vmware identity manager · contenido instalar y configurar vmware identity manager connector...

Instalar y configurarVMware Identity ManagerConnector 19.03.0.0(Windows)Abril de 2019VMware Identity ManagerVMware Identity Manager 19.03

Instalar y configurar VMware Identity Manager Connector 19.03.0.0 (Windows)

VMware, Inc. 2

Puede encontrar la documentación técnica más actualizada en el sitio web de VMware:

https://docs.vmware.com/es/

El sitio web de VMware también ofrece las actualizaciones de producto más recientes.

Si tiene comentarios relacionados con esta documentación, envíelos a:

[email protected]

Copyright © 2018, 2019 VMware, Inc. Todos los derechos reservados. Información sobre el copyright y marcacomercial.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware Spain, S.L.Calle Rafael Boti 262.ª plantaMadrid 28023Tel.: +34 914125000www.vmware.com/es

https://docs.vmware.com/es/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

http://pubs.vmware.com/copyright-trademark.html

Contenido

Instalar y configurar VMware Identity Manager Connector 19.03.0.0 (Windows) 5

1 Acerca de VMware Identity Manager Connector 6

2 Preparar la instalación de VMware Identity Manager Connector en Windows 8

Requisitos del sistema para VMware Identity Manager Connector (Windows) 8

Lista de comprobación de implementación para VMware Identity Manager Connector (Windows) 13

3 Instalar VMware Identity Manager Connector en Windows 15

Generar un código de activación para VMware Identity Manager Connector 15

Ejecutar el instalador de VMware Identity Manager Connector 16

Ejecute el Asistente de configuración de VMware Identity Manager Connector 23

Configurar los ajustes de proxy para VMware Identity Manager Connector 25

4 Configurar VMware Identity Manager Connector 26

Configurar un directorio 26

Habilitar los adaptadores de autenticación en VMware Identity Manager Connector 27

Habilitar el modo de salida de VMware Identity Manager Connector 29

5 Configurar alta disponibilidad para el conector de VMware Identity Manager 33

Instalar y configurar instancias de VMware Identity Manager Connector adicionales 34

Configurar la alta disponibilidad para la autenticación 35

Configurar la alta disponibilidad para la sincronización de directorio 36

6 Agregar la compatibilidad con la autenticación Kerberos a la implementación

de VMware Identity Manager Connector 40Configurar y habilitar el adaptador de autenticación Kerberos 41

Configurar alta disponibilidad para la autenticación Kerberos 43

7 Ajustes adicionales de VMware Identity Manager Connector 48

Uso de certificados SSL para VMware Identity Manager Connector 49

Configurar un servidor syslog para VMware Identity Manager Connector 52

Administrar sus contraseñas del conector de VMware Identity Manager 52

Configurar los ajustes de proxy para VMware Identity Manager Connector 53

Ver y descargar los archivos de registro de VMware Identity Manager Connector 53

Configurar la sincronización de hora para VMware Identity Manager Connector (Windows) 55

8 Actualizar VMware Identity Manager Connector (Windows) 57

VMware, Inc. 3

9 Actualizar Java en el servidor de VMware Identity Manager Connector 58

10 Eliminar una instancia de VMware Identity Manager Connector 59

11 Migración de directorios de ACC a VMware Identity Manager Connector 60

Convertir el directorio Otro a Active Directory mediante LDAP o a Active Directory mediante

autenticación de Windows integrada 61

Detener la sincronización de directorio de Workspace ONE UEM con VMware Identity Manager 63

12 Solución de problemas de VMware Identity Manager Connector 65

Restablecer la contraseña del usuario administrador de VMware Identity Manager Connector 65

Error de inicialización de Kerberos 65


VMware, Inc. 4

Instalar y configurar VMware IdentityManager Connector 19.03.0.0 (Windows)

Instalar y configurar VMware Identity Manager Connector 19.03.0.0 (Windows) proporciona informaciónsobre cómo instalar y configurar la versión Windows de VMware Identity Manager™ Connector, uncomponente local de VMware Identity Manager.

Nota Para obtener información sobre la implementación de la versión Linux de VMware IdentityManager Connector, consulte Implementación de VMware Identity Manager en la nube paraimplementaciones en la nube, o Implementar VMware Identity Manager en DMZ para implementacioneslocales.

Público objetivoEsta información está destinada a administradores de sistemas Windows con experiencia, que esténfamiliarizados con la tecnología de máquinas virtuales y operaciones de centros de datos.

VMware, Inc. 5

Acerca de VMware IdentityManager Connector 1VMware Identity Manager Connector es un componente local de VMware Identity Manager queproporciona integración con el directorio, autenticación de usuario e integración con recursos comoHorizon 7.

El conector se implementa en el modo de conexión de salida y no necesita que el puerto de entrada 443esté abierto. Se comunica con el servicio de VMware Identity Manager a través de un canal decomunicación basado en Websocket.

Figura 1‑1. Implementación de VMware Identity Manager Connector

solicitudrespuestaArrendatario VMware

Identity Manager

CanalWebsocket

HTTPS 443(solo salida)

Active Directory/

LDAP

Conector de VMware Identity

Manager

En las instalaciones

Serviciosopcionales

IntegrationBroker

Granjas de Citrix

Servidores de conexión

de View

RSA SecurID

Autenticación adaptativa

de RSA

Servidor RADIUS

11

2

3

Nota El arrendatario de VMware Identity Manager que se muestra en el diagrama puede estar en lanube o implementado de forma local.

VMware, Inc. 6

Métodos de autenticación compatiblesVMware Identity Manager Connector admite los siguientes métodos de autenticación.

n Contraseña

n Autenticación adaptativa de RSA

n RSA SecurID

n RADIUS

n Autenticación Kerberos para usuarios internos

Nota Además de estos métodos de autenticación basados en el conector, se incluyen métodos deautenticación basados en el servicio de VMware Identity Manager. Asimismo, SAML entrante a través deun proveedor de identidades externo está disponible.

Integraciones de directorios admitidasVMware Identity Manager Connector admite integración con los siguientes tipos de directoriosempresariales.

n Active Directory mediante LDAP

n Active Directory mediante autenticación de Windows integrada

n Directorio LDAP

Nota También puede usar el aprovisionamiento Just-In-Time para crear usuarios en el servicio deVMware Identity Manager de forma dinámica al iniciar sesión, usando aserciones SAML enviadas por unproveedor de identidades externo.

Recursos compatiblesVMware Identity Manager Connector admite integración con los siguientes tipos de recursos.

n Grupos de aplicaciones y escritorios de VMware Horizon® 7, Horizon 6 o View

n VMware Horizon® Cloud Service™ con infraestructura local y alojada

n Recursos publicados de Citrix

Nota Además, VMware Identity Manager es compatible con aplicaciones web y aplicaciones móvilesnativas.


VMware, Inc. 7

Preparar la instalación deVMware Identity ManagerConnector en Windows 2Antes de implementar VMware Identity Manager Connector, revise los requisitos del sistema y prepare elentorno.

Este capítulo incluye los siguientes temas:

n Requisitos del sistema para VMware Identity Manager Connector (Windows)

n Lista de comprobación de implementación para VMware Identity Manager Connector (Windows)

Requisitos del sistema para VMware Identity ManagerConnector (Windows)Para implementar VMware Identity Manager Connector, asegúrese de que el sistema cumpla losrequisitos necesarios.

Requisitos de hardwareAsegúrese de que el servidor Windows cumpla los siguientes requisitos de hardware.

Tabla 2‑1. Requisitos de VMware Identity Manager Connector

Número deusuarios Hasta 1000 De 1000 a 10.000

De 10.000 a25.000

De 25.000 a50.000 De 50.000 a 100.000

CPU 2 2 servidores decarga equilibrada,cada uno con 4CPU

2 servidores decarga equilibrada,cada uno con 4CPU

2 servidores decarga equilibrada,cada uno con 4CPU

2 servidores decarga equilibrada,cada uno con 4 CPU

RAM (GB) porservidor

6 6 cada uno 8 cada uno 16 cada uno 16 cada uno

Espacio de disco(GB)

50 50 cada uno 50 cada uno 50 cada uno 50 cada uno

Nota n Cada uno de los núcleos de CPU debe ser de 2 GHz o superior. Un procesador Intel es necesario.

n Los requisitos de espacio de disco incluyen: 1 GB de espacio de disco para la aplicación VMwareIdentity Manager Connector, sistema operativo Windows y runtime de .NET. Se asigna espacio dedisco adicional para el registro.

VMware, Inc. 8

Requisitos de softwareAsegúrese de que el servidor Windows cumpla los siguientes requisitos de software.

Lista de comprobación deestado Requisito Notas

Windows Server 2008 R2 o

Windows Server 2012 o

Windows Server 2012 R2 o

Windows Server 2016

Instalar PowerShell en el servidor Nota La versión 4.0 de PowerShell es necesaria si va ainstalarlo en Windows Server 2008 R2.

Instalar .NET Framework 4.6.2

Requisitos de redPara configurar los puertos que se enumeran a continuación, todo el tráfico es unidireccional (saliente)desde el componente de origen hasta el componente de destino.

Un servidor proxy saliente o cualquier otro hardware o software de administración de conexión no debefinalizar ni rechazar la conexión saliente desde el VMware Identity Manager Connector. La conexiónsaliente requerida que VMware Identity Manager Connector requiere usar debe permanecer abierta entodo momento.

Tabla 2‑2. Requisitos de puerto de VMware Identity Manager Connector

Origen Destino Puerto Protocolo Notas

VMware IdentityManager Connector

servicio deVMware Identity Manager

Host del servicio deVMware Identity Manager(instalaciones locales)

443 HTTPS Puerto predeterminado

Obligatoria


Equilibrador de carga delservicio deVMware Identity Manager(instalaciones locales)

443 HTTPS

Navegadores VMware Identity ManagerConnector

8443 HTTPS Puerto administrativo

Obligatoria


80 HTTP Obligatoria


VMware, Inc. 9

Tabla 2‑2. Requisitos de puerto de VMware Identity Manager Connector (Continuación)



443 HTTPS Este puerto solo esnecesario para unconector que se utilizaen el modo de entrada.

Este puerto es necesariosi se configura laautenticación Kerberosen el conector.


Active Directory 389, 636, 3268,3269

Puertospredeterminados. Estospuertos se puedenconfigurar.


Servidor DNS 53 TCP/UDP Todas las instanciasdeben tener acceso alservidor DNS en elpuerto 53 y permitir eltráfico SSH entrante enel puerto 22.


Controlador de dominio 88, 464, 135, 445 TCP/UDP Para autenticaciónKerberos


Sistema RSA SecurID 5500 Puerto predeterminado.Este puerto se puedeconfigurar.


Servidor de conexión deHorizon

389, 443 Acceso a las instanciasdel servidor de conexiónde Horizon para lasintegraciones de Horizon


VMware, Inc. 10

Tabla 2‑2. Requisitos de puerto de VMware Identity Manager Connector (Continuación)



Integration Broker 80, 443 Acceda a IntegrationBroker para integrar losrecursos publicados deCitrix.

Importante Si instalaIntegration Broker en elmismo servidor deWindows que VMwareIdentity ManagerConnector, debeasegurarse de que, enlos enlaces de sitio delsitio web predeterminadodel servidor IIS, lospuertos de enlace HTTPy HTTPS no entren enconflicto con los puertosusados por VMwareIdentity ManagerConnector.

VMware IdentityManager Connector usalos puertos 80, 443 y8443.

No se recomiendainstalar IntegrationBroker en el servidor deVMware IdentityManager Connector.


servidor syslog 514 UDP Para el servidor syslogexterno, si estáconfigurado

Direcciones IP alojadas en la nube de VMware Identity Manager(Implementaciones en la nube) Consulte el artículo 2149884 de la base de conocimientos para obteneruna lista de direcciones IP del servicio VMware Identity Manager a las que VMware Identity ManagerConnector debe tener acceso.

Requisitos de las direcciones IP y de los registros DNSUna entrada DNS y una dirección IP estática deben estar disponibles para el conector. Antes decomenzar la instalación, obtenga el registro de DNS y las direcciones IP para usar y configurar laconfiguración de red del servidor de Windows.


VMware, Inc. 11

https://kb.vmware.com/kb/2149884

Asegúrese de seleccionar un nombre de host adecuado y sencillo para el conector si planea configurar laautenticación Kerberos. El nombre de host de VMware Identity Manager Connector está visible para losusuarios finales cuando se configura Kerberos.

La configuración de la búsqueda inversa es opcional. Cuando implemente la búsqueda inversa, debedefinir un registro PTR en el servidor DNS para que el conector utilice la configuración de red correcta.

Puede utilizar la siguiente lista de ejemplos de registros de DNS. Sustituya la información de losejemplos con la información de su entorno. En este ejemplo se muestran los registros de DNS directas ylas direcciones IP.

Tabla 2‑3. Ejemplo de registros de DNS directos y direcciones IP

Nombre de dominio Tipo de recurso Dirección IP

miconector.empresa.com A 10.28.128.3

En este ejemplo se muestran los registros de DNS inversas y las direcciones IP.

Tabla 2‑4. Ejemplo de registros de DNS inversos y direcciones IP

Dirección IP Tipo de recurso Nombre del host

10.28.128.3 PTR miconector.empresa.com

Después de completar la configuración de DNS, compruebe que la búsqueda de DNS inversas estácorrectamente configurada. Por ejemplo, el comando host IPaddress debe resolverse en la búsquedadel nombre de DNS.

Nota Si tiene un equilibrador de carga con una dirección IP virtual (VIP) frente a los servidores DNS,tenga en cuenta que VMware Identity Manager no admite el uso de VIP. Puede especificar variosservidores DNS separados por comas.

Nota Si utiliza un servidor DNS basado en Linux o Unix y desea unir el conector al dominio de ActiveDirectory, compruebe que se crean los registros de recurso (SRV) adecuados para cada controlador deldominio de Active Directory.

Sincronización de horaSe requiere configurar la sincronización de hora en todas las instancias de VMware Identity ManagerConnector y del servicio para que una implementación de VMware Identity Manager funcionecorrectamente.

Para obtener información sobre cómo configurar la sincronización de hora para VMware Identity ManagerConnector, consulte Configurar la sincronización de hora para VMware Identity Manager Connector(Windows).

Para obtener información sobre la configuración de la sincronización de hora para el servicio deVMware Identity Manager, consulte Instalar y configurar VMware Identity Manager para Linux e Instalar yconfigurar VMware Identity Manager para Windows.


VMware, Inc. 12

Versiones de Active Directory admitidasSon compatibles un entorno de Active Directory formado por un único dominio de Active Directory, variosdominios en un único bosque de Active Directory o varios dominios en varios bosques de ActiveDirectory.

VMware Identity Manager es compatible con Active Directory en Windows Server 2008, Windows Server2008 R2, Windows Server 2012, Windows Server 2012 R2 y Windows Server 2016, con las opcionesNivel funcional del dominio y Nivel funcional de bosque de Windows 2003 y versiones posteriores.

Nota Puede que se necesite un nivel funcional mayor para algunas características. Por ejemplo, parapermitir que los usuarios cambien las contraseñas de Active Directory desde Workspace ONE, el nivelfuncional de dominio debe ser Windows 2008 o posterior.

Lista de comprobación de implementación para VMwareIdentity Manager Connector (Windows)Puede usar la lista de comprobación de implementación para recopilar la información necesaria parainstalar y configurar VMware Identity Manager Connector en Windows.

Información de nombre de dominio completo

Información para recopilar Muestra la información

FQDN de VMware Identity Manager Connector

Información de red


Dirección IP Nota Debe utilizar una dirección IP estática y debe tener unPTR y un registro A definidos en el DNS.

Nombre de host de DNS

Dirección de puerta de enlace predeterminada

Prefijo o máscara de red

Información del directorioVMware Identity Manager admite integración con Active Directory o directorios LDAP.


VMware, Inc. 13

Tabla 2‑5. Lista de comprobación de información sobre el controlador de dominio de ActiveDirectory


Nombre del servidor de Active Directory

Nombre del dominio de Active Directory

DN base

Para Active Directory mediante LDAP, el nombre de usuario yla contraseña de DN de enlace

Para Active Directory mediante autenticación integrada deWindows, el nombre de usuario y la contraseña de un usuariode dominio que también forme parte del grupo deadministradores en el servidor de Windows en el que se va ainstalar

Tabla 2‑6. Lista de comprobación de información del servidor del directorio LDAP


Dirección IP o nombre del servidor del directorio LDAP

Número de puerto del servidor del directorio LDAP

DN base

Nombre de usuario DN de enlace y contraseña

Filtros de búsqueda LDAP para vincular objetos de usuario yobjetos de grupo.

Nombres de atributos LDAP de la pertenencia a grupos, UUIDdel objeto y nombre distintivo

certificados SSLPuede agregar un certificado SSL de una entidad de certificación (CA) después de implementar VMwareIdentity Manager Connector.

Tabla 2‑7. Lista de comprobación de información sobre el certificado SSL


Certificado SSL

Clave privada

Nota Para la autenticación Kerberos, el conector debe tener un certificado SSL de confianza. Puedeobtener el certificado de la entidad de certificación interna. La autenticación Kerberos no funciona concertificados autofirmados.


VMware, Inc. 14

Instalar VMware IdentityManager Connector enWindows 3La instalación de VMware Identity Manager Connector incluye varias tareas.

1 Genere un código de activación en la consola de VMware Identity Manager.

2 Descargue y ejecute el instalador de VMware Identity Manager Connector en un servidor deWindows que cumpla todos los requisitos.

3 Ejecute el Asistente de configuración del conector para activar el conector y establecer lascontraseñas.

4 Configure las opciones de proxy del conector, si es necesario.


n Generar un código de activación para VMware Identity Manager Connector

n Ejecutar el instalador de VMware Identity Manager Connector

n Ejecute el Asistente de configuración de VMware Identity Manager Connector

n Configurar los ajustes de proxy para VMware Identity Manager Connector

Generar un código de activación paraVMware Identity Manager ConnectorAntes de instalar VMware Identity Manager Connector Connector, inicie sesión en la consola deVMware Identity Manager y genere un código de activación para el conector. Este código de activaciónse usa para establecer la comunicación entre el servicio de VMware Identity Manager y la instancia deVMware Identity Manager Connector.

Requisitos previos

Tiene la URL del servicio de VMware Identity Manager y las credenciales de administrador del dominiodel sistema. En las implementaciones de nube, el administrador del dominio del sistema es eladministrador cuyas credenciales se reciben al obtener el arrendatario de VMware Identity Manager. Enlas implementaciones locales, el administrador del dominio del sistema es el usuario administrador quese crea al instalar VMware Identity Manager.

Procedimiento

1 Inicie sesión en la consola de VMware Identity Manager como administrador del dominio del sistema.

VMware, Inc. 15

2 Haga clic en la pestaña Administración de acceso e identidad.

3 Haga clic en Configurar.

4 En la página Conectores, haga clic en Agregar conector.

5 Escriba un nombre para el conector.

6 Haga clic en Generar código de activación.

El código de activación se muestra en la página.

7 Copie el código de activación y guárdelo.

Más adelante, después de instalar el conector, el código de activación se introduce en el Asistente deconfiguración del conector.

Pasos siguientes

Descargue e instale VMware Identity Manager Connector.

Ejecutar el instalador de VMware Identity ManagerConnectorEjecute el instalador de VMware Identity Manager Connector en un servidor de Windows que cumplatodos los requisitos.

Requisitos previos

n Los puertos 80, 443 y 8443 deben estar disponibles en el servidor de Windows. Si otros serviciosestán usando estos puertos, no podrá instalar VMware Identity Manager Connector.


VMware, Inc. 16

n El servidor de Windows debe estar unido al dominio de Active Directory, y debe instalar VMwareIdentity Manager Connector como un usuario de dominio que forme parte del grupo deadministradores en el servidor de Windows en el que se realiza la instalación en los siguientescasos:

n Si tiene previsto conectarse a Active Directory mediante autenticación de Windows integrada

n Si tiene previsto utilizar la autenticación Kerberos

En estos casos, también debe ejecutar el servicio de IDM Connector como usuario de dominio. Estaopción aparece en el Asistente de instalación.

n Para que el instalador pueda acceder a los dominios y a los usuarios y pueda validarlos durante lainstalación, deben cumplirse los siguientes requisitos.

n El servidor de Windows debe estar unido al dominio.

Nota Esto solo es necesario si se debe seleccionar un usuario de dominio para ejecutar elservicio de IDM Connector. Consulte la viñeta anterior para conocer cuáles son los escenarios alos que se aplica el requisito.

n Es posible que sea necesario que el servicio Explorador de equipos esté habilitado y enejecución para examinar los dominios.

n Debe habilitarse NetBIOS a través de TCP/IP.

n Debe configurarse un sistema de explorador principal en la red.

n Debe habilitarse el tráfico de difusión en la red.

n Si va a migrar un conector integrado a un conector independiente, o a migrar un conector de Linux aun conector de Windows, genere un archivo de configuración a partir de la implementación originalantes de ejecutar el instalador. El archivo contiene información de configuración sobre el conectororiginal.

Consulte Actualizar a VMware Identity Manager 19.03 para obtener información sobre el proceso demigración.

Procedimiento

1 Descargue el instalador de VMware Identity Manager Connector para Windows.

Puede descargar el instalador desde la página de producto de VMware Identity Manager en MyVMware o desde My Workspace ONE.

2 Haga doble clic en el archivo del instalador para ejecutar el Asistente de instalación de VMwareIdentity Manager Connector.


VMware, Inc. 17

3 En la página de bienvenida, haga clic en Siguiente.

El instalador comprueba los requisitos en el servidor. Si .NET Framework no está instalado, se lepedirá que lo instale y que reinicie el servidor. Después de reiniciarlo, vuelva a ejecutar el instaladorpara reanudar el proceso de instalación.

Si hay una versión anterior instalada, el instalador la detecta automáticamente y ofrece la opción deactualizarla a la versión más reciente.

4 Lea y acepte el Acuerdo de licencia de usuario final de VMware y, a continuación, haga clic enSiguiente.


VMware, Inc. 18

5 Seleccione la carpeta en la que se instalará VMware Identity Manager Connector.

De forma predeterminada, se selecciona C:\VMware.

6 Si la versión mayor más reciente de Java Runtime Environment (JRE™) no está instalada en el

servidor de Windows, aparecerá el siguiente elemento emergente.

Haga clic en Sí para instalar JRE. La instalación tarda unos minutos. Las versiones de JREexistentes no se eliminan cuando se instala la versión necesaria.

7 En la página Configuración de VMware Identity Manager, introduzca un nombre de host y un puertopara el conector.

Especifique el nombre de host como un nombre de dominio completo (FQDN). Por ejemplo,conector.ejemplo.com.

Nota El nombre debe coincidir con el dominio al que está unido el servidor, si corresponde.

El puerto predeterminado es 443. VMware Identity Manager Connector solo admite el puerto 443.


VMware, Inc. 19

8 En la página de la cuenta de servicio de VMware Identity Manager Connector, si desea ejecutar el

servicio del conector como una cuenta de usuario de dominio, seleccione la opción e introduzca elnombre de usuario y la contraseña de la cuenta de usuario de dominio.

Debe ejecutar el servicio como un usuario de dominio en los siguientes casos:

n Si tiene previsto conectarse a Active Directory mediante autenticación de Windows integrada



VMware, Inc. 20

Nota Si no encuentra dominios ni usuarios al hacer clic en Examinar, compruebe que cumple todoslos requisitos previos.

9 Haga clic en Siguiente.

10 Haga las selecciones en función de si está instalando un nuevo conector o migrando un conector.

n Si va a instalar un nuevo conector, anule la selección de la opción ¿Está migrando elconector? y haga clic en Siguiente.

n Si va a migrar un conector integrado a un conector independiente, o a migrar un conector deLinux a un conector de Windows, siga estos pasos.

a Seleccione la casilla ¿Está migrando un conector?.

b En el cuadro de texto Paquete de configuración (.enc), introduzca la ruta de acceso alarchivo de configuración que generó a partir de la implementación original.

c Introduzca la contraseña que estableció para el archivo de configuración al crearlo.

11 Haga clic en Siguiente.

12 En la página Listo para instalar el programa, haga clic en Instalar.


VMware, Inc. 21

La instalación tarda unos minutos.

13 Cuando aparezca la página Instalación completada del asistente, haga clic en Finalizar.

Aparecerá el siguiente elemento emergente, donde se mostrará la dirección URL que deberá visitarpara completar el Asistente de configuración del conector.

La dirección URL apunta a las páginas de administración del conector enhttps://nombredehostdelconector:8443.


VMware, Inc. 22

Pasos siguientes

Vaya a la URL que aparece y complete el Asistente de configuración del conector.

Ejecute el Asistente de configuración deVMware Identity Manager ConnectorDespués de instalar VMware Identity Manager Connector, vaya a la URL que aparece en la página deconfirmación del Asistente de instalación, https://nombredehostdelconector:8443 y, a continuación,complete el Asistente de configuración del conector.

En el Asistente de configuración, introduzca el código de activación del conector y establezca lascontraseñas.

Requisitos previos

n Debe tener un código de activación del conector que generó en la consola de VMware IdentityManager. Consulte Generar un código de activación para VMware Identity Manager Connector.

n No utilice Internet Explorer en el modo de seguridad mejorada para ejecutar el Asistente deconfiguración. Los scripts deben estar habilitados en el navegador.

Procedimiento

1 Abra una ventana del navegador y vaya a la dirección URL https://nombredehostdelconector:8443.

Por ejemplo, https://conector.ejemplo.com:8443.

Se mostrará la página de bienvenida.

2 Haga clic en Continuar.

3 En la página Establecer contraseñas, cree una contraseña para el usuario administrador delconector, que se utilizará para acceder a las páginas de administración del conector.

A continuación, haga clic en Continuar.


VMware, Inc. 23

4 En la página Activar conector, introduzca el código de activación del conector y haga clic en

Continuar.

Cuando el conector se active correctamente, aparecerá el mensaje La configuración se completó.

La instalación de VMware Identity Manager Connector se ha completado.

Pasos siguientes

n Configure los ajustes del proxy de VMware Identity Manager Connector, si es necesario.

n Inicie sesión en la consola de VMware Identity Manager para configurar el conector.


VMware, Inc. 24

Configurar los ajustes de proxy paraVMware Identity Manager ConnectorVMware Identity Manager Connector accede a servicios web en Internet. Si la configuración de redproporciona acceso a Internet a través de un proxy HTTP, deberá ajustar la configuración del proxy enVMware Identity Manager Connector.

Nota Habilite su proxy para gestionar solo el tráfico de Internet. Para garantizar que el proxy seconfigura correctamente, establezca el parámetro del tráfico interno en la opción sin proxy en eldominio.

Procedimiento

1 Utilice un navegador para ir a las páginas de administración de VMware Identity Manager Connectoren https://nombredelhostdelconector:8443/cfg/login.

2 Inicie sesión con la contraseña de usuario administrador del conector.

3 Haga clic en Configuración de proxy.

4 Seleccione Habilitar.

5 En el cuadro de texto Host de proxy con puerto, introduzca el nombre de host del servidor proxy yel puerto.

Por ejemplo, proxy.ejemplo.com:3128.

6 En el campo Hosts no de proxy, introduzca los hosts a los que podrá acceder el conector sin tenerque pasar a través del servidor proxy.

Use una coma para separar los nombres de host en la lista.

7 Haga clic en Guardar.


VMware, Inc. 25

Configurar VMware IdentityManager Connector 4Después de instalar VMware Identity Manager Connector, inicie sesión en la consola de VMware IdentityManager y complete la configuración. Esto implica configurar un directorio para sincronizar los usuarios ylos grupos con el servicio de VMware Identity Manager, configurar los métodos de autenticación quedesee utilizar y habilitar el modo de salida para VMware Identity Manager Connector.

Este capítulo incluye los siguientes temas:n Configurar un directorio

n Habilitar los adaptadores de autenticación en VMware Identity Manager Connector

n Habilitar el modo de salida de VMware Identity Manager Connector

Configurar un directorioDespués de instalar y activar VMware Identity Manager Connector, agregue un directorio en la consolade VMware Identity Manager y establezca la conexión con el directorio empresarial para sincronizarusuarios y grupos con el servicio.

VMware Identity Manager admite la integración de los siguientes tipos de directorios.

n Active Directory mediante LDAP

n Active Directory mediante autenticación de Windows integrada

n directorio LDAP

Consulte Integración de directorios con VMware Identity Manager para obtener más información antes deconfigurar el directorio. Aquí se enumeran las tareas de alto nivel.

Requisitos previos

Los requisitos dependen del tipo de directorio que esté integrando. Consulte Integración de directorioscon VMware Identity Manager para obtener más información.

VMware, Inc. 26

Procedimiento

1 Inicie sesión en la consola de VMware Identity Manager.

Sugerencia También puede acceder a la consola de administración haciendo clic en el vínculoInicie sesión en la consola de administración de la página La configuración se completó, queaparece después de activar el conector.

2 Seleccione los atributos de usuario que se sincronizarán con el directorio.

a Haga clic en la pestaña Administración de acceso e identidad y, a continuación, enConfiguración.

b En la pestaña Atributos de usuario, seleccione los atributos obligatorios y, si es necesario,agregue atributos adicionales.

Si un atributo está marcado como obligatorio, solo se sincronizan al servicio los usuarios condicho atributo.

Importante Tenga en cuenta los siguientes límites.

n Después de crear el directorio, no podrá cambiar un atributo opcional a obligatorio. Debeelegir esa opción ahora.

n Las configuraciones de la página Atributos de usuario se aplican a todos los directorios delservicio. Cuando establezca un atributo como obligatorio, tenga en cuenta el efecto quepueda causar en otros directorios.

3 Haga clic en Administrar.

4 Haga clic en Agregar directorio y seleccione el tipo de directorio que desea agregar.

5 Siga las instrucciones del asistente para introducir la información de la configuración del directorio,seleccione los grupos y los usuarios que desea sincronizar y sincronice los usuarios al servicio deVMware Identity Manager.

Consulte Integración de directorios con VMware Identity Manager para obtener más información.

Pasos siguientes

Haga clic en la pestaña Usuarios y grupos y verifique que los usuarios estén sincronizados.

Habilitar los adaptadores de autenticación enVMware Identity Manager ConnectorExisten varios adaptadores de autenticación disponibles para VMware Identity Manager Connector enmodo de salida, entre los que se incluyen PasswordIdpAdapter, RSAAIdpAdapter, SecurIDAdapter yRadiusAuthAdapter. Configure y habilite los adaptadores que pretenda utilizar.

Si ya se ha creado el directorio, el método de autenticación Contraseña se habilitará automáticamentepara este. PasswordIdpAdapter se configuró con la información que proporcionó para el directorio.


VMware, Inc. 27

Procedimiento

1 En la consola de VMware Identity Manager, haga clic en la pestaña Administración de acceso eidentidad.

2 Haga clic en Configuración y, a continuación, en la pestaña Conectores.

Aparece el conector que implementó.

3 Haga clic en el vínculo de la columna Trabajo.

4 Haga clic en la pestaña Adaptadores de autenticación.

Aparecen todos los adaptadores de autenticación disponibles.

Si ya configuró un directorio, PasswordIdpAdapter ya está configurado y habilitado, con lainformación de la configuración que especificó al crear el directorio.

5 Configure y habilite los adaptadores de autenticación que desee utilizar haciendo clic en el vínculo decada uno de ellos e introduciendo la información de la configuración. Debe habilitar al menos unadaptador de autenticación.

Para obtener más información sobre cómo configurar adaptadores de autenticación específicos,consulte la Guía de administración de VMware Identity Manager.

Por ejemplo:


VMware, Inc. 28

Habilitar el modo de salida de VMware Identity ManagerConnectorPara habilitar el modo de conexión de solo salida de VMware Identity Manager Connector, asocie elconector al proveedor de identidades integrado.


VMware, Inc. 29

El proveedor de identidades integrado está disponible de forma predeterminada en el servicio deVMware Identity Manager y proporciona métodos adicionales de autenticación integrados como VMwareVerify. Para obtener más información sobre el proveedor de identidades integrado, consulte la Guía deadministración de VMware Identity Manager.

Nota El conector puede utilizarse simultáneamente en el modo normal y el de salida. Incluso si sehabilita el modo de salida, aún podrá configurar la autenticación de Kerberos para los usuarios internosmediante directivas y métodos de autenticación.

Procedimiento

1 En la consola de VMware Identity Manager, seleccione la pestaña Administración de acceso eidentidad y, a continuación, haga clic en Administrar.

2 Haga clic en la pestaña Proveedor de identidades.

3 Haga clic en el vínculo Integrado.

4 Escriba la siguiente información.

Opción Descripción

Usuarios Seleccione el directorio o los dominios que usarán el proveedor de identidadesintegrado.

Red Seleccione los rangos de red que usarán el proveedor de identidades integrado.

Conector(es) Seleccione el conector que haya configurado y haga clic en Agregar conector.

Nota Posteriormente, cuando agregue conectores adicionales para una altadisponibilidad, seleccione y agregue todos para asociarlos con el proveedor deidentidades integrado. VMware Identity Manager distribuye el tráfico de formaautomática entre todos los conectores asociados al proveedor de identidadesintegrado. No es necesario un equilibrador de carga.

Métodos de autenticación del conector Aparecen los métodos de autenticación que habilitó para el conector. Seleccionelos métodos de autenticación que desea utilizar.

El PasswordIdpAdapter, que se configuró y se habilitó automáticamente cuandocreó un directorio, aparece en esta página como Contraseña (implementaciónen la nube), que afirma que se utiliza con el conector en modo de salida.

Por ejemplo:


VMware, Inc. 30

5 Haga clic en Guardar para guardar la configuración del proveedor de identidades integrado.

6 Edite las directivas para usar los métodos de autenticación que habilitó.

a En la pestaña Administración de acceso e identidad, haga clic en Administrar.

b Haga clic en la pestaña Directivas y, a continuación, en la directiva que desee editar.

c Haga clic en Editar.


VMware, Inc. 31

d En la página Configuración del asistente, edite las reglas. Seleccione los métodos deautenticación que desee utilizar para cada regla.

e Guarde los cambios.

Para obtener más información sobre la configuración de directivas, consulte la Guía deadministración de VMware Identity Manager.

El modo de salida del conector está habilitado. Cuando un usuario inicia sesión con uno de los métodosde autenticación que habilitó para el conector en la página Proveedor de identidades integrado, no esnecesario un redireccionamiento HTTP al conector.


VMware, Inc. 32

Configurar alta disponibilidadpara el conector deVMware Identity Manager 5Puede configurar VMware Identity Manager Connector para una alta disponibilidad. Para ello, agreguevarias instancias de conector a un clúster. Aunque una de las instancias del conector deje de estardisponible por algún motivo, el resto de las instancias seguirá disponible.

Para crear un clúster, instale nuevas instancias del conector y configúrelas exactamente igual que elprimer conector.

A continuación debe asociar todas las instancias del conector con el proveedor de identidades integrado.El servicio de VMware Identity Manager distribuye el tráfico de forma automática entre todos losconectores asociados al proveedor de identidades integrado. No es necesario un equilibrador de carga.Si uno de los conectores no se encuentra disponible por un problema de red, por ejemplo, el servicio nole enviará el tráfico. Cuando se restaura la conectividad, el servicio reanuda el envío del tráfico alconector.

Después de configurar el clúster del conector y asociar todos los conectores con el proveedor deidentidades integrado, los métodos de autenticación que haya habilitado en el conector tienen altadisponibilidad. La autenticación seguirá estando disponible aunque una de las instancias de conector nolo esté.

Para configurar la alta disponibilidad para la sincronización de directorio, asocie todas las instancias deconector al directorio y, a continuación, configure una lista de conectores de sincronización para eldirectorio. Los conectores de la lista de conectores de sincronización se organizan en orden deconmutación por error. El servicio de VMware Identity Manager utiliza el primer conector de la lista parala sincronización de directorio. Si el primer conector no está disponible, utiliza el segundo conector, y asísucesivamente. La lista de conectores de sincronización se establece por directorio desde la páginaConfiguración de sincronización del directorio.

Nota Esta sección no se aplica a la alta disponibilidad de la autenticación Kerberos. Consulte Capítulo 6Agregar la compatibilidad con la autenticación Kerberos a la implementación de VMwareIdentity Manager Connector.


n Instalar y configurar instancias de VMware Identity Manager Connector adicionales

n Configurar la alta disponibilidad para la autenticación

n Configurar la alta disponibilidad para la sincronización de directorio

VMware, Inc. 33

Instalar y configurar instancias deVMware Identity Manager Connector adicionalesDespués de instalar y configurar la primera instancia de VMware Identity Manager Connector, puedeagregar conectores adicionales para obtener una alta disponibilidad al instalar nuevas instancias delconector y configurarlas del mismo modo que la primera.

Importante Las nuevas instancias del conector deben activarse con el mismo servicio deVMware Identity Manager que la primera instancia del conector.

Requisitos previos

Debe tener instalada y configurada la primera instancia del conector.

Procedimiento

1 Instale y configure una nueva instancia de VMware Identity Manager Connector según Capítulo 3Instalar VMware Identity Manager Connector en Windows.

2 Asocie el nuevo VMware Identity Manager Connector con el WorkspaceIDP de la primera instanciadel conector.

a En la consola de administración de VMware Identity Manager, seleccione la pestañaAdministración de acceso e identidad y, a continuación, seleccione la pestaña Proveedoresde identidades.

b En la página Proveedores de identidades, busque el WorkspaceIDP de la primera instancia delconector y haga clic en el vínculo.

c En el campo Conector(es), seleccione el nuevo conector.

d Introduzca la contraseña DN de enlace y haga clic en Agregar conector.

e Haga clic en Guardar.

3 Configure y habilite los adaptadores de autenticación en el nuevo conector.

Importante Los adaptadores de autenticación de todos los conectores del clúster deben tener lamisma configuración. Se deben habilitar los mismos métodos de autenticación en todos losconectores.

a En la pestaña Administración de acceso e identidad, haga clic en Configurar y, acontinuación, haga clic en la pestaña Directorios.

b Haga clic en el vínculo de la columna Trabajo del nuevo conector.


VMware, Inc. 34

c Haga clic en la pestaña Adaptadores de autenticación.

Aparecen todos los adaptadores de autenticación disponibles.

PasswordIdpAdapter ya está configurado y habilitado porque asoció el nuevo conector con eldirectorio asociado con el primer conector.

d Configure y habilite los otros adaptadores de autenticación del mismo modo que el primerconector. Asegúrese de que la información de configuración sea idéntica.

Para obtener más información sobre la configuración de los adaptadores de autenticación,consulte la Guía de administración de VMware Identity Manager.

Pasos siguientes

Configurar la alta disponibilidad para la autenticación

Configurar la alta disponibilidad para la autenticaciónDespués de implementar y configurar las nuevas instancias de VMware Identity Manager Connector,para poder configurar la alta disponibilidad para la autenticación, agregue las nuevas instancias alproveedor de identidades integrado y habilite los mismos métodos de autenticación que están habilitadosen la primera instancia de conector. VMware Identity Manager distribuye el tráfico de forma automáticaentre todos los conectores asociados al proveedor de identidades integrado.

Requisitos previos

Debe tener instaladas y configuradas instancias de conector adicionales. Consulte Instalar y configurarinstancias de VMware Identity Manager Connector adicionales.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración deVMware Identity Manager, haga clic en Administrar.


3 Haga clic en el vínculo Integrado.

4 En el campo Conector(es), seleccione el nuevo conector de la lista desplegable y haga clic enAgregar conector.


VMware, Inc. 35

5 En la sección Métodos de autenticación del conector, habilite los mismos métodos deautenticación que habilitó para el primer conector.

El método de autenticación Contraseña (implementación en la nube) se configura y se habilitaautomáticamente. Debe habilitar los otros métodos de autenticación.

Importante Los adaptadores de autenticación de todos los conectores del clúster deben tener lamisma configuración. Se deben habilitar los mismos métodos de autenticación en todos losconectores.

Si desea obtener más información sobre cómo configurar adaptadores de autenticación específicos,consulte Administración de VMware Identity Manager.

6 Haga clic en Guardar para guardar la configuración del proveedor de identidades integrado.

Configurar la alta disponibilidad para la sincronización dedirectorioPara configurar la alta disponibilidad para la sincronización de directorio, después de instalar instanciasde conector adicionales, debe asociarlas al directorio que está asociado con la primera instancia deconector. A continuación, debe configurar una lista de conectores de sincronización para el directorio.Los conectores de la lista de conectores de sincronización se organizan en orden de conmutación porerror. El servicio de VMware Identity Manager utiliza el primer conector de la lista para sincronizarusuarios y grupos para el directorio. Si el primer conector no está disponible, utiliza el siguiente conectorde la lista, y así sucesivamente.

Cada directorio tiene su propia lista de conectores de sincronización.

Como práctica recomendada, configure la implementación de forma que un conector no sincronice variosdirectorios al mismo tiempo. Puede utilizar las estrategias siguientes.

n Utilice un conjunto diferente de conectores para distintos directorios.

n Si utiliza el mismo conjunto de conectores en el mismo orden de conmutación por error, programe lasincronización en diferentes momentos para cada directorio.

n Si utiliza el mismo conjunto de conectores para varios directorios, establezca un orden deconmutación por error diferente para cada directorio, de modo que la sincronización no vuelva almismo conector.

Esta función está disponible a partir de la versión 19.03 local de VMware Identity Manager y la versión enla nube de abril de 2019. Para usar esta función, actualice todos los conectores a la versión 19.03.0.0 y,a continuación, siga este procedimiento para configurar la lista de conectores de sincronización. Tengaen cuenta las situaciones siguientes.

n Para los directorios existentes, la lista de conectores de sincronización está vacía. Hasta que seconfigure la lista de conectores de sincronización, el conector que se configuró originalmente para eldirectorio seguirá utilizándose para la sincronización y no se podrá realizar ninguna reserva si seproduce un error en el conector.


VMware, Inc. 36

n Los directorios nuevos creados en un entorno actualizado o nuevo tienen un conector en la lista deconectores de sincronización. Este conector es el que seleccionó como conector de sincronización alcrear el directorio.

Requisitos previos

n Debe tener instaladas y configuradas instancias de conector adicionales. Consulte Instalar yconfigurar instancias de VMware Identity Manager Connector adicionales.

n Todos los conectores asociados con el servicio deben ser de la versión 19.03.0.0 o una versiónposterior. Si alguno de los conectores tiene una versión anterior, la pestaña Sincronizar conectoresno aparece en la página Configuración de sincronización del directorio.

Procedimiento

1 Asocie las nuevas instancias de conector al IDP de Workspace del directorio al que está asociada laprimera instancia de conector.

a En la consola de VMware Identity Manager, seleccione la pestaña Administración de acceso eidentidad y, a continuación, seleccione Configurar.

b En la página Conectores, busque la instancia de conector que instaló en primer lugar.

c En esa fila, haga clic en el vínculo IDP de Workspace de la columna Proveedor de identidadesdel directorio para el que desea configurar la alta disponibilidad.

d En la página IDP de Workspace, desplácese hasta la sección Conector, seleccione cada nuevainstancia de conector en el menú desplegable y haga clic en Agregar conector.

e Haga clic en Guardar.

2 Haga clic en Configurar para volver a la página Conectores.

3 En la página Conectores, haga clic en el vínculo del directorio de la columna Directorios asociadospara ir a la página del directorio.

4 Haga clic en Configuración de sincronización.

5 Haga clic en la pestaña Sincronizar conectores.


VMware, Inc. 37

6 Seleccione las instancias de conector que se utilizarán para sincronizar los usuarios y los grupos deeste directorio.

a Desde la lista Seleccionar un conector, que muestra todos los conectores agregados alservicio, seleccione un conector y haga clic en el icono +.

El conector se agrega a la lista Sincronizar conectores.

b Agregue todos los conectores que desea usar para sincronizar a la lista Sincronizarconectores.

c En la lista Sincronizar directorios, organice los conectores en orden de conmutación por errormediante las teclas de flecha hacia arriba y hacia abajo.

Para realizar una sincronización de directorio, VMware Identity Manager intenta usar el primerconector de la lista. Si el primer conector no está disponible, intenta utilizar el segundo conector,y así sucesivamente.

Por ejemplo:


La lista de conectores de sincronización del directorio se guarda y se aplica a partir de la próximasincronización.

Puede ver los conectores que se utilizaron para la sincronización en la pestaña Registro desincronización de la página del directorio.

Por ejemplo:


VMware, Inc. 38


VMware, Inc. 39

Agregar la compatibilidad conla autenticación Kerberos a laimplementación deVMware Identity ManagerConnector 6Puede agregar a la implementación para los usuarios internos la autenticación Kerberos, que requiere elmodo de conexión entrante, a la implementación de los conectores de modo de conexión de salida.Puede configurar los mismos conectores para que los usuarios de la red interna usen la autenticaciónKerberos y los usuarios externos usen otro método de autenticación. Para hacerlo, defina directivas deautenticación en función de rangos de redes.

El siguiente diagrama muestra la autenticación de Kerberos en una implementación local deVMware Identity Manager.

Figura 6‑1. Autenticación Kerberos

Servidor de VMware Identity

ManagerEquilibrador

de carga

Conector 1 de VMware Identity

Manager

Conector 2 de VMware Identity

Manager

En las instalaciones

DMZ Red empresarial

443443

443

443

443

Los requisitos y las consideraciones para la autenticación de Kerberos son los siguientes:

n La autenticación Kerberos se puede configurar independientemente del tipo de directorio configuradoen VMware Identity Manager, Active Directory mediante LDAP o Active Directory medianteAutenticación de Windows integrada.

n La máquina Windows donde el conector de VMware Identity Manager está instalado debe estarconectada al dominio de Active Directory.

n Debe instalar VMware Identity Manager Connector como usuario del dominio incluido dentro delgrupo de administradores en la máquina Windows en la que está instalado el conector, y debeejecutar el servicio de VMware IDM Connector como usuario del dominio Windows.

VMware, Inc. 40

n Asegúrese de seleccionar un nombre de host adecuado y sencillo para el conector. El nombre dehost de VMware Identity Manager Connector está visible para los usuarios finales cuando seconfigura la autenticación Kerberos.

n Cada conector en el que se configura la autenticación Kerberos debe tener un certificado SSL deconfianza. Puede obtener el certificado de la entidad de certificación interna. La autenticaciónKerberos no funciona con certificados autofirmados.

Se requieren certificados SSL de confianza, independientemente de si se habilita Kerberos en unsolo conector o en varios conectores para alta disponibilidad.

n Para configurar una alta disponibilidad para la autenticación Kerberos, es necesario un equilibradorde carga.


n Configurar y habilitar el adaptador de autenticación Kerberos

n Configurar alta disponibilidad para la autenticación Kerberos

Configurar y habilitar el adaptador de autenticaciónKerberosConfigure y habilite KerberosIdpAdapter en VMware Identity Manager Connector. Si implementó unclúster para la alta disponibilidad, configure y habilite el adaptador en todos los conectores del clúster.

Importante Los adaptadores de autenticación de todos los conectores del clúster deben tener la mismaconfiguración. Se deben configurar los mismos métodos de autenticación en todos los conectores.

Cuando configure el adaptador de autenticación Kerberos, el conector VMware Identity Manager intentainicializar Kerberos automáticamente. Si el servicio de VMware IDM Connector no se está ejecutandocon privilegios suficientes para inicializar Kerberos, aparece un mensaje de error. En este caso, siga lasinstrucciones que aparecen en http://kb.vmware.com/kb/2149753 para ejecutar un script para inicializarKerberos.

Para obtener más información sobre la configuración de la autenticación Kerberos, consulte la Guía deadministración de VMware Identity Manager.

Requisitos previos

n La máquina Windows donde el conector de VMware Identity Manager está instalado debe estarconectada al dominio.

n Debe instalar VMware Identity Manager Connector como usuario del dominio incluido dentro delgrupo de administradores en la máquina Windows en la que está instalado el conector, y debeejecutar el servicio de VMware IDM Connector como usuario del dominio Windows.

Procedimiento

1 En la consola de administración de VMware Identity Manager, haga clic en la pestañaAdministración de acceso e identidad.


VMware, Inc. 41

http://kb.vmware.com/kb/2149753

2 Haga clic en Configuración y, a continuación, en la pestaña Conectores.

Aparecen todos los conectores que implementó.

3 Haga clic en el vínculo de la columna Trabajo de uno de los conectores.

4 Haga clic en la pestaña Adaptadores de autenticación.

5 Haga clic en el vínculo KerberosIdpAdapter, configure y habilite el adaptador.


Nombre El nombre predeterminado de los adaptadores es KerberosIdpAdapter. Puedecambiarlo.

Atributo de UID de directorio El atributo de la cuenta que contiene el nombre de usuario.

Habilitar autenticación de Windows Seleccione esta opción.

Habilitar redireccionamiento Si cuenta con varios conectores en un clúster y piensa configurar la altadisponibilidad de Kerberos con un equilibrador de carga, seleccione esta opción yespecifique un valor para Nombre del host de redireccionamiento.

Si la implementación solo tiene un conector, no necesita usar las opcionesHabilitar redireccionamiento ni Nombre del host de redireccionamiento.

Nombre del host deredireccionamiento

Es necesario un valor si se selecciona la opción Habilitar redireccionamiento.Introduzca el propio nombre del host del conector. Por ejemplo, si el nombre dehost del conector es conector1.ejemplo.com, introduzcaconector1.ejemplo.com en el cuadro de texto.

Por ejemplo:

Para obtener más información sobre KerberosIdPAdapter, consulte la Guía de administración deVMware Identity Manager.


Nota Si aparece un error que indica que no se ha podido inicializar Kerberos, consulte Error deinicialización de Kerberos. Después de ejecutar el script, vuelva a esta página y configure eladaptador.


VMware, Inc. 42

7 Si implementó un clúster, configure KerberosIdPAdapter en todos los conectores del clúster.

Asegúrese de configurar el adaptador exactamente igual en todos los conectores, excepto el valordel nombre del host de redireccionamiento, que debe ser específico para cada conector.

Pasos siguientes

n Asegúrese de que cada conector en el que esté habilitado KerberosIdpAdapter tenga un certificadoSSL de confianza. Puede obtener el certificado de la entidad de certificación interna. La autenticaciónKerberos no funciona con certificados autofirmados.

Se requieren certificados SSL de confianza, independientemente de si se habilita Kerberos en unsolo conector o en varios conectores para alta disponibilidad.

n Si es necesario, configure la alta disponibilidad para la autenticación Kerberos. La autenticaciónKerberos no cuenta con alta disponibilidad sin un equilibrador de carga.

Configurar alta disponibilidad para la autenticaciónKerberosPara configurar una alta disponibilidad en la autenticación Kerberos, instale un equilibrador de carga enla red interna dentro del firewall y agregue las instancias de VMware Identity Manager Connector.

También debe configurar algunas opciones en el equilibrador de carga, establecer una confianza SSLentre el equilibrador de carga y las instancias del conector y cambiar la URL de autenticación delconector para usar el nombre del host del equilibrador de carga.

Establecer la configuración de equilibrador de cargaDebe configurar ciertas opciones en el equilibrador de carga, como establecer el tiempo de espera delequilibrador de carga correctamente y habilitar sesiones sticky.

Configure estas opciones.

n Tiempo de espera del equilibrador de carga

Para que el VMware Identity Manager Connector funcione correctamente, es posible que necesiteaumentar el valor predeterminado correspondiente al tiempo de espera para las solicitudes delequilibrador de carga. Este valor se expresa en minutos. Si el valor del tiempo de espera esdemasiado bajo, es posible que aparezca el siguiente error.

Error 502: El servicio no está disponible actualmente

n Habilitar sesiones sticky

Debe habilitar la configuración de las sesiones sticky en el equilibrador de carga si la implementacióntiene varias instancias conectoras. El equilibrador de carga enlazará entonces la sesión de unusuario a una instancia de conector específica.


VMware, Inc. 43

Aplicar el certificado raíz de VMware Identity Manager Connectoral equilibrador de cargaCuando VMware Identity Manager Connector se configure tras un equilibrador de carga, deberáestablecer la confianza SSL entre este y el conector. El certificado raíz de conector se debe copiar en elequilibrador de carga como un certificado raíz de confianza.

El certificado de VMware Identity Manager Connector puede descargarse de las páginas deadministración del conector en https://FQDNconector:8443/cfg/ssl.

Si el nombre de dominio del conector se dirige a un equilibrador de carga, el certificado SSL solo sepuede aplicar al equilibrador de carga.

Procedimiento

1 Inicie sesión en las páginas de administración del conector en https://connectorFQDN:8443/cfg/logincomo usuario administrador.

2 Seleccione Instalar certificados SSL.

3 En la pestaña Certificado de servidor, haga clic en el vínculo en el campo Certificados de entidadde certificación raíz autofirmados del dispositivo.

4 Copie todo lo que hay entre las líneas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE----,

incluyendo estas líneas, y pegue el certificado raíz en la ubicación correcta de cada uno de susequilibradores de carga. Consulte la documentación del equilibrador de carga.

Pasos siguientes

Copie y pegue el certificado raíz del equilibrador de carga en VMware Identity Manager Connector.


VMware, Inc. 44

Aplicar el certificado raíz del equilibrador de carga aVMware Identity Manager ConnectorCuando VMware Identity Manager Connector se configure tras un equilibrador de carga, deberáestablecer la confianza entre este y el conector. Además de copiar el certificado raíz del conector en elequilibrador de carga, deberá copiar el certificado del equilibrador de carga en el conector.

Procedimiento

1 Obtenga el certificado raíz del equilibrador de carga.

2 Acceda a las páginas de administración de VMware Identity Manager Connector enhttps://connectorFQDN:8443/cfg/login e inicie sesión como usuario administrador.

3 Seleccione la pestaña Instalar certificados SSL > CA de confianza.

4 Pegue el texto del certificado del equilibrador de carga en el cuadro de texto Certificado intermedioo raíz.

5 Haga clic en Agregar.

Cambiar el nombre de host de IdP del conector al nombre delhost del equilibrador de cargaDespués de agregar las instancias de VMware Identity Manager Connector al equilibrador de carga,debe cambiar el nombre del host de IdP en el IdP de Workspace de cada conector por el nombre de hostdel equilibrador de carga.

Requisitos previos

Las instancias del conector se configuran tras un equilibrador de carga. Compruebe que el puerto delequilibrador de carga es el 443. No utilice el puerto 8443 ya que este número de puerto corresponde aladministrativo.


VMware, Inc. 45

Procedimiento

1 Inicie sesión en la consola de administración de VMware Identity Manager.

2 Haga clic en la pestaña Administración de acceso e identidad.


4 En la página Proveedor de identidades, haga clic en el vínculo IdP de Workspace en la instancia delconector.

5 En el cuadro de texto Nombre de host de IdP, cambie el nombre de host del conector por el nombrede host del equilibrador de carga.

Por ejemplo, si el nombre de host de su conector es miconector y el nombre de host de suequilibrador de carga es miec,

myconnector.mycompany.com:cambie el puerto

de la URL


VMware, Inc. 46

por el siguiente:

mylb.mycompany.com:puerto


VMware, Inc. 47

Ajustes adicionales deVMware Identity ManagerConnector 7Después de completar la configuración inicial de VMware Identity Manager, puede ir a las páginas deadministración del conector en cualquier momento para realizar tareas como instalar los certificados,administrar las contraseñas y descargar los archivos de registro.

Las páginas de administración de VMware Identity Manager Connector están disponibles enhttps://connectorFQDN:8443/cfg/login, por ejemplo, https://myconnector.example.com:8443/cfg/login.Inicie sesión como usuario administrador del conector con la contraseña que creó cuando lo instaló.

Tabla 7‑1. Configuración del conector


Instalar certificados SSL En las pestañas de esta página, puede instalar un certificadoSSL para el conector, descargar el certificado raíz autofirmadoe instalar certificados raíz de confianza.

Configurar registro del sistema En esta página, puede habilitar un servidor syslog externo sidesea que los registros del conector se envíen al servidorexterno.

Cambiar contraseña Esta página permite cambiar la contraseña de administradordel conector.

Configuración de proxy En esta página, puede configurar los ajustes de proxy delconector.

Ubicaciones de los archivos de registro En esta página, puede crear y descargar un paquete dearchivos de registro del conector.

Este capítulo incluye los siguientes temas:n Uso de certificados SSL para VMware Identity Manager Connector

n Configurar un servidor syslog para VMware Identity Manager Connector

n Administrar sus contraseñas del conector de VMware Identity Manager

n Configurar los ajustes de proxy para VMware Identity Manager Connector

n Ver y descargar los archivos de registro de VMware Identity Manager Connector

n Configurar la sincronización de hora para VMware Identity Manager Connector (Windows)

VMware, Inc. 48

Uso de certificados SSL para VMware Identity ManagerConnectorAl instalar el conector de VMware Identity Manager, se genera automáticamente un certificado deservidor SSL autofirmado predeterminado. Puede seguir usando este certificado autofirmado en lamayoría de los escenarios.

Con el conector implementado en el modo de salida, los usuarios finales no tienen acceso al conectordirectamente, por lo que no es necesario instalar un certificado SSL público firmado por una entidad decertificación (CA). Para tener acceso de administrador al conector, puede continuar utilizando elcertificado autofirmado predeterminado o puede utilizar un certificado generado por la entidad decertificación interna.

Sin embargo, si habilita KerberosIdpAdapter en el conector para configurar la autenticación Kerberospara los usuarios internos, los usuarios finales establecerán conexiones SSL con el conector por lo queeste debe tener un certificado SSL firmado. Use la entidad de certificación interna para generar elcertificado SSL.

Si se configura alta disponibilidad para la autenticación Kerberos, se requiere un equilibrador de cargafrente a las instancias del conector. En este caso, el equilibrador de carga y todas las instancias delconector deben tener certificados SSL firmados. Use la entidad de certificación interna para generar loscertificados SSL. Para el certificado del equilibrador de carga, utilice el nombre de host de IdP deWorkspace, que está establecido en la página de configuración de IdP de Workspace, como el nombrecomún del DN del sujeto. Para cada certificado de la instancia de conector, utilice el nombre de host delconector como el nombre común del DN del sujeto. Como alternativa, puede crear un único certificadoutilizando el nombre de host de Idp de Workspace como el nombre común del DN del sujeto y todos losnombres de host del conector, así como el nombre de host de Idp de Workspace, como nombresalternativos del sujeto (SAN).

Instalar un certificado SSL firmado del conectorPuede instalar un certificado SSL firmado para el conector de VMware Identity Manager desde laspáginas de administración del conector en https://connectorFQDN:8443/cfg/login.

Consulte Uso de certificados SSL para VMware Identity Manager Connector para ver los escenarios enlos que se requiere un certificado SSL firmado.

Requisitos previos

Genere una solicitud de firma del certificado (CSR) y obtenga un certificado firmado SSL. El certificadodebe estar en formato PEM.

Procedimiento


2 Haga clic en Instalar certificados SSL.


VMware, Inc. 49

3 En la pestaña Certificado de servidor para el campo Certificado SSL, seleccione Certificadopersonalizado.

4 En el cuadro de texto Cadena de certificados SSL, pegue los certificados de servidor, intermedio yraíz, en ese orden.

Debe incluir la cadena de certificados completa en el orden correcto. Para cada certificado, copietodo lo que haya entre las líneas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE----, inclusoestas líneas.

5 En el cuadro de texto Clave privada, pegue la clave privada. Copie todo entre ----BEGIN RSAPRIVATE KEY y ---END RSA PRIVATE KEY.


Ejemplo: Ejemplos de certificados

Ejemplo de cadena de certificados

-----BEGIN CERTIFICATE-----

jlQvt9WdR9Vpg3WQT5+C3HU17bUOwvhp/r0+

...

W53+O05j5xsxzDJfWr1lqBlFF/OkIYCPcyK1

-----END CERTIFICATE-----


WdR9Vpg3WQT5+C3HU17bUOwvhp/rjlQvt90+

...

O05j5xsxzDJfWr1lqBlFF/OkIYCPW53+cyK1



dR9Vpg3WQTjlQvt9W5+C3HU17bUOwvhp/r0+

...

5j5xsxzDJfWr1lqW53+O0BlFF/OkIYCPcyK1


Ejemplo de clave privada

-----BEGIN RSA PRIVATE KEY-----

jlQvtg3WQT5+C3HU17bU9WdR9VpOwvhp/r0+

...

...

...

1lqBlFFW53+O05j5xsxzDJfWr/OkIYCPcyK1

-----END RSA PRIVATE KEY-----


VMware, Inc. 50

Descargar el certificado de CA raíz autofirmado del conectorSi implementa el conector con el certificado SSL autofirmado que se genera de forma predeterminadacuando se instala el conector, instale el certificado de CA raíz autofirmado del conector en todos losclientes que accedan al conector. Puede descargar el certificado de CA raíz desde la consola deadministración de VMware Identity Manager.

Procedimiento

1 Inicie sesión en las páginas de administración del conector de VMware Identity Manager enhttps://connectorFQDN:8443/cfg/login como usuario administrador.

2 Haga clic en Instalar certificados SSL.

3 En la pestaña Certificado de servidor, haga clic en el vínculo en el campo Certificados de entidadde certificación raíz autofirmados del dispositivo.

Se muestran los certificados.

4 Copie el texto completo, incluso las líneas ---BEGIN CERTIFICATE--- y ---END CERTIFICATE---.

Instalar certificados raíz de confianza en el conectorInstale los certificados intermedios y raíz en los que deba confiar el conector de VMware IdentityManager. El conector podrá establecer conexiones seguras con los servidores cuya cadena decertificados incluya alguno de estos certificados.

Los escenarios en los que es necesario instalar certificados raíz de confianza en el conector son, entreotros, los siguientes:

n Si configuró un equilibrador de carga para alta disponibilidad de la autenticación Kerberos, instale elcertificado de CA raíz del equilibrador de carga en las instancias del conector para establecer laconfianza entre los conectores y el equilibrador de carga.

Procedimiento


2 Haga clic en Instalar certificados SSL y, a continuación, seleccione la pestaña CA de confianza.

3 Pegue el certificado raíz o intermedio en el cuadro de texto.

Incluya todo lo que haya entre las líneas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE----,incluso estas líneas.



VMware, Inc. 51

Configurar un servidor syslog paraVMware Identity Manager ConnectorLos eventos en el nivel de aplicaciones del servicio se pueden exportar a un servidor syslog externo. Loseventos del sistema operativo no se exportan.

Dado que la mayoría de empresas no disponen de espacio en disco ilimitado, el dispositivo virtual noguarda el historial de registro completo. Si desea guardar una cantidad de historial mayor o crear unaubicación centralizada para su historial de registro, puede configurar un servidor syslog externo.

Requisitos previos

n Configure un servidor syslog externo. Puede usar cualquiera de los servidores syslog estándardisponibles. Varios servidores syslog incluyen capacidades de búsqueda avanzada.

n Asegúrese de que el conector puede comunicarse con el servidor syslog en el puerto 514 (UDP).

Procedimiento

1 Inicie sesión en las páginas de administración del conector en https://FQDNdelconector:8443/cfg/login como usuario administrador.

2 Seleccione Configurar Syslog en el panel izquierdo.

3 Haga clic en Habilitar.

4 Introduzca la dirección IP o el FQDN del servidor syslog donde desee almacenar los registros.


Se enviará una copia de sus registros al servidor del registro del sistema.

Administrar sus contraseñas del conector deVMware Identity ManagerAl instalar VMware Identity Manager Connector, se crea una contraseña para el usuario administrador.Puede cambiar esta contraseña en las páginas de administración del conector.

Importante Asegúrese de crear contraseñas seguras. Las contraseñas seguras deben tener al menosocho caracteres e incluir mayúsculas, minúsculas y al menos un dígito o un carácter especial.

Procedimiento


2 Haga clic en Cambiar contraseña.

3 Introduzca las contraseñas antigua y nueva.

Importante La contraseña del usuario administrador debe tener 6 caracteres como mínimo.


VMware, Inc. 52


Configurar los ajustes de proxy paraVMware Identity Manager ConnectorVMware Identity Manager Connector accede a servicios web en Internet. Si la configuración de redproporciona acceso a Internet a través de un proxy HTTP, deberá ajustar la configuración del proxy enVMware Identity Manager Connector.

Nota Habilite su proxy para gestionar solo el tráfico de Internet. Para garantizar que el proxy seconfigura correctamente, establezca el parámetro del tráfico interno en la opción sin proxy en eldominio.

Procedimiento

1 Utilice un navegador para ir a las páginas de administración de VMware Identity Manager Connectoren https://nombredelhostdelconector:8443/cfg/login.

2 Inicie sesión con la contraseña de usuario administrador del conector.

3 Haga clic en Configuración de proxy.

4 Seleccione Habilitar.

5 En el cuadro de texto Host de proxy con puerto, introduzca el nombre de host del servidor proxy yel puerto.

Por ejemplo, proxy.ejemplo.com:3128.

6 En el campo Hosts no de proxy, introduzca los hosts a los que podrá acceder el conector sin tenerque pasar a través del servidor proxy.

Use una coma para separar los nombres de host en la lista.


Ver y descargar los archivos de registro deVMware Identity Manager ConnectorLos archivos de registro de VMware Identity Manager Connector pueden ser útiles para depurar errores ysolucionar problemas. Puede encontrar los archivos de registro en el directorio Directorio deinstalación\VMware Identity Manager\Connector\opt\vmware\horizon\workspace\logs.

Los siguientes archivos de registro son los más importantes.


VMware, Inc. 53

Tabla 7‑2. Archivos de registro

ComponenteUbicación del archivo de registroen Windows Descripción

Registros delconfigurador

Directorio de

instalación\VMware Identity

Manager\Connector\opt\vmware\h

orizon\workspace\logs\configur

ator.log

Solicitudes que recibe el configurador delcliente de REST y de la interfaz web.

Registros delconector

Directorio de



orizon\workspace\logs\connecto

r.log

Un registro de cada solicitud recibida desdela interfaz web. Cada entrada del registroincluye también la URL, la marca de hora ylas excepciones de la solicitud. No seregistra ninguna acción de sincronización.

Directorio de



orizon\workspace\logs\connecto

r-dir-sync.log

Mensajes relacionados con lasincronización de directorio.

Registros deApache Tomcat

Directorio de



orizon\workspace\logs\catalina

.log

Apache Tomcat registra los mensajes queno se registran en otros archivos deregistro.

También puede descargar un paquete de archivos de registro de las páginas de administración deVMware Identity Manager Connector en https://nombredehostdelconector:8443/cfg/login. Inicie sesióncomo usuario administrador y haga clic en Ubicaciones de los archivos de registro.

Descargar un paquete de registrosPuede descargar un paquete de archivos de registro para VMware Identity Manager Connector desde laspáginas de administración del conector. Los archivos de registro pueden ser útiles para depurar errores ysolucionar problemas.

Para recopilar registros de cada instancia del conector del entorno, inicie sesión en las páginas deadministración de cada instancia.

Procedimiento

1 Inicie sesión en las páginas de administración de VMware Identity Manager Connector enhttps://connectorFQDN:8443/cfg/login como usuario administrador.

2 Haga clic en Ubicaciones de los archivos de registro y en Preparar paquete de registro.

La información se recopila en un archivo zip que puede descargar.

3 Descargue el paquete de registros.


VMware, Inc. 54

Establecer el nivel de registro de VMware Identity ManagerConnector en DEBUGPuede establecer el nivel de registro en DEBUG para registrar información adicional que puede ayudar adepurar problemas.

Procedimiento

1 En el servidor de Windows en el que está instalado el conector, vaya al directorioINSTALL_DIR\VMware Identity Manager\Connector\usr\local\horizon\conf\.

2 Actualice el nivel de registro en los archivos cfg-log4j.properties y hc-log4j.properties, queson los archivos log4j más comúnmente usados para el conector.

a Edite el archivo.

b En las líneas que tienen el nivel de registro establecido en INFO, reemplace INFO por DEBUG.

Por ejemplo, cambie:

rootLogger.level=INFO

por:

rootLogger.level=DEBUG

c Guarde el archivo.

No se requiere un reinicio del servicio o del sistema.

Configurar la sincronización de hora para VMware IdentityManager Connector (Windows)Se requiere la configuración de la sincronización de hora en todas las instancias de conector y el serviciode VMware Identity Managerpara que una implementación de VMware Identity Manager funcionecorrectamente. Para configurar la sincronización de hora para VMware Identity Manager Connector(Windows), utilice la pestaña Configuración de dispositivos > Administrar configuración >Sincronización de hora de la consola de VMware Identity Manager.

Puede sincronizar el reloj de VMware Identity Manager Connector con el host ESXi o con un servidor deprotocolo de tiempo de red (NTP). De forma predeterminada, VMware Identity Manager Connector estáconfigurado para sincronizarse con el host. Si el equipo Windows del conector no se está ejecutando enun host ESXi, la opción de sincronización Hora del host no es aplicable y debe seleccionar la opción NTPo configurar la sincronización de hora directamente en el equipo Windows.


VMware, Inc. 55

Siga estas directrices:

n Como práctica recomendada, sincronice la hora con un servidor NTP si la instancia deVMware Identity Manager Connector puede acceder a un servidor NTP. De lo contrario, sincronice lahora con el host ESXi y configure el host ESXi para sincronizar la hora con un servidor NTP.

Nota Si el equipo Windows del conector no se está ejecutando en un host ESXi, seleccione laopción NTP o configure la sincronización de hora directamente en el equipo Windows.

n Si la implementación incluye instancias de conector o servicio de VMware Identity Manager endiferentes hosts, la práctica recomendada es sincronizar la hora con un servidor NTP directamente,en lugar de sincronizar con el host para garantizar que no haya un desplazamiento horario entre lasinstancias.

Requisitos previos

Si el equipo Windows del conector se ejecuta en un host ESXi y desea utilizar la opción desincronización Hora del host, instale VMware Tools en el equipo Windows.

Procedimiento

1 Inicie sesión en las páginas de administración del conector en https://FQDNdelconector:8443/cfg/login como usuario administrador.

2 En el panel izquierdo, haga clic en Sincronización de hora.

3 Seleccione una opción de sincronización de hora.


NTP Sincroniza el reloj del sistema de VMware Identity Manager Connector con unservidor NTP. El servidor NTP predeterminado es time.nist.gov. Para usar otroservidor NTP, introduzca su nombre de dominio completo (FQDN) en el cuadrode texto Servidor NTP. Por ejemplo:

servidor_ntp.ejemplo.com

Hora del host Sincroniza el reloj del sistema de VMware Identity Manager Connector con elhost ESXi, si corresponde. Esta es la configuración predeterminada.



VMware, Inc. 56

Actualizar VMware IdentityManager Connector (Windows) 8Para actualizar VMware Identity Manager Connector (Windows), descargue el instalador para la versiónmás reciente desde My VMware o My Workspace ONE y ejecútelo. No es necesario que desinstale laversión anterior.

Después de la actualización, no es necesario generar un nuevo código de activación para VMwareIdentity Manager Connectorni activarlo otra vez. La configuración existente se aplica al conectorautorizado.

Procedimiento

1 Descargue el instalador de VMware Identity Manager Connector para Windows desde My VMware oMy Workspace ONE.

Para obtener el instalador de My VMware:a Inicie sesión en My VMware.

b Descargue el instalador de VMware Identity Manager Connector para Windows desde la páginade descargas de VMware Identity Manager.

2 Guarde el archivo del instalador en el mismo servidor de Windows en el que se instaló la versiónanterior del conector.

3 Ejecute el instalador y siga las indicaciones para completar la actualización.

Nota Durante la actualización, si el instalador detecta una versión de JRE en el servidor deWindows anterior a la que se incluye con el instalador, se le solicitará que instale la nueva versión deJRE.

4 Si JRE se actualiza durante la actualización del conector, reinicie el servidor de Windows una vezcompletada la actualización.

Reiniciar el servidor establece la variable JAVA_HOME como el JRE más reciente que se hayainstalado con la actualización y permite que el conector use la última versión de JRE.

VMware, Inc. 57

Actualizar Java en el servidorde VMware Identity ManagerConnector 9VMware Identity Manager Connector requiere Java Runtime Environment (JRE).

La versión de JRE requerida para el conector se incluye con el instalador de VMware Identity ManagerConnector. Cuando se actualiza el conector, se le pide que actualice la versión de JRE. Para obtenerinformación sobre la actualización de JRE mientras se ejecuta el instalador, consulte Capítulo 8ActualizarVMware Identity Manager Connector (Windows).

Si desea actualizar JRE en el servidor del conector en cualquier otro momento, siga estos pasos paraasegurarse de que VMware Identity Manager Connector siga funcionando correctamente después de laactualización de JRE.

Nota Este procedimiento es aplicable a la versión 3.2.0.1 de VMware Identity Manager Connector yversiones posteriores.

Nota Si JRE se actualiza automáticamente, siga los pasos 3 a 4 después de la actualización.

Procedimiento

1 Detenga el servicio de VMware IDM Connector.

2 Instale la nueva versión JRE.

3 Actualice la variable de entorno JAVA_HOME para que apunte a la nueva versión de JRE.

4 Reinicie el servicio de VMware IDM Connector.

VMware, Inc. 58

Eliminar una instancia deVMware Identity ManagerConnector 10Puede eliminar una instancia de VMware Identity Manager Connector del servicio deVMware Identity Manager. Una instancia de conector no se puede eliminar si existe un directorioasociado a ella.

Por ejemplo, puede eliminar una instancia de conector cuando quiera utilizar el mismo nombre de hostpara una nueva instancia de conector.

Procedimiento

1 Inicie sesión en la consola administrativa de VMware Identity Manager.

2 Seleccione la pestaña Administración de acceso e identidad y, a continuación, haga clic enConfiguración.

3 Si un directorio está asociado al conector que desea eliminar, elimine primero el directorio.

a Haga clic en el nombre del directorio en la columna Directorio asociado.

b Haga clic en Eliminar directorio.

4 En la página Configurar > Conectores, haga clic en el icono Eliminar que aparece junto a lainstancia del conector que desea eliminar y luego haga clic en Confirmar.

La instancia de conector se elimina desde el servicio de VMware Identity Manager.

5 Desinstale VMware Identity Manager Connector del servidor de Windows en el que está instalado.

VMware, Inc. 59

Migración de directorios de ACCa VMware Identity ManagerConnector 11Los clientes de Workspace ONE que implementaran la sincronización de Active Directory conVMware Identity Manager usando AirWatch Cloud Connector (ACC) deben seguir un procedimiento demigración si desean sacar el máximo partido a la funcionalidad adicional que se incluye con VMwareIdentity Manager Connector. Este procedimiento, que no tendrá que realizar más de una vez, convierte eldirectorio ACC del tipo Otro a un directorio de tipo Active Directory mediante LDAP o Active Directorymediante autenticación de Windows integrada, que están asociados con VMware Identity ManagerConnector. Este procedimiento no elimina el directorio existente ni ninguna autorización asociada a él.

Para convertir el directorio Otro, debe realizar las siguientes tareas.

1 Convierta el directorio Otro a Active Directory mediante LDAP o a Active Directory (Autenticación deWindows integrada).

2 Configure métodos adicionales de autenticación del conector VMware Identity Manager para eldirectorio, si es necesario. El método de autenticación Contraseña está disponible de formapredeterminada.

3 Edite la directiva predeterminada y cualquier directiva personalizada para usar Contraseña u otrométodo de autenticación del conector VMware Identity Manager en lugar de Contraseña (AirWatchConnector).

4 Detenga la sincronización de grupos y usuarios de AirWatch con el directorioVMware Identity Manager.

Este capítulo incluye los siguientes temas:n Convertir el directorio Otro a Active Directory mediante LDAP o a Active Directory mediante

autenticación de Windows integrada

n Detener la sincronización de directorio de Workspace ONE UEM con VMware Identity Manager

VMware, Inc. 60

Convertir el directorio Otro a Active Directory medianteLDAP o a Active Directory mediante autenticación deWindows integradaEs posible convertir un directorio de tipo Otro, que almacena usuarios y grupos sincronizados desdeWorkspace ONE UEM, a un directorio de tipo Active Directory mediante LDAP o Active Directorymediante autenticación de Windows integrada, que están asociados con VMware Identity ManagerConnector. Después de convertir el directorio, se utiliza el conector VMware Identity Manager en lugar deACC para sincronizar usuarios y grupos del directorio empresarial a VMware Identity Manager.

Requisitos previos

n Instale y active VMware Identity Manager Connector.

Para usar algunas funciones, debe unir el servidor de Windows al dominio, debe instalar VMwareIdentity Manager Connector como un usuario de dominio que forma parte del grupo deadministradores en el servidor de Windows y debe elegir ejecutar el servicio de IDM Connector comousuario de dominio de Windows.

Este requisito se aplica a los siguientes casos.

n Si tiene previsto convertir el directorio Otro a Active Directory mediante autenticación deWindows integrada


n Si tiene previsto integrar Horizon View con VMware Identity Manager y quiere usar las opcionesRealizar sincronización de directorio o Configurar servidor de conexión 5.x.

n Se necesita la siguiente información de Active Directory:

n Si va a convertir a Active Directory mediante LDAP, se necesitarán el DN base, el DN de enlace yla contraseña del DN de enlace. Se recomienda utilizar una cuenta de usuario de DN de enlacecon una contraseña que no caduque.

n Si va a convertir a Active Directory mediante autenticación de Windows integrada, se necesitaránla dirección UPN del usuario de enlace del dominio y la contraseña. Se recomienda utilizar unacuenta de usuario de DN de enlace con una contraseña que no caduque.

n Si Active Directory necesita que el acceso sea mediante SSL o STARTTLS, se requerirá elcertificado de CA raíz del controlador de dominio de Active Directory.

n Para Active Directory mediante autenticación de Windows integrada, cuando tiene configuradoActive Directory con varios bosques y el grupo local de dominios incluye miembros de dominiosde diferentes bosques, asegúrese de que el usuario de enlace se agregue al grupoAdministradores del dominio en el que reside el grupo local de dominios. De lo contrario, estosmiembros no estarán en el grupo local de dominios.


VMware, Inc. 61

Procedimiento

1 En la consola de administración de VMware Identity Manager, haga clic en la pestañaAdministración de acceso e identidad y, a continuación, en la pestaña Directorios.

2 Haga clic en el directorio que desee convertir.

3 En la página del directorio, haga clic en el botón Convertir.

4 En la página Agregar directorio, cambie el nombre del directorio si es necesario y seleccione el tipode directorio al que desea convertir el directorio Otro, Active Directory mediante LDAP o ActiveDirectory (autenticación IWA).

5 Escriba la información de conexión de Active Directory y continúe con el asistente para configurar eldirectorio.

Consulte "Configurar la conexión de Active Directory con el servicio" en la guía Integración dedirectorios con VMware Identity Manager para obtener más información.

Siga estas directrices.

n En el campo Conector de sincronización, seleccione el conector de VMware Identity Managerque instaló.

n En la sección Sincronización y autenticación de directorios, seleccione Sí para laAutenticación, a menos que quiera usar un proveedor de identidades de terceros en lugar delconector para la autenticación.

n Asegúrese de configurar el directorio convertido exactamente igual que el directorio deWorkspace ONE UEM para que tengan la misma estructura de directorio. Seleccione los mismosdominios. Cuando especifique los usuarios y los grupos que quiera sincronizar, realice lasmismas selecciones que efectuó en el directorio de Workspace ONE UEM para que sesincronicen los mismos usuarios y grupos en el directorio convertido.

6 En la última página del asistente, haga clic en Sincronizar directorio.

El directorio se convierte y se configura para usar el conector VMware Identity Manager. Si noexistía, se crea un proveedor de identidades de Workspace al que se asocia automáticamente eldirectorio. El método de autenticación de contraseña ya está habilitado para el directorio.

7 (Opcional) Si desea habilitar otros métodos de autenticación para el directorio, siga estos pasos.

a En la pestaña Administración de acceso e identidad, haga clic en Configuración.

b En la página Conectores, busque el conector y el trabajo con los que está asociado el directorioconvertido y haga clic en el vínculo de la columna Trabajo.

c En la página de trabajo, haga clic en la pestaña Adaptadores de autenticación.

d Configure y habilite los adaptadores de autenticación que desee utilizar para el directoriohaciendo clic en el vínculo de cada uno de ellos e introduciendo la información de laconfiguración.

Para obtener más información sobre cómo configurar los adaptadores de autenticación, consulteAdministración de VMware Identity Manager.


VMware, Inc. 62

8 Edite la directiva default_access_policy_set y cualquier directiva personalizada para seleccionar losmétodos de autenticación del conector VMware Identity Manager en lugar de Contraseña (AirWatchConnector).

a En la pestaña Administración de acceso e identidad, haga clic en la pestaña Directivas.

b Haga clic en Editar política predeterminada.

c Haga clic en Configuración.

d Edite las reglas de directiva y reemplace el método de autenticación Contraseña (AirWatchConnector) por Contraseña, que es un método de autenticación de VMware Identity ManagerConnector.

e Haga clic en la pestaña Directivas de nuevo y edite las directivas personalizadas, si las hubiera,para usar Contraseña o cualquier otro método de autenticación del conectorVMware Identity Manager configurado.

Importante Si no cambia Contraseña (AirWatch Connector) a Contraseña o a otro método deautenticación basado en el conector VMware Identity Manager, los usuarios del directorioconvertido no podrán iniciar sesión.

Pasos siguientes

Detenga la sincronización de Workspace ONE UEM con el directorio convertido.

Detener la sincronización de directorio de WorkspaceONE UEM con VMware Identity ManagerDespués de convertir el directorio Otro a Active Directory mediante LDAP o Active Directory medianteautenticación de Windows integrada y asociarlo con un conector VMware Identity Manager, este conectorse usa para sincronizar los usuarios y los grupos del directorio empresarial con el directorio convertido.Debe detener la sincronización de usuarios y de grupos de Workspace ONE UEM con el directorio deVMware Identity Manager.

Procedimiento

1 En la consola de Workspace ONE UEM Console, acceda a Grupo organizativo.

2 Acceda a la página Grupos y ajustes > Todos los ajustes > Sistema > Integración empresarial >VMware Identity Manager.

3 Haga clic en el botón Eliminar en la parte inferior de la página.


VMware, Inc. 63

Se completó la conversión del directorio. Los usuarios y los grupos ya están sincronizados desde eldirectorio empresarial hasfta el servicio de VMware Identity Manager a través de VMware IdentityManager Connector. Los usuarios pueden seguir iniciando sesión y accediendo a las aplicaciones.

Nota En caso de que el nombre de dominio sea diferente del nombre NetBIOS del dominio, el nombrede dominio que aparece en la página de inicio de sesión puede cambiar después de convertir eldirectorio. Con la sincronización de Workspace ONE UEM, aparece el nombre NetBIOS del dominio. Conla sincronización de VMware Identity Manager Connector, aparece el nombre de dominio.


VMware, Inc. 64

Solución de problemas deVMware Identity ManagerConnector 12Los temas de solución de problemas describen los problemas comunes y sus soluciones relacionadoscon la instalación y administración de VMware Identity Manager Connector en Windows.

Este capítulo incluye los siguientes temas:n Restablecer la contraseña del usuario administrador de VMware Identity Manager Connector

n Error de inicialización de Kerberos

Restablecer la contraseña del usuario administrador deVMware Identity Manager ConnectorLa contraseña del usuario administrador de VMware Identity Manager Connector se puede cambiar enlas páginas de administración del conector en https://FQDNdelconector:8443/cfg/login. Sin embargo, sino puede iniciar sesión y necesita restablecer la contraseña, use el script hznSetAdminPassword.batpara hacerlo.

Procedimiento

1 En el servidor Windows, abra la ventana de comandos.

2 Desplácese hasta la carpeta INSTALL_DIR\VMware IdentityManager\Connector\usr\local\horizon\bin:

cd INSTALL_DIR\VMware Identity Manager\Connector\usr\local\horizon\bin

donde INSTALL_DIR es el directorio de instalación de VMware Identity Manager Connector.

3 Ejecute el siguiente comando:

hznSetAdminPassword.bat newPassword

Error de inicialización de KerberosCuando se configura el adaptador de autenticación Kerberos, se obtiene un error que indica que no sepudo inicializar Kerberos.

VMware, Inc. 65

ProblemaDurante la instalación de VMware Identity Manager Connector, si no seleccionó la opción ¿Deseaejecutar el servicio de IDM Connector como una cuenta de usuario de dominio?, o si seleccionó laopción pero especificó una cuenta de dominio que no tiene el derecho para "Crear, eliminar y administrarcuentas de usuario" en Active Directory, Kerberos no se podrá inicializar después de la instalación.Cuando se intenta configurar el adaptador de autenticación Kerberos, se obtiene un mensaje de errorque indica que no se pudo inicializar Kerberos.

SoluciónEjecute el script setupkerberos.bat con una cuenta de usuario que tenga más privilegios. Use unacuenta que:

n Sea un usuario de dominio.

n Tenga el derecho para "Crear, eliminar y administrar cuentas de usuario" en Active Directory (losmiembros de los grupos Usuarios administradores y Operadores de cuenta tienen estos derechos).

n Forme parte del grupo de administradores del servidor de Windows en el que esté instalado VMwareIdentity Manager Connector.

Esta cuenta de usuario con más privilegios solo se requiere temporalmente para ejecutar el script, y nose almacenará ni se volverá a utilizar para los servicios del conector. Después de ejecutar el script, podrácontinuar con la configuración del adaptador de autenticación Kerberos con la cuenta de usuario originalque estaba utilizando.

Para ejecutar el script:

1 Inicie sesión en la máquina del conector de Windows y desplácese hasta el directorio Directoriode instalación\VMware Identity Manager\Connector\usr\local\horizon\scripts.

2 Haga clic con el botón derecho en setupkerberos.bat y seleccione Ejecutar comoadministrador.

3 Introduzca la cuenta de usuario con más privilegios descrita anteriormente.

Aparecerá un mensaje de confirmación cuando el script se haya ejecutado correctamente.

4 Inicie sesión en la consola de VMware Identity Manager con la cuenta de usuario original que estabautilizando y configure el adaptador de autenticación Kerberos.

Acerca del script setupkerberos.batEl script setupkerberos.bat realiza las siguientes tareas:

1 Crea una cuenta de servicio con el mismo nombre que la cuenta de máquina (sin el símbolo $).

2 Establece una contraseña aleatoria para la cuenta.

3 Genera un archivo keytab para la cuenta, almacenado en /usr/horizon/conf.


VMware, Inc. 66

4 Asigna la entidad de seguridad predeterminada de la máquina como un SPN en la cuenta.


VMware, Inc. 67

vmware identity manager · contenido instalar y configurar vmware identity manager connector...

Documents