http://www.vmware.com/support/pubs

Descripción general deVMware Enterprise SystemsConnector 1Antes de instalar VMware Enterprise Systems Connector, consulte la información sobre los requisitos delsistema, la arquitectura y modelos de implementación.

Este capítulo cubre los siguientes temas:

n Acerca de VMware Enterprise Systems Connector

n Requisitos del sistema de Enterprise Systems Connector

Acerca de VMware Enterprise Systems ConnectorEn VMware AirWatch 9.1 y posteriores, AirWatch Cloud Connector (ACC) se incluye como uncomponente en un nuevo instalador llamado VMware Enterprise Systems Connector. Este instaladorfunciona como paquete de conector unificado para Workspace ONE, AirWatch e Identity. Consta de doscomponentes, ACC y VMware Identity Manager Connector.

Durante el proceso de instalación, puede elegir qué componentes desea instalar.

Consulte Determinar qué componentes instalar para conocer los escenarios donde se recomienda lainstalación de los componentes.

VMware, Inc. 6

Componente AirWatch Cloud ConnectorAirWatch Cloud Connector (ACC) proporciona a las organizaciones la capacidad para integrar AirWatchcon los sistemas de back-end de la empresa.

ACC se ejecuta en la red interna y actúa como un proxy que transmite de forma segura las solicitudes deAirWatch a los componentes fundamentales de la infraestructura empresarial de la organización. Estopermite que las organizaciones aprovechen las ventajas que proporcionan todas las configuraciones deAirWatch Mobile Device Management (MDM), junto con las del LDAP, la entidad de certificación, elcorreo electrónico y otros sistemas internos que ya existen. Consulte también Capítulo 2 Introducción ala arquitectura de Enterprise Systems Connector.

ACC se integra con los siguientes componentes internos.

n Transmisión de correo electrónico (SMTP)

n Servicios de directorio (LDAP/AD)

n Administración de correo electrónico Exchange 2010 (PowerShell)

n BlackBerry Enterprise Server (BES)

n Servicio web Lotus Domino (HTTPS)

n Syslog (datos de registro de eventos)

Los siguientes componentes solo están disponibles si compró el complemento de integración PKI, queestá disponible por separado.

n Microsoft Certificate Services (PKI)

n Protocolo de inscripción de certificados simple (SCEP PKI)

n Servicios de certificados de terceros (en las instalaciones solo)

Componente VMware Identity Manager ConnectorVMware Identity Manager Connector proporciona la integración del directorio, la autenticación de usuarioy la integración con recursos, como Horizon View.

El uso del componente VMware Identity Manager Connector proporciona las siguientes funcionesadicionales a la implementación.

n Métodos de autenticación basados en VMware Identity Manager Connector como la contraseña, laautenticación adaptativa de RSA, RSA SecurID y Radius

n Autenticación Kerberos para usuarios internos

n Integración con los siguientes recursos:

n Grupos de aplicaciones y de escritorios de Horizon View

n Recursos publicados de Citrix

n VMware Horizon® Cloud Service™ con infraestructura local y alojada


VMware, Inc. 7

Introducción

NOTA: Para las implementaciones locales, antes de comenzar con esta guía, debe leer y seguir lospasos de la guía de los servicios de AirWatch Cloud Messaging (AWCM).

Si es un cliente local, asegúrese de que AWCM esté instalado correctamente, se esté ejecutando y secomunique con AirWatch sin errores.

Requisitos del sistema de Enterprise Systems ConnectorPara implementar Enterprise Systems Connector, asegúrese de que el sistema cumpla con los requisitosnecesarios.

Requisitos de hardwareUtilice los siguientes requisitos como base para crear el servidor de Enterprise Systems Connector.

Si solo va a instalar el componente ACC, utilice los siguientes requisitos.

Tabla 1‑1. Requisitos de ACC

Número de usuarios Hasta 10.000 De 10.000 a 50.000 De 50.000 a 100.000

Núcleo de CPU 2 2 servidores de cargaequilibrada con 2 núcleos deCPU

3 servidores de cargaequilibrada con 2 núcleos deCPU

RAM (GB) por servidor 4 4 cada uno 8 cada uno

Espacio de disco (GB) 50 50 cada uno 50 cada uno

El componente VMware Identity Manager Connector cuenta con los siguientes requisitos adicionales. Siva a instalar tanto el componente ACC como el componente VMware Identity Manager Connector,agregue estos requisitos a los requisitos de ACC.


VMware, Inc. 8

Tabla 1‑2. Requisitos de VMware Identity Manager Connector

Número deusuarios Hasta 1000 De 1000 a 10.000

De 10.000 a25.000

De 25.000 a50.000 De 50.000 a 100.000

CPU 2 2 servidores decarga equilibrada,cada uno con 4CPU

2 servidores decarga equilibrada,cada uno con 4CPU

2 servidores decarga equilibrada,cada uno con 4CPU

2 servidores decarga equilibrada,cada uno con 4 CPU

RAM (GB) porservidor

6 6 cada uno 8 cada uno 16 cada uno 16 cada uno

Espacio de disco(GB)

50 50 cada uno 50 cada uno 50 cada uno 50 cada uno

NOTA: n El componente AWCM equilibra automáticamente la carga de tráfico del componente ACC. No se

requiere un equilibrador de carga independiente. Es posible que varias instancias de ACC del mismogrupo de organización que se conecten al mismo servidor AWCM para obtener una disponibilidadalta esperen recibir tráfico (configuración directa). La forma en la que se redirige el tráfico estádeterminada por AWCM y depende de la carga actual.

n Para el componente VMware Identity Manager Connector, consulte Configurar alta disponibilidadpara VMware Identity Manager Connector.

n Cada uno de los núcleos de CPU debe ser de 2 GHz o superior. Un procesador Intel es necesario.

n Los requisitos de espacio de disco incluyen: 1 GB de espacio de disco para la aplicaciónEnterprise Systems Connector, sistema operativo Windows y runtime de .NET. Se asigna espacio dedisco adicional para el registro.

Requisitos de softwareAsegúrese de que el servidor de Enterprise Systems Connector cumpla los siguientes requisitos desoftware.


VMware, Inc. 9

Lista decomprobaciónde estado Requisito Notas

Windows Server 2008R2 o

Windows Server 2012 o

Windows Server 2012R2 o

Windows Server 2016

Necesario para ambos componentes

Instalar PowerShell en elservidor


NOTA: (Componente AirWatch Cloud Connector) Se necesita la versión 3.0 oposterior de PowerShell si va a implementar el modelo con acceso directo amemoria de PowerShell para el correo electrónico. Para comprobar su versión,abra PowerShell y ejecute el comando $PSVersionTable.

NOTA: (Componente VMware Identity Manager Connector) La versión 4.0 dePowerShell es necesaria si va a instalarlo en Windows Server 2008 R2.

Instalar .NET Framework4.6.2


NOTA: (Componente AirWatch Cloud Connector) La función de actualizaciónautomática de AirWatch Cloud Connector no funcionará correctamente hastaque el servidor de Enterprise Systems Connector se actualice a .NETFramework 4.6.2. La función de actualización automática no actualizará .NETFramework automáticamente. Instale .NET Framework 4.6.2 manualmente enel servidor de Enterprise Systems Connector antes de realizar unaactualización.

Requisitos generalesAsegúrese de que el servidor de Enterprise Systems Connector esté configurado con los siguientesrequisitos generales para garantizar una instalación correcta.

Lista decomprobaciónde estado Requisito Notas

Asegúrese de quetenga acceso remoto alos servidores en losque AirWatch estéinstalado

VMware AirWatch recomienda configurar el Administrador de conexión aEscritorio remoto para administrar varios servidores. Puede descargar alinstalador desde https://www.microsoft.com/en-us/download/details.aspx?id=44989.

Por lo general, las instalaciones se realizan de forma remota a través de unareunión web o de un recurso compartido de pantalla que proporciona un consultorde AirWatch. Algunos clientes también proporcionan a AirWatch credencialesVPN para acceder directamente al entorno.

Instalación de Notepad++ (recomendado)

VMware AirWatch, recomienda instalar Notepad++.

Cuentas de serviciospara la autenticación enlos sistemas back-end

Valide el método de conectividad de AD mediante la herramienta LDP.exe(consulte http://www.computerperformance.co.uk/ScriptsGuy/ldp.zip), LDAP, BES,PowerShell, etc.


VMware, Inc. 10

Requisitos de redPara configurar los puertos que se enumeran a continuación, todo el tráfico es unidireccional (saliente)desde el componente de origen hasta el componente de destino.

Un servidor proxy saliente o cualquier otro hardware o software de administración de conexión no debefinalizar ni rechazar la conexión saliente desde el Enterprise Systems Connector. La conexión salienterequerida que Enterprise Systems Connector requiere usar debe permanecer abierta en todo momento.

NOTA: Todos los recursos, como las entidades de certificación, a los que quiera acceder con ACCdeben encontrarse en el mismo dominio.

Tabla 1‑3. Requisitos de los puertos del componente AirWatch Cloud Connector (SaaS)

Lista decomprobación deestado

Componente deorigen

Componente dedestino Protocolo Puerto Verificación

Servidor deEnterpriseSystemsConnector

AirWatch AWCM, porejemplo:(https://awcm274.awmdm. com)

HTTPS 443 Acceda ahttps://awcmXXX.awmdm.com/awcm/status y asegúrese de que no haya ningúnerror de confianza del certificado.(Sustituya "XXX" por el mismo númeroque se utilice en la URL del entorno, porejemplo, '100' para cn100).


Consola de AirWatchpor ejemplo:(https://cn274.awmdm.com)

HTTP oHTTPS

80 o 443 Acceda a https://cnXXX.awmdm.com yasegúrese de que no haya ningún errorde confianza del certificado. (Sustituya"XXX" por el mismo número que se utiliceen la URL del entorno, por ejemplo, '100'para cn100). Si se habilita laactualización automática, ACC debepoder solicitar actualizaciones medianteel puerto 443 de la consola de AirWatch.


API de AirWatch, porejemplo:(https://as274.awmdm.com)

HTTPS 443 Acceda ahttps://asXXX.awmdm.com/api/help yasegúrese de que se le solicitaran lascredenciales. (Sustituya "XXX" por elmismo número que se utilice en la URLdel entorno, por ejemplo, '100' paracn100). Es necesario que ACC tengaacceso a la API para que el servicio deAirWatch Diagnostics funcionecorrectamente.


CRL:http://csc3-2010-crl.verisign.com/CSC3-2010.crl

HTTP 80 Para que varios servicios funcionencorrectamente

Integraciones opcionales


VMware, Inc. 11

Tabla 1‑3. Requisitos de los puertos del componente AirWatch Cloud Connector (SaaS)(Continua)

Lista decomprobación deestado

Componente deorigen



SMTP interno SMTP 25


LDAP interno LDAP oLDAPS

389, 636,3268 o3269


SCEP interno HTTP oHTTPS

80 o 443


ADCS interno DCOM 135,1025-5000,49152-65535


BES interno HTTP oHTTPS

80 o 443


Exchange 2010 oposterior interno

HTTP oHTTPS

80 o 443


VMware, Inc. 12

Tabla 1‑4. Requisitos de puertos del componente AirWatch Cloud Connector (en lasinstalaciones)

Componente deorigen



Servidor de AirWatchCloud Messaging

HTTPS 2001 Telnet desdeEnterprise Systems Connector al servidorde AWCM en el puerto o una vezinstalado.

Acceda ahttps://<AWCM URL>:

2001/awcm/status y asegúrese de queno haya ningún error de confianza delcertificado.

Si se habilita la actualización automática,ACC debe poder solicitar actualizacionesmediante el puerto 443 de la consola deAirWatch.

Si utiliza ACC con AWCM y tiene variosservidores AWCM, cuya carga deseaequilibrar, deberá configurar lapersistencia.

Para obtener más información sobrecómo configurar las normas depersistencia de AWCM con F5, consulteel siguiente artículo de la base deconocimientos: https://support.air-watch.com/articles/115001666028.


Consola de AirWatch HTTP oHTTPS

80 o 443 Telnet desdeEnterprise Systems Connector a laconsola en el puerto o una vez instalado.

Acceda a https://<Console URL> yasegúrese de que no haya ningún errorde confianza del certificado.

Si se habilita la actualización automática,ACC debe poder solicitar actualizacionesmediante el puerto 443 de la consola deAirWatch.


Servidor de API (obien, donde estéinstalada la API)

HTTPS 443 Para verificarlo, acceda a la direcciónURL del servidor de API.

Es necesario que ACC tenga acceso a laAPI para que el servicio de AirWatchDiagnostics funcione correctamente.


CRL: http://csc3-2010-crl.verisign.com/CSC3-2010.crl

HTTP 80 Para que varios servicios funcionencorrectamente

Integraciones opcionales


VMware, Inc. 13

Tabla 1‑4. Requisitos de puertos del componente AirWatch Cloud Connector (en lasinstalaciones) (Continua)

Componente deorigen



SMTP interno SMTP 25


LDAP interno LDAP oLDAPS

389,636,3268 o3269


SCEP interno HTTP oHTTPS

80 o 443


ADCS interno DCOM 135,1025-5000,49152-65535


BES interno HTTP oHTTPS

80 o 443


Exchange 2010 oposterior interno

HTTP oHTTPS

80 o 443

Tabla 1‑5. Requisitos de puertos del componente VMware Identity Manager Connector (SaaSo en las instalaciones)

Lista decomprobaciónde estado

Componente deorigen

Componente dedestino Puerto Protocolo Notas

VMware IdentityManager Connector

servicio deVMware IdentityManager

Host del servicio deVMware IdentityManager (instalacioneslocales)

443 HTTPS Puertopredeterminado.Este puerto sepuede configurar.


Equilibrador de cargadel servicio deVMware IdentityManager (instalacioneslocales)

443 HTTPS


VMware, Inc. 14

Tabla 1‑5. Requisitos de puertos del componente VMware Identity Manager Connector (SaaSo en las instalaciones) (Continua)


Componente deorigen


Navegadores VMware IdentityManager Connector

8443 HTTPS Puertoadministrativo.

Obligatoria


80 HTTP Obligatoria


443 HTTPS Este puerto solo esnecesario para unconector que seutiliza en el modo deentrada.

Este puerto esnecesario si seconfigura laautenticaciónKerberos en elconector.


Active Directory 389, 636,3268, 3269

Puertospredeterminados.Estos puertos sepueden configurar.


Servidor DNS 53 TCP/UDP Todas las instanciasdeben tener accesoal servidor DNS enel puerto 53 ypermitir el tráficoSSH entrante en elpuerto 22.


Controlador de dominio 88, 464, 135,445

TCP/UDP


Sistema RSA SecurID 5500 Puertopredeterminado.Este puerto sepuede configurar


Servidor de conexiónde View

389, 443 Acceso a lasinstancias delservidor de conexiónde View para lasintegraciones deHorizon View


VMware, Inc. 15

Tabla 1‑5. Requisitos de puertos del componente VMware Identity Manager Connector (SaaSo en las instalaciones) (Continua)


Componente deorigen



Integration Broker 80, 443 Acceda a IntegrationBroker para integrarlos recursospublicados de Citrix.

IMPORTANTE: Siinstala IntegrationBroker en el mismoservidor deWindows queEnterprise SystemsConnector, debeasegurarse de que,en los enlaces desitio del sitio webpredeterminado delservidor IIS, lospuertos de enlaceHTTP y HTTPS noentren en conflictocon los puertosusados por elcomponenteVMware IdentityManager Connector.

VMware IdentityManager Connectorsiempre utiliza elpuerto 80. Tambiénutiliza el 443, amenos que seconfigure un puertodiferente durante lainstalación.


servidor syslog 514 UDP Para el servidorsyslog externo, siestá configurado

(Componente VMware Identity Manager Connector ) DireccionesIP de VMware Identity Manager alojadas en la nube(Clientes SaaS) Consulte el artículo 2149884 de la base de conocimientos para obtener una lista dedirecciones IP del servicio VMware Identity Manager a las que VMware Identity Manager Connector debetener acceso.


VMware, Inc. 16

https://kb.vmware.com/kb/2149884

(Componente VMware Identity Manager Connector ) Requisitosde las direcciones IP y de los registros DNSUna entrada DNS y una dirección IP estática deben estar disponibles para el conector. Antes decomenzar la instalación, solicite el registro de DNS y las direcciones IP para usar y configurar laconfiguración de red del servidor de Windows.

La configuración de la búsqueda inversa es opcional. Cuando implemente la búsqueda inversa, debedefinir un registro PTR en el servidor DNS para que el conector utilice la configuración de red correcta.

Puede utilizar la siguiente lista de ejemplos de registros de DNS. Sustituya la información de losejemplos con la información de su entorno. En este ejemplo se muestran los registros de DNS directas ylas direcciones IP.

Tabla 1‑6. Ejemplos de registros de DNS directas y direcciones IP

Nombre de dominio Tipo de recurso Dirección IP

miidentitymanager.empresa.com A 10.28.128.3

En este ejemplo se muestran los registros de DNS inversas y las direcciones IP.

Tabla 1‑7. Ejemplos de registros de DNS inversas y direcciones IP

Dirección IP Tipo de recurso Nombre del host

10.28.128.3 PTR miidentitymanager.empresa.com

Después de completar la configuración de DNS, compruebe que la búsqueda de DNS inversas estácorrectamente configurada. Por ejemplo, el comando host IPaddress del dispositivo virtual deberesolverse en la búsqueda del nombre de DNS.

NOTA: Si tiene un equilibrador de carga con una dirección IP virtual (VIP) frente a los servidores DNS,tenga en cuenta que VMware Identity Manager no admite el uso de VIP. Puede especificar variosservidores DNS separados por comas.

NOTA: Si utiliza un servidor DNS basado en Linux o Unix y desea unir el conector al dominio de ActiveDirectory, compruebe que se crean los registros de recurso (SRV) adecuados para cada controlador deldominio de Active Directory.

(Componente VMware Identity Manager Connector ) Versiones deActive Directory compatiblesSon compatibles un entorno de Active Directory formado por un único dominio de Active Directory, variosdominios en un único bosque de Active Directory o varios dominios en varios bosques de ActiveDirectory.


VMware, Inc. 17

VMware Identity Manager es compatible con Active Directory en Windows Server 2008, Windows Server2008 R2, Windows Server 2012 y Windows Server 2012 R2, con las opciones Nivel funcional del dominioy Nivel funcional de bosque de Windows 2003 y versiones posteriores.

NOTA: Puede que se necesite un nivel funcional mayor para algunas características. Por ejemplo, parapermitir que los usuarios cambien las contraseñas de Active Directory desde Workspace ONE, el nivelfuncional de dominio debe ser Windows 2008 o posterior.


VMware, Inc. 18

Introducción a la arquitecturadeEnterprise Systems Connector 2Enterprise Systems Connector contiene dos servicios de Windows que se pueden instalar en un servidorfísico o virtual con Windows 2008 R2, 2012, 2012 R2 o 2016. Funciona desde dentro de su red interna ypuede configurarse detrás de cualquier equilibrador de carga o de cualquier firewall de aplicaciones webexistentes.

Al iniciar una conexión HTTPS segura desde Enterprise Systems Connector hasta los servicios demensajería integrados en AirWatch y en VMware Identity Manager, Enterprise Systems Connector puedetransmitir información periódicamente desde los recursos internos, como Active Directory, LDAP, etc., alproducto sin cambiar de firewall. Si tiene previsto realizar conexiones proxy de tráfico a través de unproxy saliente, puede utilizar las opciones de la configuración del conector que permite realizarconexiones proxy.

Configuraciones compatiblesUtilice Enterprise Systems Connector en las siguientes configuraciones.

n Uso de transporte HTTPS

n Compatibilidad con el tráfico HTTP a través de un proxy saliente


n Modelo de implementación SaaS de Enterprise Systems Connector

n Modelo de implementación de Enterprise Systems Connector en las instalaciones

n Flujos de trabajo para la integración de certificados del componente ACC

Modelo de implementación SaaS deEnterprise Systems ConnectorEn un modelo de implementación SaaS, Enterprise Systems Connector reside en la red interna y seintegra con los sistemas internos, lo que permite que AirWatch y VMware Identity Manager losaprovechen para realizar varias funciones, como los certificados y servicios de directorio.

El siguiente diagrama muestra la implementación completa de Enterprise Systems Connector, con loscomponentes ACC y VMware Identity Manager Connector implementados.

VMware, Inc. 19

Figura 2‑1. Implementación SaaS de Enterprise Systems Connector

ACC

Internet DMZ

VMware EnterpriseSystems Connector

DirectorioAirWatch

VMware IdentityManager


El siguiente diagrama muestra únicamente la implementación del componente ACC.

Figura 2‑2. Implementación SaaS de Enterprise Systems Connector (solo ACC)

AirWatch


ACC

Internet DMZ


Directorio

Modelo de implementación deEnterprise Systems Connector en las instalacionesEn un modelo de implementación en las instalaciones, Enterprise Systems Connector reside en la redinterna y se comunica con AWCM y con el servicio de VMware Identity Manager. Normalmente, AWCMse instala en el servidor de servicios del dispositivo de AirWatch.

El siguiente diagrama muestra la implementación del componente ACC con un diseño típico de AirWatchen las instalaciones.


VMware, Inc. 20

Figura 2‑3. Implementación de Enterprise Systems Connector en las instalaciones (solo conACC)

ACC

Dispositivo

DMZ

LB

Clúster

AirWatch DS

AirWatch DS443

443


AirWatch DB

Clúster de SQL Server

VMware Identity Manager DB

Directorio

Internet

Clúster




El siguiente diagrama muestra la implementación de los componentes ACC y VMware Identity ManagerConnector con un diseño típico de AirWatch en las instalaciones.

Figura 2‑4. Implementación de Enterprise Systems Connector en las instalaciones (ACC yVMware Identity Manager Connector )

ACC

Dispositivo

DMZ

LB

Clúster

AirWatch DS

AirWatch DS

Clúster




443

443


AirWatch DB

Clúster de SQL Server

VMware Identity Manager DB

Directorio

Internet



VMware, Inc. 21

Flujos de trabajo para la integración de certificados delcomponente ACCSe usan certificados para autenticar la comunicación entre la consola de AirWatch y AirWatch CloudConnector (ACC).

Cómo se generan los certificadosn Habilite ACC y, a continuación, genere certificados para AirWatch y ACC.

n Ambos certificados son exclusivos para el grupo seleccionado en la consola de AirWatch y seencuentran en el servidor de AirWatch.

n Ambos certificados se generan desde una raíz de confianza de AirWatch.

n Instale ACC. El certificado de ACC que genera AirWatch se incluye y se instala automáticamente conACC.

Cómo se redirigen los datos en los entornos localesn AirWatch envía solicitudes a AWCM. Las solicitudes están cifradas con SSL mediante HTTPS.

n ACC pide a AWCM las solicitudes de AirWatch. Las solicitudes están cifradas con SSL medianteHTTPS.

n Todos los datos se envían a través de AWCM.

La configuración de ACC solo confía en los mensajes firmados desde el entorno de AirWatch. Estarelación de confianza es exclusiva para cada grupo.

Todos los demás servidores ACC configurados en el mismo grupo de AirWatch como parte de laconfiguración de alta disponibilidad (HA) emiten el mismo certificado ACC único. Para obtener másinformación acerca de la alta disponibilidad, consulte la guía de arquitectura recomendada por VMwareAirWatch, disponible en AirWatch Resources.

Cómo se protegen los datos en los entornos localesEl servidor de AirWatch envía cada solicitud a AWCM como un mensaje cifrado y firmado.

n Las solicitudes se cifran mediante la clave pública única de la instancia ACC. Solo ACC puededescifrar las solicitudes.

n Las solicitudes se firman con la clave privada de la instancia del servidor de AirWatch que esexclusiva para cada grupo. Por lo tanto, ACC solo confía en las solicitudes que vienen del servidorde AirWatch configurado.

n Las respuestas de ACC al servidor de AirWatch se cifran con la misma clave de la solicitud y sefirman con la clave privada de ACC.


VMware, Inc. 22

Proceso de instalación deEnterprise Systems Connector 3Debe realizar varias tareas para configurar e instalar Enterprise Systems Connector en su red interna.

Procedimiento

1 Determinar qué componentes instalar: determine si desea instalar solo el componente ACC o elcomponente ACC y VMware Identity Manager Connector.

2 (Solo para clientes locales) Instalar un certificado de canal seguro en AWCM: los clientes localesdeben instalar un certificado de canal seguro para establecer la seguridad entre AWCM y lossiguientes componentes: la consola de AirWatch, los servicios del dispositivo, la API y el portal deautoservicio.

3 Establecer las comunicaciones con AWCM: los clientes locales y de SaaS deben establecer lascomunicaciones con AWCM. Esta acción le permite configurar una instancia de AirWatch para utilizarun servidor AWCM concreto.

4 Obtener el instalador de VMware Enterprise Systems Connector: puede descargar el instalador deEnterprise Systems Connector desde la página de Cloud Connector en la consola de AirWatch comose describe en Habilitar Enterprise Systems Connector en la consola de AirWatch. El instaladortambién está disponible como parte del asistente para introducción de Workspace ONE.

5 Habilitar Enterprise Systems Connector en la consola de AirWatch: antes de instalarEnterprise Systems Connector, debe habilitarlo, generar certificados y seleccionar los serviciosempresariales y los servicios de AirWatch para integrarlos. Después de completar este paso, puedeinstalar Enterprise Systems Connector.

6 Ejecutar el instalador de Enterprise Systems Connector: ejecute el instalador deEnterprise Systems Connector en el servidor configurado que cumpla todos los requisitos.

7 Comprobar que Enterprise Systems Connector se instaló correctamente: después de instalarEnterprise Systems Connector, puede verificar que la instalación se realizara correctamente desde laconsola de AirWatch.


n Determinar qué componentes instalar

n (Solo para clientes locales) Instalar un certificado de canal seguro en AWCM

n Establecer las comunicaciones con AWCM

VMware, Inc. 23

n Obtener el instalador de VMware Enterprise Systems Connector

n Habilitar Enterprise Systems Connector en la consola de AirWatch

n Ejecutar el instalador de Enterprise Systems Connector

n Comprobar que Enterprise Systems Connector se instaló correctamente

Determinar qué componentes instalarAntes de comenzar el proceso de instalación, puede decidir si desea instalar únicamente el componenteACC, solo el componente de VMware Identity Manager Connector o instalar ACC y VMware IdentityManager Connector, según sus necesidades empresariales.

Se recomienda instalar los dos componentes de Enterprise Systems Connector a la mayoría de losclientes de Workspace ONE. Además de las funciones de ACC, la instalación completa incluye lacompatibilidad con las siguientes funciones.

n Escritorios y aplicaciones virtuales de Workspace ONE

n Autenticación de RSA SecurID

n Autenticación de Windows integrada

n Varios Active Directory de confianza o no que no sean de confianza con VMware Identity Manager

n VMware Identity Manager con varias configuraciones de grupo organizativo del directorio enAirWatch

n Plataforma para funciones de integración centradas en la identidad

Si implementó Workspace ONE únicamente con ACC, ese modelo sigue siendo compatible, pero, si tienepensado sacar el máximo partido de cualquiera de estas funciones, se recomienda instalarcompletamente Enterprise Systems Connector. Se admite la migración del modelo que solo usa ACC alVMware Identity Manager Connector disponible en Enterprise Systems Connector. Consulte Capítulo 6Migrar directorios de ACC a VMware Identity Manager Connector.


VMware, Inc. 24

(Solo para clientes locales) Instalar un certificado decanal seguro en AWCMLos clientes locales deben instalar un certificado de canal seguro para garantizar la seguridad entreAWCM y los siguientes componentes: la consola de AirWatch, los servicios del dispositivo, la API y elportal de autoservicio.

IMPORTANTE: Realice los siguientes pasos en el servidor que ejecuta AWCM. No descargue elinstalador en otro equipo ni lo copie en el servidor de AWCM. Si la descarga no se realiza en el servidorque ejecuta AWCM, póngase en contacto con el equipo de soporte de AirWatch para obtener solucionesalternativas.

NOTA: Si realiza cambios en el certificado de canal seguro del almacén de claves de AWCM despuésdescargar e instalar Enterprise Systems Connector o AirWatch Tunnel, debe desinstalarlo, eliminar todaslas carpetas, y volver a descargarlo y a instalarlo.

Procedimiento

1 Acceda a Grupos y ajustes > Todos los ajustes > Sistema > Avanzado > Certificado de canalseguro.

2 Seleccione Descargar instalador del canal seguro de AWCM en la sección AirWatch CloudMessaging para comenzar a instalar el script de instalación del certificado de canal seguro.

El instalador de canal seguro para Linux solo se usa para el servicio de notificación de la nube.AWCM solo se admite en servidores de Windows.

3 Copie el script de instalación Certificado del canal seguro en el servidor de AWCM local y haga cliccon el botón secundario en Ejecutar como administrador para ejecutarlo e instalarlo.

4 Escriba o seleccione Examinar para encontrar la ruta de acceso al almacén de confianza y haga clicen Aceptar.

5 Seleccione Aceptar cuando aparezca un mensaje que le notifica que el certificado se agregó alalmacén de claves.

6 Realice los pasos necesarios para Establecer las comunicaciones con AWCM.

7 Siga los pasos para instalar Enterprise Systems Connector.

Establecer las comunicaciones con AWCMLos clientes locales y de SaaS deben establecer las comunicaciones con AWCM. Esta acción le permiteconfigurar una instancia de AirWatch para utilizar un servidor AWCM concreto.


VMware, Inc. 25

Procedimiento

1 Acceda a Grupos y ajustes > Todos los ajustes > Sistema > Avanzado > Dirección URL de sitio paraconsultar la sección AirWatch Cloud Messaging.

NOTA: Si es cliente de SaaS y no ve esta página en la configuración del sistema, significa que estaconfiguración ya se ha establecido automáticamente.

2 Configure las siguientes opciones.

Configuración Descripción

Habilitar el servidor deAirWatch

Seleccione esta casilla para permitir la conexión entre la consola de AirWatch y el servidor deAWCM.

URL externa delservidor de AirWatch

Este campo le permite introducir el nombre del servidor que utilizan los componentes externos ylos dispositivos (por ejemplo, ACC) para comunicarse con AWCM de forma segura (medianteHTTPS). Un ejemplo de una URL de ACC es Acme.com.

No agregue https://, ya que la aplicación lo asume y lo agrega automáticamente.

Puerto externo deAirWatch

Este es el puerto que el nombre del servidor anterior utiliza para comunicarse con AWCM.

Para establecer comunicaciones externas seguras, utilice el puerto 443. Si omite la descargaSSL es porque desea usar un puerto de comunicaciones internas que no es seguro. Elpredeterminado es el 2001, pero se puede cambiar a otro puerto.

URL interna delservidor de AWCM

Esta dirección URL le permite acceder a AWCM desde los componentes internos y losdispositivos (p. ej., la consola de administración, los servicios de dispositivos, etc.). Ejemplos deURL de AirWatch: https://Acme.com:2001/awcm o http://AcmeInternal.Local/awcm.

Si el servidor de AWCM y la consola de AirWatch son internos (dentro de la misma red) y deseaomitir la descarga de SSL, no es necesaria ninguna conexión segura, por lo que puede utilizarhttp en lugar de https. Por ejemplo, http://AcmeInternal.Local:2001/awcm. Este ejemplo muestrael servidor que se encuentra dentro de la red interna y se comunica con el puerto 2001.

Obtener el instalador deVMware Enterprise Systems ConnectorEl instalador de VMware Enterprise Systems Connector está disponible en varias ubicaciones.

n Desde la página Configuración y grupos > Todos los ajustes > Sistema > Integración empresarial >VMware Enterprise Systems Connector en la consola de AirWatch, como se describe en HabilitarEnterprise Systems Connector en la consola de AirWatch

n Como parte del Asistente de introducción a Workspace ONE en la consola de AirWatch. Paraobtener información sobre el Asistente de introducción a Workspace ONE, consulte la Guía deconfiguración rápida de VMware Workspace ONE.

n El componente de VMware Identity Manager también está disponible desde la página de descargade productos de VMware Identity Manager en My VMware.


VMware, Inc. 26

Habilitar Enterprise Systems Connector en la consola deAirWatchAntes de instalar Enterprise Systems Connector, primero debe habilitarlo, generar los certificados yseleccionar los servicios empresariales y de AirWatch que integrará. Después de completar este paso,puede instalar Enterprise Systems Connector.

NOTA: Realice los siguientes pasos en el servidor que ejecutará Enterprise Systems Connector. Nodescargue el instalador en otro equipo ni lo copie en el servidor de Enterprise Systems Connector.

Procedimiento

1 Desplácese hasta Grupos y ajustes > Todos los ajustes > Sistema > Integración empresarial >VMware Enterprise Systems Connector.

2 Configure las siguientes opciones en la pestaña General.


Habilitar VMware Enterprise SystemsConnector

Seleccione esta casilla de verificación para habilitarEnterprise Systems Connector y para que aparezca la pestaña General.

Habilitar la actualización automática Seleccione esta opción para habilitar que Enterprise Systems Connector seactualice automáticamente cuando esté disponible una versión más reciente.Para obtener más información sobre la actualización automática, consulte lainformación sobre la opción de actualización automática de VMware EnterpriseSystems Connector.

3 Configure las siguientes opciones en la pestaña Avanzado.


Generar certificados Seleccione este botón para generar un certificado paraEnterprise Systems Connector y para el servidor de AirWatch. Los certificados segeneran para ambos y aparecen en los certificados deVMware Enterprise Systems Connector y de AirWatch.

Una vez que se generen los certificados, el botón cambiará a Generar de nuevo.Para obtener más información sobre cómo volver a generar los certificados,consulte Regenerar certificados.

Comunicación con AWCM En Comunicación con AWCM, seleccione cómo Enterprise Systems Connectorse comunica con AWCM.n Utilice la dirección URL externa de AWCM: esta es la opción

predeterminada que se aplicará a la mayoría de las implementaciones.n Utilice la dirección URL interna de AWCM: use esta opción si la

configuración de seguridad limita al servidor deEnterprise Systems Connector para resolver la URL de AWCM externa. Porejemplo, si Enterprise Systems Connector se encuentra en la red interna y elservidor AWCM en una DMZ.


VMware, Inc. 27


Enterprise Services Seleccione los botones Habilitado o Deshabilitado para habilitar o deshabilitarEnterprise Services. Los servicios que seleccione (habilitados) se integrarán conEnterprise Systems Connector.n BES (información del dispositivo móvil y del usuario sincronizado de

BlackBerry)n Servicios de directorio (LDAP/AD)n Exchange PowerShell (para determinadas puertas de enlace seguras de

correo electrónico)n SMTP (transmisión de correo electrónico)

SaaS de AirWatch permite que se envíen correos electrónicos a través delpropio SMTP, pero aquí puede habilitar Enterprise Systems Connector parautilizar otro servidor SMTP. Especifique la configuración de los servidoresSMTP del correo electrónico en Grupos y ajustes > Todos los ajustes >Sistema > Integración empresarial > Correo electrónico (SMTP).

n Syslog (protocolo cliente/servidor que se usa para integrarse con los datosde los registros de eventos de AirWatch)

Los siguientes componentes solo están disponibles si compró el complemento deintegración PKI, que está disponible por separado.n Microsoft Certificate Services (PKI)n Protocolo de inscripción de certificados simple (SCEP PKI)n OpenTrust CMS Mobile (servicios de certificados de terceros)n Confiar en PKI (servicios de certificados de terceros)n Symantec MPKI (servicios de certificados de terceros)

Como no es necesario utilizar Enterprise Systems Connector para losservicios de certificados en la nube, si desea integrar los servicios decertificados (como Symantec MPKI) seleccionando una de las casillas deverificación que aparecen en la pantalla siguiente, el servicio que seleccionedebe estar en las instalaciones, no en la nube (SaaS).

Servicios de AirWatch Seleccione Habilitado o Deshabilitado para habilitar o deshabilitar los serviciosde AirWatch. Los componentes de AirWatch que seleccione (habilitados) seintegrarán con Enterprise Systems Connector. AirWatch recomienda habilitartodos los servicios.n Servicios de dispositivos (la consola de administración y todos los servicios

necesarios para que funcione, incluidos los servicios relacionados deWindows)

n Administración de dispositivos (inscripción, catálogo de aplicaciones yservicios relacionados de Windows)

n Portal de autoservicio (incluidos los servicios relacionados de Windows)n Todos los demás componentes (incluidos los servicios relacionados de

Windows)

NOTA: (Para clientes en las instalaciones) Si aún no realizó los procesospara habilitar AWCM para comunicarse con VMware Enterprise SystemsConnector, puede seleccionar Descargar instalador del canal seguro deAWCM para que se redireccione a la página de descargas.

NOTA: (Para clientes SaaS) No es necesario descargar el instalador delcertificado de canal seguro.

4 Seleccione la opción Guardar para mantener todas estas configuraciones.


VMware, Inc. 28

5 Vuelva a la pestaña General y seleccione Descargar el instalador de VMware Enterprise SystemsConnector.

Aparece la página Descargar el instalador de Cloud Connector.

6 Introduzca una contraseña del certificado de Enterprise Systems Connector en los campos. Seránecesaria la contraseña cuando ejecute el instalador de Enterprise Systems Connector y tendrá queintroducir la contraseña del certificado.

7 Seleccione Descargar y guarde el archivo .exe en el servidor de Enterprise Systems Connector parausarlo posteriormente.

Ejecutar el instalador de Enterprise Systems ConnectorEjecute el instalador de Enterprise Systems Connector en un servidor de Windows que cumpla todos losrequisitos.

El instalador incluye los componentes AirWatch Cloud Connector y VMware Identity Manager Connector.Puede instalar uno o ambos componentes. Tras la instalación inicial, puede volver a ejecutar el instaladorpara modificar cualquier función o actualizar la instalación.

Prerequisitos

Se aplican los siguientes requisitos al componente AirWatch Cloud Connector (ACC).

n Antes de comenzar, los clientes locales deben asegurarse de que el servidor en el que se vaya ainstalar Enterprise Systems Connector pueda acceder a AWCM. Para ello, debe acceder ahttps://{url}:puerto/awcm/status, donde {url} es la URL del entorno de AirWatch y puerto esel puerto externo que configuró para comunicarse con AWCM. El estado de AWCM debería aparecersin errores de SSL. Si hay errores, resuélvalos antes de continuar o ACC no funcionarácorrectamente.

n Los clientes de SaaS deben asegurarse de que el servidor en el que vayan a instalarEnterprise Systems Connector pueda acceder a AWCM. Para ello, deben acceder ahttps://awcmXXX.awmdm.com/awcm/status. Reemplace XXX por el mismo número que se utilice enla URL del entorno, por ejemplo, "100" para cn100. El estado de AWCM debería aparecer sin erroresde SSL. Si hay errores, resuélvalos antes de continuar o ACC no funcionará correctamente.

Se aplican los siguientes requisitos al componente VMware Identity Manager Connector.

n Los puertos 80 y 8443 deben estar disponibles en el servidor de Windows. Si otros servicios estánusando estos puertos, no podrá instalar el componente VMware Identity Manager Connector.

n El servidor de Windows debe estar unido al dominio y debe instalar el componente VMware IdentityManager Connector como un usuario de dominio que forma parte del grupo de administradores en elservidor de Windows en los siguientes casos.

n Si tiene previsto conectarse a Active Directory (autenticación de Windows integrada)

n Si tiene previsto utilizar la autenticación Kerberos


VMware, Inc. 29

n Si tiene previsto integrar Horizon View con VMware Identity Manager y quiere usar las opcionesRealizar sincronización de directorio o Configurar servidor de conexión 5.x.

En estos casos, también debe ejecutar el servicio de IDM Connector como usuario de dominiodurante la instalación.

n Para que el instalador pueda acceder a los dominios y a los usuarios y pueda validarlos durante lainstalación, deben cumplirse los siguientes requisitos.

n El sistema de destino debe estar unido al dominio.

n El servicio Explorador de equipos debe estar habilitado y en ejecución.

n El firewall debe configurarse con una excepción para el servicio Explorador de equipos.

n Debe habilitarse NetBIOS a través de TCP/IP en el sistema de destino.

n Debe configurarse un sistema de explorador principal en la red.

n Debe habilitarse el tráfico de difusión en la red.

n La ruta del directorio en el que se instala VMware Identity Manager Connector no debe contener unespacio o, de lo contrario, se producirá un error en la instalación. Por ejemplo, una instalación enC:\Program Files presenta un error, mientras que una instalación en C:\VMware se realizacorrectamente.

Procedimiento

1 Haga doble clic en el instalador.

2 En la pantalla Bienvenido, haga clic en Siguiente.

El instalador comprueba los requisitos en el servidor. Si .NET Framework no está instalado, se lepedirá que lo instale y que reinicie el servidor. Después de reiniciarlo, vuelva a ejecutar el instaladorde Enterprise Systems Connector para reanudar el proceso de instalación.

Si hay una versión anterior instalada, el instalador la detecta automáticamente y ofrece la opción deactualizarla a la versión más reciente. Para obtener más información sobre la actualización de ACC,consulte Actualizaciones de ACC. Para obtener más información sobre cómo actualizar el conectorde VMware Identity Manager, consulte Actualizar el VMware Identity Manager Conector.

3 Acepte el acuerdo de licencia y haga clic en Siguiente.

4 En la página de instalación personalizada, seleccione los componentes que se van a instalar.

De forma predeterminada, tanto AirWatch Cloud Connector como VMware Identity ManagerConnector están seleccionados. Para anular la selección de un componente, haga clic en la flechade expansión y seleccione Esta característica no estará disponible.

Para obtener más información sobre los componentes, consulte Determinar qué componentesinstalar.


VMware, Inc. 30

5 Si es necesario, seleccione la opción Cambiar... para cambiar el directorio de instalación. A

continuación, haga clic en Siguiente.

NOTA: La ruta de acceso del directorio de instalación no puede contener un espacio o, de locontrario, se producirá un error en la instalación. Por ejemplo, una instalación en C:\Program Filespresenta un error, mientras que una instalación en C:\VMware se realiza correctamente.

El componente VMware Identity Manager Connector requiere Java Runtime Environment (JRE™). Siel servidor de Windows no tiene JRE instalado o si tiene una versión anterior a la que se incluye conel instalador, se le solicitará que lo instale. Tenga en cuenta que las versiones de JRE existentes nose eliminan cuando se instala la versión necesaria.

6 Compruebe la carpeta de destino y, a continuación, haga clic en Siguiente.

7 Introduzca la contraseña del certificado de ACC que proporcionó en la página Configuración delsistema de AirWatch y, a continuación, haga clic en Siguiente.


VMware, Inc. 31

8 Si tiene previsto establecer conexiones proxy del tráfico de ACC a través de un proxy saliente,

seleccione la casilla de verificación y proporcione la información del servidor proxy.

Si es necesario, introduzca el nombre de usuario y la contraseña.

NOTA: La configuración de esta página solo se aplica a ACC. La información del servidor proxypara VMware Identity Manager Connector se introduce por separado más adelante.

9 Haga clic en Siguiente.


VMware, Inc. 32

10 (Solo VMware Identity Manager Connector) En la página de configuración de IDM Connector,introduzca la siguiente información y, a continuación, haga clic en Siguiente.

Opción Descripción

Puerto de IDM Connector Introduzca un número de puerto si desea que VMware Identity ManagerConnector se ejecute en un puerto distinto al 443.

¿Desea utilizar su propio certificadoSSL?

De forma predeterminada, se genera un certificado autofirmado para VMwareIdentity Manager Connector durante el proceso de instalación. Puede instalar uncertificado firmado más tarde si inicia sesión en las páginas de administración delconector en https://NombreHostvidmConnector:8443/cfg/login y accede a lapágina de instalar el certificado.

Si ya dispone de un certificado y desea instalarlo ahora, seleccione la casilla deverificación y, a continuación, seleccione el certificado e introduzca la contraseñadel certificado. El certificado debe estar en formato PFX.

¿Está usando un proxy HTTPS? Si es necesario, seleccione esta opción para configurar un servidor proxy HTTPSpara las comunicaciones salientes.

Proxy HTTPS: la URL del servidor proxy.

Puerto de proxy: el puerto del servidor proxy HTTPS.

Hosts que no son proxy: hosts a los que puede acceder VMware IdentityManager Connector sin tener que pasar por el servidor proxy. Por ejemplo,localhost o los hosts en la misma subred.


VMware, Inc. 33

11 (Solo VMware Identity Manager Connector) En la página de activación de VMware IDM Connector,seleccione la casilla de verificación si desea activar el conector inmediatamente.


Código de activación Si VMware Identity Manager está configurado en el grupo organizativo deAirWatch desde el que descargó el instalador, este campo se rellenarápreviamente con el código de activación.

Si el campo no se rellena automáticamente, genere un código de activación en laconsola de administración de VMware Identity Manager, cópielo y péguelo aquí.Para obtener más información, consulte Generar código de activación paraVMware Identity Manager Connector.

Contraseña del administrador Cree una contraseña para las páginas de administración del conector. Puedeacceder a estas páginas para recopilar paquetes de archivos de registro y paracargar certificados.

Confirmar contraseña Vuelva a introducir la contraseña. Si no activa VMware Identity Manager Connector ahora, puede activarlo en otro momento desdehttps://NombreHostvidmConnector:8443. Por ejemplo, https://myconnector.example.com:8443.


13 (Solo VMware Identity Manager Connector) En la página de la cuenta de servicio de IDM Connector,seleccione la casilla de verificación si desea ejecutar el servicio de IDM Connector como un usuariode dominio de Windows.

Debe ejecutar el servicio como un usuario de dominio en los siguientes casos.

n Si tiene previsto conectarse a Active Directory (autenticación de Windows integrada)


n Si tiene previsto integrar Horizon View con VMware Identity Manager y desea usar las opcionesRealizar sincronización de directorio o Configurar servidor de conexión 5.x.


VMware, Inc. 34

NOTA: Para realizar cualquier selección en esta página, debe ejecutar el instalador como unusuario de dominio que forma parte del grupo de administradores en el servidor de Windows.

NOTA: Si no encuentra dominios ni usuarios al hacer clic en Examinar, compruebe que cumple losrequisitos.


15 Haga clic en Instalar para comenzar la instalación.

El instalador muestra una casilla de verificación para actualizar ACC de forma automática. Paraobtener más información sobre la actualización automática, consulte la información sobre la opciónde actualización automática de ACC.

16 Haga clic en Finalizar.

Comprobar que Enterprise Systems Connector se instalócorrectamenteDespués de instalar Enterprise Systems Connector, puede verificar que la instalación se realizócorrectamente desde la consola de AirWatch.

NOTA: La opción Probar conexión solo se aplica al componente ACC deEnterprise Systems Connector. No se aplica al componente VMware Identity Manager Connector.

Procedimiento

1 Acceda a Grupos y ajustes > Todos los ajustes > Sistema > Integración empresarial > CloudConnector.


VMware, Inc. 35

2 Seleccione la opción Probar conexión en la parte inferior de la pantalla y aparecerá el siguientemensaje.

3 Si está migrando, determine qué funciones son nuevas y pruebe las nuevas funcionalidades para

verificar que la migración se realizó correctamente.

Qué hacer a continuación

Ahora que Enterprise Systems Connector está instalado correctamente, puede usarlo para integrarlo conla infraestructura del servicio del directorio.


VMware, Inc. 36

Administración de ACC 4Esta sección contiene información sobre cómo actualizar el componente ACC y sobre cómo volver agenerar certificados.


n Actualizaciones de ACC

n Realizar una actualización de ACC manual

n Regenerar certificados

Actualizaciones de ACCActualice AirWatch Cloud Connector (ACC) desde la consola de AirWatch para sacar el máximo partidode las correcciones de errores y de las mejoras más recientes. Puede automatizar este procesomediante la opción de actualización automática de ACC o ejecutarlo manualmente en situaciones en lasque el control administrativo es una prioridad.

NOTA: Para obtener información sobre la actualización del componente VMware Identity ManagerConnector, consulte Actualizar el VMware Identity Manager Conector.

Actualización automática de ACCCuando instale ACC, la casilla de verificación de actualización automática se selecciona de formapredeterminada. La actualización automática permite que ACC se actualice automáticamente a la versiónmás reciente sin que intervenga el usuario, ya que solicita a AirWatch las versiones más recientes ACC.AirWatch le recomienda permitir la actualización automática (no desmarque la casilla de verificación). Sinembargo, es opcional para aquellos entornos y situaciones en las que se prefieren las actualizacionesmanuales.

NOTA: La opción de actualización automática solo se aplica al componente ACC deEnterprise Systems Connector. No se aplica al componente VMware Identity Manager Connector.

Ventajas de la actualización automátican No es necesario determinar manualmente si necesita actualizar y buscar la versión más reciente de

ACC, ya que el software lo hace por usted.

VMware, Inc. 37

n Siempre contará con las últimas funciones, mejoras y correcciones,

n y lo más importante: tendrá las medidas de seguridad más recientes.

Proceso de actualizaciónLa actualización automática de ACC se realiza utilizando las carpetas Banco1 y Banco2 que seencuentran en la carpeta Cloud Connector. AirWatch detecta cuál de estas carpetas está vacía y envíalos archivos de ACC adecuados a dicha carpeta, además de vaciar el contenido de la otra. Para laactualización posterior, AirWatch repite todo el proceso, excepto la carpeta alternativa. Este proceso serepite cada vez que se actualiza una nueva versión automáticamente. Este proceso se muestra en lafigura Flujo del proceso de actualización.

IMPORTANTE: No elimine las carpetas Banco1 ni Banco2. Las carpetas Banco1 y Banco2 sonesenciales para el proceso de actualización automática de ACC.

Figura 4‑1. Flujo del proceso de actualización

Seguridad de la actualización automáticaLas actualizaciones automáticas de ACC se realizan teniendo en cuenta la seguridad. La consola deAirWatch firma las actualizaciones y ACC las verifica, para que solo se actualicen con una actualizaciónde confianza. El proceso de actualización también es transparente para el administrador de AirWatch.ACC sabe cuándo hay una versión más reciente disponible al solicitarla a través del puerto 443 de laconsola de AirWatch y, cuando la hay, se produce la actualización.

ACC no estará disponible mientras se actualiza a la versión más reciente, por lo que se producirá unabreve pérdida de servicio (es decir, aprox. 1 minuto). Cuando se instalan varios servidores ACC,AirWatch incorpora un temporizador aleatorio al proceso de actualización para que se produzcaninterrupciones de ACC en diferentes momentos durante períodos breves de tiempo y, así, asegurarse deque todos los servicios de ACC no estén inactivos al mismo tiempo.

Si ACC se actualiza automáticamente, la versión que aparece en Agregar o quitar programas nocambiará: la versión original seguirá apareciendo. La versión que aparece en Agregar o quitar programascambiará solo cuando ejecute el instalador completo de ACC. La mejor forma de comprobar si laactualización automática se realizó correctamente es buscar en los registros ACC qué versión está enejecución.


VMware, Inc. 38

Efectos de deshabilitar la actualización automáticaSi elige deshabilitar esta función y ACC no se actualiza, ACC permanece operativo hasta que se producecualquiera de las siguientes situaciones.

n ACC se apaga y, a continuación, se enciende (intencionadamente o por un corte de suministroeléctrico).

n ACC debe volver a instalarse.

n La consola de AirWatch se actualizó a una versión posterior.

n Se vuelven a generar los certificados de AirWatch, AWCM o ACC. Cuando se vuelvan a generar loscertificados, se debe instalar y reiniciar la versión más reciente de ACC para que estos sereconozcan.

Realizar una actualización de ACC manualAirWatch no recomienda realizar una actualización manual de ACC, pero este método está disponiblecomo opción si se ajusta mejor a las necesidades de su entorno. Para obtener más información sobre laalternativa, consulte el apartado sobre la actualización automática de ACC.

Procedimiento

1 Asegúrese de que la actualización automática esté desactivada en la consola de AirWatch. Estaacción guardará los archivos .zip de ACC más recientes en los servidores de ACC cuando la consolase actualiza. Asimismo, también creará entradas en el archivo de registro de ACC para notificarleque es necesario actualizar ACC.

2 Detenga el servicio de AirWatch Cloud Connector.

3 Realice uno de los siguientes métodos.

a El primer método es descomprimir manualmente los archivos .zip de ACC en la carpeta Bancoque se menciona en el archivo de registro. Sobrescriba los archivos existentes en esta carpeta oelimine todos los archivos. Al reiniciar el servicio de Cloud Connector, se actualizará la versión deACC.

b El segundo método es utilizar cualquiera de las carpetas Banco. En este caso, mantenga losarchivos .config o .config.old disponibles en la otra carpeta Banco, para que el archivo .config sepueda reparar con los valores personalizados. Descomprima los archivos y reinicie el servicio deCloud Connector, que se ejecutará con la versión actualizada.

Regenerar certificadosEs posible que necesite volver a generar los certificados que usa para los servidores de AirWatch y deAirWatch Cloud Connector (ACC), por ejemplo, si caducan o si la organización necesita que se realiceeste proceso de forma regular. El proceso es simple y se lleva a cabo en la consola de AirWatch; sinembargo, es necesario que descargue y ejecute el instalador de ACC de nuevo.


VMware, Inc. 39

Los certificados contienen una huella digital y la fecha de caducidad. Ambos valores se pueden eliminary regenerar al mismo tiempo seleccionando el botón Generar certificados de nuevo y siguiendo lasinstrucciones. Si regenera los certificados, ACC ya no podrá comunicarse con AirWatch y será necesarioque vuelva a realizar la instalación para permitir que ambos servidores reconozcan los nuevoscertificados.

Procedimiento

1 Acceda a Grupos y ajustes > Todos los ajustes > Sistema > Integración empresarial > CloudConnector. Ambos certificados, las huellas digitales y las fechas de caducidad aparecen en lapestaña Avanzado.

2 Seleccione Generar certificados de nuevo para generar un nuevo certificado para los servidores deACC y de AirWatch.


VMware, Inc. 40

3 Si es necesario, introduzca el PIN de seguridad para confirmar la acción y acepte el mensaje deadvertencia. Se eliminan los certificados antiguos y se vuelven a generar los nuevos, las huellasdigitales y las fechas de caducidad.

Figura 4‑2.

Al introducir el PIN para confirmar, ACC ya no puede comunicarse con el servidor de AirWatch. Pararestaurar la comunicación entre ACC y el servidor de AirWatch, vuelva a Instalar ACC y complete todoslos pasos de nuevo. De esta forma, se permite que los dos servidores puedan reconocer el certificadomás reciente y recuperar las comunicaciones.


VMware, Inc. 41

Administración y configuraciónde VMware Identity ManagerConnector 5Esta sección contiene información sobre cómo configurar VMware Identity Manager Connector ygestionar la configuración del administrador. También incluye información de configuración avanzada.

Este capítulo cubre los siguientes temas:n Configurar VMware Identity Manager Connector

n Administrar las opciones de configuración del conector de VMware Identity Manager

n Habilitar la configuración del proxy tras la instalación

n Configurar alta disponibilidad para VMware Identity Manager Connector

n Agregar la compatibilidad con la autenticación Kerberos a la implementación de VMware IdentityManager Connector

n Eliminar una instancia de VMware Identity Manager Connector

n Actualizar el VMware Identity Manager Conector

Configurar VMware Identity Manager ConnectorDespués de instalar el componente VMware Identity Manager Connector, debe configurarlo.

Para configurar VMware Identity Manager Connector, debe realizar las siguientes tareas.

1 Genere un código de activación y active el conector si no lo hizo durante la instalación.

2 Configure un directorio.

3 Habilite los adaptadores de autenticación en el conector.

4 Habilite el modo de salida del conector.

VMware, Inc. 42

Generar código de activación para VMware Identity ManagerConnectorInicie sesión en la consola de administración de VMware Identity Manager y genere un código deactivación para VMware Identity Manager Connector. El código de activación se utiliza para establecer lacomunicación entre el arrendatario y la instancia del conector.

NOTA: Si VMware Identity Manager está configurado en el grupo organizativo de AirWatch desde elque descargó el instalador, no necesita generar el código de activación. Si va a activar el conector desdeel instalador, el campo Código de activación se rellenará automáticamente con el código de activación.Continúe con el instalador.

Prerequisitos

(Entornos de SaaS) Tiene la URL del arrendatario de VMware Identity Manager, por ejemplo,miempresa.vmwareidentity.com. Cuando reciba el correo electrónico de confirmación, diríjase a la URLdel arrendatario e inicie sesión con las credenciales de administrador local que recibió. Esteadministrador es un usuario local.

Procedimiento

1 Inicie sesión en la consola de administración.

2 (Entornos de SaaS) Haga clic en Aceptar para aceptar los Términos y condiciones.

3 Haga clic en la pestaña Administración de acceso e identidad.

4 Haga clic en Configurar.

5 En la página Conectores, haga clic en Agregar conector.

6 Introduzca un nombre para conector.

7 Haga clic en Generar código de activación.

El código de activación se muestra en la página.


VMware, Inc. 43

8 Copie el código de activación y guárdelo.


Si va a activar el componente del conector VMware Identity Manager mientras ejecuta el instalador deEnterprise Systems Connector, copie y pegue el código del conector en la página del instalador paraactivar VMware IDM Connector.

Si va a activar el componente del conector VMware Identity Manager tras la instalación, consulte ActivarVMware Identity Manager Connector.

Activar VMware Identity Manager ConnectorSi no activó VMware Identity Manager Connector desde el instalador de Enterprise Systems Connectordurante la instalación, puede activarlo en otro momento si accede a la dirección URLhttps://NombreHostvidmConnector:8443.

Prerequisitos

Tiene un código de activación del conector.

Procedimiento

1 Acceda a la dirección URL https://NombreHostvidmConnector:8443.

Especifique NombreHostvidmConnector como nombre de dominio completo. Por ejemplo,https://miconector.ejemplo.com:8443.

2 En la página principal, haga clic en Continuar.


VMware, Inc. 44

3 En la página Establecer contraseñas, cree una contraseña para las páginas de administración delconector, a continuación, haga clic en Continuar.

Puede acceder a estas páginas para recopilar paquetes de archivos de registro y para cargarcertificados.

4 En la página Activar conector, introduzca el código de activación y haga clic en Continuar.

Cuando el conector se active correctamente, aparecerá el mensaje La configuración se completó.

Configurar un directorioDespués de instalar y activar VMware Identity Manager Connector, configure un directorio en la consolade administración de VMware Identity Manager y establezca la conexión con el directorio empresarialpara sincronizar usuarios y grupos con el servicio.

VMware Identity Manager admite la integración de los siguientes tipos de directorios.

n Active Directory mediante LDAP

n Active Directory (Autenticación de Windows integrada)

n directorio LDAP

Consulte la guía Integración de directorios con VMware Identity Manager para obtener más informaciónantes de configurar el directorio. Aquí se enumeran las tareas de alto nivel.

Prerequisitos

Los requisitos dependen del tipo de directorio que esté integrando. Consulte la guía de Integración dedirectorios con VMware Identity Manager para obtener más información.

Procedimiento

1 Inicie sesión en la consola de administración de VMware Identity Manager.

Tip También puede acceder a la consola de administración haciendo clic en el vínculo Inicie sesiónen la consola de administración de la página La configuración se completó, que aparece despuésde activar el conector.


VMware, Inc. 45

2 Seleccione los atributos de usuario que se sincronizarán con el directorio.

a Haga clic en la pestaña Administración de acceso e identidad y, a continuación, enConfiguración.

b En la pestaña Atributos de usuario, seleccione los atributos obligatorios y, si es necesario,agregue atributos adicionales.

Si un atributo está marcado como obligatorio, solo se sincronizan al servicio los usuarios condicho atributo.

IMPORTANTE: Tenga en cuenta los siguientes límites.

n Después de crear el directorio, no podrá cambiar un atributo opcional a obligatorio. Debeelegir esa opción ahora.

n Las configuraciones de la página Atributos de usuario se aplican a todos los directorios delservicio. Cuando establezca un atributo como obligatorio, tenga en cuenta el efecto quepueda causar en otros directorios.

3 Haga clic en Agregar directorio y seleccione el tipo de directorio que desea agregar.

4 Siga las instrucciones del asistente para introducir la información de la configuración del directorio,seleccione los grupos y los usuarios que desea sincronizar y sincronice los usuarios al servicio deVMware Identity Manager.

Consulte "Configurar la conexión de Active Directory con el servicio" en la guía Integración dedirectorios con VMware Identity Manager para obtener más información.


Haga clic en la pestaña Usuarios y grupos y verifique que los usuarios estén sincronizados.

Habilitar los adaptadores de autenticación en VMware IdentityManager ConnectorExisten varios adaptadores de autenticación disponibles para VMware Identity Manager Connector enmodo de salida, entre los que se incluyen PasswordIdpAdapter, RSAAIdpAdapter, SecurIDAdapter yRadiusAuthAdapter. Configure y habilite los adaptadores que pretenda utilizar.

Cuando se crea el directorio, se habilita automáticamente el método de autenticación Contraseña paraél. PasswordIdpAdapter se configuró con la información que proporcionó para el directorio.

Procedimiento

1 En la consola de administración de VMware Identity Manager, haga clic en la pestañaAdministración de acceso e identidad.

2 Haga clic en Configuración y, a continuación, en la pestaña Conectores.

Aparece el conector que implementó.

3 Haga clic en el vínculo de la columna Trabajo.


VMware, Inc. 46

4 Haga clic en la pestaña Adaptadores de autenticación.

Aparecen todos los adaptadores de autenticación disponibles.

Si ya configuró un directorio, PasswordIdpAdapter ya está configurado y habilitado, con lainformación de la configuración que especificó al crear el directorio.

5 Configure y habilite los adaptadores de autenticación que desee utilizar haciendo clic en el vínculo decada uno de ellos e introduciendo la información de la configuración. Debe habilitar al menos unadaptador de autenticación.

Para obtener más información sobre cómo configurar adaptadores de autenticación específicos,consulte la Guía de administración de VMware Identity Manager.

Por ejemplo:


VMware, Inc. 47

Habilitar el modo de salida de VMware Identity ManagerConnectorPara habilitar el modo de conexión de solo salida de VMware Identity Manager Connector, asocie elconector al proveedor de identidades integrado.


VMware, Inc. 48

El proveedor de identidades integrado está disponible de forma predeterminada en el servicio deVMware Identity Manager y proporciona métodos adicionales de autenticación integrados como VMwareVerify. Para obtener más información sobre el proveedor de identidades integrado, consulte la Guía deadministración de VMware Identity Manager.

NOTA: El conector puede utilizarse simultáneamente en el modo normal y el de salida. Incluso si sehabilita el modo de salida, aún podrá configurar la autenticación de Kerberos para los usuarios internosmediante directivas y métodos de autenticación.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, haga clic enAdministrar.

2 Haga clic en la pestaña Proveedor de identidades.

3 Haga clic en el vínculo Integrado.

4 Escriba la siguiente información.


Usuarios Seleccione el directorio o los dominios que usarán el proveedor de identidadesintegrado.

Red Seleccione los rangos de red que usarán el proveedor de identidades integrado.

Conector(es) Seleccione el conector que configuró.

NOTA: Posteriormente, cuando agregue conectores adicionales para una altadisponibilidad, seleccione y agregue todos para asociarlos con el proveedor deidentidades integrado. VMware Identity Manager distribuye el tráfico de formaautomática entre todos los conectores asociados al proveedor de identidadesintegrado. No es necesario un equilibrador de carga.

Métodos de autenticación del conector Aparecen los métodos de implementación que habilitó para el conector.Seleccione los métodos de autenticación que desea utilizar.

El PasswordIdpAdapter, que se configuró y se habilitó automáticamente cuandocreó un directorio, aparece en esta página como Contraseña (implementaciónen la nube), que afirma que se utiliza con el conector en modo de salida.

Por ejemplo:


VMware, Inc. 49

5 Haga clic en Guardar para guardar la configuración del proveedor de identidades integrado.

6 Edite las directivas para usar los métodos de autenticación que habilitó.

a En la pestaña Administración de acceso e identidad, haga clic en Administrar.

b Haga clic en la pestaña Directivas y, a continuación, en la directiva que desee editar.

c En Reglas de la directiva, en la regla que desee editar, haga clic en el vínculo de la columnaMétodo de autenticación.

d En la página Editar regla de directivas, seleccione el método de autenticación que desea usarpara esta regla.


VMware, Inc. 50

e Haga clic en Aceptar.

f Haga clic en Guardar.

Para obtener más información sobre la configuración de directivas, consulte la Guía deadministración de VMware Identity Manager.

El modo de salida del conector está habilitado. Cuando un usuario inicia sesión con uno de los métodosde autenticación que habilitó para el conector en la página Proveedor de identidades integrado, no esnecesario un redireccionamiento HTTP al conector.

Administrar las opciones de configuración del conectorde VMware Identity ManagerDespués de completar la configuración inicial de VMware Identity Manager, puede ir a las páginas deadministración del conector en cualquier momento para instalar los certificados, administrar lascontraseñas y descargar los archivos de registro.

Las páginas de administración de VMware Identity Manager Connector están disponibles enhttps://connectorFQDN:8443/cfg/login, por ejemplo, https://myconnector.example.com:8443/cfg/login.Inicie sesión como usuario administrador del conector con la contraseña de administrador que creócuando instaló el conector.

Tabla 5‑1. Configuración del conector


Instalar certificados SSL En las pestañas de esta página, puede instalar un certificadoSSL para el conector, descargar el certificado raíz autofirmadoe instalar certificados raíz de confianza.

NOTA: La pestaña Certificado de acceso directo se utilizaúnicamente cuando se configura la autenticación decertificados en el conector integrado en un escenario deimplementación de DMZ. No se aplica en ningún otroescenario. Para obtener más información, consulteImplementar VMware Identity Manager en DMZ.

Cambiar contraseña Esta página permite cambiar la contraseña de administradordel conector.

Ubicaciones de los archivos de registro En esta página, puede crear y descargar un paquete dearchivos de registro del conector.

Uso de certificados SSL para el conectorAl instalar el conector de VMware Identity Manager, se genera automáticamente un certificado deservidor SSL autofirmado predeterminado. Puede seguir usando este certificado autofirmado en lamayoría de los escenarios.


VMware, Inc. 51

Con el conector implementado en el modo de salida, los usuarios finales no tienen acceso al conectordirectamente, por lo que no es necesario instalar un certificado SSL público firmado por una entidad decertificación (CA). Para tener acceso de administrador al conector, puede continuar utilizando elcertificado autofirmado predeterminado o puede utilizar un certificado generado por la entidad decertificación interna.

Sin embargo, si habilita KerberosIdpAdapter en el conector para configurar la autenticación Kerberospara los usuarios internos, los usuarios finales establecerán conexiones SSL con el conector por lo queeste debe tener un certificado SSL firmado. Use la entidad de certificación interna para generar elcertificado SSL.

Si se configura alta disponibilidad para la autenticación Kerberos, se requiere un equilibrador de cargafrente a las instancias del conector. En este caso, el equilibrador de carga y todas las instancias delconector deben tener certificados SSL firmados. Use la entidad de certificación interna para generar loscertificados SSL. Para el certificado del equilibrador de carga, utilice el nombre de host de IdP deWorkspace, que está establecido en la página de configuración de IdP de Workspace, como el nombrecomún del DN del sujeto. Para cada certificado de la instancia de conector, utilice el nombre de host delconector como el nombre común del DN del sujeto. Como alternativa, puede crear un único certificadoutilizando el nombre de host de Idp de Workspace como el nombre común del DN del sujeto y todos losnombres de host del conector, así como el nombre de host de Idp de Workspace, como nombresalternativos del sujeto (SAN).

Instalar un certificado SSL firmado del conectorPuede instalar un certificado SSL firmado para el conector de VMware Identity Manager desde laspáginas de administración del conector en https://connectorFQDN:8443/cfg/login.

Consulte Uso de certificados SSL para el conector para ver los escenarios en los que se requiere uncertificado SSL firmado.

Prerequisitos

Genere una solicitud de firma del certificado (CSR) y obtenga un certificado firmado SSL. El certificadodebe estar en formato PEM.

Procedimiento

1 Inicie sesión en las páginas de administración del conector en https://connectorFQDN:8443/cfg/logincomo usuario administrador.

2 Haga clic en Instalar certificados SSL.

3 En la pestaña Certificado de servidor para el campo Certificado SSL, seleccione Certificadopersonalizado.

4 En el cuadro de texto Cadena de certificados SSL, pegue los certificados de servidor, intermedio yraíz, en ese orden.

Debe incluir la cadena de certificados completa en el orden correcto. Para cada certificado, copietodo lo que haya entre las líneas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE----, inclusoestas líneas.


VMware, Inc. 52

5 En el cuadro de texto Clave privada, pegue la clave privada. Copie todo entre ----BEGIN RSAPRIVATE KEY y ---END RSA PRIVATE KEY.

6 Haga clic en Agregar.

Ejemplo: Ejemplos de certificados

Ejemplo de cadena de certificados

-----BEGIN CERTIFICATE-----

jlQvt9WdR9Vpg3WQT5+C3HU17bUOwvhp/r0+

...

W53+O05j5xsxzDJfWr1lqBlFF/OkIYCPcyK1

-----END CERTIFICATE-----


WdR9Vpg3WQT5+C3HU17bUOwvhp/rjlQvt90+

...

O05j5xsxzDJfWr1lqBlFF/OkIYCPW53+cyK1



dR9Vpg3WQTjlQvt9W5+C3HU17bUOwvhp/r0+

...

5j5xsxzDJfWr1lqW53+O0BlFF/OkIYCPcyK1


Ejemplo de clave privada

-----BEGIN RSA PRIVATE KEY-----

jlQvtg3WQT5+C3HU17bU9WdR9VpOwvhp/r0+

...

...

...

1lqBlFFW53+O05j5xsxzDJfWr/OkIYCPcyK1

-----END RSA PRIVATE KEY-----

Descargar el certificado de CA raíz autofirmado del conectorSi implementa el conector con el certificado SSL autofirmado que se genera de forma predeterminadacuando se instala el conector, instale el certificado de CA raíz autofirmado del conector en todos losclientes que accedan al conector. Puede descargar el certificado de CA raíz desde la consola deadministración de VMware Identity Manager.

Procedimiento

1 Inicie sesión en las páginas de administración del conector de VMware Identity Manager enhttps://connectorFQDN:8443/cfg/login como usuario administrador.

2 Haga clic en Instalar certificados SSL.


VMware, Inc. 53

3 En la pestaña Certificado de servidor, haga clic en el vínculo en el campo Certificados de entidadde certificación raíz autofirmados del dispositivo.

Se muestran los certificados.

4 Copie el texto completo, incluso las líneas ---BEGIN CERTIFICATE--- y ---END CERTIFICATE---.

Instalar certificados raíz de confianza en el conectorInstale los certificados intermedios y raíz en los que deba confiar el conector de VMware IdentityManager. El conector podrá establecer conexiones seguras con los servidores cuya cadena decertificados incluya alguno de estos certificados.

Los escenarios en los que es necesario instalar certificados raíz de confianza en el conector son, entreotros, los siguientes:

n Si configuró un equilibrador de carga para alta disponibilidad de la autenticación Kerberos, instale elcertificado de CA raíz del equilibrador de carga en las instancias del conector para establecer laconfianza entre los conectores y el equilibrador de carga.

n Si ha integrado recursos publicados de Citrix, instale el certificado SSL de Integration Broker en losconectores que se comunicarán con Integration Broker.

Procedimiento


2 Haga clic en Instalar certificados SSL y, a continuación, seleccione la pestaña CA de confianza.

3 Pegue el certificado raíz o intermedio en el cuadro de texto.

Incluya todo lo que haya entre las líneas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE----,incluso estas líneas.


Administrar sus contraseñas del conector deVMware Identity ManagerAl instalar VMware Identity Manager Connector, se crea una contraseña para el usuario administrador.Puede cambiar esta contraseña en las páginas de administración del conector.

IMPORTANTE: Asegúrese de crear contraseñas seguras. Las contraseñas seguras deben tener almenos ocho caracteres e incluir mayúsculas, minúsculas y al menos un dígito o un carácter especial.

Procedimiento


2 Haga clic en Cambiar contraseña.


VMware, Inc. 54

3 Introduzca las contraseñas antigua y nueva.

IMPORTANTE: La contraseña del usuario administrador debe tener 6 caracteres como mínimo.

4 Haga clic en Guardar.

Consultar los archivos de registroLos archivos de registro de VMware Identity Manager Connector pueden ser útiles para depurar errores ysolucionar problemas. Puede encontrar los archivos de registro en el directorioDirectorioInstalación\IDMConnector\opt\vmware\horizon\workspace\logs.

Los siguientes archivos de registro son los más importantes.

Tabla 5‑2. Archivos de registro

ComponenteUbicación del archivo de registroen Windows Descripción

Registros delconfigurador

DirectorioInstalación\IDMConne

ctor\opt\vmware\horizon\worksp

ace\logs\configurator.log

Solicitudes que recibe el configurador delcliente de REST y de la interfaz web.

Registros delconector



ace\logs\connector.log

Un registro de cada solicitud recibida desdela interfaz web. Cada entrada del registroincluye también la URL, la marca de hora ylas excepciones de la solicitud. No seregistra ninguna acción de sincronización.

Registros deApache Tomcat



ace\logs\catalina.log

Apache Tomcat registra los mensajes queno se registran en otros archivos deregistro.

También puede descargar un paquete de archivos de registro de las páginas de administración deVMware Identity Manager Connector.

Descargar un paquete de registrosPuede descargar un paquete de archivos de registro para VMware Identity Manager Connector desde laspáginas de administración del conector. Los archivos de registro pueden ser útiles para depurar errores ysolucionar problemas.

Para recopilar registros de cada instancia del conector del entorno, inicie sesión en las páginas deadministración de cada instancia.

Procedimiento

1 Inicie sesión en las páginas de administración de VMware Identity Manager Connector enhttps://connectorFQDN:8443/cfg/login como usuario administrador.

2 Haga clic en Ubicaciones de los archivos de registro y en Preparar paquete de registro.

La información se recopila en un archivo zip que puede descargar.

3 Descargue el paquete de registros.


VMware, Inc. 55

Establecer el nivel de registro de VMware Identity Manager Connector enDEBUGPuede establecer el nivel de registro en DEBUG para registrar información adicional que puede ayudar adepurar problemas.

Procedimiento

1 En el servidor de Windows en el que está instalado el conector, vaya al directorioinstall_dir\IDMConnector\usr\local\horizon\conf\.

2 Actualice el nivel de registro en los archivos cfg-log4j.properties y hc-log4j.properties, queson los archivos log4j más comúnmente usados para el conector.

a Edite el archivo.

b En las líneas que tienen el nivel de registro establecido en INFO, reemplace INFO por DEBUG.

Por ejemplo, cambie:

rootLogger.level=INFO

por:

rootLogger.level=DEBUG

c Guarde el archivo.

No se requiere un reinicio del servicio o del sistema.

Habilitar la configuración del proxy tras la instalaciónSi no configuró los ajustes del proxy HTTPS para el componente de VMware Identity Manager Connectordurante la instalación, puede configurarlos más tarde mediante de un archivo de configuraciones deproxy.

Procedimiento

1 Inicie sesión en el servidor de Windows.

2 Cree el siguiente archivo:

install_dir\opt\vmware\horizon\workspace\bin\proxySettings.bat

3 Agregue la siguiente configuración al archivo:

set "PROXY_OPTS=-Dhttps.proxyHost=proxyhost -Dhttp.proxyHost=proxyhost -

Dhttps.proxyPort=proxyport -Dhttp.proxyPort=proxyport"

donde proxyhost es el servidor proxy HTTPS y proxyport es el puerto del servidor proxy HTTPS.

Para especificar los hosts que no son proxy, hosts a los que debe accederse sin pasar a través delservidor proxy, agregue lo siguiente a la configuración de PROXY_OPTS:

-Dhttps.nonProxyHosts=hostList -Dhttp.nonProxyHosts=hostList


VMware, Inc. 56

donde hostList es una lista de hosts delimitada por |. También puede incluir caracteres comodín. Porejemplo:

-Dhttps.nonProxyHosts=*.example.com|localhost -Dhttp.nonProxyHosts=*.example.com|

localhost

4 Guarde el archivo.

5 Ejecute el siguiente script para reiniciar el servicio.

install_dir\usr\local\horizon\scripts\horizonService.bat restart

IMPORTANTE: No reinicie el servicio desde el panel Servicios, dado que la configuración no seactualizará correctamente.

Configurar alta disponibilidad para VMware IdentityManager ConnectorPuede configurar VMware Identity Manager Connector para obtener alta disponibilidad y conmutaciónpor error. Para ello, agregue varias instancias del conector a un clúster. Aunque una de las instancias delconector deje de estar disponible por algún motivo, el resto de las instancias seguirá disponible.

Para crear un clúster, instale nuevas instancias del conector y configúrelas exactamente igual que elprimer conector.

A continuación debe asociar todas las instancias del conector con el proveedor de identidades integrado.El servicio de VMware Identity Manager distribuye el tráfico de forma automática entre todos losconectores asociados al proveedor de identidades integrado. No es necesario un equilibrador de carga.Si uno de los conectores no se encuentra disponible por un problema de red, el servicio no le enviará eltráfico. Cuando se restaura la conectividad, el servicio reanuda el envío del tráfico al conector.

Después de configurar el clúster del conector, los métodos de autenticación que habilitó en el conectorson de alta disponibilidad. La autenticación sigue disponible aunque una de las instancias del conectorno lo esté. Sin embargo, en la sincronización de directorios, tendrá que seleccionar manualmente otrainstancia del conector como el conector de sincronización si se produce un error en la instancia delconector. La sincronización de directorio solo se puede habilitar en un conector cada vez.

NOTA: Esta sección no se aplica a la alta disponibilidad de la autenticación Kerberos. Consulte Agregarla compatibilidad con la autenticación Kerberos a la implementación de VMware Identity ManagerConnector.


VMware, Inc. 57

Instalar instancias adicionales de VMware Identity ManagerConnectorDespués de instalar y configurar la primera instancia de VMware Identity Manager Connector, puedeagregar conectores adicionales para obtener una alta disponibilidad al instalar nuevas instancias delconector y configurarlas del mismo modo que la primera.

IMPORTANTE: Las nuevas instancias del conector deben activarse con el mismo servicio deVMware Identity Manager que la primera instancia del conector.

Prerequisitos

Debe tener instalada y configurada la primera instancia del conector, como se describe en Ejecutar elinstalador de Enterprise Systems Connector.

Procedimiento

1 Siga estas instrucciones para instalar y configurar una nueva instancia de VMware Identity ManagerConnector.

n Ejecutar el instalador de Enterprise Systems Connector

n Configurar VMware Identity Manager Connector

IMPORTANTE: Debe activar la nueva instancia del conector con el mismo servicio de VMwareIdentity Manager que el primer conector.

2 Asocie el nuevo VMware Identity Manager Connector con el WorkspaceIDP de la primera instanciadel conector.

a En la consola de administración de VMware Identity Manager, seleccione la pestañaAdministración de acceso e identidad y, a continuación, seleccione la pestaña Proveedoresde identidades.

b En la página Proveedores de identidades, busque el WorkspaceIDP de la primera instancia delconector y haga clic en el vínculo.

c En el campo Conector(es), seleccione el nuevo conector.

d Introduzca la contraseña DN de enlace y haga clic en Agregar conector.

e Haga clic en Guardar.


VMware, Inc. 58

3 Configure y habilite los adaptadores de autenticación en el nuevo conector.

IMPORTANTE: Los adaptadores de autenticación de todos los conectores del clúster deben tenerla misma configuración. Se deben habilitar los mismos métodos de autenticación en todos losconectores.

a En la pestaña Administración de acceso e identidad, haga clic en Configurar y, acontinuación, haga clic en la pestaña Directorios.

b Haga clic en el vínculo de la columna Trabajo del nuevo conector.

c Haga clic en la pestaña Adaptadores de autenticación.

Aparecen todos los adaptadores de autenticación disponibles.

PasswordIdpAdapter ya está configurado y habilitado porque asoció el nuevo conector con eldirectorio asociado con el primer conector.

d Configure y habilite los otros adaptadores de autenticación del mismo modo que el primerconector. Asegúrese de que la información de configuración sea idéntica.

Para obtener más información sobre la configuración de los adaptadores de autenticación,consulte la Guía de administración de VMware Identity Manager.


Agregar nuevas instancias de VMware Identity Manager Connector al proveedor de identidadesintegrado

Agregar nuevas instancias de VMware Identity ManagerConnector al proveedor de identidades integradoDespués de implementar y configurar las nuevas instancias de VMware Identity Manager Connector,agréguelas al proveedor de identidades integrado y habilite los mismos métodos de autenticación queestán habilitados en el primer conector. VMware Identity Manager distribuye el tráfico de formaautomática entre todos los conectores asociados al proveedor de identidades integrado.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración deVMware Identity Manager, haga clic en Administrar.


3 Haga clic en el vínculo Integrado.

4 En el campo Conector(es), seleccione el nuevo conector de la lista desplegable y haga clic enAgregar conector.


VMware, Inc. 59

5 En la sección Métodos de autenticación del conector, habilite los mismos métodos deautenticación que habilitó para el primer conector.

El método de autenticación Contraseña (implementación en la nube) se configura y se habilitaautomáticamente. Debe habilitar los otros métodos de autenticación.

IMPORTANTE: Los adaptadores de autenticación de todos los conectores del clúster deben tenerla misma configuración. Se deben habilitar los mismos métodos de autenticación en todos losconectores.

Para obtener más información sobre cómo configurar adaptadores de autenticación específicos,consulte la Guía de administración de VMware Identity Manager.

6 Haga clic en Guardar para guardar la configuración del proveedor de identidades integrado.

Habilitar la sincronización de directorio en otro conector en casode errorEn caso de error en la instancia del conector, otra instancia gestiona la autenticación la gestionaautomáticamente. No obstante, para la sincronización del directorio debe modificar la configuración deldirectorio en el servicio de VMware Identity Manager para utilizar otra instancia del conector en lugar dela original. La sincronización de directorio solo se puede habilitar en un conector cada vez.

Procedimiento


2 Haga clic en la pestaña Administración de acceso e identidad y, a continuación, en Directorios.

3 Haga clic en el directorio asociado al a instancia del conector original.

Tip Puede consultar esta información en la página Configuración > Conectores.

4 En la sección Sincronización y autenticación de directorios de la página del directorio, en la listadesplegable Conector de sincronización, seleccione otra instancia del conector.

5 En el cuadro de texto Contraseña del DN de enlace, introduzca la contraseña de la cuenta deenlace de Active Directory.



VMware, Inc. 60

Agregar la compatibilidad con la autenticación Kerberosa la implementación de VMware Identity ManagerConnectorPuede agregar a la implementación para los usuarios internos la autenticación Kerberos, que requiere elmodo de conexión entrante, a la implementación de los conectores de modo de conexión de salida.Puede configurar los mismos conectores para que los usuarios de la red interna usen la autenticaciónKerberos y los usuarios externos usen otro método de autenticación. Para hacerlo, defina directivas deautenticación en función de rangos de redes.

Requisitos y consideraciones incluye lo siguiente:

n La autenticación Kerberos se puede configurar independientemente del tipo de directorio configuradoen VMware Identity Manager, Active Directory mediante LDAP o Active Directory (Autenticación deWindows integrada).

n La máquina Windows en la que se ha instalado el componente del conector deVMware Identity Manager debe estar conectada al dominio.

n Debe instalar el componente VMware Identity Manager Connector como usuario de dominio incluidodentro del grupo de administradores en la máquina Windows y debe ejecutar el servicio de VMwareIDM Connector como usuario del dominio Windows.

n Cada conector en el que se configura la autenticación Kerberos debe tener un certificado SSL deconfianza. Puede obtener el certificado de la entidad de certificación interna. La autenticaciónKerberos no funciona con certificados autofirmados.

Se requieren certificados SSL de confianza, independientemente de si se habilita Kerberos en unsolo conector o en varios conectores para alta disponibilidad.

n Para configurar una alta disponibilidad para la autenticación Kerberos, es necesario un equilibradorde carga.

Configurar y habilitar el adaptador de autenticación KerberosConfigure y habilite KerberosIdpAdapter en VMware Identity Manager Connector. Si implementó unclúster para la alta disponibilidad, configure y habilite el adaptador en todos los conectores del clúster.

IMPORTANTE: Los adaptadores de autenticación de todos los conectores del clúster deben tener lamisma configuración. Se deben configurar los mismos métodos de autenticación en todos losconectores.

Cuando configure el adaptador de autenticación Kerberos, el conector VMware Identity Manager intentainicializar Kerberos automáticamente. Si el servicio de VMware IDM Connector no se está ejecutandocon privilegios suficientes para inicializar Kerberos, aparece un mensaje de error. En este caso, siga lasinstrucciones que aparecen en http://kb.vmware.com/kb/2149753 para ejecutar un script para inicializarKerberos.


VMware, Inc. 61

http://kb.vmware.com/kb/2149753

Para obtener más información sobre la configuración de la autenticación Kerberos, consulte la Guía deadministración de VMware Identity Manager.

Prerequisitos

n La máquina Windows donde el conector de VMware Identity Manager está instalado debe estarconectada al dominio.

n Debe instalar el componente VMware Identity Manager Connector como usuario de dominio incluidodentro del grupo de administradores en la máquina Windows y debe ejecutar el servicio de VMwareIDM Connector como usuario del dominio Windows.

Procedimiento

1 En la consola de administración de VMware Identity Manager, haga clic en la pestañaAdministración de acceso e identidad.

2 Haga clic en Configuración y, a continuación, en la pestaña Conectores.

Aparecen todos los conectores que implementó.

3 Haga clic en el vínculo de la columna Trabajo de uno de los conectores.

4 Haga clic en la pestaña Adaptadores de autenticación.

5 Haga clic en el vínculo KerberosIdpAdapter, configure y habilite el adaptador.


Nombre El nombre predeterminado de los adaptadores es KerberosIdpAdapter. Puedecambiarlo.

Atributo de UID de directorio El atributo de la cuenta que contiene el nombre de usuario.

Habilitar autenticación de Windows Seleccione esta opción.

Habilitar redireccionamiento Si cuenta con varios conectores en un clúster y piensa configurar la altadisponibilidad de Kerberos con un equilibrador de carga, seleccione esta opción yespecifique un valor para Nombre del host de redireccionamiento.

Si la implementación solo tiene un conector, no necesita usar las opcionesHabilitar redireccionamiento ni Nombre del host de redireccionamiento.

Nombre del host deredireccionamiento

Es necesario un valor si se selecciona la opción Habilitar redireccionamiento.Introduzca el propio nombre del host del conector. Por ejemplo, si el nombre delhost del conector es conector1.ejemplo.com, introduzcaconector1.ejemplo.com en el cuadro de texto.


VMware, Inc. 62

Por ejemplo:

Para obtener más información sobre KerberosIdPAdapter, consulte la Guía de administración deVMware Identity Manager.


NOTA: Si aparece un error que indica que no se pudo inicializar Kerberos, ejecute el script deinicialización de Kerberos manualmente siguiendo las instrucciones que aparecen en http://kb.vmware.com/kb/2149753 y, a continuación, vuelva a esta página y configure el adaptador.

7 Si implementó un clúster, configure KerberosIdPAdapter en todos los conectores del clúster.

Asegúrese de configurar el adaptador exactamente igual en todos los conectores, excepto el valordel nombre del host de redireccionamiento, que debe ser específico para cada conector.


n Asegúrese de que cada conector en el que esté habilitado KerberosIdpAdapter tenga un certificadoSSL de confianza. Puede obtener el certificado de la entidad de certificación interna. La autenticaciónKerberos no funciona con certificados autofirmados.

Se requieren certificados SSL de confianza, independientemente de si se habilita Kerberos en unsolo conector o en varios conectores para alta disponibilidad.

n Si es necesario, configure la alta disponibilidad para la autenticación Kerberos. La autenticaciónKerberos no cuenta con alta disponibilidad sin un equilibrador de carga.

Configurar alta disponibilidad para la autenticación KerberosPara configurar una alta disponibilidad en la autenticación Kerberos, instale un equilibrador de carga enla red interna dentro del firewall y agregue las instancias de VMware Identity Manager Connector.

También debe configurar algunas opciones en el equilibrador de carga, establecer una confianza SSLentre el equilibrador de carga y las instancias del conector y cambiar la URL de autenticación delconector para usar el nombre del host del equilibrador de carga.


VMware, Inc. 63

http://kb.vmware.com/kb/2149753

Establecer la configuración de equilibrador de cargaDebe configurar ciertas opciones en el equilibrador de carga, como establecer el tiempo de espera delequilibrador de carga correctamente y habilitar sesiones sticky.

Configure estas opciones.

n Tiempo de espera del equilibrador de carga

Para que el VMware Identity Manager Connector funcione correctamente, es posible que necesiteaumentar el valor predeterminado correspondiente al tiempo de espera para las solicitudes delequilibrador de carga. Este valor se expresa en minutos. Si el valor del tiempo de espera esdemasiado bajo, es posible que aparezca el siguiente error.

Error 502: El servicio no está disponible actualmente

n Habilitar sesiones sticky

Debe habilitar la configuración de las sesiones sticky en el equilibrador de carga si la implementacióntiene varias instancias conectoras. El equilibrador de carga enlazará entonces la sesión de unusuario a una instancia de conector específica.

Aplicar el certificado raíz de VMware Identity Manager Connector alequilibrador de cargaCuando VMware Identity Manager Connector se configure tras un equilibrador de carga, deberáestablecer la confianza SSL entre este y el conector. El certificado raíz de conector se debe copiar en elequilibrador de carga como un certificado raíz de confianza.

El certificado de VMware Identity Manager Connector puede descargarse de las páginas deadministración del conector en https://FQDNconector:8443/cfg/ssl.

Si el nombre de dominio del conector se dirige a un equilibrador de carga, el certificado SSL solo sepuede aplicar al equilibrador de carga.

Procedimiento


2 Seleccione Instalar certificados SSL.


VMware, Inc. 64

3 En la pestaña Certificado de servidor, haga clic en el vínculo en el campo Certificados de entidadde certificación raíz autofirmados del dispositivo.

4 Copie todo lo que hay entre las líneas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE----,incluyendo estas líneas, y pegue el certificado raíz en la ubicación correcta de cada uno de susequilibradores de carga. Consulte la documentación del equilibrador de carga.


Copie y pegue el certificado raíz del equilibrador de carga en VMware Identity Manager Connector.

Aplicar el certificado raíz del equilibrador de carga a VMware IdentityManager ConnectorCuando VMware Identity Manager Connector se configure tras un equilibrador de carga, deberáestablecer la confianza entre este y el conector. Además de copiar el certificado raíz del conector en elequilibrador de carga, deberá copiar el certificado del equilibrador de carga en el conector.

Procedimiento

1 Obtenga el certificado raíz del equilibrador de carga.

2 Acceda a las páginas de administración de VMware Identity Manager Connector enhttps://connectorFQDN:8443/cfg/login e inicie sesión como usuario administrador.

3 Seleccione la pestaña Instalar certificados SSL > CA de confianza.


VMware, Inc. 65

4 Pegue el texto del certificado del equilibrador de carga en el cuadro de texto Certificado intermedioo raíz.


Cambiar el nombre de host de IdP del conector al nombre del host delequilibrador de cargaDespués de agregar las instancias de VMware Identity Manager Connector al equilibrador de carga,debe cambiar el nombre del host de IdP en el IdP de Workspace de cada conector por el nombre de hostdel equilibrador de carga.

Prerequisitos

Las instancias del conector se configuran tras un equilibrador de carga. Compruebe que el puerto delequilibrador de carga es el 443. No utilice el puerto 8443 ya que este número de puerto corresponde aladministrativo.

Procedimiento


2 Haga clic en la pestaña Administración de acceso e identidad.


4 En la página Proveedor de identidades, haga clic en el vínculo IdP de Workspace en la instancia delconector.

5 En el cuadro de texto Nombre de host de IdP, cambie el nombre de host del conector por el nombrede host del equilibrador de carga.

Por ejemplo, si el nombre de host de su conector es miconector y el nombre de host de suequilibrador de carga es miec,

myconnector.mycompany.com:cambie el puerto

de la URL


VMware, Inc. 66

por el siguiente:

mylb.mycompany.com:puerto


VMware, Inc. 67

Eliminar una instancia de VMware Identity ManagerConnectorPuede eliminar una instancia de VMware Identity Manager Connector del servicio deVMware Identity Manager. Una instancia de conector no se puede eliminar si existe un directorioasociado a ella.

Por ejemplo, puede eliminar una instancia de conector cuando quiera utilizar el mismo nombre de hostpara una nueva instancia de conector.

Procedimiento


2 Seleccione la pestaña Administración de acceso e identidad y, a continuación, haga clic enConfiguración.

3 Si un directorio está asociado al conector que desea eliminar, elimine primero el directorio.

a Haga clic en el nombre del directorio en la columna Directorio asociado.

b Haga clic en Eliminar directorio.

4 En la página Configurar > Conectores, haga clic en el icono Eliminar que aparece junto a lainstancia del conector que desea eliminar y luego haga clic en Confirmar.

La instancia de conector se elimina desde el servicio de VMware Identity Manager.

5 Desinstale el componente VMware Identity Manager Connector desde el servidor de Windows en elque está instalado.

Actualizar el VMware Identity Manager ConectorPara actualizar el componente de VMware Identity Manager Connector deEnterprise Systems Connector, descargue el instalador desde la nueva versión de la consola deAirWatch y ejecútelo. No es necesario que desinstale la versión anterior.

Después de la actualización, no debe generar un nuevo código de activación ni activar VMware IdentityManager Connector de nuevo. La configuración existente se aplica al conector autorizado.

Procedimiento

1 Inicie sesión en la nueva versión de la consola de AirWatch.

2 Desplácese hasta Grupos y ajustes > Todos los ajustes > Sistema > Integración empresarial >VMware Enterprise Systems Connector.

3 En la pestaña General, haga clic en Descargar instalador de VMware Enterprise SystemsConnector.

Aparece la página de descarga del instalador de VMware Enterprise Systems Connector.


VMware, Inc. 68

4 Cree una contraseña para el certificado y haga clic en Descargar.

Necesita esta contraseña cuando instale el componente ACC.

5 Guarde el archivo del instalador en el mismo servidor de Windows en el que se instaló la versiónanterior del conector.

6 Ejecute el instalador y siga las indicaciones para completar la actualización.

7 Si se actualiza JRE durante la actualización del conector, debe restaurar el archivo cacerts para elcual el instalador crea una copia de seguridad durante la actualización.

Copie el archivo opt\vmware\horizon\workspace\install\cacerts.sav en la carpetaJAVA_HOME\lib\security recién creada como un archivo denominado cacerts, sin laextensión .sav. Esto sustituye al archivo cacerts existente en la carpeta.

NOTA: Durante la actualización, si el instalador detecta una versión de JRE en el servidor deWindows anterior a la que se incluye con el instalador, se le solicitará que instale la nueva versión deJRE.

8 Una vez finalizada la actualización, reinicie el servidor de Windows.

Reiniciar el servidor establece la variable JAVA_HOME como el JRE más reciente que se hayainstalado con la actualización y permite que el conector use la última versión de JRE.


Después de actualizar a la versión 9.2.2, edite el archivoinstall_dir\IDMConnector\usr\local\horizon\conf\runtime-config.properties y cambie elvalor de la propiedad connector.api.version a 5.

NOTA: Esto solo es necesario cuando se actualiza a la versión 9.2.2 desde una versión anterior.

Actualizar Java en el servidor del conectorEl componente de VMware Identity Manager Connector requiere Java Runtime Environment (JRE).

La versión de JRE requerida para el conector se incluye con el instalador de VMware Enterprise SystemsConnector. Cuando se actualiza el componente de VMware Identity Manager Connector, se le pide queactualice la versión de JRE. Para obtener información sobre la actualización de JRE mientras se ejecutael instalador, consulte Actualizar el VMware Identity Manager Conector.

Si desea actualizar JRE en el servidor del conector en cualquier otro momento, siga estos pasos paraasegurarse de que VMware Identity Manager Connector siga funcionando correctamente después de laactualización de JRE.

NOTA: Si JRE se actualiza automáticamente, siga los pasos 3 a 6 después de la actualización.

NOTA: Este procedimiento es aplicable a la versión 3.1 de VMware Identity Manager Connector yversiones posteriores.


VMware, Inc. 69

Procedimiento

1 Detenga el servicio del conector.

2 Instale la nueva versión JRE.

3 Actualice la variable de entorno JAVA_HOME para que apunte a la nueva versión de JRE.

4 Edite el archivo %JAVA_HOME%/lib/security/java.security y agregue la siguiente configuración:

crypto.policy=unlimited

5 Abra una ventana de símbolo del sistema como administrador y ejecute el siguiente script:

install_dir\IDMConnector\usr\local\horizon\scripts\reloadInstalledRootCerts.bat

6 Reinicie el servicio del conector.


VMware, Inc. 70

Migrar directorios de ACC aVMware Identity ManagerConnector 6Los clientes de Workspace ONE que implementaran la sincronización de Active Directory conVMware Identity Manager usando solo los conectores ACC existentes deben seguir un procedimiento demigración si desean sacar el máximo partido a la funcionalidad adicional que se incluye con elcomponente VMware Identity Manager Connector de la Enterprise Systems Connector. Esteprocedimiento, que no tendrá que realizar más de una vez, convierte el directorio ACC del tipo Otro enun directorio de tipo Active Directory mediante LDAP o Active Directory (Autenticación de Windowsintegrada), que están asociados con VMware Identity Manager Connector. Este procedimiento no eliminael directorio existente ni ninguna autorización asociada a él.

NOTA: El modelo que solo usa ACC para sincronizar y autenticar el directorio conVMware Identity Manager todavía está disponible y es compatible, simplemente debe actualizar ACCmás adelante. El procedimiento de migración solo es necesario si desea aprovechar la nuevafuncionalidad.

Para convertir el directorio Otro, debe realizar las siguientes tareas.

1 Convierta el directorio Otro a Active Directory mediante LDAP o a Active Directory (Autenticación deWindows integrada).

2 Configure métodos adicionales de autenticación del conector VMware Identity Manager para eldirectorio, si es necesario. El método de autenticación Contraseña está disponible de formapredeterminada.

3 Edite la directiva predeterminada y cualquier directiva personalizada para usar Contraseña u otrométodo de autenticación del conector VMware Identity Manager en lugar de Contraseña (AirWatchConnector).

4 Detenga la sincronización de grupos y usuarios de AirWatch con el directorioVMware Identity Manager.

Este capítulo cubre los siguientes temas:n Convertir el directorio Otro a Active Directory mediante LDAP o a Active Directory (Autenticación de

Windows integrada)

n Detener la sincronización del directorio de AirWatch con VMware Identity Manager

VMware, Inc. 71

Convertir el directorio Otro a Active Directory medianteLDAP o a Active Directory (Autenticación de Windowsintegrada)Es posible convertir un directorio de tipo Otro, que almacena usuarios y grupos sincronizados desdeAirWatch, en un directorio de tipo Active Directory mediante LDAP o Active Directory (Autenticación deWindows integrada), que están asociados con el conector VMware Identity Manager. Después deconvertir el directorio, se utiliza el conector VMware Identity Manager en lugar de ACC para sincronizarusuarios y grupos del directorio empresarial a VMware Identity Manager.

Prerequisitos

n Instale y active el componente VMware Identity Manager Connector deVMware Enterprise Systems Connector en un servidor de Windows.

Para usar algunas funciones, el servidor de Windows debe estar unido al dominio, debe instalar elcomponente VMware Identity Manager Connector como un usuario de dominio que forma parte delgrupo de administradores en el servidor de Windows y debe elegir ejecutar el servicio de IDMConnector como usuario de dominio de Windows.

Este requisito se aplica a los siguientes casos.

n Si tiene previsto convertir el directorio Otro a Active Directory (Autenticación de Windowsintegrada)


n Si tiene previsto integrar Horizon View con VMware Identity Manager y quiere usar las opcionesRealizar sincronización de directorio o Configurar servidor de conexión 5.x.

n Se necesita la siguiente información de Active Directory:

n Si va a convertir a Active Directory mediante LDAP, se necesitarán el DN base, el DN de enlace yla contraseña del DN de enlace. Se recomienda utilizar una cuenta de usuario de DN de enlacecon una contraseña que no caduque.

n Si va a convertir a Active Directory (Autenticación de Windows integrada), se necesitarán ladirección UPN del usuario de enlace del dominio y la contraseña. Se recomienda utilizar unacuenta de usuario de DN de enlace con una contraseña que no caduque.

n Si Active Directory necesita que el acceso sea mediante SSL o STARTTLS, se requerirá elcertificado de CA raíz del controlador de dominio de Active Directory.

n Para Active Directory (autenticación integrada de Windows), cuando tiene configurado ActiveDirectory con varios bosques y el grupo local de dominios contiene miembros de dominios dediferentes bosques, asegúrese de que el usuario de enlace se agregue al grupo deAdministradores del dominio en el que reside el grupo local de dominios. De lo contrario, estosmiembros no estarán en el grupo local de dominios.


VMware, Inc. 72

Procedimiento

1 En la consola de administración de VMware Identity Manager, haga clic en la pestañaAdministración de acceso e identidad y, a continuación, en la pestaña Directorios.

2 Haga clic en el nombre del directorio que desea convertir.

3 En la página del directorio, haga clic en el botón Convertir.

4 En la página Agregar directorio, cambie el nombre del directorio si es necesario y seleccione el tipode directorio al que desea convertir el directorio Otro, Active Directory mediante LDAP o ActiveDirectory (autenticación IWA).

5 Escriba la información de conexión de Active Directory y continúe con el asistente para configurar eldirectorio.

Consulte "Configurar la conexión de Active Directory con el servicio" en la guía Integración dedirectorios con VMware Identity Manager para obtener más información.

Siga estas directrices.

n En el campo Conector de sincronización, seleccione el conector de VMware Identity Managerque instaló.

n En la sección Sincronización y autenticación de directorios, seleccione Sí para laAutenticación, a menos que quiera usar un proveedor de identidades de terceros en lugar delconector para la autenticación.

n Asegúrese de configurar el directorio convertido exactamente igual que el directorio de AirWatchpara que tengan la misma estructura de directorio. Seleccione los mismos dominios. Cuandoespecifique los usuarios y los grupos que quiera sincronizar, realice las mismas selecciones querealizó en el directorio de AirWatch para que se sincronicen los mismos usuarios y grupos en eldirectorio convertido.

6 En la última página del asistente, haga clic en Sincronizar directorio.

El directorio se convierte y se configura para usar el conector VMware Identity Manager. Si noexistía, se crea un proveedor de identidades de Workspace al que se asocia automáticamente eldirectorio. El método de autenticación de contraseña ya está habilitado para el directorio.

7 (Opcional) Si desea habilitar otros métodos de autenticación para el directorio, siga estos pasos.

a En la pestaña Administración de acceso e identidad, haga clic en Configuración.

b En la página Conectores, busque el conector y el trabajo con los que está asociado el directorioconvertido y haga clic en el vínculo de la columna Trabajo.

c En la página de trabajo, haga clic en la pestaña Adaptadores de autenticación.

d Configure y habilite los adaptadores de autenticación que desee utilizar para el directoriohaciendo clic en el vínculo de cada uno de ellos e introduciendo la información de laconfiguración.

Para obtener más información sobre cómo configurar los adaptadores de autenticación, consulteAdministración de VMware Identity Manager.


VMware, Inc. 73

8 Edite la directiva default_access_policy_set y cualquier directiva personalizada para seleccionar losmétodos de autenticación del conector VMware Identity Manager en lugar de Contraseña (AirWatchConnector).

a En la pestaña Administración de acceso e identidad, haga clic en la pestaña Directivas.

b Haga clic en Editar política predeterminada.

c En Reglas de la directiva, edite la columna Métodos de autenticación de cada regla yreemplace Contraseña (AirWatch Connector) por Contraseña, que es un método deautenticación del conector VMware Identity Manager .

d Haga clic en la pestaña Directivas de nuevo y edite las directivas personalizadas, si las hubiera,para usar Contraseña o cualquier otro método de autenticación del conectorVMware Identity Manager configurado.

IMPORTANTE: Si no cambia Contraseña (AirWatch Connector) a Contraseña o a otro métodode autenticación basado en el conector VMware Identity Manager, los usuarios del directorioconvertido no podrán iniciar sesión.


Detenga la sincronización de AirWatch al directorio convertido.

Detener la sincronización del directorio de AirWatch conVMware Identity ManagerDespués de convertir el directorio Otro a Active Directory mediante LDAP o Active Directory(Autenticación de Windows integrada) y asociarlo con un conector VMware Identity Manager, esteconector se usa para sincronizar los usuarios y los grupos del directorio empresarial con el directorioconvertido. Debe detener la sincronización de usuarios y de grupos de AirWatch con el directorio deVMware Identity Manager.

Procedimiento

1 En la consola de AirWatch, acceda a Grupo organizativo.

2 Acceda a la página Grupos y ajustes > Todos los ajustes > Sistema > Integración empresarial >VMware Identity Manager.

3 Haga clic en el botón Eliminar en la parte inferior de la página.

Se completó la conversión del directorio. Los usuarios y los grupos ya están sincronizados desde eldirectorio empresarial hasfta el servicio de VMware Identity Manager a través de VMware IdentityManager Connector. Los usuarios pueden seguir iniciando sesión y accediendo a las aplicaciones.

NOTA: En caso de que el nombre de dominio sea diferente del nombre NETBIOS del dominio, elnombre de dominio que aparece en la página de inicio de sesión puede cambiar después de convertir eldirectorio. Con la sincronización de AirWatch, aparece el nombre NETBIOS del dominio. Con lasincronización de VMware Identity Manager Connector, aparece el nombre de dominio.


VMware, Inc. 74

Solución de problemas deEnterprise Systems Connector 7Los temas de solución de problemas describen los problemas comunes y sus soluciones relacionadoscon la instalación y administración de Enterprise Systems Connector.

Restablecer la contraseña del usuario administrador deVMware Identity Manager ConnectorLa contraseña del usuario administrador de VMware Identity Manager Connector se puede cambiar enlas páginas de administración del conector en https://FQDNconector:8443/cfg/login. Sin embargo, si nopuede iniciar sesión y necesita restablecer la contraseña, use el script hznSetAdminPassword.bat parahacerlo.

Procedimiento

1 En el servidor Windows, abra la ventana de comandos.

2 Desplácese hasta la carpeta INSTALL_DIR\IDMConnector\usr\local\horizon\bin:

cd INSTALL_DIR\IDMConnector\usr\local\horizon\bin

donde INSTALL_DIR es el directorio de instalación de VMware Identity Manager Connector.

3 Ejecute el siguiente comando:

hznSetAdminPassword.bat newPassword

VMware, Inc. 75

instalación y configuración de vmware enterprise systems ... · modelo de implementación de...

Documents