Distribuzione di VMware Identity Manager in DMZ. VMware Identity Manager VMware Identity Manager 2.8

Documenti analoghi
Distribuzione cloud di VMware Identity Manager. SETT 2018 VMware Identity Manager

Installazione e configurazione di VMware Identity Manager Connector (Windows) OTT 2018 VMware Identity Manager VMware Identity Manager 3.

Utilizzo di VMware Identity Manager Desktop. VMware Identity Manager 2.8 VMware Identity Manager 2.9.1

Installazione e configurazione di VMware Identity Manager. VMware Identity Manager 2.8

Aggiornamento di VMware Identity Manager Connector. VMware Identity Manager 2.8 VMware Identity Manager 2.9.1

Installazione e configurazione di VMware Identity Manager per Linux. SETT 2018 VMware Identity Manager 3.3

Aggiornamento di VMware Identity Manager Connector. Modificato il 12 OTT 2017 VMware Identity Manager 2.9.2

Eseguire la migrazione a VMware Identity Manager 3.3 dall'installazione di AirWatch (Windows) SET 2018 VMware Identity Manager 3.3

Guida rapida a VMware Workspace ONE. SET 2017 VMware AirWatch 9.2 VMware Identity Manager 3.0

Aggiornamento a VMware Identity Manager 3.3 (Windows) SET 2018 VMware Identity Manager 3.3

Amministrazione di VMware Identity Manager. VMware Identity Manager 2.9.1

Amministrazione di VMware Identity Manager. SET 2018 VMware Identity Manager 3.3

Installazione e configurazione di VMware Enterprise Systems Connector. VMware Identity Manager 2.9.1

Guida all'amministrazione di VMware Identity Manager (Cloud) SET 2018 VMware Identity Manager

File Leggimi di Veritas System Recovery 16 Monitor

Impostazione delle risorse in VMware Identity Manager. Modificato il 3 NOV 2017 VMware Identity Manager 2.9.1

Panda GateDefender Software eseries GUIDA INTRODUTTIVA

Guida alla distribuzione di VMware Workspace ONE con VMware Identity Manager. SET 2018 VMware Workspace ONE

Riferimento rapido dell'applicazione Novell Filr 2.0 Web

Amministrazione di VMware Identity Manager. VMware Identity Manager 2.8

Aggiornamento a VMware Identity Manager Connector (Linux) SETT 2018 VMware Identity Manager 3.3 VMware Identity Manager

Symantec IT Management Suite 8.0 powered by Altiris technology

Dell Command Integration Suite for System Center

Modalità di assegnazione di un indirizzo IP e di accesso al dispositivo

Impostazione delle risorse in VMware Identity Manager. VMware Identity Manager 2.8

Portale di gestione Version 7.5

Modalità di assegnazione di un indirizzo IP e di accesso al dispositivo

X-RiteColor Master Web Edition

Symantec IT Management Suite 8.0 powered by Altiris technology

VMware Remote Console per vrealize Automation

Guida di Backup Exec Agent Utility

Guida all'installazione. McAfee Web Gateway Cloud Service

Using VMware Identity Manager Desktop Client. SEP 2018 VMware Identity Manager 3.3 VMware Identity Manager

Aggiornamento a VMware Identity Manager 2.8. VMware Identity Manager 2.8

Samsung Universal Print Driver Guida dell utente

Aggiornamento a VMware Identity Manager VMware Identity Manager 2.9.1

Aggiornamento a VMware Identity Manager Modificato il 17 OTT 2017 VMware Identity Manager 2.9.2

Installazione e uso di Document Distributor

Guida introduttiva di Symantec Protection Center. Versione 2.0

Dispositivo virtuale. Guida di installazione

Migrazione da vrealize Automation 6.2 a 7.1

Guida all uso dei servizi Mail:

VMware Remote Console per vrealize Automation

Fiery Remote Scan. Collegarsi ai Fiery servers. Collegarsi a un Fiery server al primo utilizzo

Come registrare la SoundStation IP7000 a un Server SIP HOME

Aggiornamento a VMware Identity Manager 3.3 (Linux) SETT 2018 VMware Identity Manager 3.3

Integrazione di VMware Workspace ONE con Okta. VMware Workspace ONE

REASON MULTILICENZA. Appunti di Informatica Musicale Applicata 19 LUGLIO IO PARLO ITALIANO

File Leggimi di Veritas System Recovery 16 Management Solution

Migrazione da vrealize Automation 6.2 a 7.2

Guida alla Configurazione del Client di posta Microsoft XP Outlook 2006

Guida per l'installazione

FUTURA SERVICE S.r.l. Procedura GIMI.NET ver. 3.8 Agosto 2017

Gestione applicazioni per Windows. VMware Workspace ONE UEM 1905

Il tuo manuale d'uso. SAMSUNG SCX-4623FW

Guida all'installazione di McAfee Web Gateway Cloud Service

Dipartimento Affari Interni e Territoriali Direzione Centrale per i Servizi Demografici INA-SAIA. SSLProxy. Manuale Utente. versione 1.

Business Communications Manager e CallPilot 100/150

Privileged Access Management Installazione del dispositivo virtuale

Guida per gli utenti di vcloud Director. vcloud Director 9.0

Guida all'implementazione per i clienti Office 365 Single Sign-On Versione 2.2

Configurazione delle risorse in VMware Identity Manager 3.3 (in locale) SETT 2018 VMware Identity Manager 3.3

Installazione e configurazione di VMware Identity Manager per Windows. SET 2018 VMware Identity Manager 3.3

Manuale di integrazione di Management Reporter per Microsoft Dynamics GP

Pianificazione e creazione di comunità

Horizone Server IN00B02WEB. Horizone PDK

Guida per gli utenti di vcloud Director. 04 OTT 2018 vcloud Director 9.5

Requisiti di sistema per Qlik Sense. Qlik Sense February 2018 Copyright QlikTech International AB. Tutti i diritti riservati.

Guida all installazione di EFI Fiery proserver

ATS8600 Guida di installazione. Versione: ATS

Guida dell'utente Brother Meter Read Tool

Architettura di riferimento

Guida dell'utente Brother Software Licence Management Tool

Gestione applicazioni per ios. VMware Workspace ONE UEM 1905

Da usare con dispositivi multifunzione con abilitazione Xerox ConnectKey Technology

Funzionalità di Network Assistant

Panoramica della soluzione ibrida Servizi di integrazione applicativa di SharePoint 2013

Gestione rubrica. Guida per l'amministratore

Requisiti del sistema Xesar

Guida all'avviamento di Bomgar B400

IBM SPSS Statistics per Mac OS - Istruzioni di installazione (Licenza per sito)

Pianificazione e creazione di comunità

Architettura di riferimento. 30 AGOSTO 2017 vrealize Automation 7.3

Panoramica di Document Portal

Istruzione di installazione di IBM SPSS Modeler Server 16 for Windows

Installazione di Cape Pack

Questi punti preliminari devono essere eseguiti per tutte le stampanti:

Istruzioni per il cambio della password della casella di posta

Raccolta e memorizzazione dei dati immessi nei moduli dai visitatori

Il tuo manuale d'uso. SONY ERICSSON W200I

Guida all'installazione di McAfee Web Gateway Cloud Service

IBM SPSS Statistics per Windows - Istruzioni di installazione (Licenza per sito)

IBM SPSS Statistics per Mac OS - Istruzioni di installazione (Licenza per utenti singoli)

Single Sign-On mobile per Android in VMware Workspace ONE. SET 2018 VMware Workspace ONE VMware Identity Manager VMware Identity Manager 3.

Transcript:

Distribuzione di VMware Identity Manager in DMZ VMware Identity Manager 2.9.1 VMware Identity Manager 2.8

È possibile consultare la documentazione tecnica più aggiornata sul sito Web all'indirizo: https://docs.vmware.com/it/ Sul sito Web di VMware sono inoltre disponibili gli aggiornamenti più recenti del prodotto. Inoltrare eventuali commenti sulla documentazione al seguente indirizzo: docfeedback@vmware.com Copyright 2017 VMware Inc. Tutti i diritti sono riservati. Informazioni sul copyright e sui marchi. VMware, Inc. 3401 Hillview Ave. Palo Alto, CA 94304 www.vmware.com VMware, Inc. P.le Biancamano 8 20121 Milano tel: 02-6203.2075 fax: 02-6203.4000 www.vmware.com/it 2 VMware, Inc.

Contenuti Distribuzione di VMware Identity Manager in DMZ 5 1 Modelli di distribuzione 7 Modello di distribuzione locale mediante AirWatch Cloud Connector 8 Modello di distribuzione locale mediante VMware Identity Manager Connector in modalità di connessione in sola uscita 10 2 Distribuzione di VMware Identity Manager in DMZ 15 3 Distribuzione di VMware Identity Manager Connector nella rete aziendale 17 Distribuzione del connettore di VMware Identity Manager 18 Configurazione della disponibilità elevata per il connettore VMware Identity Manager 26 Aggiunta del supporto dell'autenticazione Kerberos alla distribuzione di VMware Identity Indice 35 Manager Connector 28 VMware, Inc. 3

4 VMware, Inc.

Distribuzione di VMware Identity Manager in DMZ include informazioni sulla modalità di distribuzione di VMware Identity Manager in DMZ anziché nella rete interna. Per informazioni sulla distribuzione di VMware Identity Manager nella rete interna, vedere Installazione e configurazione di VMware Identity Manager. Destinatari Le informazioni sono destinate ad amministratori di sistemi Windows e Linux esperti che hanno familiarità con le tecnologie VMware e in particolare con vcenter, ESX e vsphere, nonché con i concetti relativi alle reti, ad Active Directory e ai database. SUSE Linux 11 è il sistema operativo sottostante per le appliance virtuali di VMware Identity Manager e di VMware Identity Manager Connector. La conoscenza di altre tecnologie, come l'autenticazione adattiva RSA, RSA SecurID e RADIUS, è inoltre utile se si desidera implementare queste funzionalità. Glossario delle pubblicazioni tecniche di VMware Il sito delle pubblicazioni tecniche di VMware fornisce un glossario di termini che potrebbero risultare poco familiari. Per le definizioni dei termini utilizzati nella documentazione tecnica di VMware, consultare la pagina http://www.vmware.com/support/pubs. VMware, Inc. 5

6 VMware, Inc.

Modelli di distribuzione 1 Per la distribuzione di VMware Identity Manager in DMZ, sono disponibili due tipi principali di modelli di distribuzione: uno che si integra con una distribuzione di VMware AirWatch e uno che non richiede AirWatch e utilizza il connettore di VMware Identity Manager. È possibile combinare i modelli di distribuzione se sono necessarie funzionalità che non sono supportate in uno dei modelli. Modello di distribuzione mediante AirWatch Cloud Connector Se si dispone già di una distribuzione di AirWatch, è possibile integrare rapidamente VMware Identity Manager con tale distribuzione. In questo modello, gli utenti e i gruppi vengono sincronizzati dalla directory aziendale e l'autenticazione degli utenti viene gestita tramite AirWatch. Si distribuisce quindi VMware Identity Manager in DMZ. Si noti che questo modello non supporta l'integrazione di VMware Identity Manager con risorse come Horizon 7 e risorse pubblicate da Citrix. È supportata solo l'integrazione con le applicazioni Web e le applicazioni mobili native. Vedere Modello di distribuzione locale mediante AirWatch Cloud Connector, pag. 8. Modello di distribuzione mediante il connettore di VMware Identity Manager in modalità di connessione in sola uscita Negli scenari che non richiedono una distribuzione di AirWatch, è possibile installare l'appliance virtuale del server di VMware Identity Manager in DMZ e l'appliance virtuale di un connettore di VMware Identity Manager nella rete aziendale. Il connettore consente di connettere il server ai servizi locali come Active Directory. Il connettore viene installato in modalità di connessione in sola uscita e non richiede che la porta 443 del firewall in entrata sia aperta. In questo modello, gli utenti e i gruppi vengono sincronizzati dalla directory aziendale e l'autenticazione degli utenti viene gestita tramite il connettore di VMware Identity Manager. Vedere Modello di distribuzione locale mediante VMware Identity Manager Connector in modalità di connessione in sola uscita, pag. 10. Aggiunta del supporto dell'autenticazione Kerberos alla distribuzione del connettore di VMware Identity Manager Per gli utenti interni è possibile aggiungere l'autenticazione Kerberos, che richiede la modalità di connessione in entrata, alla distribuzione basata su connettori in modalità di connessione in sola uscita. Vedere Aggiunta del supporto dell'autenticazione Kerberos alla distribuzione, pag. 12. VMware, Inc. 7

Questo capitolo include i seguenti argomenti: Modello di distribuzione locale mediante AirWatch Cloud Connector, pag. 8 Modello di distribuzione locale mediante VMware Identity Manager Connector in modalità di connessione in sola uscita, pag. 10 Modello di distribuzione locale mediante AirWatch Cloud Connector Se si dispone già di una distribuzione di AirWatch, è possibile integrare VMware Identity Manager con tale distribuzione. È sufficiente distribuire l'appliance virtuale di VMware Identity Manager in DMZ. In questo modello, la sincronizzazione di utenti e gruppi dalla directory aziendale e l'autenticazione degli utenti vengono gestite da AirWatch. Si noti che questo modello non supporta l'integrazione di VMware Identity Manager con risorse come Horizon 7 o risorse pubblicate da Citrix. È supportata solo l'integrazione con le applicazioni Web e le applicazioni mobili native. Figura 1 1. Distribuzione con AirWatch Cloud Connector DMZ On-premise Rete aziendale Server VMware Identity Manager sincronizzazione utente/gruppo Server AirWatch autenticazione utente Canale Websocket richiesta risposta HTTPS 443 (in sola uscita) AirWatch Cloud Connector Active Directory/ altri servizi directory Prerequisiti Devono essere presenti i componenti seguenti: Una distribuzione server di AirWatch Un'istanza di AirWatch Cloud Connector distribuita in locale e integrata con la directory aziendale Requisiti delle porte Per il server di VMware Identity Manager, sono necessarie le porte seguenti: 443 in entrata (HTTPS) 88 in entrata (TCP/UDP) - Solo ios 8 VMware, Inc.

Capitolo 1 Modelli di distribuzione 5262 in entrata (TCP/UDP) - Solo Android Per i requisiti della distribuzione di AirWatch, consultare la documentazione di AirWatch. Metodi di autenticazione supportati Questo modello di distribuzione supporta i metodi di autenticazione seguenti. Questi metodi sono disponibili mediante il provider di identità integrato di VMware Identity Manager. Password (AirWatch Connector) SSO mobile (per ios) SSO mobile (per Android) Conformità dispositivo (con AirWatch) Certificato (distribuzione cloud) VMware Verify Integrazioni di directory supportate È possibile integrare la directory aziendale con AirWatch. Per informazioni sui tipi di directory supportati, consultare la documentazione di AirWatch. Risorse supportate In questo modello di distribuzione, è possibile integrare i tipi di risorse seguenti con VMware Identity Manager: applicazioni Web Applicazioni mobili native In questo modello di distribuzione, non è possibile integrare le risorse seguenti con VMware Identity Manager: Pool di applicazioni e desktop di Horizon 7, Horizon 6 o View risorse pubblicate da Citrix Applicazioni compresse ThinApp Horizon Air - App e desktop ospitati nel cloud Informazioni aggiuntive Capitolo 2, Distribuzione di VMware Identity Manager in DMZ, pag. 15 Integrazione di AirWatch con VMware Identity Manager nella Guida all'amministrazione di VMware Identity Manager Documentazione di AirWatch VMware, Inc. 9

Modello di distribuzione locale mediante VMware Identity Manager Connector in modalità di connessione in sola uscita Questo modello prevede l'installazione dell'appliance virtuale di VMware Identity Manager in DMZ. Prevede inoltre l'installazione di un'appliance virtuale autonoma di VMware Identity Manager Connector in modalità di connessione in sola uscita nella rete aziendale. Questo modello non include alcun componente di AirWatch. La sincronizzazione di utenti e gruppi dalla directory aziendale e l'autenticazione degli utenti vengono gestite tramite l'istanza autonoma di VMware Identity Manager Connector. Il connettore consente inoltre di sincronizzare risorse, come desktop e applicazioni di Horizon 7, con il servizio VMware Identity Manager. Nota: Alcuni metodi di autenticazione non richiedono il connettore e vengono gestiti direttamente dal servizio. Importante: Utilizzare il connettore autonomo anziché il connettore integrato nell'appliance di VMware Identity Manager per sincronizzare utenti e gruppi, nonché per l'autenticazione degli utenti. Figura 1 2. Utilizzo di VMware Identity Manager Connector in modalità in uscita On-premise DMZ Rete aziendale 1 1 Server VMware Identity Manager 2 3 Canale Websocket richiesta risposta HTTPS 443 (in sola uscita) Connettore VMware Identity Manager Active Directory/ LDAP Servizi facoltativi Autenticazione adattiva RSA SecurID RSA Server RADIUS Server di connessione di View Integration Broker ThinApp Farm Citrix Requisiti delle porte Per il server di VMware Identity Manager, sono necessarie le porte seguenti: 443 in entrata (HTTPS) 88 in entrata (TCP/UDP) - Solo ios 5262 in entrata (TCP/UDP) - Solo Android 10 VMware, Inc.

Capitolo 1 Modelli di distribuzione VMware Identity Manager Connector viene installato in modalità di connessione in sola uscita e non richiede che la porta 443 in entrata sia aperta. Il connettore comunica con il servizio VMware Identity Manager tramite un canale di comunicazione basato su WebSocket. Per l'elenco completo delle porte utilizzate, vedere Capitolo 2, Distribuzione di VMware Identity Manager in DMZ, pag. 15 e Capitolo 3, Distribuzione di VMware Identity Manager Connector nella rete aziendale, pag. 17. Metodi di autenticazione supportati Questo modello di distribuzione supporta tutti i metodi di autenticazione. Alcuni di questi metodi di autenticazione non richiedono il connettore e vengono gestiti direttamente dal servizio mediante il provider di identità integrato. Password - Utilizza il connettore Autenticazione adattiva RSA - Utilizza il connettore RSA SecurID - Utilizza il connettore RADIUS - Utilizza il connettore Certificato (distribuzione cloud) - Mediante il provider di identità integrato VMware Verify - Mediante il provider di identità integrato SSO mobile (ios) - Mediante il provider di identità integrato SSO mobile (Android) - Mediante il provider di identità integrato SAML in entrata mediante un provider di identità di terze parti Nota: Per informazioni sull'utilizzo di Kerberos, vedere Aggiunta del supporto dell'autenticazione Kerberos alla distribuzione, pag. 12. Nota: Questo modello di distribuzione non supporta l'autenticazione con certificato tramite il connettore. È disponibile il metodo di autenticazione Certificato (distribuzione cloud). Integrazioni di directory supportate In questo modello di distribuzione, è possibile integrare i tipi di directory aziendali seguenti con il servizio VMware Identity Manager: Active Directory su LDAP Active Directory, Autenticazione integrata di Windows Directory LDAP Se si intende integrare una directory LDAP, vedere le limitazioni in "Integrazione con le directory LDAP" in Installazione e configurazione di VMware Identity Manager. In alternativa, è possibile utilizzare i metodi seguenti per creare utenti nel servizio VMware Identity Manager: Creare utenti locali direttamente nel servizio VMware Identity Manager. Utilizzare il provisioning Just-in-Time per creare utenti nel servizio VMware Identity Manager dinamicamente all'accesso mediante le dichiarazioni SAML inviate da un provider di identità di terze parti. VMware, Inc. 11

Risorse supportate In questo modello di distribuzione, è possibile integrare i tipi di risorse seguenti con il servizio VMware Identity Manager: applicazioni Web Pool di applicazioni e desktop di Horizon 7, Horizon 6 o View risorse pubblicate da Citrix Applicazioni compresse ThinApp Horizon Air - App e desktop ospitati dal cloud (anteprima tecnica) Informazioni aggiuntive Capitolo 2, Distribuzione di VMware Identity Manager in DMZ, pag. 15 e Capitolo 3, Distribuzione di VMware Identity Manager Connector nella rete aziendale, pag. 17 Directory "Integrazione con la directory aziendale" in Installazione e configurazione di VMware Identity Manager "Utilizzo delle directory locali" in Installazione e configurazione di VMware Identity Manager "Provisioning degli utenti Just-in-Time" in Amministrazione di VMware Identity Manager. "Configurazione dell'autenticazione degli utenti in VMware Identity Manager" in Amministrazione di VMware Identity Manager. Configurazione delle risorse in VMware Identity Manager. Aggiunta del supporto dell'autenticazione Kerberos alla distribuzione Per gli utenti interni è possibile aggiungere l'autenticazione Kerberos, che richiede la modalità di connessione in entrata, alla distribuzione basata sui connettori di VMware Identity Manager in modalità di connessione in sola uscita. Gli stessi connettori possono essere configurati in modo da utilizzare l'autenticazione Kerberos per gli utenti che appartengono alla rete interna e un altro metodo di autenticazione per gli utenti che si trovano all'esterno. È possibile ottenere questo risultato definendo criteri di autenticazione basati su intervalli di rete. Figura 1 3. Aggiunta dell'autenticazione Kerberos DMZ On-premise Rete aziendale 443 443 443 443 VMware Identity Manager Connector 1 Server VMware Identity Manager Bilanciamento del carico 443 VMware Identity Manager Connector 2 12 VMware, Inc.

Capitolo 1 Modelli di distribuzione Si noti che il processo per configurare la disponibilità elevata dell'autenticazione Kerberos è diverso. Per ulteriori informazioni, vedere Aggiunta del supporto dell'autenticazione Kerberos alla distribuzione di VMware Identity Manager Connector, pag. 28. VMware, Inc. 13

14 VMware, Inc.

Distribuzione di VMware Identity 2 Manager in DMZ Se non si desidera distribuire l'appliance virtuale di VMware Identity Manager nella rete aziendale, è possibile distribuirla in DMZ. Quando si distribuisce l'appliance virtuale di VMware Identity Manager in DMZ, è necessario distribuire anche un'istanza di VMware Identity Manager Connector autonoma in modalità di connessione in sola uscita nella rete aziendale. Requisiti di configurazione di sistema e di rete I requisiti di configurazione di sistema e di rete per la distribuzione di VMware Identity Manager in DMZ sono simili ai requisiti per la distribuzione di VMware Identity Manager nella rete aziendale, descritti in Requisiti di configurazione di sistema e di rete e Preparazione della distribuzione di VMware Identity Manager in Installazione e configurazione di VMware Identity Manager, ad eccezione delle differenze elencate qui. Non è necessario aprire la porta di un firewall in entrata per alcuna appliance della rete aziendale. L'appliance virtuale di VMware Identity Manager viene distribuita in DMZ. VMware Identity Manager Connector viene distribuito nella rete aziendale in modalità di connessione in sola uscita e comunica con il servizio tramite un canale di comunicazione basato su WebSocket. Non è necessario distribuire un proxy inverso o un bilanciamento del carico per consentire l'accesso esterno a VMware Identity Manager. Un bilanciamento del carico è necessario solo se si configura la disponibilità elevata e la ridondanza per l'appliance virtuale di VMware Identity Manager. Vengono utilizzate le porte seguenti. La distribuzione potrebbe richiedere solo una parte di queste porte. Porta Origine Destinazione Descrizione 443 Bilanciamento del carico Appliance virtuale di VMware Identity Manager HTTPS 443 Appliance virtuale di VMware Identity Manager Appliance virtuale di VMware Identity Manager HTTPS 443 Browser Appliance virtuale di VMware Identity Manager 88 Browser Appliance virtuale di VMware Identity Manager HTTPS TCP/UDP Solo ios VMware, Inc. 15

Porta Origine Destinazione Descrizione 5262 Browser Appliance virtuale di VMware Identity Manager TCP/UDP Solo Android 443 Appliance virtuale di VMware Identity Manager vappupdates.vmware.com Accesso al server di aggiornamento di VMware 8443 Browser Appliance virtuale di VMware Identity Manager Porta amministratore HTTPS 25 Appliance virtuale di VMware Identity Manager 53 Appliance virtuale di VMware Identity Manager server SMTP Server DNS Porta TCP per la posta in uscita del relè TCP/UDP Ogni appliance virtuale deve poter accedere al server DNS sulla porta 53 e consentire il traffico SSH in ingresso sulla porta 22. TCP: 9300-9400 UDP: 54328 Appliance virtuale di VMware Identity Manager Appliance virtuale di VMware Identity Manager Necessità di controllo 5432 Appliance virtuale di VMware Identity Manager 443 Appliance virtuale di VMware Identity Manager Database API REST AirWatch La porta predefinita di PostgreSQL è la 5432. La porta predefinita di Oracle è la 1521. HTTPS Per il controllo della conformità del dispositivo e per il metodo di autenticazione Password ACC, se viene utilizzato. Distribuzione dell'appliance di VMware Identity Manager Per informazioni sulla distribuzione e la configurazione dell'appliance virtuale di VMware Identity Manager, vedere Distribuzione di VMware Identity Manager e Gestione delle impostazioni di configurazione di sistema dell'appliance in Installazione e configurazione di VMware Identity Manager. Configurazione di failover e ridondanza Per informazioni sulla configurazione del failover e della ridondanza per l'appliance virtuale di VMware Identity Manager, vedere le sezioni seguenti in Installazione e configurazione di VMware Identity Manager: Configurazione del failover e della ridondanza in un data center singolo Distribuzione di VMware Identity Manager in un data center secondario per il failover e la ridondanza Nota: La sezione "Utilizzo di un bilanciamento del carico o un proxy inverso per abilitare l'accesso esterno a VMware Identity Manager" non è applicabile negli scenari in cui VMware Identity Manager è distribuito in DMZ. 16 VMware, Inc.

Distribuzione di VMware Identity Manager Connector nella rete aziendale 3 Quando si distribuisce l'appliance virtuale di VMware Identity Manager in DMZ, è necessario distribuire anche l'appliance autonoma di VMware Identity Manager Connector nella rete aziendale in modalità di connessione in sola uscita. Il connettore connette il servizio VMware Identity Manager agli altri componenti della rete aziendale come Active Directory e Horizon 7. Il connettore comunica con il servizio in modalità di connessione in sola uscita tramite un canale di comunicazione. Nota: Se si dispone di una distribuzione di AirWatch e si utilizza AirWatch Cloud Connector, VMware Identity Manager Connector non è necessario, a meno che non si desideri che VMware Identity Manager Connector supporti i casi d'uso. Vedere Modello di distribuzione locale mediante AirWatch Cloud Connector, pag. 8. Requisiti di configurazione di sistema e di rete Vedere Requisiti di configurazione di sistema e di rete, pag. 18. Distribuzione e configurazione di VMware Identity Manager Connector Per informazioni sulla distribuzione e la configurazione di VMware Identity Manager Connector in modalità di connessione in sola uscita, vedere gli argomenti seguenti. Distribuzione del connettore di VMware Identity Manager, pag. 18 Configurazione della disponibilità elevata per il connettore VMware Identity Manager, pag. 26 Aggiunta del supporto dell'autenticazione Kerberos alla distribuzione di VMware Identity Manager Connector, pag. 28 Failover e ridondanza Per informazioni sulla configurazione del connettore per il failover e la ridondanza, vedere gli argomenti seguenti. Configurazione della disponibilità elevata per il connettore VMware Identity Manager, pag. 26 Aggiunta del supporto dell'autenticazione Kerberos alla distribuzione di VMware Identity Manager Connector, pag. 28 VMware, Inc. 17

Questo capitolo include i seguenti argomenti: Distribuzione del connettore di VMware Identity Manager, pag. 18 Configurazione della disponibilità elevata per il connettore VMware Identity Manager, pag. 26 Aggiunta del supporto dell'autenticazione Kerberos alla distribuzione di VMware Identity Manager Connector, pag. 28 Distribuzione del connettore di VMware Identity Manager Per distribuire il connettore di VMware Identity Manager, installare l'appliance virtuale del connettore in vcenter Server, accenderla e attivarla utilizzando un codice di attivazione generato nella console di amministrazione di VMware Identity Manager. È inoltre necessario configurare le impostazioni dell'appliance, ad esempio le password. Dopo aver installato e configurato il connettore, passare alla console di amministrazione di VMware Identity Manager per configurare la connessione alla directory aziendale, abilitare gli adattatori di autenticazione nel connettore, nonché abilitare la modalità in uscita per il connettore. Requisiti di configurazione di sistema e di rete Quando si prendono decisioni relative ai requisiti hardware, delle risorse e di rete, è consigliabile tenere presente l'intera distribuzione, incluse le risorse che si intende integrare. Versioni supportate di vsphere e ESX Installare l'appliance virtuale in vcenter Server. Sono supportate le seguenti versioni del server vsphere e ESX: 5.0 U2 e versioni successive 5.1 e versioni successive 5.5 e versioni successive 6.0 e versioni successive Per distribuire il file OVA e accedere da remoto all'appliance virtuale distribuita, è necessario VMware vsphere Client o VMware vsphere Web Client. vsphere Client è disponibile nella pagina di download del prodotto vsphere sul sito my.vmware.com. Requisiti dell'appliance virtuale del connettore di VMware Identity Manager Assicurarsi che vengano soddisfatte le condizioni per il numero di server e le risorse allocate a ogni server. Numero di utenti Fino a 1.000 1.000-10.000 10.000-25.000 25.000-50.000 50.000-100.000 Numero di server del connettore 1 server 2 server con bilanciamento del carico 2 server con bilanciamento del carico 2 server con bilanciamento del carico 2 server con bilanciamento del carico CPU (per server) 2 CPU 4 CPU 4 CPU 4 CPU 4 CPU RAM (per server) 6 GB 6 GB 8 GB 16 GB 16 GB Spazio su disco (per server) 60 GB 60 GB 60 GB 60 GB 60 GB 18 VMware, Inc.

Capitolo 3 Distribuzione di VMware Identity Manager Connector nella rete aziendale Requisiti di configurazione di rete Componente Record DNS e indirizzo IP statico Porta firewall Requisito minimo I requisiti per il connettore sono uguali a quelli per l'appliance virtuale di VMware Identity Manager. Vedere Creazione di record DNS e indirizzi IP in Installazione e configurazione di VMware Identity Manager. Assicurarsi che la porta 443 del firewall in uscita sia aperta dall'istanza del connettore all'url di VMware Identity Manager. Requisiti delle porte Le porte utilizzate nella configurazione del server connettore sono descritte di seguito. La propria distribuzione può includere solo una serie di queste porte. Porta Origine Destinazione Descrizione 443 Appliance virtuale del connettore 443 Appliance virtuale del connettore Servizio VMware Identity Manager vapp-updates.vmware.com HTTPS Accesso al server di aggiornamento 8443 Browser Appliance virtuale del connettore Porta amministratore HTTPS 389, 636, 3268, 3269 Appliance virtuale del connettore 445 Connector-appliance virtuale 5500 Appliance virtuale del connettore 53 Appliance virtuale del connettore 88, 464, 135 Appliance virtuale del connettore 389, 443 Appliance virtuale del connettore Active Directory Repository di VMware ThinApp Sistema RSA SecurID Server DNS Controller del dominio Server di connessione di View Sono mostrati i valori predefiniti. Queste porte sono configurabili. Accesso al repository ThinApp È visualizzato il valore predefinito. Questa porta è configurabile. TCP/UDP Ogni appliance virtuale deve avere accesso al server DNS sulla porta 53 e consentire il traffico SSH sulla porta 22 TCP/UDP Accesso alle istanze del server di connessione di View per le integrazioni Horizon/View Requisiti della directory L'integrazione di VMware Identity Manager con la directory aziendale consente di sincronizzare utenti e gruppi dalla directory aziendale al servizio. È possibile integrare i tipi di directory seguenti. Un ambiente Active Directory costituito da un singolo dominio di Active Directory, più domini in una singola foresta di Active Directory o più domini in più foreste di Active Directory. VMware Identity Manager supporta Active Directory in Windows 2008, 2008 R2, 2012 e 2012 R2, con un livello di funzionalità del dominio e della foresta di Windows 2003 e versioni successive. Una directory LDAP. VMware, Inc. 19

La directory deve essere accessibile per l'appliance virtuale di connettore. Nota: È inoltre possibile creare directory locali nel servizio VMware Identity Manager. Checklist di distribuzione I requisiti per il connettore sono simili a quelli per l'appliance virtuale di VMware Identity Manager. Vedere Checklist di distribuzione in Installazione e configurazione di VMware Identity Manager. Generazione del codice di attivazione per il connettore Prima di installare il connettore di VMware Identity Manager, accedere alla console di amministrazione di VMware Identity Manager e generare un codice di attivazione per il connettore. Questo codice di attivazione viene utilizzato per stabilire la comunicazione tra il servizio e il connettore. Procedura 1 Accedere alla console di amministrazione. 2 Selezionare a scheda Gestione identità e accessi. 3 Fare clic su Configura. 4 Nella pagina Connettori, fare clic su Aggiungi connettore. 5 Immettere un nome per connettore. 6 Fare clic su Genera codice di attivazione. Il codice di attivazione verrà visualizzato nella pagina. 7 Copiare il codice di attivazione e salvarlo. Il codice di attivazione sarà necessario al momento della distribuzione del connettore. È ora possibile installare l'appliance virtuale del connettore. Installazione e configurazione dell'appliance virtuale del connettore Per distribuire il connettore, installare l'appliance virtuale del connettore in vcenter Server mediante vsphere Client o vsphere Web Client, accenderla e attivarla utilizzando il codice di attivazione generato nella console di amministrazione di VMware Identity Manager. Prerequisiti Scaricare il file OVA del connettore dalla pagina del prodotto VMware Identity Manager su my.vmware.com. Assicurarsi di disporre di vsphere Client o vsphere Web Client. 20 VMware, Inc.

Capitolo 3 Distribuzione di VMware Identity Manager Connector nella rete aziendale Nel caso di vsphere Web Client, scegliere i browser Firefox o Chrome. Non utilizzare Internet Explorer per distribuire il file OVA. Identificare i record DNS e il nome host da utilizzare per l'appliance. Procedura 1 In vsphere Client o vsphere Web Client, selezionare File > Distribuisci modello OVF. 2 Eseguire la procedura guidata per distribuire il modello. Pagina Origine Dettagli del modello OVA Licenza Nome e posizione Host/Cluster Pool di risorse Storage Formato disco Mappatura di rete Descrizione Selezionare la posizione del pacchetto OVA oppure immettere un URL specifico. Verificare di aver selezionato la versione corretta. Leggere l'accordo di licenza con l'utente finale e fare clic sul pulsante per accettare. Immettere un nome per l'appliance virtuale. Il nome deve essere univoco all'interno della cartella dell'inventario e può contenere fino a 80 caratteri. Per i nomi viene fatta distinzione tra lettere maiuscole e minuscole. Selezionare una posizione per l'appliance virtuale. Selezionare l'host o il cluster per eseguire il modello distribuito. Selezionare il pool di risorse. Selezionare la posizione per archiviare i file della macchina virtuale. Selezionare il formato del disco relativo ai file. Per gli ambienti di produzione, selezionare un formato Thick Provision. Utilizzare il formato Thin Provision per la valutazione e il testing. Mappare le reti nell'ambiente alle reti nel modello OVF. Proprietà a Nel campo Impostazioni fuso orario, selezionare il fuso orario corretto. Completamento b c d La casella di controllo relativa al programma CEIP (Customer Experience Improvement Program) è selezionata per impostazione predefinita. VMware raccoglie dati anonimi sulla distribuzione per migliorare le risposte alle richieste degli utenti. Se l'utente preferisce che i dati non vengano raccolti, deselezionare la casella di controllo. Nella casella di testo Nome host, immettere il nome dell'host da utilizzare. Se la casella viene lasciata vuota, la ricerca del nome dell'host viene effettuata mediante il DNS inverso. Per configurare l'indirizzo IP statico per il connettore, immettere l'indirizzo di ciascuno dei seguenti elementi: gateway predefinito, DNS, indirizzo IP e netmask. Importante: Se uno dei quattro campi relativi agli indirizzi viene lasciato vuoto, incluso Nome host, viene utilizzato il DHCP. Per configurare il DHCP, lasciare vuoti i campi relativi agli indirizzi. Rivedere le selezioni e fare clic su Fine. A seconda della velocità di rete, possono essere necessari alcuni minuti per la distribuzione. È possibile visualizzare l'avanzamento nella relativa finestra di dialogo. 3 Una volta completata la distribuzione, selezionare l'appliance del connettore, fare clic con il pulsante destro del mouse e selezionare il pulsante di accensione > Accendi. L'appliance del connettore viene inizializzata. È possibile andare nella scheda della console per visualizzare i dettagli. Al termine dell'inizializzazione dell'appliance virtuale, sullo schermo della console vengono visualizzati la versione del connettore e gli URL per accedere alla procedura guidata di configurazione del connettore. 4 Per eseguire la procedura guidata, puntare il browser all'url del connettore visualizzato nella scheda. 5 Nella pagina di benvenuto, fare clic su Continua. VMware, Inc. 21

6 Creare password complesse per i seguenti account di amministratori dell'appliance virtuale del connettore. Le password complesse devono essere almeno di otto caratteri e comprendere lettere maiuscole e minuscole, nonché almeno un numero e un carattere speciale. Opzione Amministratore dell'appliance Account radice Account dell'utente SSH Descrizione Creare la password per l'amministratore dell'appliance. Il nome utente è admin e non può essere modificato. L'account e la password consentono di accedere ai servizi del connettore per gestire i certificati, le password dell'appliance e la configurazione di syslog. Importante: La password dell'utente admin deve essere di almeno 6 caratteri. Per installare l'appliance del connettore, è stata utilizzata una password radice predefinita di VMware. Creare una nuova password radice. Creare la password da utilizzare per l'accesso remoto all'appliance del connettore. 7 Fare clic su Continua. 8 Nella pagina Attiva connettore, incollare il codice di attivazione e fare clic su Continua. Il codice di attivazione viene verificato e viene stabilita la comunicazione tra il servizio VMware Identity Manager e l'istanza del connettore. La configurazione di connettore è completa. Passi successivi Fare clic sul collegamento nella pagina Configurazione completata per passare alla console di amministrazione. Configurare quindi la connessione della directory. Configurazione di una directory Dopo aver distribuito l'appliance virtuale del connettore, configurare una directory nella console di amministrazione di VMware Identity Manager. È possibile sincronizzare utenti e gruppi della directory aziendale con il servizio VMware Identity Manager. VMware Identity Manager supporta l'integrazione dei tipi di directory seguenti. Active Directory su LDAP Active Directory, Autenticazione integrata di Windows directory LDAP Per ulteriori informazioni, vedere Integrazione con la directory aziendale. Nota: È inoltre possibile creare directory locali nel servizio VMware Identity Manager. Vedere Utilizzo di directory locali. Procedura 1 Fare clic sul collegamento nella pagina Configurazione completata, che viene visualizzata dopo l'attivazione del connettore. Verrà visualizzata la scheda Gestione identità e accessi > Directory. 2 Fare clic su Aggiungi directory e selezionare il tipo di directory che si desidera aggiungere. 22 VMware, Inc.

Capitolo 3 Distribuzione di VMware Identity Manager Connector nella rete aziendale 3 Eseguire la procedura guidata per immettere le informazioni di configurazione della directory, selezionare gli utenti e i gruppi da sincronizzare e sincronizzare gli utenti con il servizio VMware Identity Manager. Per informazioni su come configurare una directory, vedere Integrazione con la directory aziendale. Passi successivi Fare clic sulla scheda Utenti e gruppi e verificare che gli utenti siano stati sincronizzati. Abilitazione di adattatori di autenticazione nel connettore Sono disponibili diversi adattatori di autenticazione per il connettore in modalità in uscita, inclusi PasswordIdpAdapter, RSAAIdpAdapter, SecurIDAdapter e RadiusAuthAdapter. Configurare e abilitare gli adattatori che si intende utilizzare. Procedura 1 Nella console di amministrazione di VMware Identity Manager, fare clic sulla scheda Gestione identità e accessi. 2 Fare clic su Configura, quindi sulla scheda Connettori. Il connettore distribuito è presente nell'elenco. 3 Fare clic sul collegamento nella colonna Worker. 4 Fare clic sulla scheda Adattatori autenticazione. Tale scheda include un elenco di tutti gli adattatori di autenticazione disponibili per il connettore. Se è già stata configurata una directory, PasswordIdpAdapter è già configurato e abilitato con le informazioni di configurazione specificate durante la creazione della directory. 5 Configurare e abilitare gli adattatori di autenticazione che si desidera utilizzare facendo clic sul relativo collegamento e immettendo le informazioni di configurazione. È necessario abilitare almeno un adattatore di autenticazione. Per informazioni sulla configurazione di adattatori di autenticazione specifici, vedere la guida all'amministrazione di VMware Identity Manager. Ad esempio: VMware, Inc. 23

Abilitazione della modalità in uscita per il connettore Per abilitare la modalità di connessione in sola uscita per il connettore, associare il connettore al provider di identità integrato. Il provider di identità integrato è disponibile per impostazione predefinita nel servizio VMware Identity Manager e fornisce ulteriori metodi di autenticazione integrati come VMware Verify. Per informazioni sul provider di identità integrato, vedere la guida all'amministrazione di VMware Identity Manager. Nota: Il connettore può essere utilizzato nella modalità in uscita e nella modalità normale contemporaneamente. Anche se si abilita la modalità in uscita, è comunque possibile configurare l'autenticazione Kerberos per gli utenti interni mediante criteri e metodi di autenticazione. Procedura 1 Nella scheda Gestione identità e accessi della console di amministrazione, fare clic su Gestisci. 2 Fare clic sulla scheda Provider di identità. 3 Fare clic sul collegamento Integrato. 4 Immettere le informazioni seguenti. Opzione Utenti Rete Descrizione Selezionare la directory o i domini che utilizzeranno il provider di identità integrato. Selezionare gli intervalli di rete che utilizzeranno il provider di identità integrato. 24 VMware, Inc.

Capitolo 3 Distribuzione di VMware Identity Manager Connector nella rete aziendale Opzione Connettori Metodi di autenticazione del connettore Descrizione Selezionare il connettore che è stato configurato. Nota: Se in seguito si aggiungeranno altri connettori per la disponibilità elevata, selezionarli e aggiungerli tutti qui per associarli al provider di identità integrato. VMware Identity Manager distribuisce automaticamente il traffico tra tutti i connettori associati al provider di identità integrato. Non è necessario utilizzare un programma di bilanciamento del carico. Sono elencati i metodi di distribuzione abilitati per il connettore. Selezionare i metodi di autenticazione che si desidera utilizzare. L'adattatore PasswordIdpAdapter, che è stato automaticamente configurato e abilitato durante la creazione di una directory, viene visualizzato in questa pagina come Password (distribuzione cloud), a indicare che viene utilizzato con il connettore in modalità in uscita. Ad esempio: 5 Fare clic su Salva per salvare la configurazione del provider di identità integrato. 6 Modificare i criteri in modo che utilizzino i metodi di autenticazione abilitati. a b c d e f Nella scheda Gestione identità e accessi fare clic su Gestisci. Fare clic sulla scheda Criteri e quindi sul criterio che si desidera modificare. In Regole del criterio, fare clic sul collegamento nella colonna Metodo di autenticazione per la regola che si desidera modificare. Nella pagina Modifica regola del criterio selezionare il metodo di autenticazione che si desidera utilizzare per questa regola. Fare clic su OK. Fare clic su Salva. Per ulteriori informazioni sulla configurazione dei criteri, vedere la guida all'amministrazione di VMware Identity Manager. La modalità in uscita del connettore è ora abilitata. Quando un utente accede utilizzando uno dei metodi di autenticazione abilitati per il connettore nella pagina del provider di identità integrato, non è necessario alcun reindirizzamento HTTP al connettore. VMware, Inc. 25

Configurazione della disponibilità elevata per il connettore VMware Identity Manager È possibile configurare il connettore VMware Identity Manager per la disponibilità elevata e il failover aggiungendo più appliance virtuali del connettore in un cluster. Se per un motivo qualsiasi una delle appliance virtuali non è più disponibile, gli altri connettori saranno comunque disponibili. Per creare il cluster, installare nuove appliance virtuali del connettore e configurarle esattamente come il primo connettore. È quindi necessario associare tutte le istanze dei connettori al provider di identità integrato. Il servizio VMware Identity Manager distribuisce automaticamente il traffico tra tutti i connettori associati al provider di identità integrato. Non è necessario utilizzare un programma di bilanciamento del carico. Se uno dei connettori non è più disponibile a causa di un problema di rete, il servizio non indirizza il traffico verso tale connettore. Quando la connettività viene ripristinata, il servizio riprende a indirizzare il traffico verso il connettore. Dopo aver configurato il cluster del connettore, i metodi di autenticazione abilitati nel connettore sono a disponibilità elevata. Se l'istanza di uno dei connettori non è disponibile, l'autenticazione è comunque disponibile. Per la sincronizzazione della directory, tuttavia, nel caso di un errore dell'istanza del connettore, sarà necessario selezionare manualmente un'altra istanza del connettore come connettore di sincronizzazione. La sincronizzazione delle directory può essere abilitata solo su un connettore alla volta. Nota: Questa sezione non si applica alla disponibilità elevata dell'autenticazione Kerberos. Vedere Aggiunta del supporto dell'autenticazione Kerberos alla distribuzione di VMware Identity Manager Connector, pag. 28. Installazione di istanze aggiuntive del connettore Dopo aver installato e configurato l'istanza del primo connettore, è possibile aggiungere altri connettori per la disponibilità elevata. Installare nuove appliance virtuali del connettore e configurarle esattamente come la prima istanza del connettore. Prerequisiti È stata installata e configurata la prima istanza del connettore in base alla procedura descritta in Distribuzione del connettore di VMware Identity Manager, pag. 18. Procedura 1 Installare e configurare l'istanza di un nuovo connettore utilizzando le istruzioni seguenti. Generazione del codice di attivazione per il connettore, pag. 20 Installazione e configurazione dell'appliance virtuale del connettore, pag. 20 2 Associare il nuovo connettore con l'idp workspace dell'istanza del primo connettore. a b c d e Nella console di amministrazione, selezionare la scheda Gestione identità e accessi, quindi selezionare la scheda Provider di identità. Nella pagina Provider di identità, individuare l'idp workspace dell'istanza del primo connettore e fare clic sul collegamento. Nel campo Connettori, selezionare il nuovo connettore. Immettere la password del nome distinto di binding e fare clic su Aggiungi connettore. Fare clic su Salva. 26 VMware, Inc.

Capitolo 3 Distribuzione di VMware Identity Manager Connector nella rete aziendale 3 Se si fa parte di un dominio di Active Directory nell'istanza del primo connettore, è necessario aggiungere il dominio anche nell'istanza del nuovo connettore. a Nella scheda Gestione identità e accessi fare clic su Configura. L'istanza del nuovo connettore viene inserita nella pagina Connettori. b Fare clic su Entra in dominio accanto al nuovo connettore e specificare le informazioni del dominio. Nota: Per le directory di tipo Autenticazione integrata di Windows (IWA), è necessario effettuare le seguenti operazioni. a Aggiungere l'istanza del nuovo connettore al dominio a cui è stata aggiunta la directory IWA dell'istanza del connettore originale. 1 Selezionare la scheda Gestione identità e accessi, quindi fare clic su Configura. L'istanza del nuovo connettore viene inserita nella pagina Connettori. 2 Fare clic su Entra in dominio e specificare le informazioni del dominio. b Salvare la configurazione della directory IWA. 1 Selezionare la scheda Gestione identità e accessi. 2 Sulla pagina Directory, fare clic sul collegamento della directory IWA. 3 Fare clic su Salva per salvare la configurazione della directory. 4 Configurare e abilitare gli adattatori di autenticazione nel nuovo connettore. Importante: Gli adattatori di autenticazione di tutti i connettori nel cluster devono essere configurati nello stesso modo. In tutti i connettori devono essere abilitati gli stessi metodi di autenticazione. a b c Nella scheda Gestione identità e accessi fare clic su Configura, quindi sulla scheda Connettori. Fare clic sul collegamento nella colonna Worker del nuovo connettore. Fare clic sulla scheda Adattatori autenticazione. Tale scheda include un elenco di tutti gli adattatori di autenticazione disponibili per il connettore. L'adattatore PasswordIdpAdapter è già configurato e abilitato perché il nuovo connettore è stato associato alla directory associata al primo connettore. d Configurare e abilitare gli altri adattatori di autenticazione in modo analogo al primo connettore. Assicurarsi che le informazioni relative alla configurazione siano identiche. Per informazioni sulla configurazione degli adattatori di autenticazione, vedere la Guida all'amministrazione di VMware Identity Manager. Passi successivi Aggiunta del nuovo connettore al provider di identità integrato, pag. 27 Aggiunta del nuovo connettore al provider di identità integrato Dopo aver distribuito e configurato l'istanza del nuovo connettore, aggiungerla al provider di identità integrato e abilitare gli stessi metodi di autenticazione abilitati nel primo connettore. VMware Identity Manager distribuisce automaticamente il traffico tra tutti i connettori associati al provider di identità integrato. Procedura 1 Nella scheda Gestione identità e accessi della console di amministrazione, fare clic su Gestisci. VMware, Inc. 27

2 Fare clic sulla scheda Provider di identità. 3 Fare clic sul collegamento Integrato. 4 Nel campo Connettori, selezionare il nuovo connettore nell'elenco a discesa e fare clic su Aggiungi connettore. 5 Nella sezione Metodi di autenticazione del connettore abilitare gli stessi metodi di autenticazione selezionati per il primo connettore. Il metodo di autenticazione Password (distribuzione cloud) viene configurato e abilitato automaticamente. È necessario abilitare gli altri metodi di autenticazione. Importante: Gli adattatori di autenticazione di tutti i connettori nel cluster devono essere configurati nello stesso modo. In tutti i connettori devono essere abilitati gli stessi metodi di autenticazione. Per informazioni sulla configurazione di adattatori di autenticazione specifici, vedere la guida all'amministrazione di VMware Identity Manager. 6 Fare clic su Salva per salvare la configurazione del provider di identità integrato. Abilitazione della sincronizzazione delle directory in un altro connettore in caso di errore Se si verifica un errore dell'istanza di un connettore, l'autenticazione viene gestita automaticamente dall'istanza di un altro connettore. Tuttavia, per la sincronizzazione della directory è necessario modificare le impostazioni della directory nel servizio VMware Identity Manager in modo da utilizzare l'istanza di un altro connettore al posto di quella originale. La sincronizzazione delle directory può essere abilitata solo su un connettore alla volta. Procedura 1 Accedere alla console di amministrazione di VMware Identity Manager. 2 Selezionare la scheda Gestione identità e accessi, quindi fare clic su Directory. 3 Fare clic sulla directory che era associata all'istanza del connettore originale. Tip Queste informazioni sono disponibili nella pagina Configura > Connettori. 4 Nella sezione Sincronizzazione e autenticazione directory della pagina della directory, selezionare l'istanza di un altro connettore nell'elenco a discesa Sincronizza connettore. 5 Nella casella di testo Password nome distinto di binding, immettere la password dell'account di binding di Active Directory. 6 Fare clic su Salva. Aggiunta del supporto dell'autenticazione Kerberos alla distribuzione di VMware Identity Manager Connector Per gli utenti interni è possibile aggiungere l'autenticazione Kerberos, che richiede la modalità di connessione in entrata, alla distribuzione basata su connettori in modalità di connessione in sola uscita. Gli stessi connettori possono essere configurati in modo da utilizzare l'autenticazione Kerberos per gli utenti che appartengono alla rete interna e un altro metodo di autenticazione per gli utenti che si trovano all'esterno. È possibile ottenere questo risultato definendo criteri di autenticazione basati su intervalli di rete. Nota: Per configurare la disponibilità elevata per l'autenticazione Kerberos, è necessario un programma di bilanciamento del carico. 28 VMware, Inc.

Capitolo 3 Distribuzione di VMware Identity Manager Connector nella rete aziendale Configurazione e abilitazione dell'adattatore di autenticazione Kerberos Configurare e abilitare KerberosIdpAdapter nel connettore VMware Identity Manager. Se è stato distribuito un cluster per la disponibilità elevata, configurare e abilitare l'adattatore in tutti i connettori nel cluster. Importante: Gli adattatori di autenticazione di tutti i connettori nel cluster devono essere configurati nello stesso modo. In tutti i connettori è necessario abilitare gli stessi metodi di autenticazione. Per ulteriori informazioni sulla configurazione dell'autenticazione Kerberos, vedere la guida all'amministrazione di VMware Identity Manager. Prerequisiti Il connettore deve essere aggiunto al dominio di Active Directory. Procedura 1 Nella console di amministrazione di VMware Identity Manager, fare clic sulla scheda Gestione identità e accessi. 2 Fare clic su Configura, quindi sulla scheda Connettori. Sono elencati tutti i connettori distribuiti. 3 Fare clic sul collegamento nella colonna Worker di uno dei connettori. 4 Fare clic sulla scheda Adattatori autenticazione. 5 Fare clic sul collegamento KerberosIdpAdapter, quindi configurare e abilitare l'adattatore. Opzione Nome Attributo UID di directory Abilita autenticazione di Windows Abilita NTLM Attiva reindirizzamento Reindirizza nome host Descrizione Il nome predefinito dell'adattatore è KerberosIdpAdapter, ma è possibile modificarlo. Attributo dell'account che contiene il nome utente. Selezionare questa opzione. Non è necessario selezionare questa opzione a meno che l'infrastruttura di Active Directory non si basi sull'autenticazione NTLM. Se si dispone di più connettori in un cluster e si intende configurare la disponibilità elevata di Kerberos utilizzando un programma di bilanciamento del carico, selezionare questa opzione e specificare un valore per Reindirizza nome host. Se la distribuzione include un solo connettore, non è necessario utilizzare le opzioni Attiva reindirizzamento e Reindirizza nome host. È necessario specificare un valore se è selezionata l'opzione Attiva reindirizzamento. Immettere il nome host del connettore. Ad esempio, se il nome host del connettore è connector1.esempio.com, immettere connector1.esempio.com nella casella di testo. Ad esempio: VMware, Inc. 29

Per ulteriori informazioni sulla configurazione di KerberosIdPAdapter, vedere la guida all'amministrazione di VMware Identity Manager. 6 Se è stato distribuito un cluster, configurare KerberosIdPAdapter in tutti i connettori nel cluster. Assicurarsi di configurare l'adattatore nello stesso modo in tutti i connettori. Passi successivi Configurare la disponibilità elevata per l'autenticazione Kerberos, se necessario. A tale scopo, è necessario utilizzare un programma di bilanciamento del carico. Configurazione della disponibilità elevata per l'autenticazione Kerberos Per configurare la disponibilità elevata per l'autenticazione Kerberos, installare un programma di bilanciamento del carico nel firewall della rete interna e aggiungere le appliance del connettore a tale programma. È inoltre necessario configurare determinate impostazioni nel programma di bilanciamento del carico, stabilire l'attendibilità SSL tra il programma di bilanciamento del carico e il connettore e modificare l'url di autenticazione del connettore in modo che utilizzi il nome host del programma di bilanciamento del carico. Configurazione delle impostazioni del programma di bilanciamento del carico Nel programma di bilanciamento del carico è necessario configurare determinate impostazioni, ad esempio abilitando le intestazioni X-Forwarded-For, impostando correttamente il timeout del programma di bilanciamento del carico e abilitando le sessioni sticky. Configurare queste impostazioni. Intestazioni X-forwarded-for È necessario abilitare le intestazioni X-Forwarded-For sul proprio bilanciamento del carico. Ciò determina il metodo di autenticazione. Fare riferimento alla documentazione del fornitore del bilanciamento del carico per maggiori informazioni. Timeout del bilanciamento del carico Perché il connettore funzioni correttamente, potrebbe essere necessario aumentare il valore di timeout richiesta del bilanciamento del carico dal valore predefinito. Il valore è impostato in minuti. Se il valore impostato per il timeout è troppo basso, è possibile che venga visualizzato il messaggio di errore seguente: Errore 502: Il servizio non è al momento disponibile. Abilita sessioni sticky 30 VMware, Inc.

Capitolo 3 Distribuzione di VMware Identity Manager Connector nella rete aziendale L'impostazione delle sessioni sticky sul bilanciamento del carico va eseguita se nella propria distribuzione sono presenti più appliance del connettore. Il bilanciamento del carico collegherà quindi una sessione utente a una istanza specifica del connettore. Applicazione del certificato root di VMware Identity Manager Connector al bilanciamento del carico Quando l'appliance virtuale del connettore di VMware Identity Manager è configurata con un bilanciamento del carico, è necessario stabilire una relazione di attendibilità SSL tra il bilanciamento del carico e il connettore. Il certificato root del connettore deve essere copiato nel bilanciamento del carico. Il certificato di connettore può essere scaricato dalle pagine di amministrazione dell'appliance del connettore all'indirizzo https://myconnector.mycompany:8443/cfg/ssl. Se il nome di dominio di connettore fa riferimento a un bilanciamento del carico, il certificato SSL può essere applicato solo al bilanciamento del carico. Poiché il bilanciamento del carico comunica con l'appliance virtuale del connettore, è necessario copiare il certificato CA root del connettore nel bilanciamento del carico come certificato root attendibile. Procedura 1 Accedere alle pagine di amministrazione dell'appliance del connettore all'indirizzo https://myconnector.mycompany:8443/cfg/ssl, come utente amministratore. 2 Selezionare l'opzione per installare il certificato. 3 Selezionare la scheda Termina SSL su un bilanciamento del carico e nel campo Certificato CA root dell'appliance, fare clic sul collegamento https://nomehost/horizon_workspace_rootca.pem. 4 Copiare quanto compreso tra le righe -----BEGIN CERTIFICATE----- e -----END CERTIFICATE---- e incollare il certificato root nel percorso corretto di ognuno dei bilanciamenti del carico. Fare riferimento alla documentazione relativa al bilanciamento del carico. Passi successivi Copiare e incollare il certificato root di bilanciamento del carico sull'appliance di VMware Identity Managerconnettore. VMware, Inc. 31

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back