Installazione e configurazione di VMware Identity Manager per Linux. APR 2019 VMware Identity Manager 19.03

Transcript

1 Installazione e configurazione di VMware Identity Manager per Linux APR 2019 VMware Identity Manager 19.03

2 È possibile trovare la documentazione tecnica più aggiornata sul sito Web di VMware all'indirizzo: Il sito Web di VMware fornisce, inoltre, gli ultimi aggiornamenti di prodotto. In caso di commenti sulla presente documentazione, inviare un messaggio all'indirizzo: VMware, Inc Hillview Ave. Palo Alto, CA VMware, Inc. Centro Leoni Palazzo A Via Spadolini 5 Ground Floor Milan, MI tel: fax: Copyright VMware, Inc. Tutti i diritti riservati. Informazioni sul copyright e sul marchio commerciale. VMware, Inc. 2

3 Sommario Informazioni sull'installazione e la configurazione di VMware Identity Manager per Linux 5 1 Preparazione all'installazione di VMware Identity Manager 6 Requisiti di configurazione di sistema e di rete 8 Preparazione alla distribuzione di VMware Identity Manager 13 Creazione di record DNS e indirizzi IP 14 Creazione del database del servizio VMware Identity Manager 15 Checklist di distribuzione 23 Programma di Miglioramento dell'esperienza del Cliente "Customer Experience Improvement Program" ("CEIP") 25 2 Distribuzione di VMware Identity Manager 26 Installazione del file OVA di VMware Identity Manager 26 (Facoltativo) Aggiunta di pool di IP 29 Configurazione delle impostazioni di VMware Identity Manager 30 Aggiunta di indirizzi IP in una whitelist al firewall esterno 32 Configurazione delle impostazioni del server proxy per VMware Identity Manager 32 Specifica della chiave di licenza 33 3 Gestione delle impostazioni di configurazione di VMware Identity Manager 34 Modifica delle impostazioni di configurazione dell'appliance 35 Uso dei certificati SSL 35 Installazione di un certificato SSL per il servizio VMware Identity Manager 36 Installazione di certificati root attendibili 37 Installazione di un certificato PassThrough 38 Modifica dell'url del servizio VMware Identity Manager 38 Modifica dell'url del connettore 39 Configurazione di un server syslog 39 Informazioni sui file di registro 40 Raccolta delle informazioni di registro 41 Impostazione del livello di registro del servizio di VMware Identity Manager su DEBUG 42 Gestione delle password dell'appliance 42 Configurazione delle impostazioni SMTP 43 Configurazione della sincronizzazione dell'ora per il servizio VMware Identity Manager (Linux) 44 VMware, Inc. 3

4 4 Configurazione avanzata per l'appliance di VMware Identity Manager 45 Utilizzo di un programma di bilanciamento del carico o di un proxy inverso per abilitare l'accesso esterno a VMware Identity Manager 45 Apply VMware Identity Manager Root Certificate to the Load Balancer 48 Applicazione del certificato root di bilanciamento del carico a VMware Identity Manager 49 Configurazione delle impostazioni del server proxy per VMware Identity Manager 51 Configurazione del failover e della ridondanza in un data center singolo 51 Consigli per il cluster di VMware Identity Manager 52 Modifica del nome di dominio di completo di VMware Identity Manager nel nome di dominio completo di bilanciamento del carico 53 Clonazione dell'appliance virtuale 54 Assegnazione di un nuovo indirizzo IP a un'appliance virtuale clonata 56 Abilitazione della sincronizzazione delle directory su un'altra istanza di in caso di errore 57 Rimozione di un nodo da un cluster 58 Distribuzione di VMware Identity Manager in un data center secondario per il failover e la ridondanza 60 Configurazione di un data center secondario 62 Failover nel data center secondario 72 Failback nel data center primario 75 Promozione del data center secondario a data center primario 76 Aggiornamento di VMware Identity Manager con tempo di inattività minimo 77 5 Using the Built-in KDC 78 Initialize the Key Distribution Center in the Appliance 79 Creazione di voci DNS pubbliche per il KDC con Kerberos integrato 80 Sostituzione dell'area di autenticazione 81 6 Monitoraggio di VMware Identity Manager 82 Raccomandazioni monitoraggio capacità di carico hardware 82 Endpoint di URL di VMware Identity Manager per il monitoraggio 83 Visualizzazione di informazioni aggiuntive nell'api Controllo integrità 91 Registrazione di sistema 92 7 Impostazione dei limiti 94 Impostazione dei limiti nel servizio VMware Identity Manager 94 Impostazione dei limiti sul connettore di VMware Identity Manager 97 8 Risoluzione dei problemi relativi all'installazione e alla configurazione 101 Utenti non in grado di avviare le applicazioni o metodo di autenticazione non corretto applicato negli ambienti con bilanciamento del carico 101 Gli utenti non sono in grado di avviare le applicazioni in un ambiente con bilanciamento del carico 102 Nel gruppo non viene visualizzato alcun membro dopo la sincronizzazione della directory 103 VMware, Inc. 4

5 Informazioni sull'installazione e la configurazione di VMware Identity Manager per Linux include informazioni sull'installazione e la configurazione dell'appliance virtuale VMware Identity Manager basata su Linux in locale. Al termine dell'installazione, è possibile utilizzare la console di amministrazione per consentire agli utenti di accedere da più dispositivi alle applicazioni dell'organizzazione, tra cui applicazioni Web, applicazioni e desktop Horizon e risorse pubblicate da Citrix. Viene inoltre spiegato come configurare la propria distribuzione per l'alta disponibilità. include informazioni sulla distribuzione dell'appliance virtuale VMware Identity Manager nella rete interna. Per distribuire VMware Identity Manager in DMZ, vedere Distribuzione di VMware Identity Manager in DMZ. Destinatari Queste informazioni sono dirette agli amministratori di VMware Identity Manager. Le informazioni sono destinate agli amministratori di sistema esperti di Windows e Linux che conoscono le tecnologie VMware e in particolare vcenter, ESX e vsphere, i concetti relativi ai servizi di rete, i server Active Directory, i database, le procedure di backup e ripristino, Simple Mail Transfer Protocol (SMTP) e i server NTP. La conoscenza di altre tecnologie, come VMware ThinApp e RSA SecurID è utile se si desidera implementare queste funzionalità. VMware, Inc. 5

6 Preparazione all'installazione di 1 VMware Identity Manager Le attività per distribuire e configurare VMware Identity Manager richiedono che vengano soddisfatti alcuni prerequisiti, che venga distribuito il file OVA di VMware Identity Manager e che venga portata a termine la configurazione dalla procedura di configurazione guidata di VMware Identity Manager. VMware, Inc. 6

7 Figura 1 1. Diagramma di architettura VMware Identity Manager per distribuzioni tipiche Nome di dominio completo di VMware Identity Manager: dentitymanager.società.com Dispositivo mobile DMZ HTTPS (443) Internet Laptop Proxy inverso TCP/UDP (88) - solo ios PC Bilanciamento del carico interno identitymanager.società.com HTTPS (443) HTTPS PCoIP Area aziendale Utenti LAN aziendale PC Laptop TCP/UDP (88) - solo ios VDI (HTML) Visualizza server di conn. VDI (PCoIP/RDP) HTTPS (443) Appliance virtuale di VMware Identity Manager Servizi DNS/NTP SecurID RSA Servizi AD/directory Database esterno Repository ThinApp Server Citrix API REST AirWatch Nota Se si prevede di abilitare l'autenticazione mediante certificato o smart card, utilizzare l'impostazione del pass-through SSL sul bilanciamento del carico, anziché l'impostazione per terminare SSL. Questa configurazione assicura che l'handshake SSL si trovi tra VMware Identity Manager connettore e il client. Nota In base alla posizione della distribuzione di Workspace ONE UEM, le API REST di Workspace ONE UEM potrebbero trovarsi nel cloud o in locale. Questo capitolo include i seguenti argomenti: Requisiti di configurazione di sistema e di rete Preparazione alla distribuzione di VMware Identity Manager Programma di Miglioramento dell'esperienza del Cliente "Customer Experience Improvement Program" ("CEIP") VMware, Inc. 7

8 Requisiti di configurazione di sistema e di rete Considerare l'intera distribuzione, compreso il modo in cui si integrano le risorse, quando si prendono decisioni relative ai requisiti hardware, delle risorse e di rete. Versioni supportate di vsphere e ESX Sono supportate le seguenti versioni del server vsphere e ESXi: 5.5 e versioni successive 6.0 e versioni successive Requisiti di dimensionamento dell'hardware Assicurarsi che vengano soddisfatti i requisiti per il numero di appliance virtuali di VMware Identity Manager e le risorse allocate a ogni appliance. Numero di utenti Fino a Numero di server VMware Identity Manager 1 server 3 server con bilanciamento del carico 3 server con bilanciamento del carico 3 server con bilanciamento del carico 3 server con bilanciamento del carico CPU (per server) 2 CPU 2 CPU 4 CPU 8 CPU 8 CPU RAM (per server) 6 GB 6 GB 8 GB 16 GB 32 GB Spazio su disco (per server) 60 GB 100 GB 100 GB 100 GB 100 GB Assicurarsi che vengano soddisfatti i requisiti seguenti per il numero di istanze del connettore di VMware Identity Manager. Numero di utenti Fino a Numero di server del connettore 1 server 2 server con bilanciamento del carico 2 server con bilanciamento del carico 2 server con bilanciamento del carico 2 server con bilanciamento del carico CPU (per server) 2 CPU 4 CPU 4 CPU 4 CPU 4 CPU RAM (per server) 6 GB 6 GB 8 GB 16 GB 16 GB Spazio su disco (per server) 60 GB 60 GB 60 GB 60 GB 60 GB Requisiti del database Configurare VMware Identity Manager con un database Microsoft SQL esterno per memorizzare e organizzare i dati del server. VMware, Inc. 8

9 Per informazioni sulle versioni del database Microsoft SQL e le configurazioni dei service pack supportate, vedere VMware Product Interoperability Matrices all'indirizzo I requisiti seguenti si applicano a un database SQL Server esterno. Le specifiche esatte necessarie per il server SQL variano in base alle dimensioni e alle esigenze della distribuzione. Numero di utenti Fino a CPU 2 CPU 2 CPU 4 CPU 8 CPU 8 CPU RAM 4 GB 4 GB 8 GB 16 GB 32 GB Spazio su disco 50 GB 50 GB 50 GB 100 GB 100 GB La funzionalità AlwaysOn di SQL Server è una combinazione di clustering di failover e mirroring del database con il log shipping per la disponibilità elevata. AlwaysOn consente di utilizzare più copie di lettura del database e una singola copia per le operazioni di lettura-scrittura. Se la larghezza di banda dell'ambiente di distribuzione è sufficiente per supportare il traffico generato, il database di VMware Identity Manager supporta AlwaysOn. Requisiti di configurazione di rete Componente Record DNS e indirizzo IP Porta firewall Proxy inverso Requisito minimo Indirizzo IP e record DNS Assicurarsi che la porta del firewall in entrata 443 sia aperta per gli utenti all'esterno della rete sull'istanza di VMware Identity Manager o sul bilanciamento del carico. Distribuire un proxy inverso come F5 Access Policy Manager nel DMZ per consentire agli utenti l'accesso sicuro al portale utente di VMware Identity Manager da remoto. VMware Unified Access Gateway 2.8 e le versioni successive supportano la funzionalità di proxy inverso per consentire agli utenti di accedere in modo sicuro al catalogo unificato di VMware Identity Manager da remoto. Unified Access Gateway può essere distribuito nel DMZ con i bilanciamenti del carico front-end sull'appliance di VMware Identity Manager. Requisiti delle porte Le porte utilizzate nella configurazione del server sono descritte di seguito. È possibile che la distribuzione includa solo una serie di queste porte. Ad esempio: Per sincronizzare utenti e gruppi da Active Directory, VMware Identity Manager deve connettersi a Active Directory. Per la sincronizzazione con ThinApp, VMware Identity Manager deve entrare nel dominio di Active Directory e connettersi alla condivisione del repository ThinApp. VMware, Inc. 9

10 Porta Protocollo Origine Destinazione Descrizione 443 HTTPS Bilanciamento del carico Macchina VMware Identity Manager 443 HTTPS VMware Identity Manager Bilanciamento del carico Necessario per convalidare il nome di dominio completo del bilanciamento del carico quando è impostato. 443, 8443 HTTPS/HTTP Macchina VMware Identity Manager Macchina VMware Identity Manager Per tutte le istanze di VMware Identity Manager in un cluster e nei cluster in diversi data center. 443 HTTPS Browser Macchina VMware Identity Manager 443, 80 HTTPS, HTTP Macchina VMware Identity Manager 443 HTTPS Macchina VMware Identity Manager 443 HTTPS Macchina VMware Identity Manager vapp-updates.vmware.com discovery.awmdm.com catalog.vmwareidentity.com Accesso al server di aggiornamento Accesso per l'individuazione automatica dell'applicazione Workspace ONE Accesso al catalogo cloud 8443 HTTPS Browser Macchina VMware Identity Manager Porta amministratore 25 SMTP Macchina VMware Identity Manager SMTP Porta per l'inoltro della posta in uscita LDAP LDAPS MSFT-GC MSFT-GC-SSL Macchina VMware Identity Manager Active Directory Sono mostrati i valori predefiniti. Queste porte sono configurabili. 445 TCP Macchina VMware Identity Manager 5500 UDP Macchina VMware Identity Manager 53 TCP/UDP Macchina VMware Identity Manager Repository di VMware ThinApp Sistema RSA SecurID Server DNS Accesso al repository ThinApp È visualizzato il valore predefinito. Questa porta è configurabile. Ogni appliance virtuale deve poter accedere al server DNS sulla porta 53 e consentire il traffico SSH in ingresso sulla porta , 464, 135, 445 TCP/UDP Macchina VMware Identity Manager Controller del dominio VMware, Inc. 10

11 Porta Protocollo Origine Destinazione Descrizione TCP UDP Macchina VMware Identity Manager 5701 TCP Macchina VMware Identity Manager Macchina VMware Identity Manager Macchina VMware Identity Manager Necessità di controllo Cache Hazelcast TCP Macchina VMware Identity Manager Macchina VMware Identity Manager Ehcache 1433 TCP Macchina VMware Identity Manager Database La porta predefinita di Microsoft SQL è la VMware Identity Manager Server Horizon Accesso al server Horizon 80, 443 TCP VMware Identity Manager Server Integration Broker Connessione a Integration Broker. L'opzione della porta dipende dal fatto che nel server Integration Broker sia installato o meno un certificato 443 HTTPS VMware Identity Manager REST API di Workspace ONE UEM (AirWatch) Per il controllo della conformità del dispositivo e per il metodo di autenticazione della password di AirWatch Cloud Connector, se viene utilizzato. 88 UDP Unified Access Gateway Macchina VMware Identity Manager Porta UDP da aprire per SSO mobile 5262 TCP Dispositivo mobile Android Servizio proxy HTTPS Workspace ONE UEM (AirWatch) Il client Workspace ONE UEM (AirWatch) Tunnel instrada il traffico verso il proxy HTTPS per i dispositivi Android. 88 UDP Dispositivo mobile ios Macchina VMware Identity Manager Porta utilizzata per il 443 HTTPS/TCP traffico Kerberos dal dispositivo ios al servizio KDC cloud ospitato. VMware, Inc. 11

12 Porta Protocollo Origine Destinazione Descrizione 514 UDP Macchina VMware Identity Manager 88 UDP Macchina VMware Identity Manager server syslog Server KDC ibrido nel cloud. Il nome host è kdc.<realm>. Ad esempio kdc.op.vmwareidentity.com UDP Per server syslog esterno, se configurato Porta UDP utilizzata per autenticare ios gli aggiornamenti della configurazione dell'adattatore di autenticazione SSO mobile ios che vengono salvati nel servizio KDC nel cloud. Questa porta è utilizzata solo se viene utilizzata la funzionalità di SSO Mobile ios ibrido KDC. Sincronizzazione ora La configurazione della sincronizzazione dell'ora in tutte le istanze del servizio e del connettore di VMware Identity Manager è necessaria affinché una distribuzione di VMware Identity Manager funzioni correttamente. Per informazioni sulla configurazione della sincronizzazione dell'ora per il servizio VMware Identity Manager, vedere Configurazione della sincronizzazione dell'ora per il servizio VMware Identity Manager (Linux). Per informazioni sulla configurazione della sincronizzazione dell'ora per il connettore di VMware Identity Manager, vedere Installazione e configurazione di VMware Identity Manager Connector (Windows). Directory supportate L'integrazione di VMware Identity Manager con la directory aziendale consente di sincronizzare utenti e gruppi dalla directory aziendale al servizio. L'ambiente di Active Directory può essere costituito da un singolo dominio di Active Directory, da più domini in una singola foresta di Active Directory o da più domini in più foreste di Active Directory. VMware Identity Manager supporta Active Directory in Windows 2008, 2008 R2, 2012, 2012 R2 e 2016 con un livello di funzionalità del dominio e della foresta di Windows 2003 e versioni successive. Nota Per alcune funzionalità potrebbe essere necessario un livello di funzionalità più elevato. Ad esempio, per consentire agli utenti di cambiare la password di Active Directory da Workspace ONE, il livello di funzionalità del dominio deve essere Windows 2008 o versione successiva. VMware, Inc. 12

13 Browser Web supportati per l'accesso alla console di VMware Identity Manager La console di VMware Identity Manager è un'applicazione basata su Web utilizzata per gestire il tenant. È possibile accedere alla console di VMware Identity Manager dalle versioni più recenti di Mozilla Firefox, Google Chrome, Safari, Microsoft Edge e Internet Explorer 11. Nota In Internet Explorer 11, è necessario attivare JavaScript e permettere i cookie per l'autenticazione tramite VMware Identity Manager. Browser supportati per l'accesso al portale Workspace ONE Gli utenti finali possono accedere al portale Workspace ONE dai seguenti browser. Mozilla Firefox (versione più recente) Google Chrome (versione più recente) Safari (versione più recente) Internet Explorer 11 Browser Microsoft Edge Browser nativo e Google Chrome su dispositivi Android Safari su dispositivi ios Nota In Internet Explorer 11, è necessario attivare JavaScript e permettere i cookie per l'autenticazione tramite VMware Identity Manager. Preparazione alla distribuzione di VMware Identity Manager Prima di poter distribuire VMware Identity Manager, è necessario preparare il proprio ambiente. Questa preparazione include il download del file OVA di VMware Identity Manager, la creazione dei record DNS e il recupero degli indirizzi IP. Prerequisiti Prima di iniziare a installare VMware Identity Manager completare le attività prerequisite. Per distribuire l'appliace virtuale di VMware Identity Manager sono necessari uno o più server ESX. Nota Per informazioni sulle versioni dei server vsphere e ESX supportate, fare riferimento a VMware Product Interoperability Matrixes all'indirizzo Per distribuire il file OVA e accedere all'appliance virtuale distribuita in remoto per configurare la rete, è necessario VMware vsphere Client o vsphere Web Client. VMware, Inc. 13

14 Scaricare il file OVA di VMware Identity Manager dal sito Web di VMware. Creazione di record DNS e indirizzi IP Per l'istanza di VMware Identity Manager del devono essere disponibili una voce DNS e un indirizzo IP statico. Poiché ciascuna azienda amministra i suoi indirizzi IP e i record DNS in maniera differente, prima di iniziare l'installazione richiedere il record DNS e gli indirizzi IP da utilizzare. La configurazione della ricerca inversa è facoltativa. Quando si implementa la ricerca inversa, è necessario definire un record PTR sul server DNS in modo che l'appliance virtuale utilizzi la configurazione di rete corretta. È possibile utilizzare il seguente elenco di record DNS di esempio quando si consulta l'amministratore di rete. Sostituire le informazioni di esempio con le informazioni del proprio ambiente. Questo esempio riporta i record DNS di inoltro e gli indirizzi IP. Tabella 1 1. Esempi di record DNS di inoltro e indirizzi IP Nome di dominio Tipo di risorsa Indirizzo IP myidentitymanager.example.com Un Questo esempio riporta i record DNS inverso e gli indirizzi IP. Tabella 1 2. Esempi di record DNS inverso e indirizzi IP Indirizzo IP Tipo di risorsa Nome host PTR myidentitymanager.example.com Dopo aver completato la configurazione DNS, verificare che la ricerca DNS inversa sia configurata correttamente. Ad esempio, il comando dell'appliance virtuale host IPaddress deve essere risolto sulla ricerca del nome DNS. Pianificazione per l'autenticazione Kerberos Se si intende configurare l'autenticazione Kerberos, si tengano presenti le condizioni seguenti: In uno scenario in cui si utilizza il connettore VMware Identity Manager per l'autenticazione Kerberos, il nome host ddel connettore deve corrispondere al dominio di Active Directory a cui il connettore appartiene. Se ad esempio il dominio Active Directory è sales.example.com, il nome host del connettore deve essere connectorhost.sales.example.com. Se non è possibile assegnare un nome host che corrisponda alla struttura di dominio Active Directory, è necessario configurare il connettore e Active Directory manualmente. Consultare la Knowledge Base per informazioni. VMware, Inc. 14

15 Uso di un server DNS basato su Unix/Linux Se si utilizza un server DNS basato su Unix o Linux e si desidera inserire l'istanza di VMware Identity Manager del nel dominio di Active Directory, assicurarsi che i record di risorse del servizio appropriati (SRV) siano stati creati per ogni controller del dominio di Active Directory. Nota Se è presente un programma di bilanciamento del carico con un indirizzo IP virtuale (VIP) prima dei server DNS, si noti che VMware Identity Manager non supporta l'utilizzo di un VIP. È possibile specificare più server DNS separati da una virgola. Creazione del database del servizio VMware Identity Manager Il servizio VMware Identity Manager richiede un database Microsoft SQL Server esterno per archiviare e organizzare i dati del server. L'amministratore del database deve preparare un database Microsoft SQL Server vuoto e uno schema prima di installare VMware Identity Manager. Quando ci si connette a Microsoft SQL Server, immettere il nome dell'istanza a cui connettersi e la modalità di autenticazione. È possibile selezionare la modalità di autenticazione di Windows e specificare dominio\nome utente o la modalità di autenticazione di SQL Server e specificare il nome utente locale e la password. È possibile connettersi alla connessione del database esterno quando si esegue la configurazione guidata di VMware Identity Manager. La configurazione del database esterno può essere eseguita anche da Impostazioni appliance > Configurazione VA > pagina Configurazione della connessione al database. È possibile utilizzare Microsoft SQL Server per configurare un ambiente di database ad alta disponibilità. Nell'appliance VMware Identity Manager è incorporato un database Postgre SQL interno, ma il database interno non è però consigliato nelle distribuzioni di produzione. Configurazione del database Microsoft SQL con la modalità di autenticazione di Windows Per utilizzare un database Microsoft SQL per VMware Identity Manager, è necessario prima creare un nuovo database sul server Microsoft SQL. Durante l'installazione, è necessario selezionare una modalità di autenticazione per il database. Se si seleziona l'autenticazione di Windows, quando si crea il database, immettere il nome utente e il dominio. Il nome utente e il dominio vengono immessi come domain\username. Quando si eseguono i comandi di Microsoft SQL, creare un database nel server Microsoft SQL, immettere il nome del database, aggiungere le credenziali di accesso utente e creare lo schema. Il nome dello schema è saas. Nota Nella raccolta predefinita viene fatta la distinzione tra maiuscole/minuscole. Prerequisiti La versione supportata del server Microsoft SQL deve essere stata installata come server di database esterno. VMware, Inc. 15

16 Deve essere stata configurata un'implementazione del bilanciamento del carico. Autenticazione di Windows selezionata come modalità di autenticazione. Devono essere disponibili i diritti da amministratore per accedere e creare i componenti del database utilizzando Microsoft SQL Server Management Studio o un altro client dell CLI server di Microsoft SQL. Procedura 1 Accedere alla sessione di Microsoft SQL Server Management Studio come sysadmin o con un account utente con privilegi sysadmin. Verrà visualizzata la finestra dell'editor. 2 Sulla barra degli strumenti, fare clic su Nuova query. 3 Per creare il database con lo schema predefinito denominato saas, immettere i seguenti comandi nella finestra dell'editor. /* Values within angle brackets (< >) are example values. When replacing the example value, remove the angle brackets. The database name is case sensitive. Make sure you enter the database name the same in all instances. */ CREATE DATABASE <saasdb> COLLATE Latin1_General_CS_AS; ALTER DATABASE <saasdb> SET READ_COMMITTED_SNAPSHOT ON; GO IF NOT EXISTS (SELECT name FROM master.sys.server_principals WHERE name=n'<domain\username>') BEGIN CREATE LOGIN [<domain\username>] FROM WINDOWS; END GO USE <saasdb>; IF EXISTS (SELECT * FROM sys.database_principals WHERE name=n'<domain\username>') DROP USER [<domain\username>] GO CREATE USER [<domain\username>] FOR LOGIN [<domain\username>] WITH DEFAULT_SCHEMA=saas; GO CREATE SCHEMA saas AUTHORIZATION "<domain\username>" GRANT ALL ON DATABASE::<saasdb> TO "<domain\username>"; GO VMware, Inc. 16

17 ALTER ROLE db_owner ADD MEMBER "<domain\username>"; GO 4 Sulla barra degli strumenti, fare clic su!execute. Il server del database Microsoft SQL è ora pronto per la connessione al database di VMware Identity Manager. Il ruolo del server utilizzato per concedere i privilegi di sicurezza a livello del server è impostato su public. L'appartenenza al ruolo del database è db_owner. Non impostare altri ruoli. Quando si installa VMware Identity Manager per Windows, si seleziona questa istanza di server di database a cui connettersi. Dopo l'installazione, l'url JDBC e il nome utente e la password creati per il database vengono configurati nella pagina Configurazione della connessione al database nel server di VMware Identity Manager. Vedere Configurazione di VMware Identity Manager per l'utilizzo di un database esterno Configurazione del database Microsoft SQL utilizzando la modalità di autenticazione di Server SQL locale Per utilizzare un database Microsoft SQL per VMware Identity Manager, è necessario prima creare un nuovo database sul server Microsoft SQL. Durante l'installazione, è necessario selezionare una modalità di autenticazione per il database. Se si seleziona l'autenticazione di SQL Server, quando si crea il database, immettere un nome utente locale e una password. Quando si eseguono i comandi di Microsoft SQL, creare un database nel server Microsoft SQL, immettere il nome del database, aggiungere le credenziali di accesso utente e creare lo schema. Lo schema è denominato saas. Nota Nella raccolta predefinita viene fatta la distinzione tra maiuscole/minuscole. Prerequisiti La versione supportata del server Microsoft SQL deve essere stata installata come server di database esterno. Deve essere stata configurata un'implementazione del bilanciamento del carico. Autenticazione di SQL Server selezionata come modalità di autenticazione. Devono essere disponibili i diritti da amministratore per accedere e creare i componenti del database utilizzando Microsoft SQL Server Management Studio o un altro client dell CLI server di Microsoft SQL. Procedura 1 Accedere alla sessione di Microsoft SQL Server Management Studio come sysadmin o con un account utente con privilegi sysadmin. Verrà visualizzata la finestra dell'editor. VMware, Inc. 17

18 2 Sulla barra degli strumenti, fare clic su Nuova query. 3 Per creare il database con lo schema predefinito denominato saas, immettere i seguenti comandi nella finestra dell'editor. /* Values within angle brackets (< >) are example values. When replacing the example value, remove the angle brackets. The database name is case sensitive. Make sure you enter the database name the same in all instances. */ CREATE DATABASE <saasdb> COLLATE Latin1_General_CS_AS; ALTER DATABASE <saasdb> SET READ_COMMITTED_SNAPSHOT ON; GO BEGIN CREATE LOGIN <loginusername> WITH PASSWORD = N'<password>'; END GO USE <saasdb>; IF EXISTS (SELECT * FROM sys.database_principals WHERE name=n'<loginusername>') DROP USER [<loginusername>] GO CREATE USER [<loginusername>] FOR LOGIN [<loginusername>] WITH DEFAULT_SCHEMA=saas; GO CREATE SCHEMA saas AUTHORIZATION <loginusername> GRANT ALL ON DATABASE::<saasdb> TO <loginusername>; GO ALTER ROLE [db_owner] ADD MEMBER <loginusername>; GO 4 Sulla barra degli strumenti, fare clic su!execute. Il server del database Microsoft SQL è ora pronto per la connessione al database di VMware Identity Manager. Il ruolo del server utilizzato per concedere i privilegi di sicurezza a livello del server è impostato su public. L'appartenenza al ruolo del database è db_owner. Non impostare altri ruoli. Quando si installa VMware Identity Manager per Windows, si seleziona questa istanza di server di database a cui connettersi. Dopo l'installazione, l'url JDBC e il nome utente e la password creati per il database vengono configurati nella pagina Configurazione della connessione al database nel server di VMware Identity Manager. Vedere Configurazione di VMware Identity Manager per l'utilizzo di un database esterno VMware, Inc. 18

19 Conferma della corretta configurazione del database Microsoft SQL Per verificare che il database Microsoft SQL sia configurato correttamente per l'utilizzo con VMware Identity Manager, è possibile eseguire il seguente script di verifica dopo aver configurato il database. Prerequisiti Per il servizio VMware Identity Manager deve essere creato il database Microsoft SQL. Procedura 1 Accedere alla sessione di Microsoft SQL Server Management Studio con il nome utente e la password di accesso <saasdb> creati nello script utilizzato per creare il database. Verrà visualizzata la finestra dell'editor. 2 Sulla barra degli strumenti, fare clic su Nuova query. 3 Eseguire i comandi seguenti. Modificare i comandi nel modo desiderato. execute as user = 'domain\username' /* Check if user is db owner. Return true */ SELECT IS_ROLEMEMBER('db_owner') as isrolemember /* Make sure user is not sysadmin. Should return false */ SELECT IS_SRVROLEMEMBER('sysadmin') as issysadmin /* check if saas schema exists, should be not null */ SELECT SCHEMA_ID('saas') as schemaid /* check schema owner, should be user provided to installer */ SELECT SCHEMA_OWNER FROM INFORMATION_SCHEMA.SCHEMATA where SCHEMA_NAME='saas' /* check if saas is user default schema, should return saas */ SELECT SCHEMA_NAME() as SchemaName /* check db collation, should return Latin1_General_CS_AS */ SELECT DATABASEPROPERTYEX('<saasdb>', 'Collation') AS Collation /* check if read committed snapshot is on, should return true */ SELECT is_read_committed_snapshot_on FROM sys.databases WHERE name='<saasdb>' 4 Sulla barra degli strumenti, fare clic su!execute. Se la configurazione non è corretta, vengono visualizzati messaggi di errore. Prima di continuare a configurare il servizio VMware Identity Manager per utilizzare il database Microsoft SQL esterno, correggere i problemi descritti nei messaggi di errore. VMware, Inc. 19

20 Configurazione di VMware Identity Manager per l'utilizzo di un database esterno Dopo aver creato il database Microsoft SQL, se il database esterno creato non viene configurato automaticamente in VMware Identity Manager, configurare VMware Identity Manager per l'utilizzo del database nella pagina Impostazioni appliance. Prerequisiti Il database con lo schema saas creato in Microsoft SQL server come server di database esterno. Per informazioni sulle versioni specifiche supportate da VMware Identity Manager, vedere VMware Product Interoperability Matrixes Procedura 1 Nella console di VMware Identity Manager, fare clic su Impostazioni dell'appliance e selezionare Configurazione appliance virtuale. 2 Fare clic su Gestisci configurazione. 3 Accedere con la password dell'utente amministratore di VMware Identity Manager. 4 Sulla pagina Configurazione connessione al database, selezionare Database esterno come tipo di database. 5 Immettere le informazioni sulla connessione al database. a Immettere l'url JDBC del server del database Microsoft SQL. Modalità di autenticazione Autenticazione di Windows (dominio\utente) Stringa URL JDBC jdbc:jtds:sqlserver://<hostname_or_ip_address:port#>/<saasdb>;integra tedsecurity=true;domain=<domainname>;usentlmv2=true Autenticazione di SQL Server (utente locale) jdbc:sqlserver://<hostname_or_ip_address:port#>;databasename=<saasdb> Nota Per attivare la funzionalità AlwaysOn di SQL Server, è necessario impostare MultiSubNetFailover su True in SQL. La stringa dell'url JDBC è jdbc:jtds:sqlserver://<hostname_or_ip_address:port#>/<saasdb>;integratedsecurity=true;domain=<d omainname>;usentlmv2=true;multisubnetfailover=true b Immettere il nome utente e la password di accesso configurati durante la creazione del database. Vedere Configurazione del database Microsoft SQL utilizzando la modalità di autenticazione di Server SQL locale 6 Fare clic su Test della connessione per verificare e salvare le informazioni. VMware, Inc. 20

21 Operazioni successive (Facoltativo) Modificare i privilegi di appartenenza del ruolo del database db_owner. Vedere Modifica dei ruoli a livello di database. Modifica dei ruoli a livello di database Quando lo schema saas viene utilizzato per creare il database Microsoft SQL per il servizio VMware Identity Manager, al ruolo db_owner viene assegnata l'appartenenza al ruolo di database. I membri del ruolo del database fisso db_owner possono eseguire tutte le configurazioni e le attività di manutenzione sul database. Dopo l'installazione e la configurazione del database nel servizio VMware Identity Manager, è possibile revocare l'accesso a db_owner e aggiungere db_datareader e db_datawriter come ruoli del database. I membri del ruolo db_datareader possono leggere tutti i dati da tutte le tabelle degli utenti. Il membro del ruolo db_datawriter può aggiungere, eliminare e modificare i dati in tutte le tabelle degli utenti. Nota Se si revoca l'accesso a db_owner, assicurarsi di concedere nuovamente il ruolo db_owner prima di iniziare un aggiornamento a una nuova versione di VMware Identity Manager. Prerequisiti Il ruolo utente per Microsoft SQL Server Management Studio come sysadmin o un account utente con privilegi di sysadmin. Procedura 1 Nella sessione di Microsoft SQL Server Management Studio come amministratore con privilegi di sysadmin, connettersi all'istanza di database <saasdb>per VMware Identity Manager. 2 Revocare il ruolo db_owner sul database, immettere il seguente comando Modalità di autenticazione Autenticazione di Windows (dominio\utente) Autenticazione di SQL Server (utente locale) Comando ALTER ROLE db_owner DROP MEMBER <domain\username>; ALTER ROLE db_owner DROP MEMBER <loginusername>; VMware, Inc. 21

22 3 Aggiungere l'appartenenza al ruolo db_datawriter e db_datareader al database. Modalità di autenticazione Autenticazione di Windows (dominio\utente) Comando ALTER ROLE db_datawriter ADD MEMBER <domain\username>; GO ALTER ROLE db_datareader ADD MEMBER <domain\username>; GO Autenticazione di SQL Server (utente locale) ALTER ROLE db_datawriter ADD MEMBER <loginusername>; GO ALTER ROLE db_datareader ADD MEMBER <loginusername>; GO Amministrazione del database interno Per impostazione predefinita, il database PostgreSQL interno è configurato e pronto per l'uso. Si noti che il database interno non è consigliato per l'utilizzo con le distribuzioni di produzione. Quando VMware Identity Manager è installato e attivo, durante il processo di inizializzazione viene creata una password casuale per l'utente database interno. Questa password è univoca per ogni distribuzione e si trova nel file /usr/local/horizon/conf/db.pwd. Modifica delle impostazioni di aumento automatico del database SQL Server Quando si crea il database, l'impostazione predefinita per l'aumento automatico è 1 MB per i file di dati. L'impostazione di aumento automatico per il database di VMware Identity Manager deve essere 128 MB. Per visualizzare l'impostazione di aumento automatico del file del database vidmdb, passare a Proprietà database > File. L'impostazione viene visualizzata nella colonna Aumento automatico/dimensione massima. Procedura 1 Accedere alla sessione di Microsoft SQL Server Management Studio come sysadmin o con un account utente con privilegi sysadmin. 2 Sulla barra degli strumenti, fare clic su Nuova query. 3 Per modificare l'impostazione di aumento automatico, eseguire il comando seguente. ALTER DATABASE <saasdb> MODIFY FILE ( NAME = N'<saasdb>', FILEGROWTH = 128MB ) GO Per l'impostazione di aumento automatico viene specificato il valore 128 MB. VMware, Inc. 22

23 Checklist di distribuzione Utilizzare la checklist di distribuzione per raccogliere le informazioni necessarie per installare l'appliance virtuale di VMware Identity Manager. Informazioni per il nome di dominio completo Tabella 1 3. Checklist di informazioni per il nome di dominio completo (FQDN, Fully Qualified Domain Name) Informazioni da raccogliere Nome di dominio completo di VMware Identity Manager Visualizzazione delle informazioni Se si intende configurare l'autenticazione Kerberos, tenere presenti le condizioni seguenti. In uno scenario in cui si utilizza il connettore VMware Identity Manager per l'autenticazione Kerberos, il nome host del connettore deve corrispondere al dominio di Active Directory a cui il connettore appartiene. Se ad esempio il dominio Active Directory è sales.example.com, il nome host del connettore deve essere connectorhost.sales.example.com. Se non è possibile assegnare un nome host che corrisponda alla struttura di dominio Active Directory, è necessario configurare il connettore e Active Directory manualmente. Consultare la Knowledge Base per informazioni. Informazioni di rete per l'appliance del di VMware Identity Manager Tabella 1 4. Checklist di informazioni per la rete Informazioni da raccogliere Indirizzo IP Visualizzazione delle informazioni Nota È necessario utilizzare un indirizzo IP statico con un PTR e un record A definiti in DNS. Nome host DNS per ogni nodo Indirizzo gateway predefinito Maschera di rete o prefisso Informazioni sulla directory VMware Identity Manager supporta l'integrazione con ambienti di directory Active Directory o LDAP. Tabella 1 5. Checklist di informazioni per il controller del dominio di Active Directory Informazioni da raccogliere Visualizzazione delle informazioni Nome server Active Directory Nome dominio di Active Directory Nome distinto di base VMware, Inc. 23

24 Tabella 1 5. Checklist di informazioni per il controller del dominio di Active Directory (Continua) Informazioni da raccogliere Visualizzazione delle informazioni Per Active Directory su LDAP, il nome utente e la password di Nome distinto di binding Per Active Directory con l'autenticazione integrata di Windows, il nome utente e la password dell'account con i privilegi per unire i computer al dominio. Tabella 1 6. Checklist di informazioni per il server di directory LDAP Informazioni da raccogliere Visualizzazione delle informazioni Nome server o indirizzo IP della directory LDAP Numero di porta server di directory LDAP Nome distinto di base Nome utente e password di Nome distinto di binding Filtri di ricerca LDAP per gli oggetti gruppo, gli oggetti dell'utente di binding e gli oggetti utente Nomi di attributi LDAP per l'appartenenza, l'uuid oggetto e il nome distinto (DN, distinguished name) Certificati SSL È possibile aggiungere un certificato SSL dopo aver distribuito il servizio di VMware Identity Manager. Tabella 1 7. Checklist di informazioni per i certificati SSL Informazioni da raccogliere Visualizzazione delle informazioni certificato SSL Chiave privata Chiave di licenza Tabella 1 8. Checklist di informazioni per la chiave di licenza di VMware Identity Manager Informazioni da raccogliere Visualizzazione delle informazioni Chiave di licenza Nota Le informazioni sulla chiave di licenza sono specificate nella console di VMware Identity Manager sulla pagina Impostazioni dell'appliance > Licenza una volta completata l'installazione. VMware, Inc. 24

25 Database esterno Tabella 1 9. Checklist di informazioni per il database esterno Informazioni da raccogliere Visualizzazione delle informazioni Nome host database Porta Nome utente Password Programma di Miglioramento dell'esperienza del Cliente "Customer Experience Improvement Program" ("CEIP") Il Programma di Miglioramento dell'esperienza del Cliente di VMware fornisce informazioni che consentono a VMware di migliorare i propri prodotti e servizi, risolvere problemi e fornire assistenza su come distribuire e utilizzare i prodotti al meglio. Come parte del programma CEIP, VMware raccoglie regolarmente informazioni tecniche sull'uso dei prodotti e dei servizi da parte dell'organizzazione, nonché le chiavi di licenza di VMware. Queste informazioni non consentono di identificare personalmente gli individui. Se non si intende partecipare al programma CEIP di VMware per questo prodotto, deselezionare la casella di controllo quando si installa VMware Identity Manager. È inoltre possibile partecipare o abbandonare il programma CEIP per questo prodotto in qualsiasi momento dopo l'installazione. Nota Se la rete è configurata per accedere a Internet tramite un proxy HTTP, per inviare a VMware i dati raccolti mediante il programma CEIP, è necessario modificare le impostazioni del proxy in VMware Identity Manager. VMware, Inc. 25

26 Distribuzione di 2 VMware Identity Manager Per distribuire VMware Identity Manager, viene distribuito il modello OVF mediante vsphere Client o vsphere Web Client, viene accesa la appliance virtuale di VMware Identity Manager e vengono configurate le impostazioni. Una volta distribuita l'appliance virtuale di VMware Identity Manager, utilizzare la procedura guidata di impostazione per configurare l'ambiente di VMware Identity Manager. Utilizzare le informazioni riportate nella checklist di distribuzione per completare l'installazione. Vedere Checklist di distribuzione. Questo capitolo include i seguenti argomenti: Installazione del file OVA di VMware Identity Manager (Facoltativo) Aggiunta di pool di IP Configurazione delle impostazioni di VMware Identity Manager Aggiunta di indirizzi IP in una whitelist al firewall esterno Configurazione delle impostazioni del server proxy per VMware Identity Manager Specifica della chiave di licenza Installazione del file OVA di VMware Identity Manager Distribuire il file OVA VMware Identity Manager utilizzando vsphere Web Client. È possibile scaricare e distribuire il file OVA da un percorso accessibile a vsphere Web Client o distribuirlo da un URL Web. Nota Utilizzare i browser Firefox o Chrome per distribuire il file OVA. Non utilizzare Internet Explorer. Prerequisiti Rivedere Capitolo 1Preparazione all'installazione di VMware Identity Manager. Procedura 1 Scaricare il file OVA di VMware Identity Manager da My VMware Downloads. 2 Accedere vsphere Web Client. 3 Selezionare File > Distribuisci modello OVF. VMware, Inc. 26

27 4 Nella procedura guidata Distribuisci modello OVF, specificare le seguenti informazioni. Pagina Origine Dettagli del modello OVF Accordo di licenza con l'utente finale Nome e posizione Host/Cluster Pool di risorse Storage Formato disco Mappatura di rete Descrizione Selezionare la posizione del pacchetto OVA oppure immettere un URL specifico. Rivedere i dettagli del prodotto, i requisiti di versione e dimensione. Leggere l'accordo di licenza con l'utente finale e fare clic sul pulsante per accettare. Immettere un nome per l'appliance virtuale di VMware Identity Manager. Il nome deve essere univoco all'interno della cartella dell'inventario e può contenere fino a 80 caratteri. Per i nomi viene fatta distinzione tra lettere maiuscole e minuscole. Selezionare una posizione per l'appliance virtuale. Selezionare l'host o il cluster su cui eseguire l'appliance virtuale. Selezionare il pool di risorse. Selezionare l'archivio dei file dell'appliance virtuale. È possibile selezionare anche un profilo di archiviazione della macchina virtuale. Selezionare il formato del disco relativo ai file. Per gli ambienti di produzione, selezionare uno dei formati Thick Provision. Utilizzare il formato Thin Provision per la valutazione e il testing. Nel formato Thick Provision, tutto lo spazio richiesto per il disco virtuale viene assegnato durante la distribuzione. Nel formato Thin Provision invece, il disco utilizza solo la quantità di spazio di archiviazione necessario per le operazioni iniziali. Mappare le reti utilizzate in VMware Identity Manager alle reti nel proprio inventario. VMware, Inc. 27

28 Pagina Descrizione Proprietà Impostazione fuso orario Selezionare il fuso orario corretto. Partecipa al Programma di Miglioramento dell'esperienza del Cliente VMware Questo prodotto partecipa al Programma di Miglioramento dell'esperienza del Cliente ("CEIP") di VMware. I dettagli relativi ai dati raccolti mediante il programma CEIP e gli scopi per cui vengono utilizzati da VMware sono disponibili sul sito Trust & Assurance Center all'indirizzo Se non si intende partecipare al programma CEIP di VMware per questo prodotto, deselezionare la casella di controllo. È inoltre possibile partecipare o abbandonare il programma CEIP per questo prodotto in qualsiasi momento dopo l'installazione. Nota Se la rete è configurata per accedere a Internet tramite un proxy HTTP, per inviare a VMware i dati raccolti mediante il programma CEIP, è necessario modificare le impostazioni del proxy nell'appliance virtuale di VMware Identity Manager. Vedere Configurazione delle impostazioni del server proxy per VMware Identity Manager. Nome host (FQDN) Immettere il nome host da utilizzare. Se la casella viene lasciata vuota, la ricerca del nome dell'host viene effettuata mediante il DNS inverso. Proprietà di rete Per configurare un indirizzo IP statico per VMware Identity Manager, immettere l'indirizzo per i campi Gateway predefinito, DNS, Indirizzo IP e Maschera di rete. Nota Se è presente un programma di bilanciamento del carico con un indirizzo IP virtuale (VIP) prima dei server DNS, si noti che VMware Identity Manager non supporta l'utilizzo di un VIP. È possibile specificare più server DNS separati da una virgola. Importante Se uno dei quattro campi relativi agli indirizzi viene lasciato vuoto, incluso Nome host, sarà utilizzato il DHCP. Per configurare il DHCP, lasciare vuoti i campi relativi agli indirizzi. Nota I campi Nome dominio e Percorso di ricerca del dominio non sono utilizzati. È possibile lasciare vuoti questi campi. (Facoltativo) Una volta installato VMware Identity Manager, è possibile configurare i pool di IP. Vedere (Facoltativo) Aggiunta di pool di IP. Completamento Rivedere le selezioni e fare clic su Fine. A seconda della velocità di rete, possono essere necessari alcuni minuti per la distribuzione. È possibile visualizzare l'avanzamento nella relativa finestra di dialogo. 5 Una volta completata la distribuzione, fare clic su Chiudi nella finestra di dialogo di avanzamento. VMware, Inc. 28

29 6 Selezionare l'appliance virtuale di VMware Identity Manager distribuita, fare clic con il pulsante destro del mouse e selezionare Accensione/spegnimento > Accendi. L'appliance virtuale viene inizializzata. Una volta terminata l'inizializzazione, sullo schermo della console vengono visualizzati la versione di VMware Identity Manager, l'indirizzo IP e gli URL per accedere alla console di VMware Identity Manager e completare la configurazione. Operazioni successive (Facoltativo) Aggiungere pool di IP. Configurare le impostazioni di VMware Identity Manager, compresa la connessione a Active Directory o alla directory LDAP e selezionare gli utenti e i gruppi da sincronizzare con VMware Identity Manager. (Facoltativo) Aggiunta di pool di IP La configurazione di rete con pool di IP è un processo facoltativo in VMware Identity Manager. È possibile aggiungere manualmente i pool di IP all'appliance virtuale di VMware Identity Manager una volta installata. I pool di IP funzionano come server DHCP per assegnare gli indirizzi IP dal pool all'appliance virtuale di VMware Identity Manager. Per utilizzare i pool di IP, vengono modificate le proprietà di networking dell'appliance virtuale e si configurano le impostazioni di maschera di rete, gateway e DNS. Prerequisiti L'appliance virtuale deve essere spenta. Procedura 1 In vsphere Client o vsphere Web Client, fare clic con il pulsante destro del mouse sull'appliance virtuale di VMware Identity Manager e selezionare Modifica impostazioni. 2 Selezionare la scheda Opzioni. 3 In Opzioni vapp, fare clic su Avanzate. 4 Nella sezione Proprietà sulla destra, fare clic sul pulsante Proprietà. 5 Nella finestra di dialogo Configurazione delle proprietà avanzate, configurare le seguenti chiavi: vami.dns.identitymanager vami.netmask0.identitymanager vami.gateway.identitymanager a b Selezionare una delle chiavi e fare clic su Modifica. Nella finestra di dialogo Modifica impostazioni della proprietà, accanto al campo Tipo, fare clic su Modifica. VMware, Inc. 29

30 c d e Nella finestra di dialogo Modifica tipo della proprietà, selezionare Proprietà dinamica e selezionare il valore appropriato dal menu a discesa per Maschera di rete, Indirizzo gateway e Server DNS rispettivamente. Fare clic su OK e poi ancora su OK. Ripetere questi passi per configurare ciascuna chiave. 6 Accendere l'appliance virtuale. Le proprietà saranno configurate per l'uso di pool di IP. Operazioni successive Configurare le impostazioni di VMware Identity Manager. Configurazione delle impostazioni di VMware Identity Manager Una volta distribuito il file istanza di VMware Identity Manager, sarà possibile utilizzare la procedura guidata di impostazione per impostare le password e selezionare un database. Quindi, sarà possibile configurare la connessione alla directory Active Directory o LDAP. Assicurarsi di eseguire l'installazione guidata utilizzando il nome host completo. Non immettere l'indirizzo IP come nome. Prerequisiti La macchina VMware Identity Manager è accesa. Il database esterno è configurato e le informazioni sulla connessione del database esterno sono disponibili. Prima di eseguire l'installazione guidata, verificare che la configurazione del database sia corretta. Vedere Creazione del database del servizio VMware Identity Manager per informazioni. Prima di impostare la directory, rivedere Integrazione della directory con VMware Identity Manager per i requisiti e le limitazioni. Le informazioni sulla directory Active Directory o LDAP devono essere disponibili. Quando è configurato un Active Directory multi-foresta e il gruppo Dominio locale contiene membri da domini in foreste differenti, l'utente Nome distinto di binding utilizzato sulla pagina Directory di VMware Identity Manager deve essere aggiunto al gruppo Amministratori del dominio in cui si trova il gruppo Dominio locale, In caso contrario, tali membri risulteranno mancanti dal gruppo Dominio locale. È presente un elenco di attributi utente da poter utilizzare come filtri e un elenco dei gruppi e degli utenti che possono essere aggiunti a VMware Identity Manager. I nomi dei gruppi vengono sincronizzati con la directory immediatamente. I membri di un gruppo non vengono sincronizzati fino a quando il gruppo non viene autorizzato per le risorse o aggiunto a una regola del criterio. Gli utenti che devono autenticarsi prima che siano configurati i permessi del gruppo, devono essere aggiunti direttamente durante la configurazione iniziale. VMware, Inc. 30

31 Procedura 1 Passare all'url di VMware Identity Manager visualizzato al termine dell'installazione. Immettere il nome di dominio completo (FQDN). Ad esempio, 2 Accettare il certificato, se richiesto. È possibile aggiornare il certificato dopo la configurazione iniziale. 3 Sulla pagina Inizia, fare clic su Continua. 4 Sulla pagina Imposta password, impostare le password per gli account amministratore riportati, utilizzati per gestire l'appliance, quindi fare clic su Continua. Account Amministratore dell'appliance Impostare la password per l'utente amministratore. Questo nome utente non può essere modificato. L'account utente amministratore admin è utilizzato per gestire le impostazioni dell'appliance. Importante La password dell'utente admin deve essere di almeno 6 caratteri. Root appliance Utente remoto Impostare la password dell'utente root. L'utente root ha i diritti completi per l'appliance. Impostare la password per sshuser, utilizzato per collegarsi in remoto all'appliance con una connessione SSH. 5 Sulla pagina Seleziona database, selezionare il database da utilizzare. Vedere Configurazione di VMware Identity Manager per l'utilizzo di un database esterno Se si utilizza un database esterno, selezionare Database esterno ed immettere le relative informazioni, il nome utente e la password. Per verificare che VMware Identity Manager possa connettersi al database, fare clic su Test della connessione. Una volta eseguito il test della connessione, fare clic su Continua. Se si utilizza il database interno, fare clic su Continua. Nota Non è consigliabile utilizzare il database interno per l'utilizzo con le distribuzioni di produzione. La connessione al database verrà configurata e il database verrà inizializzato. Una volta completato il processo, verrà visualizzata la pagina Configurazione completata. Operazioni successive Per configurare una directory, è innanzitutto necessario installare una o più istanze di VMware Identity Manager Connector. Vedere la versione corrispondente della guida Installazione e configurazione di VMware Identity Manager Connector (Windows). VMware, Inc. 31

32 Aggiunta di indirizzi IP in una whitelist al firewall esterno Quando si configura VMware Identity Manager con un firewall esterno, in inserire in una whitelist di intervalli di indirizzi IP o URL per i seguenti servizi di VMware Identity Manager al fine di fornire l'accesso a tale servizio. Utilizzare il comando nslookup o un altro strumento della riga di comando per eseguire la query su Domain Name System per ottenere gli indirizzi IP da aggiungere alla whitelist del firewall esterno. Servizio Domain Name System Descrizione Catalogo di VMware Identity Manager catalog.vmwareidentity.com Per accertarsi che sia possibile accedere al contenuto del catalogo, aggiungere gli URL dall'elenco alla whitelist. Tale contenuto viene fornito anche tramite AWS CloudFront CDN, che gestisce il proprio elenco di indirizzi IP pubblici. Vedere udfront/latest/developerguide/locations OfEdgeServers.html. VMware Verify vmware.authy.com api.authy.com Se VMware Verify è configurato come metodo di autenticazione, aggiungere gli URL di questi elenchi alla whitelist. KDC ibrido kdc.op.<vmwareidentity.xxx> Quando il KDC ibrido è configurato per il funzionamento di VMware Identity Manager in locale, selezionare uno dei seguenti domini per cercare gli URL. vmwareidentity.ca vmwareidentity.com vmwareidentity.eu vmwareidentity.co.uk vmwareidentity.de vmwareidentity.com.au vmwareidentity.asia Aggiornamenti da VMware Identity Manager vapp-updates.vmware.com Per ricevere aggiornamenti di VMware Identity Manager e scaricare le patch da VMware Update Manager, aggiungere gli URL dall'elenco alla whitelist. Configurazione delle impostazioni del server proxy per VMware Identity Manager L'appliance virtuale VMware Identity Manager accede al catalogo di applicazioni cloud e altri servizi Web su Internet. Se la configurazione di rete offre accesso a internet tramite un proxy HTTP, è necessario modificare le impostazioni del proxy per l'appliance VMware Identity Manager. VMware, Inc. 32

33 Consentire al proxy di gestire solo il traffico Internet. Affinché il proxy sia configurato correttamente, impostare il parametro per il traffico interno su no-proxy nel dominio. Procedura 1 Da vsphere Client, accedere come utente root all'appliance virtuale VMware Identity Manager. 2 Immettere YaST nella riga di comando per eseguire la utility YaST. 3 Selezionare Servizi di rete nel riquadro a sinistra, quindi selezionare Proxy. 4 Immettere gli URL del server proxy nei campi URP proxy HTTP e URL proxy HTTPS. 5 Selezionare Fine e uscire dalla utility YaST. 6 Riavviare il server Tomcat sull'appliance virtuale VMware Identity Manager per utilizzare le nuove impostazioni proxy. service horizon-workspace restart Il catalogo delle applicazioni cloud e altri servizi Web risultano ora disponibili in VMware Identity Manager. Specifica della chiave di licenza Dopo aver distribuito l'appliance di VMware Identity Manager, è necessario specificare la propria chiave di licenza. Procedura 1 Accedere alla console di VMware Identity Manager. 2 Selezionare la scheda Impostazioni dell'appliance e fare clic su Licenza. 3 Sulla pagina Impostazioni della licenza, immettere la chiave di licenza e fare clic su Salva. VMware, Inc. 33

34 Gestione delle impostazioni di configurazione di VMware Identity Manager 3 Una volta completata la configurazione iniziale di VMware Identity Manager, è possibile passare alle pagine della console di VMware Identity Manager per installare i certificati, gestire le password e scaricare i file di registro. È inoltre possibile aggiornare il database, cambiare il nome di dominio completo di Identity Manager e configurare un server syslog esterno. Le pagine delle impostazioni di configurazione sono disponibili nella scheda Impostazioni appliance della console di Identity Manager. Nome pagina Connessione al database Installa certificati SSL Nome di dominio completo di Identity Manager Configura syslog Modifica password Sicurezza del sistema Percorsi dei file di registro Descrizione dell'impostazione L'impostazione di connessione al database, sia esso interno o esterno, è abilitata. È possibile modificare il tipo di database. Se si seleziona Database esterno, è necessario immettere l'url del database esterno, il nome utente e la password. Per configurare un database esterno, vedere Creazione del database del servizio VMware Identity Manager. Nelle schede in questa pagina, è possibile installare un certificato SSL per VMware Identity Manager, scaricare il certificato root di VMware Identity Manager autofirmato e installare certificati root attendibili. Se ad esempio VMware Identity Manager è configurato dietro un bilanciamento del carico, è possibile installare il certificato root del bilanciamento del carico. Vedere Uso dei certificati SSL. In questa pagina è possibile visualizzare o modificare il nome di dominio completo di VMware Identity Manager. Il nome di dominio completo di VMware Identity Manager è l'url utilizzato dagli utenti per accedere al servizio. Su questa pagina, è possibile abilitare un server syslog esterno. I registri di VMware Identity Manager vengono inviati a questo server esterno. Vedere Configurazione di un server syslog. Su questa pagina è possibile modificare la password dell'utente amministratore di VMware Identity Manager. Su questa pagina è possibile modificare la password root per l'appliance di VMware Identity Manager e la password dell'utente ssh per accedere in remoto. È possibile scaricare i registri in un file zip. Vedere Informazioni sui file di registro. VMware, Inc. 34

35 È inoltre possibile modificare l'url del connettore. Vedere Modifica dell'url del connettore. Questo capitolo include i seguenti argomenti: Modifica delle impostazioni di configurazione dell'appliance Uso dei certificati SSL Modifica dell'url del servizio VMware Identity Manager Modifica dell'url del connettore Configurazione di un server syslog Informazioni sui file di registro Gestione delle password dell'appliance Configurazione delle impostazioni SMTP Configurazione della sincronizzazione dell'ora per il servizio VMware Identity Manager (Linux) Modifica delle impostazioni di configurazione dell'appliance Dopo aver configurato VMware Identity Manager, è possibile passare alle pagine Impostazioni dell'appliance per aggiornare la configurazione corrente e monitorare le informazioni di sistema per l'appliance virtuale. Procedura 1 Accedere alla console di VMware Identity Manager. 2 Selezionare la scheda Impostazioni dell'appliance e fare clic su Gestisci configurazione. 3 Accedere con la password dell'utente amministratore del servizio. 4 Dal riquadro di sinistra, selezionare la pagina da visualizzare o modificare. Operazioni successive Verificare che le impostazioni o gli aggiornamenti apportati vengano applicati. Uso dei certificati SSL Quando si installa l'appliance di VMware Identity Manager, viene generato un certificato del server SSL predefinito. È possibile utilizzare questo certificato autofirmato per eseguire un test generale della propria implementazione. Un'autorità di certificazione (CA) è un'entità sicura che garantisce l'identità del certificato e il relativo creatore. Quando un certificato è firmato da una CA, gli utenti non ricevono più i messaggi in cui si richiede di verificare il certificato. È possibile installare un certificato CA firmato dalla pagina Impostazioni appliance > Gestisci configurazione > Installa certificati SSL > Certificato server. VMware, Inc. 35

36 Se si distribuisce VMware Identity Manager con il certificato SSL autofirmato, il certificato CA root deve essere disponibile come CA attendibile per qualsiasi client che accede al servizio di VMware Identity Manager. I client possono includere macchine degli utenti finali, bilanciamenti del carico, proxy e così via. È possibile scaricare la CA root dalla pagina di Installa certificati SSL > Certificato server. Quando si installa VMware Identity Manager Connector, viene generato un certificato SSL autofirmato predefinito. È possibile continuare a utilizzare questo certificato autofirmato nella maggior parte degli scenari. È possibile installare un certificato SSL firmato per il connettore dalle pagine di amministrazione del connettore all'indirizzo Vedere Utilizzo dei certificati SSL per VMware Identity Manager Connector. Installazione di un certificato SSL per il servizio VMware Identity Manager Quando si installa il servizio VMware Identity Manager, viene generato un certificato del server SSL predefinito. È possibile utilizzare questo certificato autofirmato a scopo di test. È tuttavia consigliabile utilizzare certificati SSL firmati da un'autorità di certificazione (CA) pubblica per l'ambiente di produzione. Nota Se un bilanciamento del carico davanti a VMware Identity Manager termina SSL, viene applicato il certificato SSL al bilanciamento del carico. Prerequisiti Generare una richiesta di firma del certificato e ottenere un certificato SSL valido e firmato da un'autorità di certificazione. Il certificato può essere un file PEM o PFX. Per la parte Nome comune del DN oggetto, utilizzare il nome di dominio completo che gli utenti usano per accedere al servizio VMware Identity Manager. Se l'appliance VMware Identity Manager si trova dietro un bilanciamento del carico, questo è il nome del server del bilanciamento del carico. Se SSL non viene terminato nel programma di bilanciamento del carico, il certificato SSL utilizzato dal servizio deve includere i nomi SAN (Subject Alternative Name) per tutti i nomi di dominio completi del cluster di VMware Identity Manager. L'inclusione di SAN consente ai nodi del cluster di effettuare richieste reciproche. Includere inoltre un nome SAN per il nome host del nome di dominio completo che gli utenti usano per accedere al servizio VMware Identity Manager, oltre a utilizzarlo per il nome comune, poiché alcuni browser lo richiedono. Procedura 1 Nella console di VMware Identity Manager, selezionare la scheda Impostazioni dell'appliance. 2 Fare clic su Gestisci configurazione e inserire la password dell'utente amministratore. 3 Selezionare Installa certificati SSL > Certificato server. 4 Nel campo Certificato SSL, selezionare Certificato personalizzato. VMware, Inc. 36

37 5 Per importare il file del certificato, fare clic su Scegli file e passare al file del certificato da importare. Se viene importato un file PEM, assicurarsi che il file includa l'intera catena di certificati nell'ordine corretto. È necessario includere tutto il contenuto presente tra le righe -----BEGIN CERTIFICATE----- ed -----END CERTIFICATE Se viene importato un file PEM, importare la chiave privata. Fare clic su Scegli file e passare al file della chiave privata. È necessario includere tutto il contenuto presente tra le righe ----BEGIN RSA PRIVATE KEY---- ed ---END RSA PRIVATE KEY----. Se viene importato un file PFX, immettere la password PFX. 7 Fare clic su Salva. Esempio: Esempio di certificato PEM Esempio di catena di certificati -----BEGIN CERTIFICATE----- jlqvt9wdr9vpg3wqt5+c3hu17buowvhp/r0+... W53+O05j5xsxzDJfWr1lqBlFF/OkIYCPcyK END CERTIFICATE BEGIN CERTIFICATE----- WdR9Vpg3WQT5+C3HU17bUOwvhp/rjlQvt O05j5xsxzDJfWr1lqBlFF/OkIYCPW53+cyK END CERTIFICATE BEGIN CERTIFICATE----- dr9vpg3wqtjlqvt9w5+c3hu17buowvhp/r j5xsxzDJfWr1lqW53+O0BlFF/OkIYCPcyK END CERTIFICATE----- Esempio di chiave privata -----BEGIN RSA PRIVATE KEY----- jlqvtg3wqt5+c3hu17bu9wdr9vpowvhp/r lqBlFFW53+O05j5xsxzDJfWr/OkIYCPcyK END RSA PRIVATE KEY----- Installazione di certificati root attendibili Installare i certificati root o intermedi che devono essere considerati attendibili dal server di VMware Identity Manager. Il server di VMware Identity Manager sarà in grado di stabilire connessioni protette a server la cui catena di certificati include uno di questi certificati. VMware, Inc. 37

38 Se il server di VMware Identity Manager è configurato dietro un bilanciamento del carico e il protocollo SSL termina sul bilanciamento del carico, installare il certificato root del bilanciamento del carico. Procedura 1 Nella console di VMware Identity Manager, selezionare la scheda Impostazioni dell'appliance. 2 Fare clic su Gestisci configurazione e inserire la password dell'utente amministratore. 3 Fare clic su Installa certificati SSL, quindi selezionare la scheda di CA attendibili. 4 Incollare il certificato root o intermedio nella casella di testo. Includere tutto il contenuto presente tra le righe -----BEGIN CERTIFICATE----- ed -----END CERTIFICATE Fare clic su Aggiungi. Installazione di un certificato PassThrough Per abilitare l'accesso utilizzando il metodo di autenticazione del certificato, è necessario configurare il PassThrough SSL sul bilanciamento del carico per la porta definita nella scheda Installa certificato SSL > Certificato PassThrough nella console di VMware Identity Manager. L'abilitazione dell'autenticazione del certificato per una distribuzione locale di VMware Identity Manager richiede l'impostazione del pass-through SSL nel programma di bilanciamento del carico. Caricare un certificato root, i certificati intermedi e una chiave privata nella scheda Certificato PassThrough. Per ulteriori informazioni sulla configurazione del PassThrough SSL con un bilanciamento del carico, vedere la pubblicazione Distribuzione di VMware Identity Manager. È inoltre possibile caricare un certificato da utilizzare per l'autenticazione del dispositivo SSO Android. Vedere la pubblicazione Single Sign-On mobile per Android in VMware Workspace ONE. Modifica dell'url del servizio VMware Identity Manager È possibile modificare l'url del servizio VMware Identity Manager, ovvero l'url che gli utenti utilizzano per accedere al servizio. Ad esempio, è possibile cambiarlo impostando l'url di un bilanciamento del carico. Procedura 1 Accedere alla console di VMware Identity Manager. 2 Selezionare la scheda Impostazioni dell'appliance, quindi selezionare Configurazione appliance virtuale. 3 Fare clic su Gestisci configurazione e accedere con la password dell'utente admin. VMware, Inc. 38

39 4 Fare clic su Nome di dominio completo di Identity Manager ed immettere il nuovo URL nel campo Nome di dominio completo di Identity Manager. Utilizzare il formato di dominio completo:porta. La specifica della porta è facoltativa. La porta predefinita è 443. Ad esempio, 5 Fare clic su Salva. Operazioni successive Abilitare la nuova interfaccia utente del portale. 1 Passare a per accedere alla console di amministrazione. 2 Nella console, fare clic sulla freccia sulla scheda Catalogo e selezionare Impostazioni. 3 Selezionare Nuova IU del portale per l'utente finale nel riquadro di sinistra e fare clic su Abilita nuova IU del portale. Modifica dell'url del connettore È possibile modificare l'url del connettore aggiornando il nome host del provider di identità nella console di VMware Identity Manager. Procedura 1 Accedere alla console di VMware Identity Manager. 2 Selezionare la scheda Gestione identità e accessi, quindi selezionare la scheda Provider di identità. 3 Nella pagina Provider di identità, selezionare il provider da aggiornare. 4 Nel campo Nome host provider di identità specificare il nuovo nome host. Utilizzare il formato nome host:porta. La specifica della porta è facoltativa. La porta predefinita è 443. Ad esempio, vidm.example.com. 5 Fare clic su Salva. Configurazione di un server syslog Gli eventi a livello di applicazione dal servizio possono essere esportati su un server syslog esterno. Gli eventi del sistema operativo non sono esportati. Poiché la maggior parte delle aziende non ha spazio su disco illimitato, VMware Identity Manager non salva la cronologia di registrazione completa. Se si desidera salvare più cronologia o creare un percorso centralizzato per la cronologia, è possibile configurare un server syslog esterno. VMware, Inc. 39

40 Se non si specifica un server syslog durante la configurazione iniziale, è possibile configurarlo in un secondo momento dalla pagina Impostazioni appliance > Configurazione VA > Gestisci configurazione > Configura syslog. Prerequisiti Configurare un server syslog esterno. È possibile utilizzare uno qualsiasi dei server syslog standard disponibili. Diversi server syslog includono funzionalità di ricerca avanzata. Verificare che VMware Identity Manager possa raggiungere il server syslog sulla porta 514 (UDP). Procedura 1 Accedere alla console di VMware Identity Manager. 2 Selezionare la scheda Impostazioni dell'appliance e fare clic su Gestisci configurazione. 3 Selezionare Configura syslog nel riquadro sinistro. 4 Fare clic su Abilita. 5 Immettere l'indirizzo IP o il nome di dominio completo del server syslog in cui si desidera memorizzare i registri. 6 Fare clic su Salva. Una copia dei registri sarà inviata al server syslog. Informazioni sui file di registro I file di registro di VMware Identity Manager consentono di eseguire il debug e di risolvere i problemi. I file di registro riportati di seguito sono un punto di partenza comune. Altri registri si trovano nella directory dei registri. Tabella 3 1. File di registro Component e Percorso del file di registro di Linux Percorso del file di registro di Windows Descrizione Registro del servizio Identity Manager /opt/vmware/horizon/workspa ce/logs/horizon.log <INSTALL_DIR>\opt\vmware\horiz on\workspace\logs\horizon.log Informazioni sull'attività nel servizio, ad esempio permessi, utenti e gruppi. Registri configurator e /opt/vmware/horizon/workspa ce/logs/configurator.log <INSTALL_DIR>\opt\vmware\horiz on\workspace\logs\configurator.log Richieste che il configuratore riceve dal client REST e dall'interfaccia Web. Registri connettore /opt/vmware/horizon/workspa ce/logs/connector.log <INSTALL_DIR>\opt\vmware\horiz on\workspace\logs\connector.lo g Un record di ogni richiesta ricevuta dall'interfaccia Web. Ogni voce del registro include anche l'url della richiesta, il formato data/ora e le eccezioni. Nessuna azione di sincronizzazione viene registrata. VMware, Inc. 40

41 Tabella 3 1. File di registro (Continua) Component e Percorso del file di registro di Linux Percorso del file di registro di Windows Descrizione /opt/vmware/horizon/workspa ce/logs/connector-dirsync.log InstallDirectory\IDMConnecto r\opt\vmware\horizon\workspac e\logs\connector-dir-sync.log Messaggi relativi alla sincronizzazione della directory. Registri di aggiorname nto /opt/vmware/var/log/update. log /opt/vmware/var/log/vami <INSTALL_DIR>\opt\vmware\var\l og\update.log Un record dei messaggi di output relativi alle richieste di aggiornamento durante un aggiornamento di VMware Identity Manager. Linux. I file nella directory /opt/vmware/var/lo g/vami sono utili per la risoluzione dei problemi. Questi file sono disponibili su tutte le macchine virtuali in seguito a un aggiornamento. Registri di Apache Tomcat /opt/vmware/horizon/workspa ce/logs/catalina.log <INSTALL_DIR>\opt\vmware\horiz on\workspace\logs\catalina.log I record Apache Tomcat dei messaggi che non sono registrati in altri file di registro. Raccolta delle informazioni di registro Durante i test o la risoluzione dei problemi, i registri possono fornire un feedback sull'attività e le prestazioni dell'appliance virtuale e restituire le informazioni sugli eventuali problemi che si verificano. Impostazione del livello di registro del servizio di VMware Identity Manager su DEBUG È possibile impostare il livello di registro su DEBUG per registrare informazioni aggiuntive che consentono di eseguire il debug dei problemi. Raccolta delle informazioni di registro Durante i test o la risoluzione dei problemi, i registri possono fornire un feedback sull'attività e le prestazioni dell'appliance virtuale e restituire le informazioni sugli eventuali problemi che si verificano. Raccoglie i registri da ogni appliance nell'ambiente. Procedura 1 Accedere alla console di VMware Identity Manager. 2 Selezionare la scheda Impostazioni dell'appliance e fare clic su Gestisci configurazione. 3 Fare clic su Percorsi dei file di registro e selezionare Prepara bundle di registri. Le informazioni vengono raccolte in un file tar.gz che può essere scaricato. 4 Scaricare il bundle preparato. VMware, Inc. 41

42 Operazioni successive Per raccogliere tutti i registri, effettuare queste operazioni su ogni appliance. Impostazione del livello di registro del servizio di VMware Identity Manager su DEBUG È possibile impostare il livello di registro su DEBUG per registrare informazioni aggiuntive che consentono di eseguire il debug dei problemi. Procedura 1 Accedere alla macchina. 2 Passare alla posizione della directory conf. Per Linux, passare a /usr/local/horizon/conf/. Per Windows, passare a \usr\local\horizon\conf\. 3 Aggiornare il livello del registro nei file cfg-log4j.properties, hc-log4j.properties e saaslog4j.properties, che sono i file log4j più comunemente utilizzati per il servizio. a b Modificare il file. Nelle righe con il livello di registro impostato su INFO, sostituire INFO con DEBUG. Ad esempio, cambiare: rootlogger.level=info in: rootlogger.level=debug c Salvare il file. Non è necessario un riavvio del servizio o del sistema. Gestione delle password dell'appliance Quando è stata configurata VMware Identity Manager inizialmente l'appliance virtuale, sono state create le password per l'utente amministratore, per l'utente root e per sshuser. È possibile modificare queste password dalla scheda Impostazioni appliance nella console di amministrazione di VMware Identity Manager. Assicurarsi di creare password complesse. Le password complesse devono essere almeno di otto caratteri e comprendere lettere maiuscole e minuscole, nonché almeno un numero e un carattere speciale. Procedura 1 Nella console di VMware Identity Manager, selezionare la scheda Impostazioni dell'appliance. 2 Fare clic su Configurazione appliance virtuale > Gestisci configurazione. VMware, Inc. 42

43 3 Per modificare la password dell'amministratore, selezionare Modifica password. Per modificare la password root o sshuser, selezionare Sicurezza del sistema. Importante La password dell'utente amministratore deve contenere almeno 6 caratteri. 4 Immettere la nuova password. 5 Fare clic su Salva. Configurazione delle impostazioni SMTP Configurare le impostazioni del server SMTP per ricevere notifiche dal servizio di VMware Identity Manager. Ad esempio, vengono inviate notifiche via quando vengono creati nuovi utenti locali, quando si reimposta una password o con il token di verifica dell'individuazione automatica. Procedura 1 Accedere alla console di amministrazione. 2 Fare clic sulla scheda Impostazioni dell'appliance e fare clic su SMTP. 3 Specificare il nome host del server SMTP. Ad esempio: smtp.example.com 4 Specificare il numero di porta del server SMTP. Ad esempio: 25 5 (Facoltativo) Se il server SMTP richiede l'autenticazione, immettere il nome utente e la password. 6 Fare clic su Salva. 7 Per personalizzare l'indirizzo del mittente nelle notifiche di posta elettronica, aggiungere l'indirizzo nel file runtime-config.properties. a b Accedere all'appliance virtuale di VMware Identity Manager. Modificare il file /usr/local/horizon/conf/runtime-config.properties e aggiungere la proprietà seguente: notification. s.support= address Ad esempio: notification. s.support=admin@mycompany.com c d Salvare il file. Riavviare l'appliance virtuale. service horizon-workspace restart Questo cambia l'indirizzo del mittente dal valore predefinito no-reply@vmwareidentity.com all'indirizzo personalizzato. VMware, Inc. 43

44 Configurazione della sincronizzazione dell'ora per il servizio VMware Identity Manager (Linux) La configurazione della sincronizzazione dell'ora in tutte le istanze del servizio e di VMware Identity Manager Connector è necessaria affinché una distribuzione di VMware Identity Manager funzioni correttamente. Per configurare la sincronizzazione dell'ora per il servizio VMware Identity Manager, utilizzare la scheda Impostazioni appliance > Gestisci configurazione > Sincronizzazione ora nella console di VMware Identity Manager. È possibile sincronizzare il clock del servizio VMware Identity Manager sia con l'host ESXi sia con un server NTP (Network Time Protocol). Per impostazione predefinita, il servizio VMware Identity Manager è impostato per la sincronizzazione con l'host. Seguire queste indicazioni: È consigliabile sincronizzare l'ora con un server NTP se l'istanza di VMware Identity Manager può accedere a un server NTP. In caso contrario, sincronizzare l'ora con l'host ESXi e configurare l'host ESXi per sincronizzare l'ora con un server NTP. Se la distribuzione include istanze del servizio o del connettore VMware Identity Manager in host diversi, è consigliabile sincronizzare l'ora con un server NTP direttamente anziché sincronizzarla con l'host per assicurarsi che non vi sia una differenza di orario tra le istanze. Procedura 1 Nella console di VMware Identity Manager, selezionare la scheda Impostazioni dell'appliance. 2 Fare clic su Gestisci configurazione e accedere con la password dell'utente amministratore. 3 Fare clic su Sincronizzazione ora. 4 Selezionare un'opzione di sincronizzazione dell'ora. Opzione NTP Ora host Descrizione Sincronizza il clock di sistema del computer VMware Identity Manager con un server NTP. Il server NTP predefinito è time.nist.gov. Per utilizzare un altro server NTP, immetterne il nome di dominio completo nella casella di testo Server NTP. Ad esempio: ntpserver.example.com Sincronizza il clock di sistema del computer VMware Identity Manager con l'host ESXi. Questa è l'impostazione predefinita. 5 Fare clic su Salva. VMware, Inc. 44

45 Configurazione avanzata per l'appliance di VMware Identity Manager 4 Dopo aver completato l'installazione di base dell'appliance virtuale di VMware Identity Manager, potrebbe essere necessario completare altre attività di configurazione, come ad esempio l'abilitazione dell'accesso esterno a VMware Identity Manager e la configurazione della ridondanza. Il diagramma dell'architettura di VMware Identity Manager mostra come poter distribuire l'ambiente di VMware Identity Manager. Vedere Capitolo 1Preparazione all'installazione di VMware Identity Manager per una distribuzione tipica. Questo capitolo include i seguenti argomenti: Utilizzo di un programma di bilanciamento del carico o di un proxy inverso per abilitare l'accesso esterno a VMware Identity Manager Configurazione del failover e della ridondanza in un data center singolo Distribuzione di VMware Identity Manager in un data center secondario per il failover e la ridondanza Utilizzo di un programma di bilanciamento del carico o di un proxy inverso per abilitare l'accesso esterno a VMware Identity Manager Durante la distribuzione, l'istanza di VMware Identity Manager viene configurata nella rete interna. Se si desidera fornire l'accesso al servizio agli utenti che si connettono da reti esterne, è necessario installare un programma di bilanciamento del carico o un proxy inverso, ad esempio Apache, Nginx o F5, nel DMZ. Se non si utilizza un programma di bilanciamento del carico o un proxy inverso, non sarà possibile espandere il numero di istanze di VMware Identity Manager in un secondo momento. Per garantire la ridondanza e il bilanciamento del carico, potrebbe essere necessario aggiungere altre istanze. Il seguente diagramma mostra l'architettura di distribuzione di base che è possibile utilizzare per consentire l'accesso esterno. VMware, Inc. 45

46 Figura 4 1. Proxy del programma di bilanciamento del carico esterno con macchine virtuali Utenti esterni Bilanciamento del carico esterno Nome host: Nome di dominio completo di VMware Identity Manager Indirizzo IP di esempio: 64.x.y.z Porta: Porta di VMware Identity Manager Deve abilitare le intestazioni X-Forwarded-For. Firewall DMZ Porta 443 Porta 443 Utenti interni Bilanciamento del carico interno Nome host: Nome di dominio completo di VMware Identity Manager Indirizzo IP di esempio: 10.x.y.z Porta: Porta di VMware Identity Manager Deve abilitare le intestazioni X-Forwarded-For. Cluster VMware Identity Manager Specifica del nome di dominio completo di VMware Identity Manager durante la distribuzione Durante la distribuzione della macchina del di VMware Identity Manager, si specifica il nome di dominio completo e il numero di porta del di VMware Identity Manager. Questi valori devono fare riferimento al nome host che si desidera sia utilizzato dagli utenti finali per accedere. La macchina del di VMware Identity Manager viene sempre eseguita nella porta 443. È possibile utilizzare un numero di porta differente per il bilanciamento del carico. Se si utilizza un numero di porta differente, sarà necessario specificarlo durante la distribuzione. Non utilizzare 8443 come numero di porta, perché questo è il numero della porta amministrativa di VMware identity Manager ed è univoco per ogni macchina in un cluster. VMware, Inc. 46

47 Impostazioni del bilanciamento del carico da configurare Le impostazioni del programma di bilanciamento del carico da configurare includono l'abilitazione delle intestazioni X-Forwarded-For, l'impostazione del timeout corretto del programma di bilanciamento del carico e l'abilitazione delle sessioni sticky. Tra la macchina di VMware Identity Manager e il programma di bilanciamento del carico è inoltre necessario configurare una relazione di attendibilità SSL. Intestazioni X-forwarded-for È necessario abilitare le intestazioni X-Forwarded-For sul proprio bilanciamento del carico. Ciò determina il metodo di autenticazione. Fare riferimento alla documentazione del fornitore del bilanciamento del carico per maggiori informazioni. Timeout del bilanciamento del carico Perché VMware Identity Manager funzioni correttamente, potrebbe essere necessario aumentare il valore di timeout richiesta del bilanciamento del carico dal valore predefinito. Il valore è impostato in minuti. Se il valore del timeout è troppo basso, è possibile che venga visualizzato il messaggio di errore "Errore 502: Il servizio non è al momento disponibile". Abilita sessioni sticky Se nella distribuzione sono presenti più macchine VMware Identity Manager, è necessario abilitare l'impostazione della sessione sticky nel programma di bilanciamento del carico. Il programma di bilanciamento del carico associa la sessione di un utente a un'istanza specifica. Supporto WebSocket Il programma di bilanciamento del carico deve disporre del supporto WebSocket per abilitare i canali di comunicazione sicura tra i connettori e i nodi di VMware Identity Manager. Crittografia con forward secrecy I requisiti di Apple ios App Transport Security si applicano all'app Workspace ONE su ios. Per consentire agli utenti di utilizzare l'app Workspace ONE su ios, il programma di bilanciamento del carico deve usare la crittografia con forward secrecy. Le seguenti crittografie soddisfano questo requisito: ECDHE_ECDSA_AES ed ECDHE_RSA_AES in modalità GCM o CBC come indicato nel documento Sicurezza di ios di ios 11: "App Transport Security offre requisiti di connessione predefiniti in modo che le app seguano le procedure consigliate per proteggere le connessioni quando utilizzano le API NSURLConnection, CFURL e NSURLSession. Per impostazione predefinita, App Transport Security limita la selezione della crittografia in modo da includere solo suite che forniscono forward secrecy, in particolare ECDHE_ECDSA_AES ed ECDHE_RSA_AES in modalità GCM o CBC." VMware, Inc. 47

48 Apply VMware Identity Manager Root Certificate to the Load Balancer When the VMware Identity Manager virtual appliance is configured behind a load balancer, you must establish SSL trust between the load balancer and VMware Identity Manager. The VMware Identity Manager root certificate must be copied to the load balancer. The VMware Identity Manager root certificate can be downloaded from the Appliance Settings > Manage Configuration > Install SSL Certificates > Server Certificate page in the VMware Identity Manager administration console. If the VMware Identity Manager FQDN points to a load balancer, the SSL certificate can only be applied to the load balancer. Since the load balancer communicates with the VMware Identity Manager virtual appliance, you must copy the VMware Identity Manager root CA certificate to the load balancer as a trusted root certificate. Procedura 1 In the VMware Identity Manager console, select the Appliance Settings tab, then click VA Configuration > Manage Configuration. 2 In the dialog box that appears, enter the admin user password. 3 Select Install SSL Certificates > Server Certificate. 4 Click the Appliance Self Signed Root CA Certificates link. VMware, Inc. 48

49 The certificate is displayed. 5 Copy everything between and including the lines -----BEGIN CERTIFICATE----- and -----END CERTIFICATE---- and paste the root certificate into the correct location on each of your load balancers. Refer to the documentation provided by your load balancer vendor. Operazioni successive Copy and paste the load balancer root certificate to the VMware Identity Manager appliance. Applicazione del certificato root di bilanciamento del carico a VMware Identity Manager Quando l'appliance virtuale di VMware Identity Manager è configurata dietro un bilanciamento del carico, è necessario stabilire una connessione sicura tra il bilanciamento del carico a VMware Identity Manager. Inoltre, copiare il certificato root di VMware Identity Manager sul bilanciamento del carico in VMware Identity Manager. Procedura 1 Ottenere il certificato root del bilanciamento del carico. VMware, Inc. 49

50 2 Nella console di VMware Identity Manager, selezionare la scheda Impostazioni appliance, quindi fare clic su Configurazione VA > Gestisci configurazione. 3 Nella finestra di dialogo visualizzata, immettere la password dell'utente amministratore. 4 Selezionare Installa certificati SSL > CA attendibili. 5 Incollare il certificato root del bilanciamento del carico nella casella di testo Certificato root o intermedio. 6 Fare clic su Aggiungi. VMware, Inc. 50

51 Configurazione delle impostazioni del server proxy per VMware Identity Manager L'appliance virtuale VMware Identity Manager accede al catalogo di applicazioni cloud e altri servizi Web su Internet. Se la configurazione di rete offre accesso a internet tramite un proxy HTTP, è necessario modificare le impostazioni del proxy per l'appliance VMware Identity Manager. Consentire al proxy di gestire solo il traffico Internet. Affinché il proxy sia configurato correttamente, impostare il parametro per il traffico interno su no-proxy nel dominio. Procedura 1 Da vsphere Client, accedere come utente root all'appliance virtuale VMware Identity Manager. 2 Immettere YaST nella riga di comando per eseguire la utility YaST. 3 Selezionare Servizi di rete nel riquadro a sinistra, quindi selezionare Proxy. 4 Immettere gli URL del server proxy nei campi URP proxy HTTP e URL proxy HTTPS. 5 Selezionare Fine e uscire dalla utility YaST. 6 Riavviare il server Tomcat sull'appliance virtuale VMware Identity Manager per utilizzare le nuove impostazioni proxy. service horizon-workspace restart Il catalogo delle applicazioni cloud e altri servizi Web risultano ora disponibili in VMware Identity Manager. Configurazione del failover e della ridondanza in un data center singolo Per implementare il failover e la ridondanza, è possibile aggiungere più appliance virtuali di VMware Identity Manager in un cluster. Se per un motivo qualsiasi una delle appliance viene arrestata, VMware Identity Manager sarà comunque disponibile. Per creare il cluster, è innanzitutto necessario installare e configurare un'appliance virtuale di VMware Identity Manager e quindi clonarla. Il processo di clonazione dell'appliance crea un duplicato dell'appliance con la stessa configurazione dell'originale. È possibile personalizzare l'appliance virtuale clonata e modificarne il nome, le impostazioni di rete e altre proprietà in base alle proprie necessità. Prima di clonare l'appliance virtuale di VMware Identity Manager, sarà necessario configurarne l'uso con un bilanciamento del carico e modificarne il nome di dominio completo in modo che corrisponda al nome di dominio completo del bilanciamento. Inoltre, prima di clonare l'appliance, completare la configurazione della directory nel servizio VMware Identity Manager. In seguito alla clonazione, assegnare all'appliance virtuale clonata un nuovo indirizzo IP e poi accenderla. L'indirizzo IP dell'appliance virtuale clonata deve seguire le stesse regole dell'indirizzo IP dell'appliance virtuale originale. L'indirizzo IP deve essere risolto su un nome host valido che utilizza il DNS di inoltro e inverso. VMware, Inc. 51

52 Tutti i nodi nel cluster VMware Identity Manager devono essere identici e possibilmente copie senza stato l'uno dell'altro. La sincronizzazione con Active Directory e con le risorse configurate, come View o ThinApp, è disabilitata sulle appliance virtuali clonate. 1 Consigli per il cluster di VMware Identity Manager Attenersi alle seguenti linee guida per la configurazione di un cluster di VMware Identity Manager. 2 Modifica del nome di dominio di completo di VMware Identity Manager nel nome di dominio completo di bilanciamento del carico Prima di clonare l'appliance virtuale di VMware Identity Manager, è necessario modificarne il nome di dominio completo in modo che corrisponda a quello del bilanciamento del carico. 3 Clonazione dell'appliance virtuale Clonare VMware Identity Manager l'appliance virtuale per creare più appliance virtuali dello stesso tipo per distribuire il traffico ed eliminare potenziali tempi di inattività. 4 Assegnazione di un nuovo indirizzo IP a un'appliance virtuale clonata Prima di poter accedere una nuova appliance virtuale clonata, è necessario aggiungervi un nuovo indirizzo IP. Tale indirizzo IP deve essere risolvibile in DNS. Se l'indirizzo non si trova nel DNS inverso, è necessario assegnare anche il nome host. 5 Abilitazione della sincronizzazione delle directory su un'altra istanza di in caso di errore In caso di un errore dell'istanza di servizio, l'autenticazione è gestita automaticamente da un'istanza clonata, come configurata nel bilanciamento del carico. Tuttavia, per la sincronizzazione delle directory è necessario modificare le impostazioni della directory nel servizio VMware Identity Manager in modo da utilizzare un'istanza clonata. La sincronizzazione delle directory è gestita dal componente del connettore del servizio e può essere abilitata solo su un connettore alla volta. 6 Rimozione di un nodo da un cluster Se un nodo del cluster di VMware Identity Manager non funziona correttamente e non si è in grado di ripristinarlo, è possibile rimuoverlo dal cluster con il comando Rimuovi nodo. Il comando consente di rimuovere le voci relative al nodo dal database di VMware Identity Manager. Consigli per il cluster di VMware Identity Manager Attenersi alle seguenti linee guida per la configurazione di un cluster di VMware Identity Manager. Numero di nodi consigliato nel cluster VMware Identity Manager L'impostazione di un cluster VMware Identity Manager con tre nodi è consigliata. L'appliance di VMware Identity Manager include Elasticsearch, un motore di ricerca e analisi. Elasticsearch ha una limitazione nota con i cluster a due nodi. Per una descrizione della limitazione "split brain" di Elasticsearch, consultare la documentazione di Elasticsearch. Tenere presente che non è necessario configurare alcuna impostazione di Elasticsearch. VMware, Inc. 52

53 Un cluster di VMware Identity Manager con due nodi fornisce funzionalità di failover con qualche limitazione dovuta a Elasticsearch. Se uno dei nodi viene arrestato, si applicano le seguenti limitazioni fino a che il nodo non torna attivo: Il dashboard non visualizza i dati. La maggior parte dei report non è disponibile. Le informazioni del registro di sincronizzazione non sono visualizzate per le directory. Il campo di ricerca nell'angolo in alto a destra della console di amministrazione non restituisce alcun risultato. La funzione di completamento automatico non è disponibile per i campi di testo. Non vi è alcuna perdita di dati durante il periodo di tempo in cui il nodo è inattivo. I dati dei registri di sincronizzazione e degli eventi di controllo vengono memorizzati e saranno visualizzati una volta ripristinato il nodo. Partizioni di rete La creazione di una partizione di rete tra nodi in un cluster di VMware Identity Manager non è consigliata. Se esiste una partizione di rete tra i nodi del servizio VMware Identity Manager in modo che i nodi non possano comunicare tra loro e se le richieste possono essere indirizzate ai nodi partizionati perché tutti i nodi sono comunque accessibili dal bilanciamento del carico, è possibile che si verifichino i problemi seguenti: È possibile che vengano visualizzati dati non aggiornati tra le richieste. Ad esempio, le modifiche apportate a un criterio di accesso in un nodo potrebbero non essere valide per le richieste di accesso indirizzate a un altro nodo se è presente una partizione tra i nodi. Le chiamate di accesso che utilizzano il connettore in uscita potrebbero non riuscire. Modifica del nome di dominio di completo di VMware Identity Manager nel nome di dominio completo di bilanciamento del carico Prima di clonare l'appliance virtuale di VMware Identity Manager, è necessario modificarne il nome di dominio completo in modo che corrisponda a quello del bilanciamento del carico. Prerequisiti L'istanza di VMware Identity Manager viene aggiunta a un programma di bilanciamento del carico. Sia stato applicato il certificato CA root del bilanciamento del carico a VMware Identity Manager. Procedura 1 Accedere alla console di amministrazione di VMware Identity Manager. 2 Selezionare la scheda Impostazioni dell'appliance. 3 Sulla pagina Configurazione dell'appliance virtuale, fare clic su Gestisci configurazione. 4 Immettere la password dell'amministratore per accedere. VMware, Inc. 53

54 5 Fare clic su Configurazione di Identity Manager. 6 Nel campo Nome di dominio completo di Identity Manager, modificare il nome host dell'url dal nome host di VMware Identity Manager al nome host del bilanciamento del carico. Ad esempio, se il nome host di VMware Identity Manager è myservice e il nome host del bilanciamento del carico è mylb, l'url dovrà essere cambiato in: 7 Fare clic su Salva. Il nome di dominio completo del servizio sarà cambiato nel nome di dominio completo del programma di bilanciamento del carico. L'URL del provider di identità sarà cambiato nell'url del bilanciamento del carico. Operazioni successive Clonare l'appliance virtuale. Clonazione dell'appliance virtuale Clonare VMware Identity Manager l'appliance virtuale per creare più appliance virtuali dello stesso tipo per distribuire il traffico ed eliminare potenziali tempi di inattività. VMware, Inc. 54

55 L'uso di più VMware Identity Manager appliance virtuali aumenta la disponibilità, bilancia le richieste al servizio e diminuisce i tempi di risposta per l'utente finale. Prerequisiti L'appliance VMware Identity Manager virtuale deve essere configurato con un bilanciamento del carico. Assicurarsi che la porta del bilanciamento del carico sia 443. Non utilizzare la porta 8443 in quanto questo numero di porta è la porta di amministrazione ed è univoca per ogni appliance virtuale. Un database esterno viene configurato come descritto in Creazione del database del servizio VMware Identity Manager. Assicurarsi di aver completato la configurazione della directory in VMware Identity Manager. Accedere alla console dell'appliance virtuale come root ed eliminare il file /etc/udev/rules.d/70- persistent-net.rules, se presente. Se non si elimina il file prima della clonazione, il networking non sarà configurato correttamente sull'appliance virtuale clonata. Procedura 1 Accedere a vsphere Client o a vsphere Web Client e passare VMware Identity Manager all'appliance virtuale. 2 Fare clic con il pulsante destro del mouse sull'appliance virtuale e selezionare Clona. 3 Immettere il nome per l'appliance virtuale clonata e fare clic su Avanti. Il nome deve essere univoco all'interno della cartella VM. 4 Selezionare l'host o il cluster su cui eseguire l'appliance virtuale clonata e fare clic su Avanti. 5 Selezionare il pool di risorse in cui eseguire l'appliance virtuale e fare clic su Avanti. 6 Per il formato del disco virtuale, selezionare Stesso formato dell'origine. 7 Selezionare il percorso dell'archivio dati in cui memorizzare i file dell'appliance virtuale e fare clic su Avanti. 8 Selezionare Non personalizzare come opzione del sistema operativo guest. 9 Rivedere le opzioni e fare clic su Fine. L'appliance virtuale clonata sarà distribuita. Non sarà possibile né modificare l'appliance virtuale fino al completamento del processo di clonazione. Operazioni successive Assegnare un indirizzo IP all'appliance virtuale clonata prima di accenderla e di aggiungerla al bilanciamento del carico. VMware, Inc. 55

56 Assegnazione di un nuovo indirizzo IP a un'appliance virtuale clonata Prima di poter accedere una nuova appliance virtuale clonata, è necessario aggiungervi un nuovo indirizzo IP. Tale indirizzo IP deve essere risolvibile in DNS. Se l'indirizzo non si trova nel DNS inverso, è necessario assegnare anche il nome host. Procedura 1 In vsphere Client o vsphere Web Client, selezionare l'appliance virtuale clonata. 2 Nella scheda Riepilogo, in Comandi, fare clic su Modifica impostazioni. 3 Selezionare Opzioni e nell'elenco Opzioni vapp selezionare Proprietà. 4 Modificare l'indirizzo IP nel campo Indirizzo IP. 5 Se l'indirizzo IP non si trova nel DNS inverso, aggiungere il nome host nella casella di testo Nome host. 6 Fare clic su OK. 7 Accendere l'appliance clonata e attendere la visualizzazione della schermata di accesso blu nella scheda Console. Importante Prima di accendere l'appliance clonata, assicurarsi che l'appliance originale sia accesa. Operazioni successive Prima di aggiungere l'appliance virtuale clonata al bilanciamento del carico, attendere alcuni minuti finché non viene creato il cluster Elasticsearch. Elasticsearch, un motore di ricerca e analisi, è incorporato nell'appliance virtuale. a b Accedere all'appliance virtuale clonata. Controllare il cluster Elasticsearch: curl -XGET ' Verificare che il risultato corrisponda al numero di nodi. Aggiungere l'appliance virtuale clonata al bilanciamento del carico e configurare il bilanciamento per distribuire il traffico. Fare riferimento alla documentazione del fornitore del bilanciamento del carico per maggiori informazioni. Se è stata unita l'istanza di servizio originale al dominio, è necessario aggiungere il dominio nelle istanze di servizio clonate. a b Accedere alla console di VMware Identity Manager. Selezionare la scheda Gestione identità e accessi, quindi fare clic su Configura. Il componente del connettore per ognuna delle istanze clonate del servizio è riportato sulla pagina Connettori. VMware, Inc. 56

57 c Per ogni connettore riportato, fare clic su Entra in dominio e specificare le informazioni sul dominio. Per ulteriori informazioni su Active Directory, vedere Integrazione della Directory con VMware Identity Manager. Per le directory di tipo Active Directory (autenticazione integrata di Windows), è necessario effettuare le seguenti operazioni: a Per le istanze clonate del servizio, entrare nel dominio a cui si è unita la directory IWA nell'istanza del servizio originale. 1 Accedere alla console di VMware Identity Manager. 2 Selezionare la scheda Gestione identità e accessi, quindi fare clic su Configura. Il componente del connettore per ognuna delle istanze clonate del servizio è riportato sulla pagina Connettori. 3 Per ogni connettore riportato, fare clic su Entra in dominio e specificare le informazioni sul dominio. b Salvare la configurazione della directory IWA. 1 Selezionare la scheda Gestione identità e accessi. 2 Sulla pagina Directory, fare clic sul collegamento della directory IWA. 3 Fare clic su Salva per salvare la configurazione della directory. Abilitare i metodi di autenticazione configurati per connettore su ciascuna delle istanze clonate. Vedere Guida all'amministrazione di VMware Identity Manager per maggiori informazioni. L'appliance virtuale del servizio VMware Identity Manager è adesso altamente disponibile. Il traffico viene distribuito sulle appliance virtuali nel cluster basato sulla configurazione del bilanciamento del carico. L'autenticazione al servizio è altamente disponibile. Per la funzionalità di sincronizzazione delle directory del servizio, tuttavia, in caso di un errore dell'istanza del servizio, sarà necessario abilitare manualmente la sincronizzazione su un'istanza clonata del servizio. La sincronizzazione delle directory è gestita dal componente del connettore del servizio e può essere abilitata solo su un connettore alla volta. Vedere Abilitazione della sincronizzazione delle directory su un'altra istanza di in caso di errore. Abilitazione della sincronizzazione delle directory su un'altra istanza di in caso di errore In caso di un errore dell'istanza di servizio, l'autenticazione è gestita automaticamente da un'istanza clonata, come configurata nel bilanciamento del carico. Tuttavia, per la sincronizzazione delle directory è necessario modificare le impostazioni della directory nel servizio VMware Identity Manager in modo da utilizzare un'istanza clonata. La sincronizzazione delle directory è gestita dal componente del connettore del servizio e può essere abilitata solo su un connettore alla volta. Procedura 1 Accedere alla console di VMware Identity Manager. VMware, Inc. 57

58 2 Selezionare la scheda Gestione identità e accessi, quindi fare clic su Directory. 3 Fare clic sulla directory che era associata all'istanza del servizio originale. Queste informazioni sono disponibili nella pagina Configura > Connettori. La pagina riporta il componente del connettore di ogni appliance virtuale del servizio nel cluster. 4 Nella sezione Sincronizzazione e autenticazione directory della pagina della directory, nel campo Sincronizza connettore, selezionare uno degli altri connettori. 5 Nel campo Password nome distinto di binding, immettere la password dell'account bind di Active Directory. 6 Fare clic su Salva. Rimozione di un nodo da un cluster Se un nodo del cluster di VMware Identity Manager non funziona correttamente e non si è in grado di ripristinarlo, è possibile rimuoverlo dal cluster con il comando Rimuovi nodo. Il comando consente di rimuovere le voci relative al nodo dal database di VMware Identity Manager. VMware, Inc. 58

59 È possibile verificare l'integrità dei nodi del cluster visualizzandone lo stato in Dashboard di diagnostica del sistema. Un messaggio simile a Lo stato del nodo corrente non è valido indica che il nodo non funziona correttamente. Importante È consigliabile utilizzare il comando Rimuovi nodo con moderazione. Usarlo solo quando il nodo è irrecuperabile e deve essere completamente rimosso dalla distribuzione di VMware Identity Manager. Nota Non è possibile utilizzare il comando Rimuovi nodo per rimuovere l'ultimo nodo in un cluster. Rimozione del nodo dal cluster È possibile rimuovere il nodo dal cluster. Nota Non è possibile utilizzare il comando Rimuovi per rimuovere l'ultimo nodo in un cluster. Prerequisiti Per rimuovere un nodo, è necessario accedere come amministratore tenant, ovvero come amministratore locale, al servizio VMware Identity Manager. Un amministratore di dominio sincronizzato dalla directory aziendale non dispone infatti delle autorizzazioni necessarie. Procedura 1 Arrestare la macchina virtuale del nodo. a b Accedere all'istanza di vcenter Server. Fare clic con il pulsante destro del mouse sulla macchina virtuale del nodo e selezionare Alimentazione > Spegni. 2 Rimuovere il nodo dal bilanciamento del carico. 3 Nella console di VMware Identity Manager, rimuovere il nodo. a b c Accedere alla console di VMware Identity Manager come amministratore locale. Fare clic sulla freccia giù nella scheda Dashboard e selezionare Dashboard di diagnostica del sistema. Individuare il nodo che si desidera rimuovere. Nel nodo viene visualizzato un messaggio simile al seguente: Lo stato del nodo corrente non è valido. Rimuoverlo? d Fare clic sul collegamento Rimuovi visualizzato accanto al messaggio. Il nodo viene rimosso dal cluster. Le voci relative al nodo vengono rimosse dal database di VMware Identity Manager. Il nodo viene inoltre rimosso dai cluster Elasticsearch ed Ehcache incorporati. VMware, Inc. 59

60 Operazioni successive Prima di utilizzare qualsiasi altro comando, attendere 5-15 minuti che i cluster Elasticsearch ed Ehcache si stabilizzino. Distribuzione di VMware Identity Manager in un data center secondario per il failover e la ridondanza Per fornire funzionalità di failover quando il data center primario di VMware Identity Manager non è disponibile, VMware Identity Manager deve essere distribuito in un data center secondario. Se si utilizza un data center secondario, gli utenti finali possono accedere e usare le applicazioni con tempo di inattività minimo. Un data center secondario consente inoltre agli amministratori di aggiornare VMware Identity Manager alla versione successiva con tempo di inattività minimo. Vedere Aggiornamento di VMware Identity Manager con tempo di inattività minimo. Di seguito è illustrata una distribuzione tipica che utilizza un data center secondario. Programma di bilanciamento del carico globale Programma di bilanciamento del carico DC1 Programma di bilanciamento del carico DC2 vidm1 vidm2 (clonato da vidm1) vidm3 (clonato da vidm1) vidm4 (clonato da vidm1) vidm5 (clonato da vidm1) vidm6 (clonato da vidm1) Listener di SQL Server Always on Always On SQL Server (master) SQL Server (replica) Repo ThinApp (DFS) Cloud Pod Architecture di Horizon View XenFarm A XenFarm B Pod A di View Pod B di View Pod C di View Pod D di View XenFarm C XenFarm D VMware, Inc. 60

61 Per una distribuzione con più data center, applicare le linee guida seguenti. Distribuzione cluster: è necessario distribuire un insieme di almeno tre appliance virtuali di VMware Identity Manager come un cluster in un data center e un altro insieme di almeno tre appliance virtuali come un altro cluster nel secondo data center. Vedere Configurazione di un data center secondario per ulteriori informazioni. Database: VMware Identity Manager utilizza il database per archiviare i dati. Per una distribuzione con più data center, la replica del database tra i due data center è fondamentale. Per informazioni su come configurare un database in più data center, fare riferimento alla documentazione del database. Con SQL Server è ad esempio consigliabile utilizzare la distribuzione Always On. Per informazioni, vedere Panoramica di Gruppi di disponibilità Always On (SQL Server) sul sito Web Microsoft. Per le funzionalità di VMware Identity Manager è prevista una latenza molto bassa tra il database e l'appliance di VMware Identity Manager. Le appliance di un data center devono quindi connettersi con il database dello stesso data center. Non attiva-attiva: VMware Identity Manager non supporta una distribuzione attiva-attiva in cui gli utenti possono utilizzare entrambi i data center contemporaneamente. Il data center secondario è un hot standby e può essere utilizzato per fornire la continuità delle attività agli utenti finali. Le appliance di VMware Identity Manager nel data center secondario sono in modalità di sola lettura. Quindi, dopo un failover in tale data center, la maggior parte delle operazioni amministrative, come l'aggiunta di utenti o app oppure l'assegnazione di autorizzazioni agli utenti, non funzioneranno. Failback nel data center primario: nella maggior parte degli scenari di errore, è possibile eseguire il failback nel data center primario dopo averne ripristinato la normale funzionalità. Vedere Failback nel data center primario per informazioni. Promozione del data center secondario a data center primario: in caso di errore persistente del data center primario, il data center secondario può essere promosso a data center primario. Vedere Promozione del data center secondario a data center primario per informazioni. Nome di dominio completo: il nome di dominio completo per accedere a VMware Identity Manager deve essere lo stesso in tutti i data center. Auditing: VMware Identity Manager utilizza Elasticsearch incorporato nell'appliance di VMware Identity Manager per le verifiche, i report e i registri delle sincronizzazioni delle directory. In ogni data center, è necessario creare cluster di Elasticsearch distinti. Vedere Configurazione di un data center secondario per ulteriori informazioni. Active Directory: VMware Identity Manager può connettersi ad Active Directory mediante l'api LDAP o utilizzando l'autenticazione integrata di Windows. In entrambi i metodi, VMware Identity Manager può sfruttare i record SRV di Active Directory per raggiungere il controller di dominio appropriato in ogni data center. VMware, Inc. 61

62 App di Windows: VMware Identity Manager supporta l'accesso alle app di Windows mediante ThinApp e l'accesso ai desktop e alle app di Windows mediante la tecnologia Horizon View o Citrix. È in genere importante rendere disponibili queste risorse dal data center che si trova più vicino all'utente. Questo aspetto è anche detto affinità geografica. Si tengano presenti le considerazioni seguenti sulle risorse di Windows: ThinApps - VMware Identity Manager supporta i file system distribuiti di Windows come un repository di ThinApp. Per configurare criteri appropriati specifici della posizione, fare riferimento alla documentazione dei file system distribuiti di Windows. Horizon View (con Cloud Pod Architecture) - VMware Identity Manager supporta Cloud Pod Architecture di Horizon. Cloud Pod Architecture di Horizon fornisce affinità geografica mediante permessi globali. Per informazioni, vedere "Integrazione delle distribuzioni con Cloud Pod Architecture" in Configurazione delle risorse in VMware Identity Manager. Per una distribuzione con più data center di VMware Identity Manager, non sono necessarie modifiche aggiuntive. Horizon View (senza Cloud Pod Architecture) - Se nell'ambiente in uso non è abilitato Cloud Pod Architecture di Horizon, non è possibile abilitare l'affinità geografica. Dopo un evento di failover, è possibile modificare manualmente VMware Identity Manager per avviare le risorse di Horizon View dai pod di View configurati nel data center secondario. Vedere Configurazione dell'ordine di failover delle risorse di Horizon View e pubblicate da Citrix per ulteriori informazioni. Risorse Citrix - Analogamente a Horizon View (senza Cloud Pod Architecture), non è possibile abilitare l'affinità geografica per le risorse Citrix. Dopo un evento di failover, è possibile modificare manualmente VMware Identity Manager per avviare le risorse di Citrix dalle istanze di XenFarm configurate nel data center secondario. Vedere Configurazione dell'ordine di failover delle risorse di Horizon View e pubblicate da Citrix per ulteriori informazioni. Configurazione di un data center secondario Il data center secondario di solito è gestito da un vcenter Server differente. Quando si configura il data center secondario, è possibile configurare e implementare gli elementi seguenti in base alle proprie esigenze. Le appliance di VMware Identity Manager nel data center secondario, create da un file OVA importato dal data center primario Il bilanciamento del carico per il data center secondario Risorse e permessi duplicati di Horizon View e basati su Citrix Configurazione del database Bilanciamento del carico o voce DNS sui data center primario e secondario per il failover VMware, Inc. 62

63 Requisiti Assicurarsi che siano soddisfatti i requisiti elencati per la distribuzione di VMware Identity Manager in un data center secondario. Assicurarsi che il certificato di VMware Identity Manager includa il FQDN del programma di bilanciamento del carico dal data center primario nonché il FQDN del programma di bilanciamento del carico dal data center secondario. In caso contrario, il certificato deve essere un certificato con caratteri jolly. Le porte 443 e 8443 devono essere aperte tra tutte le istanze di VMware Identity Manager, sia all'interno di un cluster sia nei cluster in diversi data center. Modifica del data center primario per la replica Prima di configurare il data center secondario, configurare il data center primario per la replica di Elasticsearch nei cluster. Elasticsearch, un motore di ricerca e analisi incorporato nell'appliance virtuale VMware Identity Manager, viene utilizzato per il controllo, i report e i registri di sincronizzazione delle directory. Apportare queste modifiche in tutti i nodi del cluster del data center primario. Prerequisiti Si supponga di aver configurato un cluster di VMware Identity Manager nel data center primario. Procedura 1 Aggiungere il nome di dominio completo del bilanciamento del carico del cluster del data center secondario al file /usr/local/horizon/conf/runtime-config.properties di ciascun nodo nel cluster del data center primario. a Modificare il file /usr/local/horizon/conf/runtime-config.properties. vi /usr/local/horizon/conf/runtime-config.properties b Aggiungere questa riga al file: analytics.replication.peers= 2 Riavviare il servizio VMware Identity Manager in tutti i nodi. service horizon-workspace restart 3 Verificare che il cluster sia configurato correttamente eseguendo il comando seguente in tutti i nodi del cluster. curl ' VMware, Inc. 63

64 Il comando, che verifica l'integrità di Elasticsearch, dovrebbe restituire un risultato simile al seguente. { } "cluster_name" : "horizon", "status" : "green", "timed_out" : false, "number_of_nodes" : 3, "number_of_data_nodes" : 3, "active_primary_shards" : 20, "active_shards" : 40, "relocating_shards" : 0, "initializing_shards" : 0, "unassigned_shards" : 0, "delayed_unassigned_shards" : 0, "number_of_pending_tasks" : 0, "number_of_in_flight_fetch" : 0 Operazioni successive Verificare che il cluster nel data center primario sia configurato correttamente visualizzando il dashboard di diagnostica del sistema. Verifica del cluster nel data center primario Prima di configurare il data center secondario, verificare che il cluster nel data center primario sia configurato correttamente. Verificare inoltre che i componenti incorporati Elasticsearch ed Ehcache siano raggruppati correttamente in un cluster. Elasticsearch ed Ehcache sono incorporati nel servizio di VMware Identity Manager. Elasticsearch è un motore di ricerca e analisi utilizzato per le verifiche, i report e i registri della sincronizzazione delle directory. Ehcache offre funzionalità di memorizzazione nella cache. Prerequisiti È possibile configurare un cluster di VMware Identity Manager nel data center primario e configurare i nodi per la replica di Elasticsearch. Procedura 1 Nella console di VMware Identity Manager, selezionare la scheda Dashboard > Dashboard di diagnostica del sistema. 2 Nel pannello superiore, individuare le informazioni del cluster. VMware, Inc. 64

65 3 Verificare che le istanze siano raggruppate in modo corretto controllando gli ID dei cluster delle istanze e apportare le modifiche necessarie. Tutte le istanze di un cluster devono avere lo stesso ID cluster. Per aggiornare l'id cluster di un'istanza, fare clic sull'icona a forma di matita accanto il numero. Per rimuovere un'istanza dal cluster, fare clic su Rimuovi. 4 Per ogni istanza elencata nel riquadro a sinistra, scorrere fino alla sezione Componenti integrati e verificare che le informazioni del cluster Elasticsearch ed Ehcache siano corrette. Per esempio: Operazioni successive Creare un cluster nel data center secondario. Creare i nodi esportando il file OVA della prima appliance virtuale di VMware Identity Manager dal cluster del data center primario e utilizzandolo per distribuire le nuove appliance virtuali nel data center secondario. Creazione di appliance virtuali di VMware Identity Manager nel data center secondario Per configurare un cluster VMware Identity Manager in un data center secondario, è possibile esportare il file OVA dell'appliance di VMware Identity Manager originale nel data center primario e utilizzarlo per distribuire le appliance nel data center secondario. Prerequisiti File OVA di VMware Identity Manager che è stato esportato dall'appliance di VMware Identity Manager originale nel data center primario Indirizzi IP e record DNS per il data center secondario VMware, Inc. 65

66 Procedura 1 Nel data center primario, esportare il file OVA dell'appliance di VMware Identity Manager originale. Per informazioni, consultare la documentazione di vsphere. 2 Nel data center secondario, distribuire il file OVA di VMware Identity Manager esportato per creare i nuovi nodi. Per informazioni, consultare la documentazione di vsphere. Vedere anche Installazione del file OVA di VMware Identity Manager. 3 Una volta accese le appliance di VMware Identity Manager, aggiornare la configurazione di ognuna di esse. Le appliance di VMware Identity Manager nel data center secondario sono copie identiche dell'appliance di VMware Identity Manager originale nel data center primario. La sincronizzazione con Active Directory e con tutte le risorse configurate nel data center primario è disabilitata. Operazioni successive Passare alle pagine della console di amministrazione e configurare quanto riportato di seguito: Abilitare Entra in dominio come configurato nell'appliance di VMware Identity Manager originale nel data center primario. Sulla pagina Adattatori di autenticazione, aggiungere i metodi di autenticazione che sono configurati nel data center primario. Sulla pagina Metodo di autenticazione directory, abilitare l'autenticazione di Windows, se configurata nel data center primario. Passare alla pagina Installa certificato delle impostazioni dell'appliance per aggiungere certificati firmati da una CA (Certificate Authority) duplicando i certificati nelle appliance di VMware Identity Manager nel data center primario. Vedere Uso dei certificati SSL. Configurazione di nodi nel data center secondario Dopo aver creato i nodi nel data center secondario mediante il file OVA esportato dal data center primario, è necessario configurare i nodi per la replica Elasticsearch. Eseguire i passaggi seguenti per ogni nodo nel data center secondario. Procedura 1 Aggiungere il nome di dominio completo del bilanciamento del carico del cluster del data center primario al file /usr/local/horizon/conf/runtime-config.properties di ciascun nodo nel cluster del data center secondario. a Modificare il file /usr/local/horizon/conf/runtime-config.properties. vi /usr/local/horizon/conf/runtime-config.properties b Aggiungere questa riga al file: analytics.replication.peers= VMware, Inc. 66

67 2 Riavviare il servizio VMware Identity Manager in tutti i nodi. service horizon-workspace restart 3 Verificare che il cluster sia configurato correttamente eseguendo il comando seguente in tutti i nodi del cluster. curl ' Il comando, che verifica l'integrità di Elasticsearch, dovrebbe restituire un risultato simile al seguente. { } "cluster_name" : "horizon", "status" : "green", "timed_out" : false, "number_of_nodes" : 3, "number_of_data_nodes" : 3, "active_primary_shards" : 20, "active_shards" : 40, "relocating_shards" : 0, "initializing_shards" : 0, "unassigned_shards" : 0, "delayed_unassigned_shards" : 0, "number_of_pending_tasks" : 0, "number_of_in_flight_fetch" : 0 Impostazione dell'id cluster e verifica del cluster nel data center secondario Dopo aver creato i nodi nel data center secondario e aver configurato Elasticsearch per la replica, impostare l'id cluster per il data center secondario e verificare che il cluster sia configurato correttamente. Procedura 1 Nella console di VMware Identity Manager, selezionare la scheda Dashboard > Dashboard di diagnostica del sistema. 2 Nel pannello superiore, modificare ID cluster di tutti i nodi nel cluster del data center secondario specificando un numero diverso rispetto a quello del primo data center. Ad esempio: VMware, Inc. 67