Installazione e configurazione di VMware Identity Manager per Windows. APR 2019 VMware Identity Manager 19.03

Transcript

1 Installazione e configurazione di VMware Identity Manager per Windows APR 2019 VMware Identity Manager 19.03

2 È possibile trovare la documentazione tecnica più aggiornata sul sito Web di VMware all'indirizzo: Il sito Web di VMware fornisce, inoltre, gli ultimi aggiornamenti di prodotto. In caso di commenti sulla presente documentazione, inviare un messaggio all'indirizzo: VMware, Inc Hillview Ave. Palo Alto, CA VMware, Inc. Centro Leoni Palazzo A Via Spadolini 5 Ground Floor Milan, MI tel: fax: Copyright 2018, 2019 VMware, Inc. Tutti i diritti riservati. Informazioni sul copyright e sul marchio commerciale. VMware, Inc. 2

3 Sommario Informazioni sull'installazione e la configurazione di VMware Identity Manager per Windows 5 1 Panoramica di VMware Identity Manager Services 6 2 Preparazione dell'installazione di VMware Identity Manager per Windows 9 Requisiti di configurazione di sistema e di rete 9 Creazione di record DNS e indirizzi IP 15 Creazione del database del servizio VMware Identity Manager 16 Checklist di distribuzione 23 3 Programma di Miglioramento dell'esperienza del Cliente "Customer Experience Improvement Program" ("CEIP") 26 4 Distribuzione della macchina VMware Identity Manager dietro un programma di bilanciamento del carico 27 Utilizzo di un programma di bilanciamento del carico o di un proxy inverso per abilitare l'accesso esterno a VMware Identity Manager 27 5 Configurazione del servizio VMware Identity Manager 30 Installazione di VMware Identity Manager 30 Utilizzo della procedura guidata di configurazione per completare l'installazione 34 Distribuzione della macchina VMware Identity Manager dietro un programma di bilanciamento del carico 35 Utilizzo di un programma di bilanciamento del carico o di un proxy inverso per abilitare l'accesso esterno a VMware Identity Manager 35 Applicazione del certificato root di VMware Identity Manager al bilanciamento del carico 38 Applicazione del certificato root di bilanciamento del carico a VMware Identity Manager 39 Configurazione del failover e della ridondanza in un singolo data center (Windows) 41 Aggiunta di indirizzi IP in una whitelist al firewall esterno 45 Attivazione delle impostazioni del proxy dopo l'installazione 46 Specifica della chiave di licenza 47 6 Gestione delle impostazioni di configurazione di VMware Identity Manager 48 Modifica delle impostazioni di configurazione dell'appliance 49 Uso dei certificati SSL 49 Configurazione di VMware Identity Manager per l'utilizzo di un database esterno 52 Modifica dell'url del servizio VMware Identity Manager 53 VMware, Inc. 3

4 Modifica dell'url del connettore 54 Informazioni sui file di registro 54 Gestione della password 56 Configurazione delle impostazioni SMTP 57 Configurazione della sincronizzazione dell'ora per il servizio VMware Identity Manager (Windows) 58 7 Aggiornamento di Java nel server di VMware Identity Manager 60 8 Monitoraggio di VMware Identity Manager 61 Raccomandazioni monitoraggio capacità di carico hardware 61 Endpoint di URL di VMware Identity Manager per il monitoraggio 62 Registrazione di sistema 71 Modifica della memoria predefinita allocata al servizio VMware Identity Manager 72 9 Impostazione dei limiti 73 Impostazione dei limiti nel servizio VMware Identity Manager 73 Impostazione dei limiti sul connettore di VMware Identity Manager Risoluzione dei problemi relativi all'installazione e alla configurazione 80 Nel gruppo non viene visualizzato alcun membro dopo la sincronizzazione della directory 80 Gli utenti non sono in grado di avviare le applicazioni in un ambiente con bilanciamento del carico 81 VMware, Inc. 4

5 Informazioni sull'installazione e la configurazione di VMware Identity Manager per Windows Installazione e configurazione di VMware Identity Manager include informazioni sull'installazione e la configurazione del servizio VMware Identity Manager sui server Windows per le distribuzioni locali. Al termine dell'installazione, è possibile utilizzare la console di VMware Identity Manager per consentire agli utenti di accedere da più dispositivi alle applicazioni dell'organizzazione, tra cui applicazioni Web, applicazioni e desktop Horizon e risorse pubblicate da Citrix. Viene inoltre spiegato come configurare la propria distribuzione per l'alta disponibilità. Destinatari Queste informazioni sono dirette agli amministratori di VMware Identity Manager. Le informazioni sono destinate agli amministratori di sistema esperti di Windows e Linux che conoscono le tecnologie VMware e in particolare vcenter, ESX e vsphere, i concetti relativi ai servizi di rete, i server Active Directory, i database, le procedure di backup e ripristino, Simple Mail Transfer Protocol (SMTP) e i server NTP. La conoscenza di altre tecnologie, come RSA SecurID è utile se si intende implementare queste funzionalità. VMware, Inc. 5

6 Panoramica di VMware Identity Manager Services 1 VMware Identity Manager è il componente di gestione di identità e accessi di Workspace ONE. Insieme a Workspace ONE UEM e VMware Horizon, VMware Identity Manager può distribuire un catalogo di applicazioni universale che include applicazioni Web, native e virtuali. VMware Identity Manager è importante anche per la distribuzione di Single Sign-On (SSO) mobile e accesso condizionale che include la gestione dei dispositivi e i controlli della conformità. VMware Identity Manager è disponibile in SaaS condiviso e nei modelli di distribuzione locale. Questa guida descrive come distribuire VMware Identity Manager per Windows in un ambiente locale, incluse le configurazioni della disponibilità elevata e del programma di bilanciamento del carico. Il capitolo Preparazione dell'installazione di VMware Identity Manager include una descrizione dei modelli di distribuzione consigliati e della modalità di dimensionamento del database, del connettore e dei server VMware Identity Manager in base alle dimensioni dell'organizzazione. La figura Modello di distribuzione di VMware Identity Manager per Windows illustra a grandi linee il modello di distribuzione per Workspace ONE. Il servizio del dispositivo Workspace ONE UEM e il servizio VMware Identity Manager vengono distribuiti nel DMZ in cui i dispositivi possono accedere ai servizi direttamente. Il servizio VMware Horizon viene distribuito nella rete interna. Figura 1 1. Modello di distribuzione di VMware Identity Manager per Windows Distribuzione di Workspace ONE DMZ Server VMware Identity Manager Server AirWatch On-premise Server Horizon Connettori Active Directory/ altri servizi directory Rete aziendale VMware, Inc. 6

7 La figura Diagramma dell'architettura di VMware Identity Manager per distribuzioni tipiche illustra un diagramma dettagliato con la configurazione del programma di bilanciamento del carico necessaria per VMware Identity Manager in cluster. VMware, Inc. 7

8 Figura 1 2. Diagramma dell'architettura di VMware Identity Manager per distribuzioni tipiche Dispositivi esterni HTTP(s) 80/88/443 e ios Porta 80 Porta 443/88/ 5262 Porta 443/88 Internet HTTP(s) 80/443 Programma di bilanciamento del carico Firewall esterno DMZ Porta 443 Porta 443 Identity Manager Porta 443/88/5262 Porta 1443 Bilanciamento del carico 8 GB 4 core 100 GB Programma di bilanciamento del carico Firewall interno Porta 443 Workspace One Intelligence Connector Porta 1443 Server DB Identity Manager Dispositivi interni 8 GB 1 core 50 GB DB 40 GB 12 core 300 GB 53/88/464/135/5500 RSA/DNS/DC Porta 8443 Connettore aziendale LDAP 389/636/3268/3269 AD/LDAP Amministratori Rete interna Porta 80 server SMTP 12 GB 6 core 100 GB Porta 443 CA aziendale VMware, Inc. 8

9 Preparazione dell'installazione di VMware Identity Manager per Windows 2 Il servizio VMware Identity Manager può essere installato in un nuovo server autonomo o in un cluster di tre o più nodi. Considerare l'intera distribuzione, compreso il modo in cui si integrano le risorse, quando si prendono decisioni relative ai requisiti hardware, delle risorse e di rete. Questo capitolo include i seguenti argomenti: Requisiti di configurazione di sistema e di rete Creazione di record DNS e indirizzi IP Creazione del database del servizio VMware Identity Manager Checklist di distribuzione Requisiti di configurazione di sistema e di rete Considerare l'intera distribuzione, compreso il modo in cui si integrano le risorse, quando si prendono decisioni relative ai requisiti hardware, delle risorse e di rete. Requisiti di dimensionamento dell'hardware Assicurarsi che vengano soddisfatti i requisiti hardware per le installazioni di VMware Identity Manager per Windows. Numero di utenti Fino a Numero di server VMware Identity Manager 1 server 3 server con bilanciamento del carico 3 server con bilanciamento del carico 3 server con bilanciamento del carico 3 server con bilanciamento del carico CPU (per server) 2 CPU 2 CPU 4 CPU 8 CPU 8 CPU RAM (per server) 6 GB 6 GB 8 GB 16 GB 32 GB Spazio su disco (per server) 60 GB 100 GB 100 GB 100 GB 100 GB Assicurarsi che vengano soddisfatti i requisiti seguenti per il numero di istanze del connettore di VMware Identity Manager. VMware, Inc. 9

10 Numero di utenti Fino a Numero di server del connettore 1 server 2 server con bilanciamento del carico 2 server con bilanciamento del carico 2 server con bilanciamento del carico 2 server con bilanciamento del carico CPU (per server) 2 CPU 4 CPU 4 CPU 4 CPU 4 CPU RAM (per server) 6 GB 6 GB 8 GB 16 GB 16 GB Spazio su disco (per server) 60 GB 60 GB 60 GB 60 GB 60 GB Requisiti software per l'installazione di Windows Assicurarsi che il server Windows di VMware Identity Manager soddisfi i requisiti software seguenti. Requisito Note Versioni di Windows Server supportate Windows Server 2008 R2 Windows Server 2012 R2 Windows Server 2016 PowerShell 4.0 o versioni successive JRE 1.8 installato Server RabbitMQ Erlang Notepad++ Modulo di Active Directory per PowerShell (RSAT-AD- PowerShell) Il programma di installazione di VMware Identity Manager installa la versione più recente, se non viene installata prima della distribuzione. Se la versione di JRE è precedente, il programma di installazione aggiorna automaticamente la versione, ma non rimuove l'istanza di JRE esistente. Le versioni precedenti devono essere disinstallate manualmente. Il programma di installazione di VMware Identity Manager installa il server RabbitMQ, se non viene installato prima della distribuzione. Il programma di installazione di VMware Identity Manager installa Erlang, se non viene installato prima della distribuzione. Consigliato Notepad++ quando si apportano modifiche alla configurazione. Notepad++ consente di mantenere l'interruzione di riga. Non utilizzare Blocco note. Requisiti del database Configurare VMware Identity Manager con un database Microsoft SQL esterno per memorizzare e organizzare i dati del server. Per informazioni sulle versioni del database Microsoft SQL e le configurazioni dei service pack supportate, vedere VMware Product Interoperability Matrices all'indirizzo VMware, Inc. 10

11 I requisiti seguenti si applicano a un database SQL Server esterno. Le specifiche esatte necessarie per il server SQL variano in base alle dimensioni e alle esigenze della distribuzione. Numero di utenti Fino a CPU 2 CPU 2 CPU 4 CPU 8 CPU 8 CPU RAM 4 GB 4 GB 8 GB 16 GB 32 GB Spazio su disco 50 GB 50 GB 50 GB 100 GB 100 GB La funzionalità AlwaysOn di SQL Server è una combinazione di clustering di failover e mirroring del database con il log shipping per la disponibilità elevata. AlwaysOn consente di utilizzare più copie di lettura del database e una singola copia per le operazioni di lettura-scrittura. Se la larghezza di banda dell'ambiente di distribuzione è sufficiente per supportare il traffico generato, il database di VMware Identity Manager supporta AlwaysOn. Requisiti di configurazione di rete Componente Record DNS e indirizzo IP Porta firewall Proxy inverso Requisito minimo Indirizzo IP e record DNS VMware Identity Manager utilizza nomehost.domainname o hostname.workgroupname durante l'installazione. Questi nomi devono essere impostati in modo da corrispondere al nome DNS del server. Assicurarsi che la porta del firewall in entrata 443 sia aperta per gli utenti all'esterno della rete sull'istanza di VMware Identity Manager o sul bilanciamento del carico. Distribuire un proxy inverso come F5 Access Policy Manager nel DMZ per consentire agli utenti l'accesso sicuro al portale utente di VMware Identity Manager da remoto. VMware Unified Access Gateway 2.8 e le versioni successive supportano la funzionalità di proxy inverso per consentire agli utenti di accedere in modo sicuro al catalogo unificato di VMware Identity Manager da remoto. Unified Access Gateway può essere distribuito nel DMZ con i bilanciamenti del carico front-end sull'appliance di VMware Identity Manager. Requisiti delle porte Le porte utilizzate nella configurazione del server sono descritte di seguito. È possibile che la distribuzione includa solo una serie di queste porte. Ad esempio: Per sincronizzare utenti e gruppi da Active Directory, VMware Identity Manager deve connettersi a Active Directory. VMware, Inc. 11

12 Porta Protocollo Origine Destinazione Descrizione 443 HTTPS Bilanciamento del carico Macchina VMware Identity Manager 443 HTTPS Macchina VMware Identity Manager Bilanciamento del carico Necessario per convalidare il nome di dominio completo del bilanciamento del carico quando è impostato. 443, 8443 HTTPS/HTT P Macchina VMware Identity Manager Macchina VMware Identity Manager Per tutte le istanze di VMware Identity Manager in un cluster e nei cluster in diversi data center. 443 HTTPS Browser Macchina VMware Identity Manager 443 HTTPS Macchina VMware Identity Manager 443 HTTPS Macchina VMware Identity Manager discovery.awmdm.com catalog.vmwareidentity.com Accesso per l'individuazione automatica dell'applicazione Workspace ONE Accesso al catalogo cloud 8443 HTTPS Browser Macchina VMware Identity Manager Porta amministratore 25 SMTP Macchina VMware Identity Manager SMTP Porta per l'inoltro della posta in uscita LDAP LDAPS MSFT-GC MSFT-GC- SSL Macchina VMware Identity Manager Active Directory Sono mostrati i valori predefiniti. Queste porte sono configurabili UDP Macchina VMware Identity Manager 53 TCP/UDP Macchina VMware Identity Manager Sistema RSA SecurID Server DNS È visualizzato il valore predefinito. Questa porta è configurabile. Ogni appliance virtuale deve poter accedere al server DNS sulla porta 53 e consentire il traffico SSH in ingresso sulla porta , 464, 135, 445 TCP/UDP Macchina VMware Identity Manager Controller del dominio TCP UDP Macchina VMware Identity Manager 5701 TCP Macchina VMware Identity Manager Macchina VMware Identity Manager Macchina VMware Identity Manager Necessità di controllo Cache Hazelcast VMware, Inc. 12

13 Porta Protocollo Origine Destinazione Descrizione TCP Macchina VMware Identity Manager Macchina VMware Identity Manager Ehcache 1433 TCP Macchina VMware Identity Manager 443 Macchina VMware Identity Manager 80, 443 TCP Macchina VMware Identity Manager 443 HTTPS Macchina VMware Identity Manager Database Server View Server Integration Broker REST API di AirWatch La porta predefinita di Microsoft SQL è la 1433 Accesso al server View Connessione a Integration Broker. L'opzione della porta dipende dal fatto che nel server Integration Broker sia installato o meno un certificato Per il controllo della conformità del dispositivo e per il metodo di autenticazione della password di AirWatch Cloud Connector, se viene utilizzato. 88 UDP Unified Access Gateway Macchina VMware Identity Manager Porta UDP da aprire per SSO mobile 5262 TCP Dispositivo mobile Android Servizio proxy HTTPS AirWatch Il client AirWatch Tunnel instrada il traffico verso il proxy HTTPS per i dispositivi Android. 88 UDP Dispositivo mobile ios Macchina VMware Identity Manager Porta utilizzata per il 443 HTTPS/TCP traffico Kerberos dal dispositivo ios al servizio KDC cloud ospitato. VMware, Inc. 13

14 Porta Protocollo Origine Destinazione Descrizione 514 UDP Macchina VMware Identity Manager 88 UDP Macchina VMware Identity Manager server syslog Server KDC ibrido nel cloud. Il nome host è kdc.<realm>. Ad esempio kdc.op.vmwareidentity.com UDP Per server syslog esterno, se configurato Porta UDP utilizzata per autenticare ios gli aggiornamenti della configurazione dell'adattatore di autenticazione SSO mobile ios che vengono salvati nel servizio KDC nel cloud. Questa porta è utilizzata solo se viene utilizzata la funzionalità di SSO Mobile ios ibrido KDC. Sincronizzazione ora La configurazione della sincronizzazione dell'ora in tutte le istanze del servizio e del connettore di VMware Identity Manager è necessaria affinché una distribuzione di VMware Identity Manager funzioni correttamente. Per informazioni sulla configurazione della sincronizzazione dell'ora per il servizio VMware Identity Manager, vedere Configurazione della sincronizzazione dell'ora per il servizio VMware Identity Manager (Windows). Per informazioni sulla configurazione della sincronizzazione dell'ora per il connettore di VMware Identity Manager, vedere Installazione e configurazione di VMware Identity Manager Connector (Windows). Directory supportate L'integrazione di VMware Identity Manager con la directory aziendale consente di sincronizzare utenti e gruppi dalla directory aziendale al servizio. L'ambiente di Active Directory può essere costituito da un singolo dominio di Active Directory, da più domini in una singola foresta di Active Directory o da più domini in più foreste di Active Directory. VMware Identity Manager supporta Active Directory in Windows 2008, 2008 R2, 2012, 2012 R2 e 2016 con un livello di funzionalità del dominio e della foresta di Windows 2003 e versioni successive. Nota Per alcune funzionalità potrebbe essere necessario un livello di funzionalità più elevato. Ad esempio, per consentire agli utenti di cambiare la password di Active Directory da Workspace ONE, il livello di funzionalità del dominio deve essere Windows 2008 o versione successiva. VMware, Inc. 14

15 Browser Web supportati per l'accesso alla console di VMware Identity Manager La console di VMware Identity Manager è un'applicazione basata su Web utilizzata per gestire il tenant. È possibile accedere alla console di VMware Identity Manager dalle versioni più recenti di Mozilla Firefox, Google Chrome, Safari, Microsoft Edge e Internet Explorer 11. Nota In Internet Explorer 11, è necessario attivare JavaScript e permettere i cookie per l'autenticazione tramite VMware Identity Manager. Browser supportati per l'accesso al portale Workspace ONE Gli utenti finali possono accedere al portale Workspace ONE dai seguenti browser. Mozilla Firefox (versione più recente) Google Chrome (versione più recente) Safari (versione più recente) Internet Explorer 11 Browser Microsoft Edge Browser nativo e Google Chrome su dispositivi Android Safari su dispositivi ios Nota In Internet Explorer 11, è necessario attivare JavaScript e permettere i cookie per l'autenticazione tramite VMware Identity Manager. Creazione di record DNS e indirizzi IP Per l'istanza di VMware Identity Manager del devono essere disponibili una voce DNS e un indirizzo IP statico. Poiché ciascuna azienda amministra i suoi indirizzi IP e i record DNS in maniera differente, prima di iniziare l'installazione richiedere il record DNS e gli indirizzi IP da utilizzare. La configurazione della ricerca inversa è facoltativa. Quando si implementa la ricerca inversa, è necessario definire un record PTR sul server DNS in modo che l'appliance virtuale utilizzi la configurazione di rete corretta. È possibile utilizzare il seguente elenco di record DNS di esempio quando si consulta l'amministratore di rete. Sostituire le informazioni di esempio con le informazioni del proprio ambiente. Questo esempio riporta i record DNS di inoltro e gli indirizzi IP. Tabella 2 1. Esempi di record DNS di inoltro e indirizzi IP Nome di dominio Tipo di risorsa Indirizzo IP myidentitymanager.example.com Un VMware, Inc. 15

16 Questo esempio riporta i record DNS inverso e gli indirizzi IP. Tabella 2 2. Esempi di record DNS inverso e indirizzi IP Indirizzo IP Tipo di risorsa Nome host PTR myidentitymanager.example.com Dopo aver completato la configurazione DNS, verificare che la ricerca DNS inversa sia configurata correttamente. Ad esempio, il comando dell'appliance virtuale host IPaddress deve essere risolto sulla ricerca del nome DNS. Pianificazione per l'autenticazione Kerberos Se si intende configurare l'autenticazione Kerberos, si tengano presenti le condizioni seguenti: In uno scenario in cui si utilizza il connettore VMware Identity Manager per l'autenticazione Kerberos, il nome host ddel connettore deve corrispondere al dominio di Active Directory a cui il connettore appartiene. Se ad esempio il dominio Active Directory è sales.example.com, il nome host del connettore deve essere connectorhost.sales.example.com. Se non è possibile assegnare un nome host che corrisponda alla struttura di dominio Active Directory, è necessario configurare il connettore e Active Directory manualmente. Consultare la Knowledge Base per informazioni. Uso di un server DNS basato su Unix/Linux Se si utilizza un server DNS basato su Unix o Linux e si desidera inserire l'istanza di VMware Identity Manager del nel dominio di Active Directory, assicurarsi che i record di risorse del servizio appropriati (SRV) siano stati creati per ogni controller del dominio di Active Directory. Nota Se è presente un programma di bilanciamento del carico con un indirizzo IP virtuale (VIP) prima dei server DNS, si noti che VMware Identity Manager non supporta l'utilizzo di un VIP. È possibile specificare più server DNS separati da una virgola. Creazione del database del servizio VMware Identity Manager Il servizio VMware Identity Manager richiede un database Microsoft SQL Server esterno per archiviare e organizzare i dati del server. L'amministratore del database deve preparare un database Microsoft SQL Server vuoto e uno schema prima di installare VMware Identity Manager. Quando ci si connette a Microsoft SQL Server, immettere il nome dell'istanza a cui connettersi e la modalità di autenticazione. È possibile selezionare la modalità di autenticazione di Windows e specificare dominio\nome utente o la modalità di autenticazione di SQL Server e specificare il nome utente locale e la password. VMware, Inc. 16

17 È possibile connettersi alla connessione del database esterno quando si esegue la configurazione guidata di VMware Identity Manager. La configurazione del database esterno può essere eseguita anche da Impostazioni appliance > Configurazione VA > pagina Configurazione della connessione al database. È possibile utilizzare Microsoft SQL Server per configurare un ambiente di database ad alta disponibilità. Prerequisiti del server del database Prima di configurare il database Microsoft SQL, assicurarsi che i requisiti hardware e software siano corretti per la propria distribuzione. Per ridimensionare correttamente i server, consultare la guida all'architettura consigliata per VMware Workspace ONE UEM per informazioni sul ridimensionamento dell'hardware e altri dettagli tecnici per assicurarsi che il database possa essere configurato correttamente. Requisiti software di SQL Server SQL Server 2012, SQL Server 2014 o SQL Server 2016 con gli strumenti client (service pack più recenti di SQL Management Studio, Reporting Services, Integration Services e SQL Server Agent). Assicurarsi che le istanze di SQL Server siano a 64 bit (sistema operativo e SQL Server). Sono supportati solo le versione Standard Edition ed Enterprise Edition. Per eseguire il programma di installazione del database, è necessario.net Se non si desidera installare.net nel server del database, eseguire il programma di installazione del database da un altro server di Workspace ONE UEM o da un jump server in cui.net può essere installato. Assicurarsi che il servizio di Windows SQL Server Agent sia impostato su Automatico o Automatico (avvio ritardato) come tipo di avvio per il servizio. Se è impostato su Manuale, il servizio di Windows SQL Server Agent deve essere avviato manualmente prima dell'installazione del database. TCP/IP abilitato Utilizzare TCP/IP per la connessione al database e disabilitare le named pipe. In SQL Server Configuration Manager, passare alla pagina Configurazione di rete SQL Server e selezionare i protocolli per MSSQLSERVER. Configurazione del database Microsoft SQL con la modalità di autenticazione di Windows Per utilizzare un database Microsoft SQL per VMware Identity Manager, è necessario prima creare un nuovo database sul server Microsoft SQL. Durante l'installazione, è necessario selezionare una modalità di autenticazione per il database. Se si seleziona l'autenticazione di Windows, quando si crea il database, immettere il nome utente e il dominio. Il nome utente e il dominio vengono immessi come domain\username. VMware, Inc. 17

18 Quando si eseguono i comandi di Microsoft SQL, creare un database nel server Microsoft SQL, immettere il nome del database, aggiungere le credenziali di accesso utente e creare lo schema. Il nome dello schema è saas. Nota Nella raccolta predefinita viene fatta la distinzione tra maiuscole/minuscole. Prerequisiti La versione supportata del server Microsoft SQL deve essere stata installata come server di database esterno. Deve essere stata configurata un'implementazione del bilanciamento del carico. Autenticazione di Windows selezionata come modalità di autenticazione. Devono essere disponibili i diritti da amministratore per accedere e creare i componenti del database utilizzando Microsoft SQL Server Management Studio o un altro client dell CLI server di Microsoft SQL. Procedura 1 Accedere alla sessione di Microsoft SQL Server Management Studio come sysadmin o con un account utente con privilegi sysadmin. Verrà visualizzata la finestra dell'editor. 2 Sulla barra degli strumenti, fare clic su Nuova query. 3 Per creare il database con lo schema predefinito denominato saas, immettere i seguenti comandi nella finestra dell'editor. /* Values within angle brackets (< >) are example values. When replacing the example value, remove the angle brackets. The database name is case sensitive. Make sure you enter the database name the same in all instances. */ CREATE DATABASE <saasdb> COLLATE Latin1_General_CS_AS; ALTER DATABASE <saasdb> SET READ_COMMITTED_SNAPSHOT ON; GO IF NOT EXISTS (SELECT name FROM master.sys.server_principals WHERE name=n'<domain\username>') BEGIN CREATE LOGIN [<domain\username>] FROM WINDOWS; END GO USE <saasdb>; IF EXISTS (SELECT * FROM sys.database_principals WHERE name=n'<domain\username>') VMware, Inc. 18

19 DROP USER [<domain\username>] GO CREATE USER [<domain\username>] FOR LOGIN [<domain\username>] WITH DEFAULT_SCHEMA=saas; GO CREATE SCHEMA saas AUTHORIZATION "<domain\username>" GRANT ALL ON DATABASE::<saasdb> TO "<domain\username>"; GO ALTER ROLE db_owner ADD MEMBER "<domain\username>"; GO 4 Sulla barra degli strumenti, fare clic su!execute. Il server del database Microsoft SQL è ora pronto per la connessione al database di VMware Identity Manager. Il ruolo del server utilizzato per concedere i privilegi di sicurezza a livello del server è impostato su public. L'appartenenza al ruolo del database è db_owner. Non impostare altri ruoli. Quando si installa VMware Identity Manager per Windows, si seleziona questa istanza di server di database a cui connettersi. Dopo l'installazione, l'url JDBC e il nome utente e la password creati per il database vengono configurati nella pagina Configurazione della connessione al database nel server di VMware Identity Manager. Vedere Configurazione di VMware Identity Manager per l'utilizzo di un database esterno Configurazione del database Microsoft SQL utilizzando la modalità di autenticazione di Server SQL locale Per utilizzare un database Microsoft SQL per VMware Identity Manager, è necessario prima creare un nuovo database sul server Microsoft SQL. Durante l'installazione, è necessario selezionare una modalità di autenticazione per il database. Se si seleziona l'autenticazione di SQL Server, quando si crea il database, immettere un nome utente locale e una password. Quando si eseguono i comandi di Microsoft SQL, creare un database nel server Microsoft SQL, immettere il nome del database, aggiungere le credenziali di accesso utente e creare lo schema. Lo schema è denominato saas. Nota Nella raccolta predefinita viene fatta la distinzione tra maiuscole/minuscole. Prerequisiti La versione supportata del server Microsoft SQL deve essere stata installata come server di database esterno. Deve essere stata configurata un'implementazione del bilanciamento del carico. Autenticazione di SQL Server selezionata come modalità di autenticazione. VMware, Inc. 19

20 Devono essere disponibili i diritti da amministratore per accedere e creare i componenti del database utilizzando Microsoft SQL Server Management Studio o un altro client dell CLI server di Microsoft SQL. Procedura 1 Accedere alla sessione di Microsoft SQL Server Management Studio come sysadmin o con un account utente con privilegi sysadmin. Verrà visualizzata la finestra dell'editor. 2 Sulla barra degli strumenti, fare clic su Nuova query. 3 Per creare il database con lo schema predefinito denominato saas, immettere i seguenti comandi nella finestra dell'editor. /* Values within angle brackets (< >) are example values. When replacing the example value, remove the angle brackets. The database name is case sensitive. Make sure you enter the database name the same in all instances. */ CREATE DATABASE <saasdb> COLLATE Latin1_General_CS_AS; ALTER DATABASE <saasdb> SET READ_COMMITTED_SNAPSHOT ON; GO BEGIN CREATE LOGIN <loginusername> WITH PASSWORD = N'<password>'; END GO USE <saasdb>; IF EXISTS (SELECT * FROM sys.database_principals WHERE name=n'<loginusername>') DROP USER [<loginusername>] GO CREATE USER [<loginusername>] FOR LOGIN [<loginusername>] WITH DEFAULT_SCHEMA=saas; GO CREATE SCHEMA saas AUTHORIZATION <loginusername> GRANT ALL ON DATABASE::<saasdb> TO <loginusername>; GO ALTER ROLE [db_owner] ADD MEMBER <loginusername>; GO VMware, Inc. 20

21 4 Sulla barra degli strumenti, fare clic su!execute. Il server del database Microsoft SQL è ora pronto per la connessione al database di VMware Identity Manager. Il ruolo del server utilizzato per concedere i privilegi di sicurezza a livello del server è impostato su public. L'appartenenza al ruolo del database è db_owner. Non impostare altri ruoli. Quando si installa VMware Identity Manager per Windows, si seleziona questa istanza di server di database a cui connettersi. Dopo l'installazione, l'url JDBC e il nome utente e la password creati per il database vengono configurati nella pagina Configurazione della connessione al database nel server di VMware Identity Manager. Vedere Configurazione di VMware Identity Manager per l'utilizzo di un database esterno Conferma della corretta configurazione del database Microsoft SQL Per verificare che il database Microsoft SQL sia configurato correttamente per l'utilizzo con VMware Identity Manager, è possibile eseguire il seguente script di verifica dopo aver configurato il database. Prerequisiti Per il servizio VMware Identity Manager deve essere creato il database Microsoft SQL. Procedura 1 Accedere alla sessione di Microsoft SQL Server Management Studio con il nome utente e la password di accesso <saasdb> creati nello script utilizzato per creare il database. Verrà visualizzata la finestra dell'editor. 2 Sulla barra degli strumenti, fare clic su Nuova query. 3 Eseguire i comandi seguenti. Modificare i comandi nel modo desiderato. execute as user = 'domain\username' /* Check if user is db owner. Return true */ SELECT IS_ROLEMEMBER('db_owner') as isrolemember /* Make sure user is not sysadmin. Should return false */ SELECT IS_SRVROLEMEMBER('sysadmin') as issysadmin /* check if saas schema exists, should be not null */ SELECT SCHEMA_ID('saas') as schemaid /* check schema owner, should be user provided to installer */ SELECT SCHEMA_OWNER FROM INFORMATION_SCHEMA.SCHEMATA where SCHEMA_NAME='saas' /* check if saas is user default schema, should return saas */ SELECT SCHEMA_NAME() as SchemaName VMware, Inc. 21

22 /* check db collation, should return Latin1_General_CS_AS */ SELECT DATABASEPROPERTYEX('<saasdb>', 'Collation') AS Collation /* check if read committed snapshot is on, should return true */ SELECT is_read_committed_snapshot_on FROM sys.databases WHERE name='<saasdb>' 4 Sulla barra degli strumenti, fare clic su!execute. Se la configurazione non è corretta, vengono visualizzati messaggi di errore. Prima di continuare a configurare il servizio VMware Identity Manager per utilizzare il database Microsoft SQL esterno, correggere i problemi descritti nei messaggi di errore. Modifica dei ruoli a livello di database Quando lo schema saas viene utilizzato per creare il database Microsoft SQL per il servizio VMware Identity Manager, al ruolo db_owner viene assegnata l'appartenenza al ruolo di database. I membri del ruolo del database fisso db_owner possono eseguire tutte le configurazioni e le attività di manutenzione sul database. Dopo l'installazione e la configurazione del database nel servizio VMware Identity Manager, è possibile revocare l'accesso a db_owner e aggiungere db_datareader e db_datawriter come ruoli del database. I membri del ruolo db_datareader possono leggere tutti i dati da tutte le tabelle degli utenti. Il membro del ruolo db_datawriter può aggiungere, eliminare e modificare i dati in tutte le tabelle degli utenti. Nota Se si revoca l'accesso a db_owner, assicurarsi di concedere nuovamente il ruolo db_owner prima di iniziare un aggiornamento a una nuova versione di VMware Identity Manager. Prerequisiti Il ruolo utente per Microsoft SQL Server Management Studio come sysadmin o un account utente con privilegi di sysadmin. Procedura 1 Nella sessione di Microsoft SQL Server Management Studio come amministratore con privilegi di sysadmin, connettersi all'istanza di database <saasdb>per VMware Identity Manager. 2 Revocare il ruolo db_owner sul database, immettere il seguente comando Modalità di autenticazione Autenticazione di Windows (dominio\utente) Autenticazione di SQL Server (utente locale) Comando ALTER ROLE db_owner DROP MEMBER <domain\username>; ALTER ROLE db_owner DROP MEMBER <loginusername>; VMware, Inc. 22

23 3 Aggiungere l'appartenenza al ruolo db_datawriter e db_datareader al database. Modalità di autenticazione Autenticazione di Windows (dominio\utente) Comando ALTER ROLE db_datawriter ADD MEMBER <domain\username>; GO ALTER ROLE db_datareader ADD MEMBER <domain\username>; GO Autenticazione di SQL Server (utente locale) ALTER ROLE db_datawriter ADD MEMBER <loginusername>; GO ALTER ROLE db_datareader ADD MEMBER <loginusername>; GO Modifica delle impostazioni di aumento automatico del database SQL Server Quando si crea il database, l'impostazione predefinita per l'aumento automatico è 1 MB per i file di dati. L'impostazione di aumento automatico per il database di VMware Identity Manager deve essere 128 MB. Per visualizzare l'impostazione di aumento automatico del file del database vidmdb, passare a Proprietà database > File. L'impostazione viene visualizzata nella colonna Aumento automatico/dimensione massima. Procedura 1 Accedere alla sessione di Microsoft SQL Server Management Studio come sysadmin o con un account utente con privilegi sysadmin. 2 Sulla barra degli strumenti, fare clic su Nuova query. 3 Per modificare l'impostazione di aumento automatico, eseguire il comando seguente. ALTER DATABASE <saasdb> MODIFY FILE ( NAME = N'<saasdb>', FILEGROWTH = 128MB ) GO Per l'impostazione di aumento automatico viene specificato il valore 128 MB. Checklist di distribuzione Utilizzare la checklist di distribuzione per raccogliere le informazioni necessarie per installare l'appliance virtuale di VMware Identity Manager. Informazioni sulla directory VMware Identity Manager supporta l'integrazione con ambienti di directory Active Directory o LDAP. VMware, Inc. 23

24 Tabella 2 3. Checklist di informazioni per il controller del dominio di Active Directory Informazioni da raccogliere Visualizzazione delle informazioni Nome server Active Directory Nome dominio di Active Directory Nome distinto di base Per Active Directory su LDAP, il nome utente e la password di Nome distinto di binding Per Active Directory con l'autenticazione integrata di Windows, il nome utente e la password dell'account con i privilegi per unire i computer al dominio. Tabella 2 4. Checklist di informazioni per il server di directory LDAP Informazioni da raccogliere Visualizzazione delle informazioni Nome server o indirizzo IP della directory LDAP Numero di porta server di directory LDAP Nome distinto di base Nome utente e password di Nome distinto di binding Filtri di ricerca LDAP per gli oggetti gruppo, gli oggetti dell'utente di binding e gli oggetti utente Nomi di attributi LDAP per l'appartenenza, l'uuid oggetto e il nome distinto (DN, distinguished name) Certificati SSL È possibile aggiungere un certificato SSL dopo aver distribuito il servizio di VMware Identity Manager. Tabella 2 5. Checklist di informazioni per i certificati SSL Informazioni da raccogliere Visualizzazione delle informazioni certificato SSL Chiave privata Chiave di licenza Tabella 2 6. Checklist di informazioni per la chiave di licenza di VMware Identity Manager Informazioni da raccogliere Visualizzazione delle informazioni Chiave di licenza Nota Le informazioni sulla chiave di licenza sono specificate nella console di VMware Identity Manager sulla pagina Impostazioni dell'appliance > Licenza una volta completata l'installazione. VMware, Inc. 24

25 Database esterno Tabella 2 7. Checklist di informazioni per il database esterno Informazioni da raccogliere Visualizzazione delle informazioni Nome host database Porta Nome utente Password VMware, Inc. 25

26 Programma di Miglioramento dell'esperienza del Cliente "Customer Experience Improvement Program" ("CEIP") 3 Il Programma di Miglioramento dell'esperienza del Cliente di VMware fornisce informazioni che consentono a VMware di migliorare i propri prodotti e servizi, risolvere problemi e fornire assistenza su come distribuire e utilizzare i prodotti al meglio. Come parte del programma CEIP, VMware raccoglie regolarmente informazioni tecniche sull'uso dei prodotti e dei servizi da parte dell'organizzazione, nonché le chiavi di licenza di VMware. Queste informazioni non consentono di identificare personalmente gli individui. Se non si intende partecipare al programma CEIP di VMware per questo prodotto, deselezionare la casella di controllo quando si installa VMware Identity Manager. È inoltre possibile partecipare o abbandonare il programma CEIP per questo prodotto in qualsiasi momento dopo l'installazione. VMware, Inc. 26

27 Distribuzione della macchina VMware Identity Manager dietro un programma di bilanciamento del carico 4 In un ambiente aziendale, la configurazione di VMware Identity Manager consigliata consiste nel distribuire un cluster di tre nodi del servizio VMware Identity Manager per la disponibilità elevata. Dopo l'installazione, la configurazione e il test del primo nodo IDM dietro il programma di bilanciamento del carico, viene eseguito uno script nel primo nodo per creare una copia della prima istanza. Questo file copiato viene utilizzato per creare gli altri nodi nel cluster. Il diagramma dell'architettura di VMware Identity Manager mostra come poter distribuire l'ambiente di VMware Identity Manager. Vedere Capitolo 1Panoramica di VMware Identity Manager Services. Utilizzo di un programma di bilanciamento del carico o di un proxy inverso per abilitare l'accesso esterno a VMware Identity Manager Durante la distribuzione, l'istanza di VMware Identity Manager viene configurata nella rete interna. Se si desidera fornire l'accesso al servizio agli utenti che si connettono da reti esterne, è necessario installare un programma di bilanciamento del carico o un proxy inverso, ad esempio Apache, Nginx o F5, nel DMZ. Se non si utilizza un programma di bilanciamento del carico o un proxy inverso, non sarà possibile espandere il numero di istanze di VMware Identity Manager in un secondo momento. Per garantire la ridondanza e il bilanciamento del carico, potrebbe essere necessario aggiungere altre istanze. Il seguente diagramma mostra l'architettura di distribuzione di base che è possibile utilizzare per consentire l'accesso esterno. VMware, Inc. 27

28 Figura 4 1. Proxy del programma di bilanciamento del carico esterno con macchine virtuali Utenti esterni Bilanciamento del carico esterno Nome host: Nome di dominio completo di VMware Identity Manager Indirizzo IP di esempio: 64.x.y.z Porta: Porta di VMware Identity Manager Deve abilitare le intestazioni X-Forwarded-For. Firewall DMZ Porta 443 Porta 443 Utenti interni Bilanciamento del carico interno Nome host: Nome di dominio completo di VMware Identity Manager Indirizzo IP di esempio: 10.x.y.z Porta: Porta di VMware Identity Manager Deve abilitare le intestazioni X-Forwarded-For. Cluster VMware Identity Manager Specifica del nome di dominio completo di VMware Identity Manager durante la distribuzione Durante la distribuzione della macchina del di VMware Identity Manager, si specifica il nome di dominio completo e il numero di porta del di VMware Identity Manager. Questi valori devono fare riferimento al nome host che si desidera sia utilizzato dagli utenti finali per accedere. La macchina del di VMware Identity Manager viene sempre eseguita nella porta 443. È possibile utilizzare un numero di porta differente per il bilanciamento del carico. Se si utilizza un numero di porta differente, sarà necessario specificarlo durante la distribuzione. Non utilizzare 8443 come numero di porta, perché questo è il numero della porta amministrativa di VMware identity Manager ed è univoco per ogni macchina in un cluster. VMware, Inc. 28

29 Impostazioni del bilanciamento del carico da configurare Le impostazioni del programma di bilanciamento del carico da configurare includono l'abilitazione delle intestazioni X-Forwarded-For, l'impostazione del timeout corretto del programma di bilanciamento del carico e l'abilitazione delle sessioni sticky. Tra la macchina di VMware Identity Manager e il programma di bilanciamento del carico è inoltre necessario configurare una relazione di attendibilità SSL. Intestazioni X-forwarded-for È necessario abilitare le intestazioni X-Forwarded-For sul proprio bilanciamento del carico. Ciò determina il metodo di autenticazione. Fare riferimento alla documentazione del fornitore del bilanciamento del carico per maggiori informazioni. Timeout del bilanciamento del carico Perché VMware Identity Manager funzioni correttamente, potrebbe essere necessario aumentare il valore di timeout richiesta del bilanciamento del carico dal valore predefinito. Il valore è impostato in minuti. Se il valore del timeout è troppo basso, è possibile che venga visualizzato il messaggio di errore "Errore 502: Il servizio non è al momento disponibile". Abilita sessioni sticky Se nella distribuzione sono presenti più macchine VMware Identity Manager, è necessario abilitare l'impostazione della sessione sticky nel programma di bilanciamento del carico. Il programma di bilanciamento del carico associa la sessione di un utente a un'istanza specifica. Supporto WebSocket Il programma di bilanciamento del carico deve disporre del supporto WebSocket per abilitare i canali di comunicazione sicura tra i connettori e i nodi di VMware Identity Manager. Crittografia con forward secrecy I requisiti di Apple ios App Transport Security si applicano all'app Workspace ONE su ios. Per consentire agli utenti di utilizzare l'app Workspace ONE su ios, il programma di bilanciamento del carico deve usare la crittografia con forward secrecy. Le seguenti crittografie soddisfano questo requisito: ECDHE_ECDSA_AES ed ECDHE_RSA_AES in modalità GCM o CBC come indicato nel documento Sicurezza di ios di ios 11: "App Transport Security offre requisiti di connessione predefiniti in modo che le app seguano le procedure consigliate per proteggere le connessioni quando utilizzano le API NSURLConnection, CFURL e NSURLSession. Per impostazione predefinita, App Transport Security limita la selezione della crittografia in modo da includere solo suite che forniscono forward secrecy, in particolare ECDHE_ECDSA_AES ed ECDHE_RSA_AES in modalità GCM o CBC." VMware, Inc. 29

30 Configurazione del servizio 5 VMware Identity Manager Questo capitolo include i seguenti argomenti: Installazione di VMware Identity Manager Utilizzo della procedura guidata di configurazione per completare l'installazione Distribuzione della macchina VMware Identity Manager dietro un programma di bilanciamento del carico Utilizzo di un programma di bilanciamento del carico o di un proxy inverso per abilitare l'accesso esterno a VMware Identity Manager Applicazione del certificato root di VMware Identity Manager al bilanciamento del carico Applicazione del certificato root di bilanciamento del carico a VMware Identity Manager Configurazione del failover e della ridondanza in un singolo data center (Windows) Aggiunta di indirizzi IP in una whitelist al firewall esterno Attivazione delle impostazioni del proxy dopo l'installazione Specifica della chiave di licenza Installazione di VMware Identity Manager Eseguire il programma di installazione di VMware Identity Manager in un'istanza di Windows Server che soddisfi tutti i requisiti di configurazione del sistema elencati. Prerequisiti Vedere Requisiti di configurazione di sistema e di rete. Procedura 1 Scaricare il programma di installazione di VMware Identity Manager SVA per Windows dal sito My VMware all'indirizzo my.vmware.com. 2 Fare doppio clic sul programma di installazione di VMware Identity Manager. Eseguire il programma di installazione da un account con privilegi di amministratore. VMware, Inc. 30

31 3 Nella finestra di dialogo Benvenuto, fare clic su Avanti. Il programma di installazione verifica i prerequisiti nel server. Se il software necessario, ad esempio.net o TLS, non è installato, viene richiesto di installare il software e riavviare il server. Dopo il riavvio, eseguire nuovamente il programma di installazione di VMware Identity Manager. 4 Accettare il contratto di licenza con l'utente finale (EULA), quindi fare clic su Avanti. 5 Nella finestra di dialogo Programma di Miglioramento dell'esperienza del Cliente, l'azione predefinita è impostata su Sì. Questo prodotto partecipa al Programma di Miglioramento dell'esperienza del Cliente ("CEIP") di VMware. I dettagli relativi ai dati raccolti tramite il programma CEIP e gli scopi per cui è utilizzato da VMware sono disponibili nel Trust & Assurance Center all'indirizzo Se non si intende partecipare al programma CEIP di VMware per questo prodotto, deselezionare la casella di controllo. È inoltre possibile partecipare o abbandonare il programma CEIP per questo prodotto in qualsiasi momento dopo l'installazione. Nota Se la rete è configurata per accedere a Internet tramite un proxy HTTP, per inviare a VMware i dati raccolti mediante il programma CEIP, è necessario modificare le impostazioni del proxy nella macchina VMware Identity Manager. 6 Verranno elencati i prerequisiti di VMware Identity Manager. Il programma di installazione verifica la presenza dei moduli necessari. e richiede l'installazione dei moduli eventualmente mancanti. Figura 5 1. Verifica dei prerequisiti installati 7 Selezionare la directory in cui si desidera installare il servizio VMware Identity Manager. 8 Se tale nodo è la prima istanza del servizio che viene installata nel cluster, fare clic su Avanti. Quando si installano ulteriori istanze nel cluster, selezionare la casella di controllo e passare al file ZIP esportato per la prima istanza da importare. 9 Il nome host e la porta 443 sono già specificati nella finestra di dialogo Configurazione. Fare clic su Avanti. VMware, Inc. 31

32 10 Nella finestra di dialogo Server di database, selezionare l'istanza del server del database di VMware Identity Manager a cui connettersi e la modalità di autenticazione. Opzione Server del database di VMware Identity Manager L'applicazione si connette utilizzando Nome del database di VMware Identity Manager SQL AlwaysOn? Descrizione Immettere il nome di dominio completo del database o fare clic su Sfoglia per selezionare l'url del server del database nell'elenco. Esempio del nome di dominio completo del database: È possibile selezionare la modalità Autenticazione di Windows o Autenticazione di SQL Server. Per l'autenticazione di SQL Server, immettere il nome utente locale e la password. Immettere il nome del database creato durante la configurazione del database MySQL o sfogliare SQL Server per selezionare il nome in un elenco, se il database è stato rinominato. Attivare SQL AlwaysOn per impostare MultiSubNetFailover su True in SQL Server per consentire un failover più rapido in SQL Server. La funzionalità AlwaysOn di SQL Server è una combinazione di clustering di failover e mirroring/log shipping del database. Consente di utilizzare più copie di lettura del database e una singola copia per le operazioni di lettura-scrittura. Se la larghezza di banda della rete è sufficiente per supportare il traffico generato, il database di Identity Manager supporta AlwaysOn. Figura 5 2. Configurazione del database con l'opzione SQL AlwaysOn Fare clic su Avanti. Il programma di installazione verifica che il database sia configurato correttamente. Se la configurazione non è corretta, vengono visualizzati messaggi di errore e l'installazione non può continuare. Risolvere i problemi descritti nei messaggi di errore. Vedere Conferma della corretta configurazione del database Microsoft SQL. 11 Nella finestra di dialogo Account servizio di VMware Identity Manager, selezionare la casella di controllo se si desidera eseguire il servizio come utente del dominio Windows. Eseguire il servizio come utente del dominio nei casi seguenti. Se si intende connettersi ad Active Directory (autenticazione integrata di Windows). Se si intende utilizzare l'autenticazione Kerberos. VMware, Inc. 32

33 Se si intende integrare Horizon View con VMware Identity Manager e si desidera utilizzare l'opzione Esegui sincronizzazione delle directory o Configurazione della versione 5.x del server di connessione. Se non si utilizza un account utente del dominio, il servizio viene eseguito come un sistema locale. Figura 5 3. Configurazione dell'account utente del dominio 12 Fare clic su Installa per iniziare l'installazione. 13 Fare clic su Fine. Verrà inizializzato il server di VMware Identity Manager e verrà visualizzato l'url di VMware Identity Manager per accedere alla console di VMware Identity Manager per completare la configurazione. Per completare la configurazione a questo punto, fare clic su Sì. In caso contrario, prendere nota dell'url per accedere in un secondo momento. Figura 5 4. Informazioni sull'accesso alla console di Identity Manager VMware, Inc. 33

34 Operazioni successive Eseguire la procedura guidata di configurazione di VMware Identity Manager per completare la configurazione del servizio. Figura 5 5. Procedura guidata di configurazione Utilizzo della procedura guidata di configurazione per completare l'installazione Dopo la distribuzione di VMware Identity Manager, utilizzare la procedura guidata di configurazione per impostare la password dell'amministratore della macchina per VMware Identity Manager, accettare il certificato autofirmato e verificare l'url JDBC del database. Assicurarsi di eseguire l'installazione guidata utilizzando il nome host completo. Non immettere l'indirizzo IP come nome. Procedura 1 Passare all'url di VMware Identity Manager visualizzato al termine dell'installazione. Immettere il nome di dominio completo (FQDN). Ad esempio, 2 Accettare il certificato, se richiesto. Durante l'installazione, viene distribuito un certificato autofirmato. È possibile passare a un certificato firmato dopo la configurazione iniziale. 3 Sulla pagina Inizia, fare clic su Continua. 4 Nella pagina Imposta password, configurare la password dell'amministratore dell'appliance. La password dell'utente amministratore deve contenere almeno 6 caratteri. Fare clic su Continua. L'account utente amministratore admin è utilizzato per gestire le impostazioni dell'appliance. 5 Nella pagina Seleziona Database, viene visualizzato l'url JDBC del database. La connessione al database verrà configurata e il database verrà inizializzato. Verrà visualizzata la pagina Configurazione completata. Operazioni successive Per configurare una directory, è innanzitutto necessario installare VMware Identity Manager Connector. Vedere la versione corrispondente della guida Installazione e configurazione di VMware Identity Manager Connector (Windows). VMware, Inc. 34

35 Distribuzione della macchina VMware Identity Manager dietro un programma di bilanciamento del carico In un ambiente aziendale, la configurazione di VMware Identity Manager consigliata consiste nel distribuire un cluster di tre nodi del servizio VMware Identity Manager per la disponibilità elevata. Dopo l'installazione, la configurazione e il test del primo nodo IDM dietro il programma di bilanciamento del carico, viene eseguito uno script nel primo nodo per creare una copia della prima istanza. Questo file copiato viene utilizzato per creare gli altri nodi nel cluster. Il diagramma dell'architettura di VMware Identity Manager mostra come poter distribuire l'ambiente di VMware Identity Manager. Vedere Capitolo 1Panoramica di VMware Identity Manager Services. Utilizzo di un programma di bilanciamento del carico o di un proxy inverso per abilitare l'accesso esterno a VMware Identity Manager Durante la distribuzione, l'istanza di VMware Identity Manager viene configurata nella rete interna. Se si desidera fornire l'accesso al servizio agli utenti che si connettono da reti esterne, è necessario installare un programma di bilanciamento del carico o un proxy inverso, ad esempio Apache, Nginx o F5, nel DMZ. Se non si utilizza un programma di bilanciamento del carico o un proxy inverso, non sarà possibile espandere il numero di istanze di VMware Identity Manager in un secondo momento. Per garantire la ridondanza e il bilanciamento del carico, potrebbe essere necessario aggiungere altre istanze. Il seguente diagramma mostra l'architettura di distribuzione di base che è possibile utilizzare per consentire l'accesso esterno. VMware, Inc. 35

36 Figura 5 6. Proxy del programma di bilanciamento del carico esterno con macchine virtuali Utenti esterni Bilanciamento del carico esterno Nome host: Nome di dominio completo di VMware Identity Manager Indirizzo IP di esempio: 64.x.y.z Porta: Porta di VMware Identity Manager Deve abilitare le intestazioni X-Forwarded-For. Firewall DMZ Porta 443 Porta 443 Utenti interni Bilanciamento del carico interno Nome host: Nome di dominio completo di VMware Identity Manager Indirizzo IP di esempio: 10.x.y.z Porta: Porta di VMware Identity Manager Deve abilitare le intestazioni X-Forwarded-For. Cluster VMware Identity Manager Specifica del nome di dominio completo di VMware Identity Manager durante la distribuzione Durante la distribuzione della macchina del di VMware Identity Manager, si specifica il nome di dominio completo e il numero di porta del di VMware Identity Manager. Questi valori devono fare riferimento al nome host che si desidera sia utilizzato dagli utenti finali per accedere. La macchina del di VMware Identity Manager viene sempre eseguita nella porta 443. È possibile utilizzare un numero di porta differente per il bilanciamento del carico. Se si utilizza un numero di porta differente, sarà necessario specificarlo durante la distribuzione. Non utilizzare 8443 come numero di porta, perché questo è il numero della porta amministrativa di VMware identity Manager ed è univoco per ogni macchina in un cluster. VMware, Inc. 36

37 Impostazioni del bilanciamento del carico da configurare Le impostazioni del programma di bilanciamento del carico da configurare includono l'abilitazione delle intestazioni X-Forwarded-For, l'impostazione del timeout corretto del programma di bilanciamento del carico e l'abilitazione delle sessioni sticky. Tra la macchina di VMware Identity Manager e il programma di bilanciamento del carico è inoltre necessario configurare una relazione di attendibilità SSL. Intestazioni X-forwarded-for È necessario abilitare le intestazioni X-Forwarded-For sul proprio bilanciamento del carico. Ciò determina il metodo di autenticazione. Fare riferimento alla documentazione del fornitore del bilanciamento del carico per maggiori informazioni. Timeout del bilanciamento del carico Perché VMware Identity Manager funzioni correttamente, potrebbe essere necessario aumentare il valore di timeout richiesta del bilanciamento del carico dal valore predefinito. Il valore è impostato in minuti. Se il valore del timeout è troppo basso, è possibile che venga visualizzato il messaggio di errore "Errore 502: Il servizio non è al momento disponibile". Abilita sessioni sticky Se nella distribuzione sono presenti più macchine VMware Identity Manager, è necessario abilitare l'impostazione della sessione sticky nel programma di bilanciamento del carico. Il programma di bilanciamento del carico associa la sessione di un utente a un'istanza specifica. Supporto WebSocket Il programma di bilanciamento del carico deve disporre del supporto WebSocket per abilitare i canali di comunicazione sicura tra i connettori e i nodi di VMware Identity Manager. Crittografia con forward secrecy I requisiti di Apple ios App Transport Security si applicano all'app Workspace ONE su ios. Per consentire agli utenti di utilizzare l'app Workspace ONE su ios, il programma di bilanciamento del carico deve usare la crittografia con forward secrecy. Le seguenti crittografie soddisfano questo requisito: ECDHE_ECDSA_AES ed ECDHE_RSA_AES in modalità GCM o CBC come indicato nel documento Sicurezza di ios di ios 11: "App Transport Security offre requisiti di connessione predefiniti in modo che le app seguano le procedure consigliate per proteggere le connessioni quando utilizzano le API NSURLConnection, CFURL e NSURLSession. Per impostazione predefinita, App Transport Security limita la selezione della crittografia in modo da includere solo suite che forniscono forward secrecy, in particolare ECDHE_ECDSA_AES ed ECDHE_RSA_AES in modalità GCM o CBC." VMware, Inc. 37

38 Applicazione del certificato root di VMware Identity Manager al bilanciamento del carico Quando l'appliance virtuale di VMware Identity Manager è configurata dietro un bilanciamento del carico, è necessario stabilire una connessione sicura SSL tra il bilanciamento del carico e VMware Identity Manager. Il certificato root di VMware Identity Manager deve essere copiato sul bilanciamento del carico. Il certificato root di VMware Identity Manager può essere scaricato dalla pagina Impostazioni appliance > Gestisci configurazione > Installa certificati SSL > Certificato server nella console di amministrazione di VMware Identity Manager. Se il nome di dominio completo d ivmware Identity Manager fa riferimento a un bilanciamento del carico, il certificato SSL può essere applicato solo al bilanciamento del carico. Poiché il bilanciamento del carico comunica con l'appliance virtuale di VMware Identity Manager, è necessario copiare il certificato CA root di VMware Identity Manager VMware Identity Manager nel bilanciamento del carico come certificato root attendibile. Procedura 1 Nella console di VMware Identity Manager, selezionare la scheda Impostazioni Appliance, quindi fare clic su Configurazione VA > Gestisci configurazione. 2 Nella finestra di dialogo visualizzata, immettere la password dell'utente amministratore. 3 Selezionare Installa certificati SSL > Certificato server. 4 Fare clic sul collegamento Certificati CA root autofirmati dell'appliance. VMware, Inc. 38

39 Il certificato viene visualizzato. 5 Copiare quanto compreso tra le righe -----BEGIN CERTIFICATE----- e -----END CERTIFICATE---- e incollare il certificato root nel percorso corretto di ognuno dei bilanciamenti del carico. Fare riferimento alla documentazione fornita dal fornitore del bilanciamento del carico. Operazioni successive Copiare e incollare il certificato root di bilanciamento del carico sull'appliance di VMware Identity Manager. Applicazione del certificato root di bilanciamento del carico a VMware Identity Manager Quando l'appliance virtuale di VMware Identity Manager è configurata dietro un bilanciamento del carico, è necessario stabilire una connessione sicura tra il bilanciamento del carico a VMware Identity Manager. Inoltre, copiare il certificato root di VMware Identity Manager sul bilanciamento del carico in VMware Identity Manager. VMware, Inc. 39

40 Procedura 1 Ottenere il certificato root del bilanciamento del carico. 2 Nella console di VMware Identity Manager, selezionare la scheda Impostazioni appliance, quindi fare clic su Configurazione VA > Gestisci configurazione. 3 Nella finestra di dialogo visualizzata, immettere la password dell'utente amministratore. 4 Selezionare Installa certificati SSL > CA attendibili. 5 Incollare il certificato root del bilanciamento del carico nella casella di testo Certificato root o intermedio. 6 Fare clic su Aggiungi. VMware, Inc. 40

41 Configurazione del failover e della ridondanza in un singolo data center (Windows) Per implementare il failover e la ridondanza, è possibile aggiungere più macchine VMware Identity Manager in un cluster. Se per un motivo qualsiasi una delle macchine viene arrestata, VMware Identity Manager sarà comunque disponibile. Installare e configurare VMware Identity Manager su un server Windows e quindi eseguire uno script per creare un file ENC che è una copia della prima istanza di VMware Identity Manager per Windows con la stessa configurazione dell'originale. Prima di creare una copia della prima istanza, è necessario configurare il primo nodo dietro un programma di bilanciamento del carico e modificarne il nome di dominio completo in modo che corrisponda a quello del programma di bilanciamento del carico. Prima di creare il file ENC, completare inoltre la configurazione della directory nel servizio VMware Identity Manager. Eseguire il programma di installazione di VMware Identity Manager per Windows in ogni nodo e importare il file ENC copiato. È possibile personalizzare questi nodi modificandone il nome, le impostazioni di rete e altre proprietà nel modo desiderato. Ogni nodo ha un indirizzo IP diverso. Questo indirizzo IP deve seguire le stesse linee guida dell'indirizzo IP per il primo nodo. L'indirizzo IP deve essere risolto su un nome host valido che utilizza il DNS di inoltro e inverso. Ogni nodo del cluster è una copia identica e quasi senza stato degli altri nodi. La sincronizzazione con Active Directory e con le risorse configurate, ad esempio Horizon, è abilitata nel primo nodo, ma disabilitata in tutti gli altri nodi nel cluster. Partizioni di rete La creazione di una partizione di rete tra nodi in un cluster di VMware Identity Manager non è consigliata. Se esiste una partizione di rete tra i nodi del servizio VMware Identity Manager in modo che i nodi non possano comunicare tra loro e se le richieste possono essere indirizzate ai nodi partizionati perché tutti i nodi sono comunque accessibili dal bilanciamento del carico, è possibile che si verifichino i problemi seguenti: È possibile che vengano visualizzati dati non aggiornati tra le richieste. Ad esempio, le modifiche apportate a un criterio di accesso in un nodo potrebbero non essere valide per le richieste di accesso indirizzate a un altro nodo se è presente una partizione tra i nodi. Le chiamate di accesso che utilizzano il connettore in uscita potrebbero non riuscire. Modifica del nome di dominio di completo di VMware Identity Manager nel nome di dominio completo di bilanciamento del carico Prima di copiare l'istanza della macchina VMware Identity Manager, è necessario modificarne il nome di dominio completo in modo che corrisponda a quello del programma di bilanciamento del carico. VMware, Inc. 41

42 Prerequisiti L'istanza di VMware Identity Manager viene aggiunta a un programma di bilanciamento del carico. Sia stato applicato il certificato CA root del bilanciamento del carico a VMware Identity Manager. Procedura 1 Accedere alla console di amministrazione di VMware Identity Manager. 2 Selezionare la scheda Impostazioni dell'appliance. 3 Sulla pagina Configurazione dell'appliance virtuale, fare clic su Gestisci configurazione. 4 Immettere la password dell'amministratore per accedere. 5 Fare clic su Configurazione di Identity Manager. 6 Nel campo Nome di dominio completo di Identity Manager, modificare il nome host dell'url dal nome host di VMware Identity Manager al nome host del bilanciamento del carico. Ad esempio, se il nome host di VMware Identity Manager è myservice e il nome host del bilanciamento del carico è mylb, l'url dovrà essere cambiato in: 7 Fare clic su Salva. VMware, Inc. 42