instalación y configuración de vmware enterprise systems … · texto muestran las diferencias...

Instalación y configuración de VMwareEnterprise Systems Connector

VMware Identity Manager 2.9.1

Instalación y configuración de VMware Enterprise Systems Connector

2 VMware, Inc.

Puede encontrar la documentación técnica más actualizada en el sitio web de WMware en:

https://docs.vmware.com/es/

En el sitio web de VMware también están disponibles las últimas actualizaciones del producto.

Si tiene algún comentario sobre esta documentación, envíelo a la siguiente dirección de correo electrónico:

[email protected]

Copyright © 2017 VMware, Inc. Todos los derechos reservados. Copyright e información de marca registrada.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware, Inc.Paseo de la Castellana 141. Planta 8.28046 Madrid.Tel.:+ 34 91 418 58 01Fax: + 34 91 418 50 55www.vmware.com/es

https://docs.vmware.com/es/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

Contenido

Instalación y configuración de VMware Enterprise Systems Connector 5

1 Descripción general de VMware Enterprise Systems Connector 7

Acerca de VMware Enterprise Systems Connector 7Requisitos del sistema de Enterprise Systems Connector 9

2 Introducción a la arquitectura de Enterprise Systems Connector 17

Modelo de implementación SaaS de Enterprise Systems Connector 17Modelo de implementación de Enterprise Systems Connector en las instalaciones 18Flujos de trabajo para la integración de certificados del componente ACC 20

3 Proceso de instalación de Enterprise Systems Connector 21

Determinar qué componentes instalar 22(Solo para clientes locales) Instalar un certificado de canal seguro en AWCM 22Establecer las comunicaciones con AWCM 23Obtener el instalador de VMware Enterprise Systems Connector 23Habilitar Enterprise Systems Connector en la consola de AirWatch 24Ejecutar el instalador de Enterprise Systems Connector 26Comprobar que Enterprise Systems Connector se instaló correctamente 32

4 Administración de ACC 35

Actualizaciones de ACC 35Realizar una actualización de ACC manual 37Regenerar certificados 37

5 Configuración de VMware Identity Manager Connector 41

Configurar VMware Identity Manager Connector 41Gestionar la configuración de administración de VMware Identity Manager Connector 47Habilitar la configuración del proxy tras la instalación 50Configurar alta disponibilidad para VMware Identity Manager Connector 51Agregar la compatibilidad con la autenticación Kerberos a la implementación de VMware Identity

Manager Connector 54Eliminar una instancia de VMware Identity Manager Connector 59Actualizar el conector de VMware Identity Manager 59

6 Migrar directorios de ACC a VMware Identity Manager Connector 61

Convertir el directorio Otro a Active Directory mediante LDAP o a Active Directory (Autenticaciónde Windows integrada) 62

Detener la sincronización del directorio de AirWatch con VMware Identity Manager 64

Índice 65

VMware, Inc. 3


4 VMware, Inc.

Instalación y configuración deVMware Enterprise Systems Connector

La sección Instalación y configuración de VMware Enterprise Systems Connector proporciona información acercade cómo configurar VMware Enterprise Systems Connector™, lo que proporciona a las organizaciones laposibilidad de integrar VMware AirWatch® y VMware Identity Manager™ con los sistemas back-end de laempresa.

Este documento ofrece información sobre cómo instalar los dos componentes deVMware Enterprise Systems Connector: AirWatch Cloud Connector y VMware Identity ManagerConnector.

Esta información se aplica a ambos SaaS y a escenarios de implementación en las instalaciones. Las notas deltexto muestran las diferencias entre los entornos.

Público objetivoEsta información está destinada a administradores de sistemas Windows. Se aplica a ambos SaaS y a losclientes locales.

Glosario de publicaciones técnicas de VMwareEl departamento de Publicaciones técnicas de VMware ofrece un glosario con términos que quizá usteddesconozca. Para consultar las definiciones de términos tal como se utilizan en la documentación técnica deVMware, visite http://www.vmware.com/es/support/pubs.

VMware, Inc. 5

http://www.vmware.com/support/pubs


6 VMware, Inc.

Descripción general deVMware Enterprise SystemsConnector 1

Antes de instalar VMware Enterprise Systems Connector, consulte la información sobre los requisitos delsistema, la arquitectura y modelos de implementación.

Este capítulo cubre los siguientes temas:

n “Acerca de VMware Enterprise Systems Connector,” página 7

n “Requisitos del sistema de Enterprise Systems Connector,” página 9

Acerca de VMware Enterprise Systems ConnectorEn VMware AirWatch 9.1, AirWatch Cloud Connector (ACC) se incluyó como un componente en un nuevoinstalador llamado VMware Enterprise Systems Connector. Este instalador funciona como paquete deconector unificado para Workspace ONE, AirWatch e Identity. Consta de dos componentes, ACC y VMwareIdentity Manager Connector.

Durante el proceso de instalación, puede elegir qué componentes desea instalar.

Consulte “Determinar qué componentes instalar,” página 22 para conocer los escenarios donde serecomienda la instalación de los componentes.

VMware, Inc. 7

Componente AirWatch Cloud ConnectorAirWatch Cloud Connector (ACC) proporciona a las organizaciones la capacidad para integrar AirWatchcon los sistemas de back-end de la empresa.

ACC se ejecuta en la red interna y actúa como un proxy que transmite de forma segura las solicitudes deAirWatch a los componentes fundamentales de la infraestructura empresarial de la organización. Estopermite que las organizaciones aprovechen las ventajas que proporcionan todas las configuraciones deAirWatch Mobile Device Management (MDM), junto con las del LDAP, la entidad de certificación, el correoelectrónico y otros sistemas internos que ya existen. Consulte también Capítulo 2, “Introducción a laarquitectura de Enterprise Systems Connector,” página 17.

ACC se integra con los siguientes componentes internos.

n Transmisión de correo electrónico (SMTP)

n Servicios de directorio (LDAP/AD)

n Administración de correo electrónico Exchange 2010 (PowerShell)

n BlackBerry Enterprise Server (BES)

n Servicio web Lotus Domino (HTTPS)

n Syslog (datos de registro de eventos)

Los siguientes componentes solo están disponibles si compró el complemento de integración PKI, que estádisponible por separado.

n Microsoft Certificate Services (PKI)

n Protocolo de inscripción de certificados simple (SCEP PKI)

n Servicios de certificados de terceros (en las instalaciones solo)

Componente VMware Identity Manager ConnectorVMware Identity Manager Connector proporciona la integración del directorio, la autenticación de usuarioy la integración con recursos, como Horizon View.

El uso del componente VMware Identity Manager Connector proporciona las siguientes funcionesadicionales a la implementación.

n Métodos de autenticación basados en VMware Identity Manager Connector como la contraseña, laautenticación adaptativa de RSA, RSA SecurID y Radius

n Autenticación Kerberos para usuarios internos

n Integración con los siguientes recursos:

n Grupos de aplicaciones y de escritorios de Horizon View

n Recursos publicados de Citrix

n VMware Horizon® Cloud Service™ con infraestructura local y alojada

Introducción

NOTA: Para las implementaciones locales, antes de comenzar con esta guía, debe leer y seguir los pasos dela guía de los servicios de AirWatch Cloud Messaging (AWCM).

Si es un cliente local, asegúrese de que AWCM esté instalado correctamente, se esté ejecutando y secomunique con AirWatch sin errores.


8 VMware, Inc.

Requisitos del sistema de Enterprise Systems ConnectorPara implementar Enterprise Systems Connector, asegúrese de que el sistema cumpla con los requisitosnecesarios.

Requisitos de hardwareUtilice los siguientes requisitos como base para crear el servidor de Enterprise Systems Connector.

Si solo va a instalar el componente ACC, utilice los siguientes requisitos.

Tabla 1‑1. Requisitos de ACC

Número de usuarios Hasta 10.000 De 10.000 a 50.000 De 50.000 a 100.000

Núcleo de CPU 2 2 servidores de cargaequilibrada con 2 núcleosde CPU

3 servidores de cargaequilibrada con 2 núcleos deCPU

RAM (GB) por servidor 4 4 cada uno 8 cada uno

Espacio de disco (GB) 50 50 cada uno 50 cada uno

El componente VMware Identity Manager Connector cuenta con los siguientes requisitos adicionales. Si va ainstalar tanto el componente ACC como el componente VMware Identity Manager Connector, agregue estosrequisitos a los requisitos de ACC.

Tabla 1‑2. Requisitos de VMware Identity Manager Connector

Número deusuarios Hasta 1000

De 1000 a10.000

De 10.000 a25.000

De 25.000 a50.000

De 50.000 a100.000

CPU 2 2 servidores decargaequilibrada,cada uno con 4CPU

2 servidores decarga equilibrada,cada uno con 4CPU

2 servidores decargaequilibrada, cadauno con 8 CPU

2 servidores decarga equilibrada,cada uno con 8 CPU

RAM (GB) porservidor

6 8 cada uno 16 cada uno 32 cada uno 64 cada uno

Espacio de disco(GB)

100 100 cada uno 100 cada uno 150 cada uno 200 cada uno

NOTA: n El componente AWCM equilibra automáticamente la carga de tráfico del componente ACC. No se

requiere un equilibrador de carga independiente. Es posible que varias instancias de ACC del mismogrupo de organización que se conecten al mismo servidor AWCM para obtener una disponibilidad altaesperen recibir tráfico (configuración directa). La forma en la que se redirige el tráfico está determinadapor AWCM y depende de la carga actual.

n Para el componente VMware Identity Manager Connector, consulte “Configurar alta disponibilidadpara VMware Identity Manager Connector,” página 51.

n Cada uno de los núcleos de CPU debe ser de 2 GHz o superior. Un procesador Intel es necesario.

n Los requisitos de espacio de disco incluyen: 1 GB de espacio de disco para la aplicaciónEnterprise Systems Connector, sistema operativo Windows y runtime de .NET. Se asigna espacio dedisco adicional para el registro.

Requisitos de softwareAsegúrese de que el servidor de Enterprise Systems Connector cumpla los siguientes requisitos de software.

Capítulo 1 Descripción general de VMware Enterprise Systems Connector

VMware, Inc. 9

Lista decomprobaciónde estado Requisito Notas

Windows Server 2008R2 oWindows Server 2012oWindows Server 2012R2

Necesario para ambos componentes

Instalar PowerShell enel servidor

Necesario para ambos componentesNOTA: (Componente AirWatch Cloud Connector) Se necesita la versión3.0 o posterior de PowerShell si va a implementar el modelo con accesodirecto a memoria de PowerShell para el correo electrónico. Paracomprobar su versión, abra PowerShell y ejecute el comando$PSVersionTable.NOTA: (Componente VMware Identity Manager Connector) La versión4.0 de PowerShell es necesaria si va a instalarlo en Windows Server 2008R2.

Instalar .NETFramework 4.6.2

Necesario para ambos componentesNOTA: (Componente AirWatch Cloud Connector) La función deactualización automática de AirWatch Cloud Connector no funcionarácorrectamente hasta que el servidor de Enterprise Systems Connector seactualice a .NET Framework 4.6.2. La función de actualización automáticano actualizará .NET Framework automáticamente. Instale .NETFramework 4.6.2 manualmente en el servidor deEnterprise Systems Connector antes de realizar una actualización.

Requisitos generalesAsegúrese de que el servidor de Enterprise Systems Connector esté configurado con los siguientes requisitosgenerales para garantizar una instalación correcta.

Lista decomprobaciónde estado Requisito Notas

Asegúrese de quetenga acceso remotoa los servidores enlos que AirWatchesté instalado

VMware AirWatch recomienda configurar el Administrador de conexión aEscritorio remoto para administrar varios servidores. Puede descargar alinstalador desde https://www.microsoft.com/en-us/download/details.aspx?id=44989.Por lo general, las instalaciones se realizan de forma remota a través de unareunión web o de un recurso compartido de pantalla que proporciona unconsultor de AirWatch. Algunos clientes también proporcionan a AirWatchcredenciales VPN para acceder directamente al entorno.

Instalación deNotepad++(recomendado)

VMware AirWatch, recomienda instalar Notepad++.

Cuentas de serviciospara la autenticaciónen los sistemas back-end

Valide el método de conectividad de AD mediante la herramienta LDP.exe(consulte http://www.computerperformance.co.uk/ScriptsGuy/ldp.zip),LDAP, BES, PowerShell, etc.

Requisitos de redPara configurar los puertos que se enumeran a continuación, todo el tráfico es unidireccional (saliente)desde el componente de origen hasta el componente de destino.


10 VMware, Inc.

Un servidor proxy saliente o cualquier otro hardware o software de administración de conexión no debefinalizar ni rechazar la conexión saliente desde el Enterprise Systems Connector. La conexión salienterequerida que Enterprise Systems Connector requiere usar debe permanecer abierta en todo momento.

NOTA: Todos los recursos, como las entidades de certificación, a los que quiera acceder con ACC debenencontrarse en el mismo dominio.

Tabla 1‑3. Requisitos de los puertos del componente AirWatch Cloud Connector (SaaS)

Lista decomprobación deestado

Componentede origen

Componente dedestino Protocolo Puerto Verificación

Servidor deEnterpriseSystemsConnector

AirWatch AWCM,por ejemplo:(https://awcm274.awmdm. com)

HTTPS 443 Acceda ahttps://awcmXXX.awmdm.com/awcm/status y asegúrese de que no hayaningún error de confianza delcertificado. (Sustituya "XXX" por elmismo número que se utilice en la URLdel entorno, por ejemplo, '100' paracn100).


Consola deAirWatch porejemplo:(https://cn274.awmdm.com)

HTTP oHTTPS

80 o 443 Acceda a https://cnXXX.awmdm.com yasegúrese de que no haya ningún errorde confianza del certificado. (Sustituya"XXX" por el mismo número que seutilice en la URL del entorno, porejemplo, '100' para cn100). Si se habilitala actualización automática, ACC debepoder solicitar actualizacionesmediante el puerto 443 de la consola deAirWatch.


API de AirWatch,por ejemplo:(https://as274.awmdm.com)

HTTPS 443 Acceda ahttps://asXXX.awmdm.com/api/help yasegúrese de que se le solicitaran lascredenciales. (Sustituya "XXX" por elmismo número que se utilice en la URLdel entorno, por ejemplo, '100' paracn100). Es necesario que ACC tengaacceso a la API para que el servicio deAirWatch Diagnostics funcionecorrectamente.


CRL:http://csc3-2010-crl.verisign.com/CSC3-2010.crl

HTTP 80 Para que varios servicios funcionencorrectamente

Integraciones opcionales


SMTP interno SMTP 25


LDAP interno LDAP oLDAPS

389, 636,3268 o3269


SCEP interno HTTP oHTTPS

80 o 443


VMware, Inc. 11

Tabla 1‑3. Requisitos de los puertos del componente AirWatch Cloud Connector (SaaS) (Continua)

Lista decomprobación deestado

Componentede origen



ADCS interno DCOM 135,1025-5000,49152-65535


BES interno HTTP oHTTPS

80 o 443


Exchange 2010 oposterior interno

HTTP oHTTPS

80 o 443

Tabla 1‑4. Requisitos de puertos del componente AirWatch Cloud Connector (en las instalaciones)

Componentede origen



Servidor deAirWatch CloudMessaging

HTTPS 2001 Telnet desdeEnterprise Systems Connector alservidor de AWCM en el puerto o unavez instalado.Acceda ahttps://<AWCM URL>:2001/awcm/status y asegúrese de queno haya ningún error de confianza delcertificado.Si se habilita la actualizaciónautomática, ACC debe poder solicitaractualizaciones mediante el puerto 443de la consola de AirWatch.Si utiliza ACC con AWCM y tienevarios servidores AWCM, cuya cargadesea equilibrar, deberá configurar lapersistencia.Para obtener más información sobrecómo configurar las normas depersistencia de AWCM con F5, consulteel siguiente artículo de la base deconocimientos: https://support.air-watch.com/articles/115001666028.


Consola deAirWatch

HTTP oHTTPS

80 o 443 Telnet desdeEnterprise Systems Connector a laconsola en el puerto o una vezinstalado.Acceda a https://<Console URL> yasegúrese de que no haya ningún errorde confianza del certificado.Si se habilita la actualizaciónautomática, ACC debe poder solicitaractualizaciones mediante el puerto 443de la consola de AirWatch.


12 VMware, Inc.

Tabla 1‑4. Requisitos de puertos del componente AirWatch Cloud Connector (en las instalaciones)(Continua)

Componentede origen



Servidor de API (obien, donde estéinstalada la API)

HTTPS 443 Para verificarlo, acceda a la direcciónURL del servidor de API.Es necesario que ACC tenga acceso a laAPI para que el servicio de AirWatchDiagnostics funcione correctamente.


CRL:http://csc3-2010-crl.verisign.com/CSC3-2010.crl

HTTP 80 Para que varios servicios funcionencorrectamente

Integraciones opcionales


SMTP interno SMTP 25


LDAP interno LDAP oLDAPS

389,636,3268 o3269


SCEP interno HTTP oHTTPS

80 o 443


ADCS interno DCOM 135,1025-5000,49152-65535


BES interno HTTP oHTTPS

80 o 443


Exchange 2010 oposterior interno

HTTP oHTTPS

80 o 443

Tabla 1‑5. Requisitos de puertos del componente VMware Identity Manager Connector (SaaS o en lasinstalaciones)

Lista decomprobaciónde estado

Componente deorigen

Componente dedestino Puerto Protocolo Notas

VMware IdentityManagerConnector

servicio deVMware IdentityManager

443 HTTPS Puertopredeterminado.Este puerto sepuede configurar.

Navegadores VMware IdentityManager Connector

8443 HTTPS Puertoadministrativo.Obligatoria

Navegadores VMware IdentityManager Connector

80 HTTP Obligatoria


VMware, Inc. 13

Tabla 1‑5. Requisitos de puertos del componente VMware Identity Manager Connector (SaaS o en lasinstalaciones) (Continua)


Componente deorigen



Active Directory 389, 636,3268, 3269

Puertospredeterminados.Estos puertos sepueden configurar.


Servidor DNS 53 TCP/UDP Todas las instanciasdeben tener accesoal servidor DNS enel puerto 53 ypermitir el tráficoSSH entrante en elpuerto 22.


Controlador dedominio

88, 464, 135 TCP/UDP


Sistema RSA SecurID 5500 Puertopredeterminado.Este puerto sepuede configurar


14 VMware, Inc.

Tabla 1‑5. Requisitos de puertos del componente VMware Identity Manager Connector (SaaS o en lasinstalaciones) (Continua)


Componente deorigen



Servidor de conexiónde View

389, 443 Acceso a lasinstancias delservidor deconexión de Viewpara lasintegraciones deHorizon View


Integration Broker 80, 443 Acceda aIntegration Brokerpara integrar losrecursos publicadosde Citrix.IMPORTANTE: Siinstala IntegrationBroker en el mismoservidor deWindows queEnterprise SystemsConnector, debeasegurarse de que,en los enlaces desitio del sitio webpredeterminado delservidor IIS, lospuertos de enlaceHTTP y HTTPS noentren en conflictocon los puertosusados por elcomponenteVMware IdentityManager Connector.VMware IdentityManager Connectorsiempre utiliza elpuerto 80. Tambiénutiliza el 443, amenos que seconfigure un puertodiferente durante lainstalación.

(Componente VMware Identity Manager Connector ) Direcciones IP deVMware Identity Manager alojadas en la nube

(Clientes SaaS) Consulte el artículo 2149884 de la base de conocimientos para obtener una lista dedirecciones IP del servicio VMware Identity Manager a las que VMware Identity Manager Connector debetener acceso.

(Componente VMware Identity Manager Connector ) Requisitos de lasdirecciones IP y de los registros DNS

Una entrada DNS y una dirección IP estática deben estar disponibles para el conector. Antes de comenzar lainstalación, solicite el registro de DNS y las direcciones IP para usar y configurar la configuración de red delservidor de Windows.


VMware, Inc. 15

https://kb.vmware.com/kb/2149884

La configuración de la búsqueda inversa es opcional. Cuando implemente la búsqueda inversa, debe definirun registro PTR en el servidor DNS para que el conector utilice la configuración de red correcta.

Puede utilizar la siguiente lista de ejemplos de registros de DNS. Sustituya la información de los ejemploscon la información de su entorno. En este ejemplo se muestran los registros de DNS directas y lasdirecciones IP.

Tabla 1‑6. Ejemplos de registros de DNS directas y direcciones IP

Nombre de dominio Tipo de recurso Dirección IP

miidentitymanager.empresa.com A 10.28.128.3

En este ejemplo se muestran los registros de DNS inversas y las direcciones IP.

Tabla 1‑7. Ejemplos de registros de DNS inversas y direcciones IP

Dirección IP Tipo de recurso Nombre del host

10.28.128.3 PTR miidentitymanager.empresa.com

Después de completar la configuración de DNS, compruebe que la búsqueda de DNS inversas estácorrectamente configurada. Por ejemplo, el comando host IPaddress del dispositivo virtual debe resolverseen la búsqueda del nombre de DNS.

NOTA: Si tiene un equilibrador de carga con una dirección IP virtual (VIP) frente a los servidores DNS,tenga en cuenta que VMware Identity Manager no admite el uso de VIP. Puede especificar varios servidoresDNS separados por comas.

NOTA: Si utiliza un servidor DNS basado en Linux o Unix y desea unir el conector al dominio de ActiveDirectory, compruebe que se crean los registros de recurso (SRV) adecuados para cada controlador deldominio de Active Directory.

(Componente VMware Identity Manager Connector ) Versiones de ActiveDirectory compatibles

VMware Identity Manager es compatible con Active Directory en Windows Server 2008, Windows Server2008 R2, Windows Server 2012 y Windows Server 2012 R2, con las opciones Nivel funcional del dominio yNivel funcional de bosque de Windows 2003 y versiones posteriores.

Son compatibles un entorno de Active Directory formado por un único dominio de Active Directory, variosdominios en un único bosque de Active Directory o varios dominios en varios bosques de Active Directory.


16 VMware, Inc.

Introducción a la arquitectura deEnterprise Systems Connector 2

Enterprise Systems Connector contiene dos servicios de Windows que se pueden instalar en un servidorfísico o virtual con Windows 2008 R2, 2012 o 2012 R2. Funciona desde dentro de su red interna y puedeconfigurarse detrás de cualquier equilibrador de carga o de cualquier firewall de aplicaciones webexistentes.

Al iniciar una conexión HTTPS segura desde Enterprise Systems Connector hasta los servicios de mensajeríaintegrados en AirWatch y en VMware Identity Manager, Enterprise Systems Connector puede transmitirinformación periódicamente desde los recursos internos, como Active Directory, LDAP, etc., al producto sincambiar de firewall. Si tiene previsto realizar conexiones proxy de tráfico a través de un proxy saliente,puede utilizar las opciones de la configuración del conector que permite realizar conexiones proxy.

Configuraciones compatiblesUtilice Enterprise Systems Connector en las siguientes configuraciones.

n Uso de transporte HTTPS

n Compatibilidad con el tráfico HTTP a través de un proxy saliente


n “Modelo de implementación SaaS de Enterprise Systems Connector,” página 17

n “Modelo de implementación de Enterprise Systems Connector en las instalaciones,” página 18

n “Flujos de trabajo para la integración de certificados del componente ACC,” página 20

Modelo de implementación SaaS de Enterprise Systems ConnectorEn un modelo de implementación SaaS, Enterprise Systems Connector reside en la red interna y se integracon los sistemas internos, lo que permite que AirWatch y VMware Identity Manager los aprovechen pararealizar varias funciones, como los certificados y servicios de directorio.

El siguiente diagrama muestra la implementación completa de Enterprise Systems Connector, con loscomponentes ACC y VMware Identity Manager Connector implementados.

VMware, Inc. 17

Figura 2‑1. Implementación SaaS de Enterprise Systems Connector

ACC

Internet DMZ

VMware EnterpriseSystems Connector(s)

DirectoryAirWatch

VMware IdentityManager

VMware IdentityManager Connector

El siguiente diagrama muestra únicamente la implementación del componente ACC.

Figura 2‑2. Implementación SaaS de Enterprise Systems Connector (solo ACC)

AirWatch


ACC

Internet DMZ


Directory

Modelo de implementación de Enterprise Systems Connector en lasinstalaciones

En un modelo de implementación en las instalaciones, Enterprise Systems Connector reside en la red internay se comunica con AWCM y con el servicio de VMware Identity Manager. Normalmente, AWCM se instalaen el servidor de servicios del dispositivo de AirWatch.

El siguiente diagrama muestra la implementación del componente ACC con un diseño típico de AirWatchen las instalaciones.


18 VMware, Inc.

Figura 2‑3. Implementación de Enterprise Systems Connector en las instalaciones (solo con ACC)

ACC

Device

DMZ

LB

Cluster

AirWatch DS

AirWatch DS443

443


AirWatch DB

SQL Server Cluster

VMware Identity Manager DB

Directory

Internet

Cluster




El siguiente diagrama muestra la implementación de los componentes ACC y VMware Identity ManagerConnector con un diseño típico de AirWatch en las instalaciones.

Figura 2‑4. Implementación de Enterprise Systems Connector en las instalaciones (ACC y VMware IdentityManager Connector )

ACC

Device

DMZ

LB

Cluster

AirWatch DS

AirWatch DS

Cluster




443

443


AirWatch DB

SQL Server Cluster

VMware Identity Manager DB

Directory

Internet

VMware IdentityManager Connector

Capítulo 2 Introducción a la arquitectura de Enterprise Systems Connector

VMware, Inc. 19

Flujos de trabajo para la integración de certificados del componenteACC

Se usan certificados para autenticar la comunicación entre la consola de AirWatch y AirWatch CloudConnector (ACC).

Cómo se generan los certificadosn Habilite ACC y, a continuación, genere certificados para AirWatch y ACC.

n Ambos certificados son exclusivos para el grupo seleccionado en la consola de AirWatch y seencuentran en el servidor de AirWatch.

n Ambos certificados se generan desde una raíz de confianza de AirWatch.

n Instale ACC. El certificado de ACC que genera AirWatch se incluye y se instala automáticamente conACC.

Cómo se redirigen los datos en los entornos localesn AirWatch envía solicitudes a AWCM. Las solicitudes están cifradas con SSL mediante HTTPS.

n ACC pide a AWCM las solicitudes de AirWatch. Las solicitudes están cifradas con SSL medianteHTTPS.

n Todos los datos se envían a través de AWCM.

La configuración de ACC solo confía en los mensajes firmados desde el entorno de AirWatch. Esta relaciónde confianza es exclusiva para cada grupo.

Todos los demás servidores ACC configurados en el mismo grupo de AirWatch como parte de laconfiguración de alta disponibilidad (HA) emiten el mismo certificado ACC único. Para obtener másinformación acerca de la alta disponibilidad, consulte la guía de arquitectura recomendada por VMwareAirWatch, disponible en AirWatch Resources.

Cómo se protegen los datos en los entornos localesEl servidor de AirWatch envía cada solicitud a AWCM como un mensaje cifrado y firmado.

n Las solicitudes se cifran mediante la clave pública única de la instancia ACC. Solo ACC puede descifrarlas solicitudes.

n Las solicitudes se firman con la clave privada de la instancia del servidor de AirWatch que es exclusivapara cada grupo. Por lo tanto, ACC solo confía en las solicitudes que vienen del servidor de AirWatchconfigurado.

n Las respuestas de ACC al servidor de AirWatch se cifran con la misma clave de la solicitud y se firmancon la clave privada de ACC.


20 VMware, Inc.

Proceso de instalación deEnterprise Systems Connector 3

Debe realizar varias tareas para configurar e instalar Enterprise Systems Connector en su red interna.

Procedimiento

1 “Determinar qué componentes instalar,” página 22: determine si desea instalar solo el componenteACC o el componente ACC y VMware Identity Manager Connector.

2 “(Solo para clientes locales) Instalar un certificado de canal seguro en AWCM,” página 22: los clienteslocales deben instalar un certificado de canal seguro para establecer la seguridad entre AWCM y lossiguientes componentes: la consola de AirWatch, los servicios del dispositivo, la API y el portal deautoservicio.

3 “Establecer las comunicaciones con AWCM,” página 23: los clientes locales y de SaaS deben establecerlas comunicaciones con AWCM. Esta acción le permite configurar una instancia de AirWatch parautilizar un servidor AWCM concreto.

4 “Obtener el instalador de VMware Enterprise Systems Connector,” página 23: puede descargar elinstalador de Enterprise Systems Connector desde la página de Cloud Connector en la consola deAirWatch como se describe en “Habilitar Enterprise Systems Connector en la consola de AirWatch,”página 24. El instalador también está disponible como parte del asistente para introducción deWorkspace ONE.

5 “Habilitar Enterprise Systems Connector en la consola de AirWatch,” página 24: antes de instalarEnterprise Systems Connector, debe habilitarlo, generar certificados y seleccionar los serviciosempresariales y los servicios de AirWatch para integrarlos. Después de completar este paso, puedeinstalar Enterprise Systems Connector.

6 “Ejecutar el instalador de Enterprise Systems Connector,” página 26: ejecute el instalador deEnterprise Systems Connector en el servidor configurado que cumpla todos los requisitos.

7 “Comprobar que Enterprise Systems Connector se instaló correctamente,” página 32: después deinstalar Enterprise Systems Connector, puede verificar que la instalación se realizara correctamentedesde la consola de AirWatch.


n “Determinar qué componentes instalar,” página 22

n “(Solo para clientes locales) Instalar un certificado de canal seguro en AWCM,” página 22

n “Establecer las comunicaciones con AWCM,” página 23

n “Obtener el instalador de VMware Enterprise Systems Connector,” página 23

n “Habilitar Enterprise Systems Connector en la consola de AirWatch,” página 24

n “Ejecutar el instalador de Enterprise Systems Connector,” página 26

VMware, Inc. 21

n “Comprobar que Enterprise Systems Connector se instaló correctamente,” página 32

Determinar qué componentes instalarAntes de comenzar el proceso de instalación, puede decidir si desea instalar únicamente el componenteACC o instalar ACC y VMware Identity Manager Connector, según sus necesidades empresariales.

Se recomienda instalar los dos componentes de Enterprise Systems Connector a la mayoría de los clientes deWorkspace ONE. Además de las funciones de ACC, la instalación completa incluye la compatibilidad conlas siguientes funciones.

n Escritorios y aplicaciones virtuales de Workspace ONE

n Autenticación de RSA SecurID

n Autenticación de Windows integrada

n Varios Active Directory de confianza o no que no sean de confianza con VMware Identity Manager

n VMware Identity Manager con varias configuraciones de grupo organizativo del directorio en AirWatch

n Plataforma para funciones de integración centradas en la identidad

Si implementó Workspace ONE únicamente con ACC, ese modelo sigue siendo compatible, pero, si tienepensado sacar el máximo partido de cualquiera de estas funciones, se recomienda instalar completamenteEnterprise Systems Connector. Se admite la migración del modelo que solo usa ACC al VMware IdentityManager Connector disponible en Enterprise Systems Connector. Consulte Capítulo 6, “Migrar directoriosde ACC a VMware Identity Manager Connector,” página 61.

(Solo para clientes locales) Instalar un certificado de canal seguro enAWCM

Los clientes locales deben instalar un certificado de canal seguro para garantizar la seguridad entre AWCMy los siguientes componentes: la consola de AirWatch, los servicios del dispositivo, la API y el portal deautoservicio.

IMPORTANTE: Realice los siguientes pasos en el servidor que ejecuta AWCM. No descargue el instaladoren otro equipo ni lo copie en el servidor de AWCM. Si la descarga no se realiza en el servidor que ejecutaAWCM, póngase en contacto con el equipo de soporte de AirWatch para obtener soluciones alternativas.

NOTA: Si realiza cambios en el certificado de canal seguro del almacén de claves de AWCM despuésdescargar e instalar Enterprise Systems Connector o AirWatch Tunnel, debe desinstalarlo, eliminar todas lascarpetas, y volver a descargarlo y a instalarlo.

Procedimiento

1 Acceda a Grupos y ajustes > Todos los ajustes > Sistema > Avanzado > Certificado de canal seguro.

2 Seleccione Descargar instalador del canal seguro de AWCM en la sección AirWatch Cloud Messagingpara comenzar a instalar el script de instalación del certificado de canal seguro.

El instalador de canal seguro para Linux solo se usa para el servicio de notificación de la nube. AWCMsolo se admite en servidores de Windows.

3 Copie el script de instalación Certificado del canal seguro en el servidor de AWCM local y haga clic conel botón secundario en Ejecutar como administrador para ejecutarlo e instalarlo.

4 Escriba o seleccione Examinar para encontrar la ruta de acceso al almacén de confianza y haga clic enAceptar.

5 Seleccione Aceptar cuando aparezca un mensaje que le notifica que el certificado se agregó al almacénde claves.


22 VMware, Inc.

6 Realice los pasos necesarios para Establecer las comunicaciones con AWCM.

7 Siga los pasos para instalar Enterprise Systems Connector.

Establecer las comunicaciones con AWCMLos clientes locales y de SaaS deben establecer las comunicaciones con AWCM. Esta acción le permiteconfigurar una instancia de AirWatch para utilizar un servidor AWCM concreto.

Procedimiento

1 Acceda a Grupos y ajustes > Todos los ajustes > Sistema > Avanzado > Dirección URL de sitio paraconsultar la sección AirWatch Cloud Messaging.

NOTA: Si es cliente de SaaS y no ve esta página en la configuración del sistema, significa que estaconfiguración ya se ha establecido automáticamente.

2 Configure las siguientes opciones.

Configuración Descripción

Habilitar el servidor deAirWatch

Seleccione esta casilla para permitir la conexión entre la consola de AirWatch y el servidorde AWCM.

URL externa delservidor de AirWatch

Este campo le permite introducir el nombre del servidor que utilizan los componentesexternos y los dispositivos (por ejemplo, ACC) para comunicarse con AWCM de formasegura (mediante HTTPS). Un ejemplo de una URL de ACC es Acme.com.No agregue https://, ya que la aplicación lo asume y lo agrega automáticamente.

Puerto externo deAirWatch

Este es el puerto que el nombre del servidor anterior utiliza para comunicarse con AWCM.Para establecer comunicaciones externas seguras, utilice el puerto 443. Si omite la descargaSSL es porque desea usar un puerto de comunicaciones internas que no es seguro. Elpredeterminado es el 2001, pero se puede cambiar a otro puerto.

URL interna delservidor de AWCM

Esta dirección URL le permite acceder a AWCM desde los componentes internos y losdispositivos (p. ej., la consola de administración, los servicios de dispositivos, etc.).Ejemplos de URL de AirWatch: https://Acme.com:2001/awcm ohttp://AcmeInternal.Local/awcm.Si el servidor de AWCM y la consola de AirWatch son internos (dentro de la misma red) ydesea omitir la descarga de SSL, no es necesaria ninguna conexión segura, por lo quepuede utilizar http en lugar de https. Por ejemplo, http://AcmeInternal.Local:2001/awcm.Este ejemplo muestra el servidor que se encuentra dentro de la red interna y se comunicacon el puerto 2001.

Obtener el instalador de VMware Enterprise Systems ConnectorEl instalador de VMware Enterprise Systems Connector está disponible en varias ubicaciones.

El instalador está disponible en la página Grupos y ajustes > Todos los ajustes > Sistema> Integraciónempresarial > Cloud Connector en la consola de AirWatch, como se describe en “Habilitar EnterpriseSystems Connector en la consola de AirWatch,” página 24. También está disponible como parte delasistente Introducción de Workspace ONE. Para usar el asistente Introducción de Workspace ONE, consultela Guía de configuración rápida de VMware Workspace ONE.

Capítulo 3 Proceso de instalación de Enterprise Systems Connector

VMware, Inc. 23

Habilitar Enterprise Systems Connector en la consola de AirWatchAntes de instalar Enterprise Systems Connector, primero debe habilitarlo, generar los certificados yseleccionar los servicios empresariales y de AirWatch que integrará. Después de completar este paso, puedeinstalar Enterprise Systems Connector.

NOTA: Realice los siguientes pasos en el servidor que ejecutará Enterprise Systems Connector. Nodescargue el instalador en otro equipo ni lo copie en el servidor de Enterprise Systems Connector.

Procedimiento

1 Acceda a Grupos y ajustes > Todos los ajustes > Sistema > Integración empresarial > CloudConnector.

2 Configure las siguientes opciones en la pestaña General.


Habilitar Cloud Connector Seleccione esta casilla de verificación para habilitarEnterprise Systems Connector y para que aparezca la pestaña General.

Habilitar la actualización automática Seleccione esta opción para habilitar que Enterprise Systems Connector seactualice automáticamente cuando esté disponible una versión másreciente. Para obtener más información sobre la actualización automática,consulte la información sobre la opción de actualización automática deVMware Enterprise Systems Connector.


24 VMware, Inc.

3 Configure las siguientes opciones en la pestaña Avanzado.


Generar certificados Seleccione este botón para generar un certificado paraEnterprise Systems Connector y para el servidor de AirWatch. Loscertificados se generan para ambos y aparecen en los certificados deVMware Enterprise Systems Connector y de AirWatch.Una vez que se generan los certificados, el botón cambia a Generarcertificados de nuevo. Para obtener más información sobre cómo volver agenerar los certificados, consulte “Regenerar certificados,” página 37.

Comunicación con AWCM En Comunicación con AWCM, seleccione cómoEnterprise Systems Connector se comunica con AWCM.n Utilice la dirección URL externa de AWCM: esta es la opción

predeterminada que se aplicará a la mayoría de las implementaciones.n Utilice la dirección URL interna de AWCM: use esta opción si la

configuración de seguridad limita al servidor deEnterprise Systems Connector para resolver la URL de AWCM externa.Por ejemplo, si Enterprise Systems Connector se encuentra en la redinterna y el servidor AWCM en una DMZ.

Seleccione los botones Habilitado o Deshabilitado para habilitar odeshabilitar Enterprise Services. Los servicios que seleccione (habilitados)se integrarán con Enterprise Systems Connector.n SMTP (transmisión de correo electrónico)

SaaS de AirWatch permite que se envíen correos electrónicos a travésdel propio SMTP, pero aquí puede habilitarEnterprise Systems Connector para utilizar otro servidor SMTP.Especifique la configuración de los servidores SMTP del correoelectrónico en Grupos y ajustes > Todos los ajustes > Sistema >Integración empresarial > Correo electrónico (SMTP).

n Servicios de directorio (LDAP/AD)n Exchange PowerShell (para determinadas puertas de enlace seguras de

correo electrónico)n BES (información del dispositivo móvil y del usuario sincronizado de

BlackBerry)n Syslog (protocolo cliente/servidor que se usa para integrarse con los

datos de los registros de eventos de AirWatch)


VMware, Inc. 25


Enterprise Services Los siguientes componentes solo están disponibles si compró elcomplemento de integración PKI, que está disponible por separado.n Microsoft Certificate Services (PKI)n Protocolo de inscripción de certificados simple (SCEP PKI)n OpenTrust CMS Mobile (servicios de certificados de terceros)n Confiar en PKI (servicios de certificados de terceros)n Symantec MPKI (servicios de certificados de terceros)

Como no es necesario utilizar Enterprise Systems Connector para losservicios de certificados en la nube, si desea integrar los servicios decertificados (como Symantec MPKI) seleccionando una de las casillasde verificación que aparecen en la pantalla siguiente, el servicio queseleccione debe estar en las instalaciones, no en la nube (SaaS).

Servicios de AirWatch Seleccione Habilitado o Deshabilitado para habilitar o deshabilitar losservicios de AirWatch. Los componentes de AirWatch que seleccione(habilitados) se integrarán con Enterprise Systems Connector. AirWatchrecomienda habilitar todos los servicios.n Servicios de dispositivos (la consola de administración y todos los

servicios necesarios para que funcione, incluidos los serviciosrelacionados de Windows)

n Administración de dispositivos (inscripción, catálogo de aplicaciones yservicios relacionados de Windows)

n Portal de autoservicio (incluidos los servicios relacionados deWindows)

n Todos los demás componentes (incluidos los servicios relacionados deWindows)NOTA: (Para clientes en las instalaciones) Si aún no realizó losprocesos para habilitar AWCM para comunicarse con VMware EnterpriseSystems Connector, puede seleccionar Descargar instalador del canalseguro de AWCM para que se redireccione a la página de descargas.NOTA: (Para clientes SaaS) No es necesario descargar el instaladordel certificado de canal seguro.

4 Seleccione la opción Guardar para mantener todas estas configuraciones.

5 Vuelva a la pestaña General y seleccione Descargar el instalador de Cloud Connector.

Aparece la página Descargar el instalador de Cloud Connector.

6 Introduzca una contraseña del certificado de Enterprise Systems Connector en los campos. Seránecesaria la contraseña cuando ejecute el instalador de Enterprise Systems Connector y tendrá queintroducir la contraseña del certificado.

7 Seleccione Descargar y guarde el archivo .exe en el servidor de Enterprise Systems Connector parausarlo posteriormente.

Ejecutar el instalador de Enterprise Systems ConnectorEjecute el instalador de Enterprise Systems Connector en un servidor de Windows que cumpla todos losrequisitos.

El instalador incluye los componentes AirWatch Cloud Connector y VMware Identity Manager Connector.Puede instalar uno o ambos componentes. Tras la instalación inicial, puede volver a ejecutar el instaladorpara modificar cualquier función o actualizar la instalación.


26 VMware, Inc.

Prerequisitos

Se aplican los siguientes requisitos al componente AirWatch Cloud Connector (ACC).

n Antes de comenzar, los clientes locales deben asegurarse de que el servidor en el que se vaya a instalarEnterprise Systems Connector pueda acceder a AWCM. Para ello, debe acceder ahttps://{url}:puerto/awcm/status, donde {url} es la URL del entorno de AirWatch y puerto es elpuerto externo que configuró para comunicarse con AWCM. El estado de AWCM debería aparecer sinerrores de SSL. Si hay errores, resuélvalos antes de continuar o ACC no funcionará correctamente.

n Los clientes de SaaS deben asegurarse de que el servidor en el que vayan a instalarEnterprise Systems Connector pueda acceder a AWCM. Para ello, deben acceder ahttps://awcmXXX.awmdm.com/awcm/status. Reemplace XXX por el mismo número que se utilice en laURL del entorno, por ejemplo, "100" para cn100. El estado de AWCM debería aparecer sin errores deSSL. Si hay errores, resuélvalos antes de continuar o ACC no funcionará correctamente.

Se aplican los siguientes requisitos al componente VMware Identity Manager Connector.

n Los puertos 80 y 8443 deben estar disponibles en el servidor de Windows. Si otros servicios estánusando estos puertos, no podrá instalar el componente VMware Identity Manager Connector.

n El servidor de Windows debe estar unido al dominio y debe instalar el componente VMware IdentityManager Connector como un usuario de dominio que forma parte del grupo de administradores en elservidor de Windows en los siguientes casos.

n Si tiene previsto conectarse a Active Directory (autenticación de Windows integrada)

n Si tiene previsto utilizar la autenticación Kerberos

n Si tiene previsto integrar Horizon View con VMware Identity Manager y quiere usar las opcionesRealizar sincronización de directorio o Configurar servidor de conexión 5.x.

En estos casos, también debe ejecutar el servicio de IDM Connector como usuario de dominio durantela instalación.

n Para que el instalador pueda acceder a los dominios y a los usuarios y pueda validarlos durante lainstalación, deben cumplirse los siguientes requisitos.

n El sistema de destino debe estar unido al dominio.

n El servicio Explorador de equipos debe estar habilitado y en ejecución.

n El firewall debe configurarse con una excepción para el servicio Explorador de equipos.

n Debe habilitarse NetBIOS a través de TCP/IP en el sistema de destino.

n Debe configurarse un sistema de explorador principal en la red.

n Debe habilitarse el tráfico de difusión en la red.

Procedimiento

1 Haga doble clic en el instalador.

2 En la pantalla Bienvenido, haga clic en Siguiente.

El instalador comprueba los requisitos en el servidor. Si .NET Framework no está instalado, se le pediráque lo instale y que reinicie el servidor. Después de reiniciarlo, vuelva a ejecutar el instalador deEnterprise Systems Connector para reanudar el proceso de instalación.

Si hay una versión anterior de ACC instalada, el instalador la detecta automáticamente y ofrece laopción de actualizarla a la versión más reciente. Para obtener más información sobre la actualización deACC, consulte Actualizaciones de ACC.

3 Acepte el acuerdo de licencia y haga clic en Siguiente.


VMware, Inc. 27

4 En la página de instalación personalizada, seleccione los componentes que se van a instalar.

De forma predeterminada, tanto AirWatch Cloud Connector como VMware Identity ManagerConnector están seleccionados. Para anular la selección de un componente, haga clic en la flecha deexpansión y seleccione Esta característica no estará disponible.

Para obtener más información sobre los componentes, consulte “Determinar qué componentes instalar,”página 22.

5 Si es necesario, seleccione la opción Cambiar... para cambiar el directorio de instalación. A

continuación, haga clic en Siguiente.

El componente VMware Identity Manager Connector requiere Java Runtime Environment (JRE™). Si elservidor de Windows no tiene JRE instalado o si tiene una versión anterior a la que se incluye con elinstalador, se le solicitará que lo instale. Tenga en cuenta que las versiones de JRE existentes no seeliminan cuando se instala la versión necesaria.

6 Compruebe la carpeta de destino y, a continuación, haga clic en Siguiente.

7 Introduzca la contraseña del certificado de ACC que proporcionó en la página Configuración delsistema de AirWatch y, a continuación, haga clic en Siguiente.


28 VMware, Inc.

8 Si tiene previsto establecer conexiones proxy del tráfico de ACC a través de un proxy saliente,

seleccione la casilla de verificación y proporcione la información del servidor proxy.

Si es necesario, introduzca el nombre de usuario y la contraseña.

NOTA: La configuración de esta página solo se aplica a ACC. La información del servidor proxy paraVMware Identity Manager Connector se introduce por separado más adelante.

9 Haga clic en Siguiente.


VMware, Inc. 29

10 (Solo VMware Identity Manager Connector) En la página de configuración de IDM Connector,introduzca la siguiente información y, a continuación, haga clic en Siguiente.

Opción Descripción

Puerto de IDM Connector Introduzca un número de puerto si desea que VMware Identity ManagerConnector se ejecute en un puerto distinto al 443.

¿Desea utilizar su propio certificadoSSL?

De forma predeterminada, se genera un certificado autofirmado paraVMware Identity Manager Connector durante el proceso de instalación.Puede instalar un certificado firmado más tarde si inicia sesión en laspáginas de administración del conector enhttps://NombreHostvidmConnector:8443/cfg/login y accede a la página deinstalar el certificado.Si ya dispone de un certificado y desea instalarlo ahora, seleccione lacasilla de verificación y, a continuación, seleccione el certificado eintroduzca la contraseña del certificado. El certificado debe estar enformato PFX.

¿Está usando un proxy HTTPS? Si es necesario, seleccione esta opción para configurar un servidor proxyHTTPS para las comunicaciones salientes.Proxy HTTPS: la URL del servidor proxy. Los servidores proxy querequieren autenticación no son compatibles.Puerto de proxy: el puerto del servidor proxy HTTPS.Hosts que no son proxy: hosts a los que puede acceder VMware IdentityManager Connector sin tener que pasar por el servidor proxy. Por ejemplo,localhost o los hosts en la misma subred.


30 VMware, Inc.

11 (Solo VMware Identity Manager Connector) En la página de activación de VMware IDM Connector,seleccione la casilla de verificación si desea activar el conector inmediatamente.


Código de activación Si VMware Identity Manager está configurado en el grupo organizativo deAirWatch desde el que descargó el instalador, este campo se rellenarápreviamente con el código de activación.Si el campo no se rellena automáticamente, genere un código de activaciónen la consola de administración de VMware Identity Manager, cópielo ypéguelo aquí. Para obtener más información, consulte “Generar código deactivación para VMware Identity Manager Connector,” página 41.

Contraseña del administrador Cree una contraseña para las páginas de administración del conector.Puede acceder a estas páginas para recopilar paquetes de archivos deregistro y para cargar certificados.

Confirmar contraseña Vuelva a introducir la contraseña. Si no activa VMware Identity Manager Connector ahora, puede activarlo en otro momento desdehttps://NombreHostvidmConnector:8443. Por ejemplo, https://myconnector.example.com:8443.


13 (Solo VMware Identity Manager Connector) En la página de la cuenta de servicio de IDM Connector,seleccione la casilla de verificación si desea ejecutar el servicio de IDM Connector como un usuario dedominio de Windows.

Debe ejecutar el servicio como un usuario de dominio en los siguientes casos.

n Si tiene previsto conectarse a Active Directory (autenticación de Windows integrada)


n Si tiene previsto integrar Horizon View con VMware Identity Manager y desea usar las opcionesRealizar sincronización de directorio o Configurar servidor de conexión 5.x.


VMware, Inc. 31

NOTA: Para realizar cualquier selección en esta página, debe ejecutar el instalador como un usuario dedominio que forma parte del grupo de administradores en el servidor de Windows.

NOTA: Si no encuentra dominios ni usuarios al hacer clic en Examinar, compruebe que cumple losrequisitos.


15 Haga clic en Instalar para comenzar la instalación.

El instalador muestra una casilla de verificación para actualizar ACC de forma automática. Para obtenermás información sobre la actualización automática, consulte la información sobre la opción deactualización automática de ACC.

16 Haga clic en Finalizar.

Comprobar que Enterprise Systems Connector se instalócorrectamente

Después de instalar Enterprise Systems Connector, puede verificar que la instalación se realizócorrectamente desde la consola de AirWatch.

NOTA: La opción Probar conexión solo se aplica al componente ACC de Enterprise Systems Connector. Nose aplica al componente VMware Identity Manager Connector.

Procedimiento

1 Acceda a Grupos y ajustes > Todos los ajustes > Sistema > Integración empresarial > CloudConnector.

2 Seleccione la opción Probar conexión en la parte inferior de la pantalla y aparecerá el siguiente mensaje.

3 Si está migrando, determine qué funciones son nuevas y pruebe las nuevas funcionalidades para

verificar que la migración se realizó correctamente.


32 VMware, Inc.

Qué hacer a continuación

Ahora que Enterprise Systems Connector está instalado correctamente, puede usarlo para integrarlo con lainfraestructura del servicio del directorio.


VMware, Inc. 33


34 VMware, Inc.

Administración de ACC 4Esta sección contiene información sobre cómo actualizar el componente ACC y sobre cómo volver a generarcertificados.


n “Actualizaciones de ACC,” página 35

n “Realizar una actualización de ACC manual,” página 37

n “Regenerar certificados,” página 37

Actualizaciones de ACCActualice AirWatch Cloud Connector (ACC) desde la consola de AirWatch para sacar el máximo partido delas correcciones de errores y de las mejoras más recientes. Puede automatizar este proceso mediante laopción de actualización automática de ACC o ejecutarlo manualmente en situaciones en las que el controladministrativo es una prioridad.

NOTA: Para obtener información sobre la actualización del componente VMware Identity ManagerConnector, consulte “Actualizar el conector de VMware Identity Manager,” página 59.

Actualización automática de ACCCuando instale ACC, la casilla de verificación de actualización automática se selecciona de formapredeterminada. La actualización automática permite que ACC se actualice automáticamente a la versiónmás reciente sin que intervenga el usuario, ya que solicita a AirWatch las versiones más recientes ACC.AirWatch le recomienda permitir la actualización automática (no desmarque la casilla de verificación). Sinembargo, es opcional para aquellos entornos y situaciones en las que se prefieren las actualizacionesmanuales.

NOTA: La opción de actualización automática solo se aplica al componente ACC deEnterprise Systems Connector. No se aplica al componente VMware Identity Manager Connector.

Ventajas de la actualización automátican No es necesario determinar manualmente si necesita actualizar y buscar la versión más reciente de

ACC, ya que el software lo hace por usted.

n Siempre contará con las últimas funciones, mejoras y correcciones,

n y lo más importante: tendrá las medidas de seguridad más recientes.

VMware, Inc. 35

Proceso de actualizaciónLa actualización automática de ACC se realiza utilizando las carpetas Banco1 y Banco2 que se encuentran enla carpeta Cloud Connector. AirWatch detecta cuál de estas carpetas está vacía y envía los archivos de ACCadecuados a dicha carpeta, además de vaciar el contenido de la otra. Para la actualización posterior,AirWatch repite todo el proceso, excepto la carpeta alternativa. Este proceso se repite cada vez que seactualiza una nueva versión automáticamente. Este proceso se muestra en la figura Flujo del proceso deactualización.

IMPORTANTE: No elimine las carpetas Banco1 ni Banco2. Las carpetas Banco1 y Banco2 son esencialespara el proceso de actualización automática de ACC.

Figura 4‑1. Flujo del proceso de actualización

Seguridad de la actualización automáticaLas actualizaciones automáticas de ACC se realizan teniendo en cuenta la seguridad. La consola deAirWatch firma las actualizaciones y ACC las verifica, para que solo se actualicen con una actualización deconfianza. El proceso de actualización también es transparente para el administrador de AirWatch. ACCsabe cuándo hay una versión más reciente disponible al solicitarla a través del puerto 443 de la consola deAirWatch y, cuando la hay, se produce la actualización.

ACC no estará disponible mientras se actualiza a la versión más reciente, por lo que se producirá una brevepérdida de servicio (es decir, aprox. 1 minuto). Cuando se instalan varios servidores ACC, AirWatchincorpora un temporizador aleatorio al proceso de actualización para que se produzcan interrupciones deACC en diferentes momentos durante períodos breves de tiempo y, así, asegurarse de que todos losservicios de ACC no estén inactivos al mismo tiempo.

Si ACC se actualiza automáticamente, la versión que aparece en Agregar o quitar programas no cambiará: laversión original seguirá apareciendo. La versión que aparece en Agregar o quitar programas cambiará solocuando ejecute el instalador completo de ACC. La mejor forma de comprobar si la actualización automáticase realizó correctamente es buscar en los registros ACC qué versión está en ejecución.

Efectos de deshabilitar la actualización automáticaSi elige deshabilitar esta función y ACC no se actualiza, ACC permanece operativo hasta que se producecualquiera de las siguientes situaciones.

n ACC se apaga y, a continuación, se enciende (intencionadamente o por un corte de suministro eléctrico).

n ACC debe volver a instalarse.

n La consola de AirWatch se actualizó a una versión posterior.

n Se vuelven a generar los certificados de AirWatch, AWCM o ACC. Cuando se vuelvan a generar loscertificados, se debe instalar y reiniciar la versión más reciente de ACC para que estos se reconozcan.


36 VMware, Inc.

Realizar una actualización de ACC manualAirWatch no recomienda realizar una actualización manual de ACC, pero este método está disponible comoopción si se ajusta mejor a las necesidades de su entorno. Para obtener más información sobre la alternativa,consulte el apartado sobre la actualización automática de ACC.

Procedimiento

1 Asegúrese de que la actualización automática esté desactivada en la consola de AirWatch. Esta acciónguardará los archivos .zip de ACC más recientes en los servidores de ACC cuando la consola seactualiza. Asimismo, también creará entradas en el archivo de registro de ACC para notificarle que esnecesario actualizar ACC.

2 Detenga el servicio de AirWatch Cloud Connector.

3 Realice uno de los siguientes métodos.

a El primer método es descomprimir manualmente los archivos .zip de ACC en la carpeta Banco quese menciona en el archivo de registro. Sobrescriba los archivos existentes en esta carpeta o eliminetodos los archivos. Al reiniciar el servicio de Cloud Connector, se actualizará la versión de ACC.

b El segundo método es utilizar cualquiera de las carpetas Banco. En este caso, mantenga losarchivos .config o .config.old disponibles en la otra carpeta Banco, para que el archivo .config sepueda reparar con los valores personalizados. Descomprima los archivos y reinicie el servicio deCloud Connector, que se ejecutará con la versión actualizada.

Regenerar certificadosEs posible que necesite volver a generar los certificados que usa para los servidores de AirWatch y deAirWatch Cloud Connector (ACC), por ejemplo, si caducan o si la organización necesita que se realice esteproceso de forma regular. El proceso es simple y se lleva a cabo en la consola de AirWatch; sin embargo, esnecesario que descargue y ejecute el instalador de ACC de nuevo.

Los certificados contienen una huella digital y la fecha de caducidad. Ambos valores se pueden eliminar yregenerar al mismo tiempo seleccionando el botón Generar certificados de nuevo y siguiendo lasinstrucciones. Si regenera los certificados, ACC ya no podrá comunicarse con AirWatch y será necesario quevuelva a realizar la instalación para permitir que ambos servidores reconozcan los nuevos certificados.

Procedimiento

1 Acceda a Grupos y ajustes > Todos los ajustes > Sistema > Integración empresarial > CloudConnector. Ambos certificados, las huellas digitales y las fechas de caducidad aparecen en la pestañaAvanzado.

Capítulo 4 Administración de ACC

VMware, Inc. 37

2 Seleccione Generar certificados de nuevo para generar un nuevo certificado para los servidores deACC y de AirWatch.


38 VMware, Inc.

3 Si es necesario, introduzca el PIN de seguridad para confirmar la acción y acepte el mensaje deadvertencia. Se eliminan los certificados antiguos y se vuelven a generar los nuevos, las huellas digitalesy las fechas de caducidad.

Figura 4‑2.

Al introducir el PIN para confirmar, ACC ya no puede comunicarse con el servidor de AirWatch. Pararestaurar la comunicación entre ACC y el servidor de AirWatch, vuelva a Instalar ACC y complete todos lospasos de nuevo. De esta forma, se permite que los dos servidores puedan reconocer el certificado másreciente y recuperar las comunicaciones.

Capítulo 4 Administración de ACC

VMware, Inc. 39


40 VMware, Inc.

Configuración de VMware IdentityManager Connector 5

Esta sección contiene información sobre cómo configurar VMware Identity Manager Connector y gestionarla configuración del administrador. También incluye información de configuración avanzada.


n “Configurar VMware Identity Manager Connector,” página 41

n “Gestionar la configuración de administración de VMware Identity Manager Connector,” página 47

n “Habilitar la configuración del proxy tras la instalación,” página 50

n “Configurar alta disponibilidad para VMware Identity Manager Connector,” página 51

n “Agregar la compatibilidad con la autenticación Kerberos a la implementación de VMware IdentityManager Connector,” página 54

n “Eliminar una instancia de VMware Identity Manager Connector,” página 59

n “Actualizar el conector de VMware Identity Manager,” página 59

Configurar VMware Identity Manager ConnectorDespués de instalar el componente VMware Identity Manager Connector, debe configurarlo.

Para configurar VMware Identity Manager Connector, debe realizar las siguientes tareas.

1 Genere un código de activación y active el conector si no lo hizo durante la instalación.

2 Configure un directorio.

3 Habilite los adaptadores de autenticación en el conector.

4 Habilite el modo de salida del conector.

Generar código de activación para VMware Identity Manager ConnectorInicie sesión en la consola de administración de VMware Identity Manager y genere un código de activaciónpara VMware Identity Manager Connector. El código de activación se utiliza para establecer lacomunicación entre el arrendatario y la instancia del conector.

NOTA: Si VMware Identity Manager está configurado en el grupo organizativo de AirWatch desde el quedescargó el instalador, no necesita generar el código de activación. Si va a activar el conector desde elinstalador, el campo Código de activación se rellenará automáticamente con el código de activación.Continúe con el instalador.

VMware, Inc. 41

Prerequisitos

(Entornos de SaaS) Tiene la URL del arrendatario de VMware Identity Manager, por ejemplo,miempresa.vmwareidentity.com. Cuando reciba el correo electrónico de confirmación, diríjase a la URL delarrendatario e inicie sesión con las credenciales de administrador local que recibió. Este administrador es unusuario local.

Procedimiento

1 Inicie sesión en la consola de administración.

2 (Entornos de SaaS) Haga clic en Aceptar para aceptar los Términos y condiciones.

3 Haga clic en la pestaña Administración de acceso e identidad.

4 Haga clic en Configurar.

5 En la página Conectores, haga clic en Agregar conector.

6 Introduzca un nombre para conector.

7 Haga clic en Generar código de activación.

El código de activación se muestra en la página.

8 Copie el código de activación y guárdelo.


Si va a activar el componente del conector VMware Identity Manager mientras ejecuta el instalador deEnterprise Systems Connector, copie y pegue el código del conector en la página del instalador para activarVMware IDM Connector.

Si va a activar el componente del conector VMware Identity Manager tras la instalación, consulte “ActivarVMware Identity Manager Connector,” página 42.

Activar VMware Identity Manager ConnectorSi no activó VMware Identity Manager Connector desde el instalador de Enterprise Systems Connectordurante la instalación, puede activarlo en otro momento si accede a la dirección URLhttps://NombreHostvidmConnector:8443.

Prerequisitos

Tiene un código de activación del conector.


42 VMware, Inc.

Procedimiento

1 Acceda a la dirección URL https://NombreHostvidmConnector:8443.

Especifique NombreHostvidmConnector como nombre de dominio completo. Por ejemplo,https://miconector.ejemplo.com:8443.

2 En la página principal, haga clic en Continuar.

3 En la página Establecer contraseñas, cree una contraseña para las páginas de administración delconector, a continuación, haga clic en Continuar.

Puede acceder a estas páginas para recopilar paquetes de archivos de registro y para cargar certificados.

4 En la página Activar conector, introduzca el código de activación y haga clic en Continuar.

Cuando el conector se active correctamente, aparecerá el mensaje La configuración se completó.

Configurar un directorioDespués de instalar y activar VMware Identity Manager Connector, configure un directorio en la consola deadministración de VMware Identity Manager y establezca la conexión con el directorio empresarial parasincronizar usuarios y grupos con el servicio.

VMware Identity Manager admite la integración de los siguientes tipos de directorios.

n Active Directory mediante LDAP

n Active Directory (Autenticación de Windows integrada)

n directorio LDAP

Consulte la guía Integración de directorios con VMware Identity Manager para obtener más información antes deconfigurar el directorio. Aquí se enumeran las tareas de alto nivel.

Prerequisitos

Los requisitos dependen del tipo de directorio que esté integrando. Consulte la guía de Integración dedirectorios con VMware Identity Manager para obtener más información.

Procedimiento

1 Inicie sesión en la consola de administración de VMware Identity Manager.

Tip También puede acceder a la consola de administración haciendo clic en el vínculo Inicie sesión enla consola de administración de la página La configuración se completó, que aparece después deactivar el conector.

Capítulo 5 Configuración de VMware Identity Manager Connector

VMware, Inc. 43

2 Seleccione los atributos de usuario que se sincronizarán con el directorio.

a Haga clic en la pestaña Administración de acceso e identidad y, a continuación, en Configuración.

b En la pestaña Atributos de usuario, seleccione los atributos obligatorios y, si es necesario, agregueatributos adicionales.

Si un atributo está marcado como obligatorio, solo se sincronizan al servicio los usuarios con dichoatributo.

IMPORTANTE: Tenga en cuenta los siguientes límites.

n Después de crear el directorio, no podrá cambiar un atributo opcional a obligatorio. Debeelegir esa opción ahora.

n Las configuraciones de la página Atributos de usuario se aplican a todos los directorios delservicio. Cuando establezca un atributo como obligatorio, tenga en cuenta el efecto que puedacausar en otros directorios.

n Si va a sincronizar recursos publicados por Citrix con VMware Identity Manager, debeconvertir distinguishedName en atributo obligatorio.

3 Haga clic en Agregar directorio y seleccione el tipo de directorio que desea agregar.

4 Siga las instrucciones del asistente para introducir la información de la configuración del directorio,seleccione los grupos y los usuarios que desea sincronizar y sincronice los usuarios al servicio deVMware Identity Manager.

Consulte "Configurar la conexión de Active Directory con el servicio" en la guía Integración de directorioscon VMware Identity Manager para obtener más información.


Haga clic en la pestaña Usuarios y grupos y verifique que los usuarios estén sincronizados.

Habilitar los adaptadores de autenticación en VMware Identity ManagerConnector

Existen varios adaptadores de autenticación disponibles para VMware Identity Manager Connector enmodo de salida, entre los que se incluyen PasswordIdpAdapter, RSAAIdpAdapter, SecurIDAdapter yRadiusAuthAdapter. Configure y habilite los adaptadores que pretenda utilizar.

Cuando se crea el directorio, se habilita automáticamente el método de autenticación Contraseña para él.PasswordIdpAdapter se configuró con la información que proporcionó para el directorio.

Procedimiento

1 En la consola de administración de VMware Identity Manager, haga clic en la pestaña Administraciónde acceso e identidad.

2 Haga clic en Configuración y, a continuación, en la pestaña Conectores.

Aparece el conector que implementó.

3 Haga clic en el vínculo de la columna Trabajo.

4 Haga clic en la pestaña Adaptadores de autenticación.

Aparecen todos los adaptadores de autenticación disponibles.

Si ya configuró un directorio, PasswordIdpAdapter ya está configurado y habilitado, con la informaciónde la configuración que especificó al crear el directorio.


44 VMware, Inc.

5 Configure y habilite los adaptadores de autenticación que desee utilizar haciendo clic en el vínculo decada uno de ellos e introduciendo la información de la configuración. Debe habilitar al menos unadaptador de autenticación.

Para obtener más información sobre cómo configurar adaptadores de autenticación específicos, consultela Guía de administración de VMware Identity Manager.

Por ejemplo:

Habilitar el modo de salida de VMware Identity Manager ConnectorPara habilitar el modo de conexión de solo salida de VMware Identity Manager Connector, asocie elconector al proveedor de identidades integrado.

El proveedor de identidades integrado está disponible de forma predeterminada en el servicio deVMware Identity Manager y proporciona métodos adicionales de autenticación integrados como VMwareVerify. Para obtener más información sobre el proveedor de identidades integrado, consulte la Guía deadministración de VMware Identity Manager.

NOTA: El conector puede utilizarse simultáneamente en el modo normal y el de salida. Incluso si sehabilita el modo de salida, aún podrá configurar la autenticación de Kerberos para los usuarios internosmediante directivas y métodos de autenticación.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, haga clic enAdministrar.

2 Haga clic en la pestaña Proveedor de identidades.

3 Haga clic en el vínculo Integrado.


VMware, Inc. 45

4 Escriba la siguiente información.


Usuarios Seleccione el directorio o los dominios que usarán el proveedor deidentidades integrado.

Red Seleccione los rangos de red que usarán el proveedor de identidadesintegrado.

Conector(es) Seleccione el conector que configuró.NOTA: Posteriormente, cuando agregue conectores adicionales para unaalta disponibilidad, seleccione y agregue todos para asociarlos con elproveedor de identidades integrado. VMware Identity Manager distribuyeel tráfico de forma automática entre todos los conectores asociados alproveedor de identidades integrado. No es necesario un equilibrador decarga.

Métodos de autenticación delconector

Aparecen los métodos de implementación que habilitó para el conector.Seleccione los métodos de autenticación que desea utilizar.El PasswordIdpAdapter, que se configuró y se habilitó automáticamentecuando creó un directorio, aparece en esta página como Contraseña(implementación en la nube), que afirma que se utiliza con el conector enmodo de salida.

Por ejemplo:

5 Haga clic en Guardar para guardar la configuración del proveedor de identidades integrado.

6 Edite las directivas para usar los métodos de autenticación que habilitó.

a En la pestaña Administración de acceso e identidad, haga clic en Administrar.

b Haga clic en la pestaña Directivas y, a continuación, en la directiva que desee editar.

c En Reglas de la directiva, en la regla que desee editar, haga clic en el vínculo de la columnaMétodo de autenticación.

d En la página Editar regla de directivas, seleccione el método de autenticación que desea usar paraesta regla.


46 VMware, Inc.

e Haga clic en Aceptar.

f Haga clic en Guardar.

Para obtener más información sobre la configuración de directivas, consulte la Guía de administración deVMware Identity Manager.

El modo de salida del conector está habilitado. Cuando un usuario inicia sesión con uno de los métodos deautenticación que habilitó para el conector en la página Proveedor de identidades integrado, no es necesarioun redireccionamiento HTTP al conector.

Gestionar la configuración de administración de VMware IdentityManager Connector

Después de establecer la configuración inicial de VMware Identity Manager Connector, puede acceder a laspáginas de administración del conector en cualquier momento para instalar los certificados, administrar lascontraseñas y descargar los archivos de registro.

Las páginas de administración de VMware Identity Manager Connector están disponibles enhttps://connectorFQDN:8443/cfg/login, por ejemplo, https://myconnector.example.com:8443/cfg/login. Iniciesesión como usuario administrador del conector con la contraseña de administrador que creó cuando instalóel conector.

Tabla 5‑1. Configuración del conector


Instalar el certificado Puede instalar un certificado autofirmado o personalizadopara el conector. Si el conector está configurado con unequilibrador de carga, puede instalar el certificado raíz delequilibrador de carga. La ubicación del certificado de CAraíz del conector se muestra también en esta página, en lapestaña Terminar SSL en un equilibrador de carga.

Cambiar contraseña Esta página permite cambiar la contraseña deadministrador del conector.

Ubicaciones de los archivos de registro Puede acceder a los archivos de registro del conectordirectamente en el equipo del host o empaquetar losarchivos de registro del conector en un archivo zip paradescargarlo.

Utilizar certificados SSLCuando el dispositivo VMware Identity Manager Connector está instalado, se genera automáticamente uncertificado de servidor SSL predeterminado. Este certificado autofirmado se puede utilizar para unacomprobación general de la implementación. VMware recomienda encarecidamente generar e instalarcertificados SSL comerciales en el entorno de producción.

Una autoridad de certificación (CA) es una entidad de confianza que garantiza la identidad del certificado yde su creador. Si un certificado está firmado por una CA de confianza, los usuarios dejan de recibir mensajesen los que se les pide que verifiquen el certificado.

Si se implementa VMware Identity Manager Connector con el certificado SSL autofirmado, el certificado deCA raíz debe estar disponible como CA de confianza para todos los clientes que accedan al conector. Losclientes pueden incluir equipos de usuarios finales, equilibradores de carga, servidores proxy, etc. Puededescargar la CA raíz de https://FQDNconector/horizon_workspace_rootca.pem.


VMware, Inc. 47

Instalar un certificado firmado por una CA para VMware Identity ManagerConnectorAl instalar el servicio VMware Identity Manager Connector, se genera un certificado de servidor SSLautofirmado predeterminado. Debe generar e instalar certificados SSL comerciales para el entorno deproducción.

NOTA: Si el conector se dirige a un equilibrador de carga, el certificado SSL se aplica al equilibrador decarga.

Prerequisitos

Genere una solicitud de firma del certificado (CSR) y obtenga un certificado válido y firmado de unaautoridad de certificación. Si su organización proporciona certificados SSL firmados por una CA, podráutilizar estos certificados. El certificado debe estar en formato PEM.

Procedimiento

1 Inicie sesión en las páginas de administración de VMware Identity Manager Connector enhttps://connectorFQDN:8443/cfg/login como usuario administrador.

2 Haga clic en Instalar el certificado.

3 En la pestaña Terminar SSL en el dispositivo Identity Manager, en la opción Certificado SSL, seleccioneCertificado personalizado.

4 En el cuadro de texto Cadena de certificados SSL, pegue los certificados de host, intermedio y raíz, enese orden.

El certificado SSL solo funciona si se incluye toda la cadena de certificados en el orden correcto. Paracada certificado, copie todo lo que hay entre las líneas -----BEGIN CERTIFICATE----- y -----ENDCERTIFICATE----, incluyendo estas líneas.

Asegúrese de que el certificado incluya el nombre de host de FQDN.

5 Pegue la clave privada en el cuadro de texto Clave privada. Copie todo entre ----BEGIN RSA PRIVATEKEY y ---END RSA PRIVATE KEY.

6 Haga clic en Guardar.

Ejemplo: Ejemplos de certificados

Ejemplo de cadena de certificados

-----BEGIN CERTIFICATE-----

jlQvt9WdR9Vpg3WQT5+C3HU17bUOwvhp/r0+.........W53+O05j5xsxzDJfWr1lqBlFF/OkIYCPcyK1

-----END CERTIFICATE-----


WdR9Vpg3WQT5+C3HU17bUOwvhp/rjlQvt90+.........O05j5xsxzDJfWr1lqBlFF/OkIYCPW53+cyK1



48 VMware, Inc.

Ejemplo de cadena de certificados


dR9Vpg3WQTjlQvt9W5+C3HU17bUOwvhp/r0+.........5j5xsxzDJfWr1lqW53+O0BlFF/OkIYCPcyK1


Ejemplo de clave privada

-----BEGIN RSA PRIVATE KEY-----

jlQvtg3WQT5+C3HU17bU9WdR9VpOwvhp/r0+.........1lqBlFFW53+O05j5xsxzDJfWr/OkIYCPcyK1

-----END RSA PRIVATE KEY-----

Administrar las contraseñas de VMware Identity Manager ConnectorAl instalar VMware Identity Manager Connector, se crea una contraseña para el usuario administrador.Puede cambiar esta contraseña en las páginas de administración del conector.

IMPORTANTE: Asegúrese de crear contraseñas seguras. Las contraseñas seguras deben tener al menosocho caracteres e incluir mayúsculas, minúsculas y al menos un dígito o un carácter especial.

Procedimiento


2 Haga clic en Cambiar contraseña.

3 Introduzca las contraseñas antigua y nueva.

IMPORTANTE: La contraseña del usuario administrador debe tener 6 caracteres como mínimo.


Consultar los archivos de registroLos archivos de registro de VMware Identity Manager Connector pueden ser útiles para depurar errores ysolucionar problemas. Puede encontrar los archivos de registro en el directorioDirectorioInstalación\IDMConnector\opt\vmware\horizon\workspace\logs.

Los siguientes archivos de registro son los más importantes.


VMware, Inc. 49

Tabla 5‑2. Archivos de registro

ComponenteUbicación del archivo deregistro en Windows Descripción

Registros delconfigurador

DirectorioInstalación\IDMConnector\opt\vmware\horizon\workspace\logs\configurator.log

Solicitudes que recibe el configurador delcliente de REST y de la interfaz web.

Registros delconector

DirectorioInstalación\IDMConnector\opt\vmware\horizon\workspace\logs\connector.log

Un registro de cada solicitud recibidadesde la interfaz web. Cada entrada delregistro incluye también la URL, la marcade hora y las excepciones de la solicitud.No se registra ninguna acción desincronización.

Registros deApache Tomcat

DirectorioInstalación\IDMConnector\opt\vmware\horizon\workspace\logs\catalina.log

Apache Tomcat registra los mensajes queno se registran en otros archivos deregistro.

También puede descargar un paquete de archivos de registro de las páginas de administración de VMwareIdentity Manager Connector.

Descargar un paquete de registrosPuede descargar un paquete de archivos de registro para VMware Identity Manager Connector desde laspáginas de administración del conector. Los archivos de registro pueden ser útiles para depurar errores ysolucionar problemas.

Para recopilar registros de cada instancia del conector del entorno, inicie sesión en las páginas deadministración de cada instancia.

Procedimiento


2 Haga clic en Ubicaciones de los archivos de registro y en Preparar paquete de registro.

La información se recopila en un archivo zip que puede descargar.

3 Descargue el paquete de registros.

Habilitar la configuración del proxy tras la instalaciónSi no estableció la configuración del proxy HTTPS para el componente VMware Identity ManagerConnector durante la instalación, puede configurarlos más tarde editando el archivoC:\INSTALL_DIR\opt\vmware\horizon\workspace\conf\wrapper.conf.

Procedimiento

1 Inicie sesión en el servidor de Windows.

2 Abra el siguiente archivo en un editor de texto:

C:\INSTALL_DIR\opt\vmware\horizon\workspace\conf\wrapper.conf

3 Añada las siguientes entradas después de la última entrada wrapper.java.additional:

wrapper.java.additional.32="-Dhttps.proxyHost=servidorproxy"

wrapper.java.additional.33="-Dhttps.proxyPort=puertodeservidorproxy"


50 VMware, Inc.

donde servidorproxy es el servidor proxy HTTPS, puertodeservidorproxy es el puerto del servidor proxyHTTPS y el número se corresponde con el número de la entrada wrapper.java.additional. Por ejemplo,si el archivo ya tiene 31 entradas wrapper.java.additional, use 32 y 33 para las nuevas entradas, tal ycomo se muestra en el ejemplo.

4 Si ejecuta el servicio IDM Connector como usuario de dominio, también debe agregar las siguienteslíneas:

wrapper.ntservice.account=DOMINIO/nombredeusuario

wrapper.ntservice.password=******

Por ejemplo:

wrapper.ntservice.account=example/userA

wrapper.ntservice.password=******

5 Desde la línea de comandos, ejecute los siguientes comandos como administrador:

a C:\INSTALL_DIR\usr\local\horizon\scripts\horizonService.bat reinstall

El comando debe devolver el siguiente resultado:

Derived instance name: workspace

Reinstalling instance at

C:\VMware\IDMConnector\opt\vmware\horizon\workspace

wrapper | Service is running. Stopping it...

wrapper | Waiting to stop...

wrapper | VMware IDM Connector stopped.

wrapper | VMware IDM Connector removed.

wrapper | VMware IDM Connector installed.

b C:\VMware\IDMConnector\usr\local\horizon\scripts\horizonService.bat start

El comando debe devolver el siguiente resultado:

Derived instance name: workspace

Starting instance at C:\VMware\IDMConnector\opt\vmware\horizon\workspace

wrapper | Starting the VMware IDM Connector service...

wrapper | VMware IDM Connector started.

Configurar alta disponibilidad para VMware Identity ManagerConnector

Puede configurar VMware Identity Manager Connector para obtener alta disponibilidad y conmutación porerror. Para ello, agregue varias instancias del conector a un clúster. Aunque una de las instancias delconector deje de estar disponible por algún motivo, el resto de las instancias seguirá disponible.

Para crear un clúster, instale nuevas instancias del conector y configúrelas exactamente igual que el primerconector.

A continuación debe asociar todas las instancias del conector con el proveedor de identidades integrado. Elservicio de VMware Identity Manager distribuye el tráfico de forma automática entre todos los conectoresasociados al proveedor de identidades integrado. No es necesario un equilibrador de carga. Si uno de losconectores no se encuentra disponible por un problema de red, el servicio no le enviará el tráfico. Cuando serestaura la conectividad, el servicio reanuda el envío del tráfico al conector.


VMware, Inc. 51

Después de configurar el clúster del conector, los métodos de autenticación que habilitó en el conector sonde alta disponibilidad. La autenticación sigue disponible aunque una de las instancias del conector no loesté. Sin embargo, en la sincronización de directorios, tendrá que seleccionar manualmente otra instancia delconector como el conector de sincronización si se produce un error en la instancia del conector. Esto se debea que la sincronización de directorios solo se puede habilitar en un conector a la vez.

NOTA: Esta sección no se aplica a la alta disponibilidad de la autenticación Kerberos. Consulte “Agregar lacompatibilidad con la autenticación Kerberos a la implementación de VMware Identity ManagerConnector,” página 54.

Instalar instancias adicionales de VMware Identity Manager ConnectorDespués de instalar y configurar la primera instancia de VMware Identity Manager Connector, puedeagregar conectores adicionales para obtener una alta disponibilidad al instalar nuevas instancias delconector y configurarlas del mismo modo que la primera.

IMPORTANTE: Las nuevas instancias del conector deben activarse con el mismo servicio deVMware Identity Manager que la primera instancia del conector.

Prerequisitos

Debe tener instalada y configurada la primera instancia del conector, como se describe en “Ejecutar elinstalador de Enterprise Systems Connector,” página 26.

Procedimiento

1 Siga estas instrucciones para instalar y configurar una nueva instancia de VMware Identity ManagerConnector.

n “Ejecutar el instalador de Enterprise Systems Connector,” página 26

n “Configurar VMware Identity Manager Connector,” página 41

IMPORTANTE: Debe activar la nueva instancia del conector con el mismo servicio de VMwareIdentity Manager que el primer conector.

2 Asocie el nuevo VMware Identity Manager Connector con el WorkspaceIDP de la primera instancia delconector.

a En la consola de administración de VMware Identity Manager, seleccione la pestañaAdministración de acceso e identidad y, a continuación, seleccione la pestaña Proveedores deidentidades.

b En la página Proveedores de identidades, busque el WorkspaceIDP de la primera instancia delconector y haga clic en el vínculo.

c En el campo Conector(es), seleccione el nuevo conector.

d Introduzca la contraseña DN de enlace y haga clic en Agregar conector.

e Haga clic en Guardar.

3 Configure y habilite los adaptadores de autenticación en el nuevo conector.

IMPORTANTE: Los adaptadores de autenticación de todos los conectores del clúster deben tener lamisma configuración. Se deben habilitar los mismos métodos de autenticación en todos los conectores.

a En la pestaña Administración de acceso e identidad, haga clic en Configurar y, a continuación,haga clic en la pestaña Directorios.

b Haga clic en el vínculo de la columna Trabajo del nuevo conector.


52 VMware, Inc.

c Haga clic en la pestaña Adaptadores de autenticación.

Aparecen todos los adaptadores de autenticación disponibles.

PasswordIdpAdapter ya está configurado y habilitado porque asoció el nuevo conector con eldirectorio asociado con el primer conector.

d Configure y habilite los otros adaptadores de autenticación del mismo modo que el primerconector. Asegúrese de que la información de configuración sea idéntica.

Para obtener más información sobre la configuración de los adaptadores de autenticación, consultela Guía de administración de VMware Identity Manager.


“Agregar nuevas instancias de VMware Identity Manager Connector al proveedor de identidadesintegrado,” página 53

Agregar nuevas instancias de VMware Identity Manager Connector alproveedor de identidades integrado

Después de implementar y configurar las nuevas instancias de VMware Identity Manager Connector,agréguelas al proveedor de identidades integrado y habilite los mismos métodos de autenticación que estánhabilitados en el primer conector. VMware Identity Manager distribuye el tráfico de forma automática entretodos los conectores asociados al proveedor de identidades integrado.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración deVMware Identity Manager, haga clic en Administrar.


3 Haga clic en el vínculo Integrado.

4 En el campo Conector(es), seleccione el nuevo conector de la lista desplegable y haga clic en Agregarconector.

5 En la sección Métodos de autenticación del conector, habilite los mismos métodos de autenticación quehabilitó para el primer conector.

El método de autenticación Contraseña (implementación en la nube) se configura y se habilitaautomáticamente. Debe habilitar los otros métodos de autenticación.

IMPORTANTE: Los adaptadores de autenticación de todos los conectores del clúster deben tener lamisma configuración. Se deben habilitar los mismos métodos de autenticación en todos los conectores.

Para obtener más información sobre cómo configurar adaptadores de autenticación específicos, consultela Guía de administración de VMware Identity Manager.

6 Haga clic en Guardar para guardar la configuración del proveedor de identidades integrado.

Habilitar la sincronización de directorio en otro conector en caso de errorEn caso de error en la instancia del conector, otra instancia gestiona la autenticación la gestionaautomáticamente. No obstante, para la sincronización del directorio debe modificar la configuración deldirectorio en el servicio de VMware Identity Manager para utilizar otra instancia del conector en lugar de laoriginal. La sincronización de directorio solo se puede habilitar en un conector cada vez.

Procedimiento



VMware, Inc. 53

2 Haga clic en la pestaña Administración de acceso e identidad y, a continuación, en Directorios.

3 Haga clic en el directorio asociado al a instancia del conector original.

Tip Puede consultar esta información en la página Configuración > Conectores.

4 En la sección Sincronización y autenticación de directorios de la página del directorio, en la listadesplegable Conector de sincronización, seleccione otra instancia del conector.

5 En el cuadro de texto Contraseña del DN de enlace, introduzca la contraseña de la cuenta de enlace deActive Directory.


Agregar la compatibilidad con la autenticación Kerberos a laimplementación de VMware Identity Manager Connector

Puede agregar a la implementación para los usuarios internos la autenticación Kerberos, que requiere elmodo de conexión entrante, basada en los conectores de modo de conexión de solo salida. Puede configurarlos mismos conectores para que los usuarios de la red interna usen la autenticación Kerberos y los usuariosexternos usen otro método de autenticación. Para hacerlo, defina directivas de autenticación en función derangos de redes.

NOTA: Para configurar una alta disponibilidad para la autenticación Kerberos, es necesario unequilibrador de carga.

Configurar y habilitar el adaptador de autenticación KerberosConfigure y habilite KerberosIdpAdapter en VMware Identity Manager Connector. Si implementó unclúster para la alta disponibilidad, configure y habilite el adaptador en todos los conectores del clúster.

IMPORTANTE: Los adaptadores de autenticación de todos los conectores del clúster deben tener la mismaconfiguración. Se deben configurar los mismos métodos de autenticación en todos los conectores.

Cuando configure el adaptador de autenticación Kerberos, el conector VMware Identity Manager intentainicializar Kerberos automáticamente. Si el servicio de VMware IDM Connector no se está ejecutando conprivilegios suficientes para inicializar Kerberos, aparece un mensaje de error. En este caso, siga lasinstrucciones que aparecen en http://kb.vmware.com/kb/2149753 para ejecutar un script para inicializarKerberos.

Para obtener más información sobre la configuración de la autenticación Kerberos, consulte la Guía deadministración de VMware Identity Manager.

Prerequisitos

n La máquina Windows donde el conector de VMware Identity Manager está instalado debe estarconectada al dominio.

n Debe instalar el componente VMware Identity Manager Connector como usuario de dominio incluidodentro del grupo de administradores en la máquina Windows y debe ejecutar el servicio de VMwareIDM Connector como usuario del dominio Windows.

Procedimiento

1 En la consola de administración de VMware Identity Manager, haga clic en la pestaña Administraciónde acceso e identidad.


54 VMware, Inc.

http://kb.vmware.com/kb/2149753

2 Haga clic en Configuración y, a continuación, en la pestaña Conectores.

Aparecen todos los conectores que implementó.

3 Haga clic en el vínculo de la columna Trabajo de uno de los conectores.

4 Haga clic en la pestaña Adaptadores de autenticación.

5 Haga clic en el vínculo KerberosIdpAdapter, configure y habilite el adaptador.


Nombre El nombre predeterminado de los adaptadores es KerberosIdpAdapter.Puede cambiarlo.

Atributo de UID de directorio El atributo de la cuenta que contiene el nombre de usuario.

Habilitar autenticación de Windows Seleccione esta opción.

Habilitar redireccionamiento Si cuenta con varios conectores en un clúster y piensa configurar la altadisponibilidad de Kerberos con un equilibrador de carga, seleccione estaopción y especifique un valor para Nombre del host deredireccionamiento.Si la implementación solo tiene un conector, no necesita usar las opcionesHabilitar redireccionamiento ni Nombre del host de redireccionamiento.

Nombre del host deredireccionamiento

Es necesario un valor si se selecciona la opción Habilitarredireccionamiento. Introduzca el propio nombre del host del conector.Por ejemplo, si el nombre del host del conector es conector1.ejemplo.com,introduzca conector1.ejemplo.com en el cuadro de texto.

Por ejemplo:

Para obtener más información sobre KerberosIdPAdapter, consulte la Guía de administración de VMwareIdentity Manager.


NOTA: Si aparece un error que indica que no se pudo inicializar Kerberos, ejecute el script deinicialización de Kerberos manualmente siguiendo las instrucciones que aparecen en http://kb.vmware.com/kb/2149753 y, a continuación, vuelva a esta página y configure el adaptador.

7 Si implementó un clúster, configure KerberosIdPAdapter en todos los conectores del clúster.

Configure el adaptador de la misma manera en todos los conectores.


VMware, Inc. 55

http://kb.vmware.com/kb/2149753


Si es necesario, configure la alta disponibilidad para la autenticación Kerberos. La autenticación Kerberos nocuenta con alta disponibilidad sin un equilibrador de carga.

Configurar alta disponibilidad para la autenticación KerberosPara configurar una alta disponibilidad en la autenticación Kerberos, instale un equilibrador de carga en lared interna dentro del firewall y agregue las instancias de VMware Identity Manager Connector.

También debe configurar algunas opciones en el equilibrador de carga, establecer una confianza SSL entre elequilibrador de carga y las instancias del conector y cambiar la URL de autenticación del conector para usarel nombre del host del equilibrador de carga.

Establecer la configuración de equilibrador de cargaDebe configurar ciertas opciones en el equilibrador de carga, como habilitar encabezados X-Forwarded-For,establecer el tiempo de espera del equilibrador de carga correctamente y habilitar sesiones sticky.

Configure estas opciones.

n Encabezados X-Forwarded-For

Debe habilitar encabezados X-Forwarded-For para su equilibrador de carga. Esto determina el métodode autenticación. Consulte la documentación del equilibrador de carga para obtener más información.

n Tiempo de espera del equilibrador de carga

Para que el VMware Identity Manager Connector funcione correctamente, es posible que necesiteaumentar el valor predeterminado correspondiente al tiempo de espera para las solicitudes delequilibrador de carga. Este valor se expresa en minutos. Si el valor del tiempo de espera es demasiadobajo, es posible que aparezca el siguiente error.

Error 502: El servicio no está disponible actualmente

n Habilitar sesiones sticky

Debe habilitar la configuración de las sesiones sticky en el equilibrador de carga si la implementacióntiene varias instancias conectoras. El equilibrador de carga enlazará entonces la sesión de un usuario auna instancia de conector específica.

Aplicar el certificado raíz de VMware Identity Manager Connector al equilibradorde cargaCuando VMware Identity Manager Connector se configure tras un equilibrador de carga, deberá establecerla confianza SSL entre este y el conector. El certificado raíz de conector se debe copiar en el equilibrador decarga como un certificado raíz de confianza.

El certificado de VMware Identity Manager Connector puede descargarse de las páginas de administracióndel conector en https://FQDNconector:8443/cfg/ssl.

Si el nombre de dominio del conector se dirige a un equilibrador de carga, el certificado SSL solo se puedeaplicar al equilibrador de carga.

Procedimiento

1 Inicie sesión en las páginas de administración del conector en https://connectorFQDN:8443/cfg/logincomo usuario administrador.

2 Seleccione Instalar el certificado.

3 Seleccione la pestaña Terminar SSL en un equilibrador de carga y, en el campo Certificado de CA raízdel dispositivo, haga clic en el vínculo https://nombre de host/horizon_workspace_rootca.pem.


56 VMware, Inc.

4 Copie todo lo que hay entre las líneas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE----,

incluyendo estas líneas, y pegue el certificado raíz en la ubicación correcta de cada uno de susequilibradores de carga. Consulte la documentación del equilibrador de carga.


Copie y pegue el certificado raíz del equilibrador de carga en VMware Identity Manager Connector.

Aplicar el certificado raíz del equilibrador de carga a VMware Identity ManagerConnectorCuando VMware Identity Manager Connector se configure tras un equilibrador de carga, deberá establecerla confianza entre este y el conector. Además de copiar el certificado raíz del conector en el equilibrador decarga, deberá copiar el certificado del equilibrador de carga en el conector.

Procedimiento

1 Obtenga el certificado raíz del equilibrador de carga.

2 Acceda a las páginas de administración de VMware Identity Manager Connector enhttps://connectorFQDN:8443/cfg/login e inicie sesión como usuario administrador.

3 En la página Instalar el certificado, seleccione la pestaña Terminar SSL en un equilibrador de carga.

4 Pegue el texto del certificado del equilibrador de carga en el campo Certificado de CA raíz.



VMware, Inc. 57

Cambiar el nombre de host de IdP del conector al nombre del host delequilibrador de cargaDespués de agregar las instancias de VMware Identity Manager Connector al equilibrador de carga, debecambiar el nombre del host de IdP en el IdP de Workspace de cada conector por el nombre de host delequilibrador de carga.

Prerequisitos

Las instancias del conector se configuran tras un equilibrador de carga. Compruebe que el puerto delequilibrador de carga es el 443. No utilice el puerto 8443 ya que este número de puerto corresponde aladministrativo.

Procedimiento


2 Haga clic en la pestaña Administración de acceso e identidad.


4 En la página Proveedor de identidades, haga clic en el vínculo IdP de Workspace en la instancia delconector.

5 En el cuadro de texto Nombre de host de IdP, cambie el nombre de host del conector por el nombre dehost del equilibrador de carga.

Por ejemplo, si el nombre de host de su conector es miconector y el nombre de host de su equilibradorde carga es miec,

myconnector.mycompany.com:cambie el puerto

de la URL

por el siguiente:

mylb.mycompany.com:puerto


58 VMware, Inc.

Eliminar una instancia de VMware Identity Manager ConnectorPuede eliminar una instancia de VMware Identity Manager Connector del servicio deVMware Identity Manager. Una instancia de conector no se puede eliminar si existe un directorio asociado aella.

Por ejemplo, puede eliminar una instancia de conector cuando quiera utilizar el mismo nombre de host parauna nueva instancia de conector.

Procedimiento


2 Seleccione la pestaña Administración de acceso e identidad y, a continuación, haga clic enConfiguración.

3 Si un directorio está asociado al conector que desea eliminar, elimine primero el directorio.

a Haga clic en el nombre del directorio en la columna Directorio asociado.

b Haga clic en Eliminar directorio.

4 En la página Configurar > Conectores, haga clic en el icono Eliminar que aparece junto a la instanciadel conector que desea eliminar y luego haga clic en Confirmar.

La instancia de conector se elimina desde el servicio de VMware Identity Manager.

5 Desinstale el componente VMware Identity Manager Connector desde el servidor de Windows en elque está instalado.

Actualizar el conector de VMware Identity ManagerPara actualizar el componente de VMware Identity Manager Connector de Enterprise Systems Connector,descargue el instalador desde la nueva versión de la consola de AirWatch y ejecútelo.

Después de la actualización, no debe generar un nuevo código de activación ni activar VMware IdentityManager Connector de nuevo. La configuración existente se aplica al conector autorizado.

Procedimiento

1 Inicie sesión en la nueva versión de la consola de AirWatch.

2 Desplácese hasta Grupos y ajustes > Todos los ajustes > Sistema > Integración empresarial > VMwareEnterprise Systems Connector.

3 En la pestaña General, haga clic en Descargar instalador de VMware Enterprise Systems Connector.

Aparece la página Descargar instalador de VMware Enterprise Systems Connector.

4 Cree una contraseña para el certificado y haga clic en Descargar.

Necesita esta contraseña cuando instale el componente ACC.

5 Guarde el archivo del instalador en el mismo servidor de Windows en el que se instaló la versiónanterior del conector.

6 Ejecute el instalador y siga las indicaciones para completar la actualización.


VMware, Inc. 59


60 VMware, Inc.

Migrar directorios de ACC a VMwareIdentity Manager Connector 6

Los clientes de Workspace ONE que implementaran la sincronización de Active Directory conVMware Identity Manager usando solo los conectores ACC existentes deben seguir un procedimiento demigración si desean sacar el máximo partido a la funcionalidad adicional que se incluye con el componenteVMware Identity Manager Connector de la Enterprise Systems Connector. Este procedimiento, que notendrá que realizar más de una vez, convierte el directorio ACC del tipo Otro en un directorio de tipo ActiveDirectory mediante LDAP o Active Directory (Autenticación de Windows integrada), que están asociadoscon VMware Identity Manager Connector. Este procedimiento no elimina el directorio existente ni ningunaautorización asociada a él.

NOTA: El modelo que solo usa ACC para sincronizar y autenticar el directorio conVMware Identity Manager todavía está disponible y es compatible, simplemente debe actualizar ACC másadelante. El procedimiento de migración solo es necesario si desea aprovechar la nueva funcionalidad.

Para convertir el directorio Otro, debe realizar las siguientes tareas.

1 Convierta el directorio Otro a Active Directory mediante LDAP o a Active Directory (Autenticación deWindows integrada).

2 Configure métodos adicionales de autenticación del conector VMware Identity Manager para eldirectorio, si es necesario. El método de autenticación Contraseña está disponible de formapredeterminada.

3 Edite la directiva predeterminada y cualquier directiva personalizada para usar Contraseña u otrométodo de autenticación del conector VMware Identity Manager en lugar de Contraseña (AirWatchConnector).

4 Detenga la sincronización de grupos y usuarios de AirWatch con el directorioVMware Identity Manager.


n “Convertir el directorio Otro a Active Directory mediante LDAP o a Active Directory (Autenticaciónde Windows integrada),” página 62

n “Detener la sincronización del directorio de AirWatch con VMware Identity Manager,” página 64

VMware, Inc. 61

Convertir el directorio Otro a Active Directory mediante LDAP o aActive Directory (Autenticación de Windows integrada)

Es posible convertir un directorio de tipo Otro, que almacena usuarios y grupos sincronizados desdeAirWatch, en un directorio de tipo Active Directory mediante LDAP o Active Directory (Autenticación deWindows integrada), que están asociados con el conector VMware Identity Manager. Después de convertirel directorio, se utiliza el conector VMware Identity Manager en lugar de ACC para sincronizar usuarios ygrupos del directorio empresarial a VMware Identity Manager.

Prerequisitos

n Instale y active el componente VMware Identity Manager Connector deVMware Enterprise Systems Connector en un servidor de Windows.

Para usar algunas funciones, el servidor de Windows debe estar unido al dominio, debe instalar elcomponente VMware Identity Manager Connector como un usuario de dominio que forma parte delgrupo de administradores en el servidor de Windows y debe elegir ejecutar el servicio de IDMConnector como usuario de dominio de Windows.

Este requisito se aplica a los siguientes casos.

n Si tiene previsto convertir el directorio Otro a Active Directory (Autenticación de Windowsintegrada)


n Si tiene previsto integrar Horizon View con VMware Identity Manager y quiere usar las opcionesRealizar sincronización de directorio o Configurar servidor de conexión 5.x.

n Se necesita la siguiente información de Active Directory:

n Si va a convertir a Active Directory mediante LDAP, se necesitarán el DN base, el DN de enlace y lacontraseña del DN de enlace. Se recomienda utilizar una cuenta de usuario de DN de enlace conuna contraseña que no caduque.

n Si va a convertir a Active Directory (Autenticación de Windows integrada), se necesitarán ladirección UPN del usuario de enlace del dominio y la contraseña. Se recomienda utilizar unacuenta de usuario de DN de enlace con una contraseña que no caduque.

n Si Active Directory necesita que el acceso sea mediante SSL o STARTTLS, se requerirá el certificadode CA raíz del controlador de dominio de Active Directory.

n Para Active Directory (autenticación integrada de Windows), cuando tiene configurado ActiveDirectory con varios bosques y el grupo local de dominios contiene miembros de dominios dediferentes bosques, asegúrese de que el usuario de enlace se agregue al grupo de Administradoresdel dominio en el que reside el grupo local de dominios. De lo contrario, estos miembros no estaránen el grupo local de dominios.

Procedimiento

1 En la consola de administración de VMware Identity Manager, haga clic en la pestaña Administraciónde acceso e identidad y, a continuación, en la pestaña Directorios.

2 Haga clic en el nombre del directorio que desea convertir.

3 En la página del directorio, haga clic en el botón Convertir.

4 En la página Agregar directorio, cambie el nombre del directorio si es necesario y seleccione el tipo dedirectorio al que desea convertir el directorio Otro, Active Directory mediante LDAP o ActiveDirectory (autenticación IWA).


62 VMware, Inc.

5 Escriba la información de conexión de Active Directory y continúe con el asistente para configurar eldirectorio.

Consulte "Configurar la conexión de Active Directory con el servicio" en la guía Integración de directorioscon VMware Identity Manager para obtener más información.

Siga estas directrices.

n En el campo Conector de sincronización, seleccione el conector de VMware Identity Manager queinstaló.

n En la sección Sincronización y autenticación de directorios, seleccione Sí para la Autenticación, amenos que quiera usar un proveedor de identidades de terceros en lugar del conector para laautenticación.

n Asegúrese de configurar el directorio convertido exactamente igual que el directorio de AirWatchpara que tengan la misma estructura de directorio. Seleccione los mismos dominios. Cuandoespecifique los usuarios y los grupos que quiera sincronizar, realice las mismas selecciones querealizó en el directorio de AirWatch para que se sincronicen los mismos usuarios y grupos en eldirectorio convertido.

6 En la última página del asistente, haga clic en Sincronizar directorio.

El directorio se convierte y se configura para usar el conector VMware Identity Manager. Si no existía,se crea un proveedor de identidades de Workspace al que se asocia automáticamente el directorio. Elmétodo de autenticación de contraseña ya está habilitado para el directorio.

7 (Opcional) Si desea habilitar otros métodos de autenticación para el directorio, siga estos pasos.

a En la pestaña Administración de acceso e identidad, haga clic en Configuración.

b En la página Conectores, busque el conector y el trabajo con los que está asociado el directorioconvertido y haga clic en el vínculo de la columna Trabajo.

c En la página de trabajo, haga clic en la pestaña Adaptadores de autenticación.

d Configure y habilite los adaptadores de autenticación que desee utilizar para el directorio haciendoclic en el vínculo de cada uno de ellos e introduciendo la información de la configuración.

Para obtener más información sobre cómo configurar los adaptadores de autenticación, consulteAdministración de VMware Identity Manager.

8 Edite la directiva default_access_policy_set y cualquier directiva personalizada para seleccionar losmétodos de autenticación del conector VMware Identity Manager en lugar de Contraseña (AirWatchConnector).

a En la pestaña Administración de acceso e identidad, haga clic en la pestaña Directivas.

b Haga clic en Editar política predeterminada.

c En Reglas de la directiva, edite la columna Métodos de autenticación de cada regla y reemplaceContraseña (AirWatch Connector) por Contraseña, que es un método de autenticación delconector VMware Identity Manager .

d Haga clic en la pestaña Directivas de nuevo y edite las directivas personalizadas, si las hubiera,para usar Contraseña o cualquier otro método de autenticación del conectorVMware Identity Manager configurado.

IMPORTANTE: Si no cambia Contraseña (AirWatch Connector) a Contraseña o a otro método deautenticación basado en el conector VMware Identity Manager, los usuarios del directorioconvertido no podrán iniciar sesión.


Detenga la sincronización de AirWatch al directorio convertido.

Capítulo 6 Migrar directorios de ACC a VMware Identity Manager Connector

VMware, Inc. 63

Detener la sincronización del directorio de AirWatch con VMwareIdentity Manager

Después de convertir el directorio Otro a Active Directory mediante LDAP o Active Directory(Autenticación de Windows integrada) y asociarlo con un conector VMware Identity Manager, este conectorse usa para sincronizar los usuarios y los grupos del directorio empresarial con el directorio convertido.Debe detener la sincronización de usuarios y de grupos de AirWatch con el directorio de VMware IdentityManager.

Procedimiento

1 En la consola de AirWatch, acceda a Grupo organizativo.

2 Acceda a la página Grupos y ajustes > Todos los ajustes > Sistema > Integración empresarial >VMware Identity Manager.

3 Haga clic en el botón Eliminar en la parte inferior de la página.

Se completó la conversión del directorio. Los usuarios y los grupos ya están sincronizados desde eldirectorio empresarial hasfta el servicio de VMware Identity Manager a través de VMware Identity ManagerConnector. Los usuarios pueden seguir iniciando sesión y accediendo a las aplicaciones.

NOTA: En caso de que el nombre de dominio sea diferente del nombre NETBIOS del dominio, el nombrede dominio que aparece en la página de inicio de sesión puede cambiar después de convertir el directorio.Con la sincronización de AirWatch, aparece el nombre NETBIOS del dominio. Con la sincronización deVMware Identity Manager Connector, aparece el nombre de dominio.


64 VMware, Inc.

Índice

AActive Directory, VMware Identity Manager 43Active Directory (Autenticación de Windows

integrada) 61, 62Active Directory mediante LDAP 61, 62actualizar

ACC 37VMware Identity Manager Connector 59

actualizar,deshabilitar AirWatch CloudConnector, AirWatch CloudConnector 35

adaptadores de autenticación, habilitar 44administración de ACC 35agregar certificados 48AirWatch Cloud Connector

configuraciones compatibles 17datos protegidos 20deshabilitar actualización 35integración de certificado 20

AirWatch Cloud Connector, redirección dedatos 20

AirWatch Cloud Connector,actualizaciones 35AirWatch Cloud Connector,establecer la

comunicación con AWCM 23AirWatch Cloud Connector,introducción a la

arquitectura 17AirWatch Cloud Connector,modelo de

implementación en las instalaciones 18AirWatch Cloud Connector,modelo de

implementación SaaS 17alta disponibilidad

implementar nuevos conectores 52Kerberos 56

archivos de registro 47, 49, 50asistente Introducción 23autenticación de Kerberos 54

Ccambiar

contraseña de sshuser 49contraseña del administrador 49contraseña raíz 49

certificado autofirmado 47certificado de canal seguro 22Certificado SSL, entidad de certificación

principal 56

certificadosACC 37regenerar 37

certificados ACC 37código de activación 41componentes 22configuración, VMware Identity Manager

Connector 41configuración del equilibrador de carga 56conmutación por error 51, 53, 58contraseña 47contraseñas, cambiar 49

Ddescripción general 7Directorio de AirWatch, convertir 64directorio Otro, convertir 61, 62, 64

Eeliminar conector 59entidad de certificación 48equilibrador de carga 57

Gglosario 5

Hhabilitar Enterprise Systems Connector 24

IIdp integrado, agregar conectores 53instalador 23, 26

KKerberos 54KerberosIdpAdapter 54KerberosIdPAdapter 54

Mmodo de salida, habilitar 45

Oopciones de configuración 47

Ppáginas de administración 47

VMware, Inc. 65

paquete de registro 50proceso de instalación 21Proxy HTTPS, VMware Identity Manager

Connector 50público objetivo 5

Rrecopilar registros 50redundancia 53, 58requisitos del sistema 9

Vverificar la instalación de ACC 32VMware Identity Manager, directorio 43VMware Identity Manager Connector

activar 42configurar 41


66 VMware, Inc.

instalación y configuración de vmware enterprise systems … · texto muestran las diferencias...

Documents