instalar y configurar vmware identity manager para …para windows septiembre de 2018 vmware...

Instalar y configurarVMware Identity Managerpara WindowsSeptiembre de 2018VMware Identity Manager 3.3

Instalar y configurar VMware Identity Manager para Windows

VMware, Inc. 2

Puede encontrar la documentación técnica más actualizada en el sitio web de VMware:

https://docs.vmware.com/es/

El sitio web de VMware también ofrece las actualizaciones de producto más recientes.

Si tiene comentarios relacionados con esta documentación, envíelos a:

[email protected]

Copyright © 2018 VMware, Inc. Todos los derechos reservados. Información sobre el copyright y marca comercial.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware Spain, S.L.Calle Rafael Boti 262.ª plantaMadrid 28023Tel.: +34 914125000www.vmware.com/es

https://docs.vmware.com/es/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

Contenido

Acerca de la instalación y la configuración de VMware Identity Manager paraWindows 5

1 Descripción general de VMware Identity Manager Services 6

2 Preparar la instalación de VMware Identity Manager para Windows 9

Requisitos de configuración de la red y el sistema 9

Crear registros de DNS y direcciones IP 15

Crear la base de datos del servicio de VMware Identity Manager 16

Listas de comprobación de implementación 23

3 Programa de mejora de la experiencia de cliente 25

4 Implementar el equipo del de VMware Identity Manager detrás de un

equilibrador de carga 26Usar un equilibrador de carga o un proxy inverso para habilitar el acceso externo a

VMware Identity Manager 26

5 Configurar el servicio de VMware Identity Manager 29

Instalar VMware Identity Manager 29

Usar el asistente de configuración para completar la instalación 33

Implementar el equipo del de VMware Identity Manager detrás de un equilibrador de carga 34

Usar un equilibrador de carga o un proxy inverso para habilitar el acceso externo a

VMware Identity Manager 34

Aplicar el certificado raíz de VMware Identity Manager al equilibrador de carga 36

Aplicar el certificado raíz del equilibrador de carga a VMware Identity Manager 38

Configurar la conmutación por error y la redundancia en un centro de datos único (Windows) 39

Configurar conexiones del directorio LDAP o de Active Directory 45

Agregar direcciones IP de la lista blanca al firewall externo 55

Habilitar la configuración del proxy tras la instalación 56

Introducir la clave de licencia 57

6 Administrar los ajustes de configuración de VMware Identity Manager 58

Cambiar ajustes de configuración del dispositivo 59

Utilizar certificados SSL 59

Configure VMware Identity Manager para usar una base de datos externa 62

Modificar la URL del servicio VMware Identity Manager 63

Modificar la URL del conector 64

VMware, Inc. 3

Información del archivo de registro 64

Administrar la contraseña 66

Configurar las opciones de SMTP 67

7 Solucionar los problemas de la instalación y la configuración 69

Un grupo no muestra ningún miembro después de la sincronización de directorios 69

Solucionar problemas de Elasticsearch 70

8 Supervisar VMware Identity Manager 72

Recomendaciones de supervisión de la capacidad de carga de hardware 72

Extremos de URL de VMware Identity Manager para la supervisión 73

Registro del sistema 82

Cambiar la memoria predeterminada asignada al servicio de VMware Identity Manager 83

9 Configurar límites de frecuencia 84

Configurar límites de frecuencia en el servicio de VMware Identity Manager 84

Configurar límites de frecuencia en el conector de VMware Identity Manager 87


VMware, Inc. 4

Acerca de la instalación y la configuraciónde VMware Identity Manager paraWindows

Instalar y configurar VMware Identity Manager proporciona información sobre la instalación y laconfiguración del servicio de VMware Identity Manager en servidores Windows para implementacioneslocales. Cuando finaliza la instalación, se puede utilizar la consola de VMware Identity Manager paraautorizar a los usuarios a acceder a las aplicaciones de la organización, incluidas las aplicaciones web,las aplicaciones y los escritorios de Horizon y los recursos publicados de Citrix, con un accesomultidispositivo y administrado. La guía también explica cómo configurar la implementación paraconseguir una elevada disponibilidad.

Público objetivoEsta información está dirigida a los administradores de VMware Identity Manager. La información estáescrita para administradores expertos de sistemas Windows y Linux que están familiarizados contecnologías de VMware, especialmente con vCenter™, ESX™ y vSphere® con conceptos de redes, conservidores, bases de datos y procedimientos de copia de seguridad y restauración de Active Directory, ycon servidores NTP y Simple Mail Transfer Protocol (SMTP). Es útil conocer también otras tecnologías,como RSA SecurID, si está prevista su implementación.

VMware, Inc. 5

Descripción general deVMware Identity ManagerServices 1VMware Identity Manager es el componente de administración de identidad y acceso deWorkspace ONE. Junto con Workspace ONE UEM y VMware Horizon, VMware Identity Manager puedeimplementar un catálogo de aplicaciones universal que incluye aplicaciones web, nativas y virtuales.

VMware Identity Manager también es fundamental para la implementación de Single Sign-On (SSO)móvil y del acceso condicional, que incluye la administración de dispositivos y el las comprobaciones decumplimiento. VMware Identity Manager está disponible en el SaaS compartido y en los modelos deimplementación locales.

En esta guía se describe cómo implementar VMware Identity Manager para Windows en un entornolocal, incluidas las configuraciones de alta disponibilidad y del equilibrador de carga. En el capítuloPreparar la instalación de VMware Identity Manager se describen los patrones de implementaciónrecomendados y se explica cómo cambiar el tamaño de la base de datos, el conector y los servidores deVMware Identity Manager en función del tamaño de la organización.

En la imagen Modelo de implementación de VMware Identity Manager para Windows se muestra elpatrón de implementación de alto nivel de Workspace ONE. El servicio del dispositivoWorkspace ONE UEM y el servicio VMware Identity Manager se implementan en la DMZ donde losdispositivos pueden acceder a los servicios directamente. El servicio VMware Horizon se implementa enla red interna.

VMware, Inc. 6

Figura 1‑1. Modelo de implementación de VMware Identity Manager para Windows

Servidor de VMwareIdentity Manager

Servidor deAirWatch

Servicios deActive Directory/otros directorios

Servidor deHorizon

Conectores

En las instalaciones

Implementación deWorkspace ONE

DMZ

Red empresarial

En la imagen Diagrama de arquitectura de VMware Identity Manager para implementaciones típicas semuestra un diagrama detallado con la configuración del equilibrador de carga necesaria para la instanciade VMware Identity Manager agrupada en clúster.


VMware, Inc. 7

Figura 1‑2. Diagrama de arquitectura de VMware Identity Manager para implementacionestípicas

Dispositivos externosHTTP(S) 80/88/443

e iOS

Puerto 443/88Puerto 443/88/5262

Puerto 443

Puerto 443

Puerto 80

8 GBEquilibrador de carga

Identity Manager

Servidor de la base de datos de Identity Manager

EnterpriseConnector

Administradores

RSA/DNS/DC53/88/464/135/5500

LDAP 389/636/3268/3269

Puerto 80

Puerto 443

AD/LDAP

Servidor SMTP

CA empresarial

Workspace ONEIntelligenceConnector

Dispositivos internos

Firewallexterno

Equilibradorde carga

Equilibrador de carga

Firewallinterno

DMZ

Red interna

HTTP(S) 80/443

Puerto 443/88/5262

Puerto 1443

Puerto 1443

Puerto 8443

Puerto 443

4 núcleos 100 GB

40 GBDB 12 núcleos 300 GB

12 GB 6 núcleos 100 GB

8 GB 1 núcleo 50 GB

Internet


VMware, Inc. 8

Preparar la instalación deVMware Identity Manager paraWindows 2El servicio de VMware Identity Manager se puede instalar en un nuevo servidor independiente o en unclúster con tres o más nodos.

Al tomar decisiones respecto a requisitos de hardware, recursos y red, considere la implementacióncompleta, incluyendo la integración de recursos.

Este capítulo incluye los siguientes temas:

n Requisitos de configuración de la red y el sistema

n Crear registros de DNS y direcciones IP

n Crear la base de datos del servicio de VMware Identity Manager

n Listas de comprobación de implementación

Requisitos de configuración de la red y el sistemaAl tomar decisiones respecto a requisitos de hardware, recursos y red, considere la implementacióncompleta, incluyendo la integración de recursos.

Requisitos de tamaño de hardwareAsegúrese de que cumple los requisitos de hardware para las instalaciones de Windows deVMware Identity Manager.

Número deusuarios Hasta 1.000 1.000-10.000 10.000-25.000 25.000-50.000 50.000-100.000

Número deservidores deVMware IdentityManager

1 servidor 3 servidores conequilibrio de carga

3 servidores conequilibrio de carga



CPU (por servidor) 2 CPU 2 CPU 4 CPU 8 CPU 8 CPU

RAM (por servidor) 6 GB 6 GB 8 GB 16 GB 32 GB

Espacio de disco(por servidor)

60 GB 100 GB 100 GB 100 GB 100 GB

Si instala conectores independientes adicionales, asegúrese de cumplir con los siguientes requisitos.

VMware, Inc. 9


Número deservidores deconector

1 servidor 2 servidores conequilibrio de carga




CPU (por servidor) 2 CPU 4 CPU 4 CPU 4 CPU 4 CPU

RAM (por servidor) 6 GB 6 GB 8 GB 16 GB 16 GB

Espacio de disco(por servidor)

60 GB 60 GB 60 GB 60 GB 60 GB

Requisitos de software para la instalación de WindowsAsegúrese de que el servidor Windows de VMware Identity Manager cumpla los siguientes requisitos desoftware.

Requisito Notas

Versiones compatibles de Windows Servern Windows Server 2008 R2n Windows Server 2012 R2n Windows Server 2016

PowerShell 4.0 o versiones posteriores Módulo de Active Directory para PowerShell (RSAT-AD-PowerShell)

JRE 1.8 instalado El instalador de VMware Identity Manager instala la versiónmás reciente si no se instaló antes de la implementación.

Si JRE tiene una versión más antigua, el instalador actualizaráautomáticamente la versión, pero no eliminará la instancia deJRE existente. Las versiones antiguas se deben desinstalarmanualmente.

Servidor RabbitMQ El instalador de VMware Identity Manager instala el servidorRabbitMQ si no se instaló antes de la implementación.

Erlang El instalador de VMware Identity Manager instala Erlang si nose instaló antes de la implementación.

Requisitos de base de datosConfigure VMware Identity Manager con una base de datos de Microsoft SQL externa para almacenar yorganizar los datos del servidor.

Para obtener información sobre las versiones de la base de datos de Microsoft SQL y las configuracionesde Service Pack compatibles, consulte las matrices de interoperabilidad de productos VMware en https://www.vmware.com/resources/compatibility/sim/interop_matrix.php.

Los siguientes requisitos se aplican a una base de datos de SQL Server externa. Las especificacionesexactas necesarias para SQL Server dependen del tamaño y las necesidades de la implementación.


VMware, Inc. 10

https://www.vmware.com/resources/compatibility/sim/interop_matrix.php


CPU 2 CPU 2 CPU 4 CPU 8 CPU 8 CPU

RAM 4 GB 4 GB 8 GB 16 GB 32 GB

Espacio en disco 50 GB 50 GB 50 GB 100 GB 100 GB

La capacidad de SQL Server AlwaysOn es una combinación de la agrupación en clústeres deconmutación por error y la creación de reflejos de base de datos junto con el envío de registros para altadisponibilidad. AlwaysOn permite que haya varias copias de lectura de la base de datos y una sola copiade lectura y escritura para las operaciones. Si el entorno de implementación tiene ancho de bandasuficiente para admitir el tráfico que se genera, la base de datos de VMware Identity Manager admitiráAlwaysOn.

Requisitos de configuración de red

Componente Requisito mínimo

Dirección IP y registro de DNS Registro de DNS y dirección IP

VMware Identity Manager utiliza el nombreDeHost.nombreDeDominio onombreDeHost.nombreDeGrupoDeTrabajo durante la instalación. Estos nombresdeben establecerse para que coincidan con el nombre DNS del servidor.

Puerto del firewall Compruebe que el puerto entrante 443 del firewall esté abierto para usuario fuera de lared hacia la instancia de VMware Identity Manager o al equilibrador de carga.

Proxy inverso Implemente un proxy inverso como el administrador de directivas de acceso F5 en DMZpara permitir que los usuarios accedan de forma remota y segura al portal deVMware Identity Manager.

VMware Unified Access Gateway 2.8 y las versiones posteriores son compatibles con lafunción de proxy inverso para permitir a los usuarios acceder remotamente y de formasegura al catálogo unificado de VMware Identity Manager. Unified Access Gateway sepuede implementar en la red perimetral DMZ detrás de los equilibradores de carga queactúan de frontal del dispositivo VMware Identity Manager.

Requisitos de puertosLos puertos utilizados en la configuración del servidor se describen aquí. La implementación solo puedeincluir un subconjunto de ellos. Por ejemplo:

n Para sincronizar usuarios y grupos desde Active Directory, VMware Identity Manager se debeconectar a Active Directory.

Puerto Protocolo Origen destino Descripción

443 HTTPS Equilibrador de carga Equipo de VMware Identity Manager

443 HTTPS Equipo de VMware IdentityManager

Equilibrador de carga Necesario paravalidar el FQDN delequilibrador de cargacuando se establece.


VMware, Inc. 11


443, 8443 HTTPS/HTTP

Equipo de VMware IdentityManager

Equipo de VMware Identity Manager Para todas lasinstancias deVMware IdentityManager en unclúster y en clústeresde centros de datosdiferentes.

443 HTTPS Navegadores Equipo de VMware Identity Manager


discovery.awmdm.com Acceso para ladetección automáticade aplicaciones deWorkspace ONE


catalog.vmwareidentity.com Acceso al catálogode nube

8443 HTTPS Navegadores Equipo de VMware Identity Manager Puerto deadministrador

25 SMTP Equipo de VMware IdentityManager

SMTP Puerto pararedireccionamientode correo saliente

389

636

3268

3269

LDAP

LDAPS

MSFT-GC

MSFT-GC-SSL

Equipo de VMware IdentityManager

Active Directory Se muestran losvalorespredeterminados.Estos puertos sepueden configurar.

5500 UDP Equipo de VMware IdentityManager

Sistema RSA SecurID Se muestra el valorpredeterminado. Estepuerto se puedeconfigurar.

53 TCP/UDP Equipo de VMware IdentityManager

Servidor DNS Todos losdispositivos virtualesdeben tener accesoal servidor DNS en elpuerto 53 y permitirel tráfico SSHentrante en el puerto22.

88, 464,135, 445

TCP/UDP Equipo de VMware IdentityManager

Controlador de dominio

9300 TCP Equipo de VMware IdentityManager

Equipo de VMware Identity Manager Necesidades deauditoría

54328 UDP


Equipo de VMware Identity Manager Memoria caché deHazelcast

40002

40003

TCP Equipo de VMware IdentityManager

Equipo de VMware Identity Manager Ehcache


VMware, Inc. 12



Base de datos El puertopredeterminado deMicrosoft SQL es el1433

443 Equipo de VMware IdentityManager

Servidor de View Acceso al servidor deView

80, 443 TCP Equipo de VMware IdentityManager

Servidor de Integration Broker Conexión conIntegration Broker. Laopción del puertodepende de si seinstala un certificadoen el servidor delagente deintegración.


REST API de AirWatch Para comprobar elcumplimientonormativo deldispositivo y elmétodo deautenticación decontraseña deAirWatch CloudConnector, si seutiliza.

88 UDP Unified Access Gateway Equipo de VMware Identity Manager Puerto UDP que seabre para SSO móvil

5262 TCP Dispositivo móvil Android Servicio de proxy HTTPS deAirWatch

El cliente deAirWatch Tunnelenruta el tráfico alproxy HTTPS paralos dispositivosAndroid.

88 UDP Dispositivo móvil iOS Equipo de VMware Identity Manager Puerto utilizado parael tráfico de Kerberosdesde dispositivosiOS hasta el servicioKDC de nubealojado.

443 HTTPS/TCP


VMware, Inc. 13



servidor syslog UDP

Para el servidorsyslog externo, siestá configurado


Servidor KDC híbrido en la nube. Elnombre de host es kdc.<realm>. Porejemplo, kdc.op.vmwareidentity.com

Puerto UDP utilizadopara autenticar lasactualizaciones deconfiguración deladaptador deautenticación deSSO móvil para iOSque se guardan en elservicio KDC en lanube. Dicho puertose utiliza únicamentesi se utiliza la funciónde SSO móvil paraiOS del KDC híbrido.

Directorios compatiblesPuede integrar VMware Identity Manager con el directorio de su empresa y sincronizar usuarios y gruposde este directorio con el servicio.

n El entorno de Active Directory puede estar formado por un único dominio de Active Directory, porvarios dominios en un único bosque de Active Directory o por varios dominios en varios bosques deActive Directory.

VMware Identity Manager es compatible con Active Directory en Windows 2008, 2008 R2, 2012,2012 R2 y 2016 con las opciones de Nivel funcional del dominio y Nivel funcional de bosque deWindows 2003 y versiones posteriores.

Nota Puede que se necesite un nivel funcional mayor para algunas características. Por ejemplo,para permitir que los usuarios cambien las contraseñas de Active Directory desde Workspace ONE,el nivel funcional de dominio debe ser Windows 2008 o posterior.

Navegadores web admitidos para obtener acceso a la consola deVMware Identity ManagerLa consola de VMware Identity Manager es una aplicación basada en la web que le permite administrarel arrendatario. Puede acceder a la consola de VMware Identity Manager desde las versiones másrecientes de Mozilla Firefox, Google Chrome, Safari, Microsoft Edge e Internet Explorer 11.

Nota En Internet Explorer 11, es necesario tener habilitado JavaScript y el uso de cookies para superarla autenticación de VMware Identity Manager.


VMware, Inc. 14

Navegadores compatibles para acceder al portal Workspace ONELos siguientes navegadores permiten a los usuarios finales obtener acceso al portal de Workspace ONE.

n Mozilla Firefox (más reciente)

n Google Chrome (más reciente)

n Safari (más reciente)

n Internet Explorer 11

n Navegador Microsoft Edge

n Navegador nativo y Google Chrome en dispositivos con Android

n Safari en dispositivos con iOS

Nota En Internet Explorer 11, es necesario tener habilitado JavaScript y el uso de cookies para superarla autenticación de VMware Identity Manager.

Crear registros de DNS y direcciones IPDeben estar disponibles una entrada DNS y una dirección IP estática para el dispositivo virtual deVMware Identity Manager. Dado que cada empresa administra sus direcciones IP y registros de DNS deforma distinta, debe solicitar el registro de DNS y las direcciones de IP que se van a utilizar antes deempezar la instalación.

La configuración de la búsqueda inversa es opcional. Cuando implemente la búsqueda inversa, debedefinir un registro PTR en el servidor DNS para que el dispositivo virtual utilice la configuración de redcorrecta.

Puede utilizar la siguiente lista de ejemplos de registros de DNS cuando se ponga en contacto con eladministrador de la red. Sustituya la información de los ejemplos con la información de su entorno. Eneste ejemplo se muestran los registros de DNS directas y las direcciones IP.

Tabla 2‑1. Ejemplos de registros de DNS directas y direcciones IP

Nombre de dominio Tipo de recurso Dirección IP

myidentitymanager.example.com A 10.28.128.3

En este ejemplo se muestran los registros de DNS inversas y las direcciones IP.

Tabla 2‑2. Ejemplos de registros de DNS inversas y direcciones IP

Dirección IP Tipo de recurso Nombre del host

10.28.128.3 PTR myidentitymanager.example.com

Después de completar la configuración de DNS, compruebe que la búsqueda de DNS inversas estácorrectamente configurada. Por ejemplo, el comando host IPaddress del dispositivo virtual deberesolverse en la búsqueda del nombre de DNS.


VMware, Inc. 15

Planificación de la autenticación KerberosSi va a configurar la autenticación Kerberos, tenga en cuenta los siguientes requisitos:

n En un escenario donde utiliza el conector integrado en VMware Identity Manager para laautenticación Kerberos, el nombre de host de VMware Identity Manager debe coincidir con eldominio de Active Directory al que está unido VMware Identity Manager. Por ejemplo, si el dominiode Active Directory es ventas.ejemplo.com, el nombre de host de VMware Identity Manager debe servidmhost.ventas.ejemplo.com.

Si no se puede asignar un nombre de host que coincida con la estructura de dominio de ActiveDirectory, deberá configurar VMware Identity Manager y Active Directory de forma manual. Consultela Base de conocimientos para obtener información.

n En un escenario donde utiliza conectores externos para la autenticación Kerberos, el nombre de hostdel conector debe coincidir con el dominio de Active Directory al que está unido el conector. Porejemplo, si el dominio de Active Directory es ventas.ejemplo.com, el nombre de host del conectordebe ser hostdeconector.ventas.ejemplo.com.

Si no se puede asignar un nombre de host que coincida con la estructura de dominio de ActiveDirectory, deberá configurar el conector y Active Directory de forma manual. Consulte la Base deconocimientos para obtener información.

Utilizar un servidor DNS basado en Linux o UnixSi utiliza un servidor DNS basado en Linux o Unix y desea conectar el de VMware Identity Manager aldominio de Active Directory, compruebe que se crean los registros SRV adecuados para cadacontrolador del dominio de Active Directory.

Nota Si tiene un equilibrador de carga con una dirección IP virtual (VIP) frente a los servidores DNS,tenga en cuenta que VMware Identity Manager no admite el uso de VIP. Puede especificar variosservidores DNS separados por comas.

Crear la base de datos del servicio de VMware IdentityManagerEl servicio de VMware Identity Manager requiere una base de datos de Microsoft SQL Server externapara almacenar y organizar los datos del servidor. El administrador de la base de datos debe preparar unesquema y una base de datos de Microsoft SQL Server vacía antes de instalarVMware Identity Manager.

Cuando se conecte a Microsoft SQL Server, introduzca el nombre de la instancia a la que deseaconectarse y el modo de autenticación. Puede seleccionar el modo de autenticación de Windows yespecificar el dominio/nombre de usuario o el modo de autenticación de SQL Server, y especificar lacontraseña y el nombre de usuario local.


VMware, Inc. 16

Debe establecer conexión con la base de datos externa cuando ejecute el asistente de configuración deVMware Identity Manager. También puede acceder a Configuración de dispositivos > Configuración deldispositivo virtual > Configuración de la conexión de la base de datos para configurar la conexión con labase de datos externa.

Puede utilizar Microsoft SQL Server para configurar un entorno de base de datos de alta disponibilidad.

Requisitos previos del servidor de la base de datosAntes de configurar la base de datos de Microsoft SQL, asegúrese de que los requisitos de hardware ysoftware sean correctos para la implementación.

Para ajustar el tamaño de los servidores correctamente, lea la Guía de arquitectura recomendada deVMware Workspace ONE UEM para obtener información sobre el tamaño del hardware y otros detallestécnicos a fin de garantizar que la base de datos se puede configurar correctamente.

Requisitos de software de SQL Servern SQL Server 2012, SQL Server 2014 o SQL Server 2016 con herramientas de cliente (SQL

Management Studio, servicios de informes, servicios de integración, SQL Server Agent, Service Packmás recientes). Asegúrese de que las instancias de SQL Server sean de 64 bits (sistema operativo ySQL Server). Solo se admiten las ediciones Standard y Enterprise.

n Se necesita .NET 4.6.2 para ejecutar al instalador de la base de datos. Si no desea instalar.NET enel servidor de la base de datos, ejecute el instalador de la base de datos desde otro servidor deWorkspace ONE UEM o desde un servidor de salto donde se pueda instalar .NET.

n Asegúrese de que el servicio de Windows de SQL Server Agent se haya establecido comoAutomático o Automático (retrasado) para el tipo de inicio del servicio. Si se establece como Manual,el servicio de Windows de SQL Server Agent se deberá iniciar manualmente antes de la instalaciónde la base de datos.

TCP/IP habilitadoUse TCP/IP para conectarse a la base de datos y deshabilitar las canalizaciones con nombre. En eladministrador de la configuración de SQL Server, desplácese hasta la página de configuración de red deSQL Server y seleccione los protocolos de MSSQLSERVER.

Configurar la base de datos de Microsoft SQL con el modo deautenticación de WindowsPara utilizar una base de datos de Microsoft SQL para VMware Identity Manager, debe crear una nuevabase de datos en el servidor de Microsoft SQL. Durante la instalación, debe seleccionar un modo deautenticación para la base de datos. Si selecciona la autenticación de Windows, cuando cree la base dedatos, introduzca el nombre de usuario y el dominio. El nombre de usuario y el dominio introducido esdomain\username.


VMware, Inc. 17

https://docs.vmware.com/es/VMware-Workspace-ONE-UEM/9.6/vmware-airwatch-guides-96/GUID-AW96-Architecture.html

https://docs.vmware.com/es/VMware-Workspace-ONE-UEM/9.6/vmware-airwatch-guides-96/GUID-AW96-Architecture.html

Al ejecutar los comandos de Microsoft SQL, debe crear una base de datos en el servidor de MicrosoftSQL, introducir el nombre de la base de datos, agregar las credenciales de usuario de inicio de sesión ycrear el esquema. El nombre del esquema es saas.

Nota La intercalación predeterminada distingue mayúsculas de minúsculas.

Requisitos previos

n Versión compatible del servidor de Microsoft SQL instalada como un servidor de base de datosexterna.

n Implementación de equilibrado de carga configurada.

n Autenticación de Windows seleccionada como modo de autenticación.

n Derechos de administrador para crear los componentes de la base de datos y acceder a ellosutilizando Microsoft SQL Server Management Studio u otro cliente de CLI del servidor de MicrosoftSQL.

Procedimiento

1 Inicie la sesión en Microsoft SQL Server Management Studio como administrador del sistema o conuna cuenta con privilegios de administrador del sistema.

Se abrirá la ventana del editor.

2 En la barra de herramientas, haga clic en Nueva consulta.

3 Para crear la base de datos con el esquema predeterminado denominado saas, introduzca lossiguientes comandos en la ventana del editor.

/*

Values within angle brackets (< >) are example values. When replacing the example value,

remove the angle brackets. The database name is case sensitive. Make sure you enter the database

name the same in all instances.

*/

CREATE DATABASE <saasdb>

COLLATE Latin1_General_CS_AS;

ALTER DATABASE <saasdb> SET READ_COMMITTED_SNAPSHOT ON;

GO

IF NOT EXISTS

(SELECT name

FROM master.sys.server_principals

WHERE name=N'<domain\username>')

BEGIN

CREATE LOGIN [<domain\username>] FROM WINDOWS;

END

GO

USE <saasdb>;

IF EXISTS (SELECT * FROM sys.database_principals WHERE name=N'<domain\username>')


VMware, Inc. 18

DROP USER [<domain\username>]

GO

CREATE USER [<domain\username>] FOR LOGIN [<domain\username>]

WITH DEFAULT_SCHEMA=saas;

GO

CREATE SCHEMA saas AUTHORIZATION "<domain\username>"

GRANT ALL ON DATABASE::<saasdb> TO "<domain\username>";

GO

ALTER ROLE db_owner ADD MEMBER "<domain\username>";

GO

4 En la barra de herramientas, haga clic en !Ejecutar.

El servidor de base de datos de Microsoft SQL ya está preparado para conectarse a la base de datosde VMware Identity Manager.

La función de servidor que se utiliza para conceder privilegios de seguridad en todo el servidor seestablece como pública. La membresía de función de base de datos es db_owner. No establezcaninguna otra función.

Cuando se instala VMware Identity Manager para Windows, se selecciona la instancia del servidor de labase de datos a la que se conectará. Tras la instalación, la URL de JDBC y el nombre de usuario y lacontraseña que se crearon para la base de datos se configuran en la página de configuración deconexión de la base de datos en el servidor de VMware Identity Manager. Consulte Configure VMwareIdentity Manager para usar una base de datos externa

Configurar la base de datos de Microsoft SQL con el modo deautenticación local de SQL ServerPara utilizar una base de datos de Microsoft SQL para VMware Identity Manager, debe crear una nuevabase de datos en el servidor de Microsoft SQL. Durante la instalación, debe seleccionar un modo deautenticación para la base de datos. Si selecciona la autenticación de SQL Server, debe introducir unnombre de usuario local y una contraseña cuando se cree la base de datos.

Al ejecutar los comandos de Microsoft SQL, debe crear una base de datos en el servidor de MicrosoftSQL, introducir el nombre de la base de datos, agregar las credenciales de usuario de inicio de sesión ycrear el esquema. El esquema se llama saas.

Nota La intercalación de bases de datos predeterminada distingue mayúsculas de minúsculas.

Requisitos previos

n Versión compatible del servidor de Microsoft SQL instalada como un servidor de base de datosexterna.

n Implementación de equilibrado de carga configurada.


VMware, Inc. 19

n Autenticación de SQL Server seleccionada como el modo de autenticación.

n Derechos de administrador para crear los componentes de la base de datos y acceder a ellosutilizando Microsoft SQL Server Management Studio u otro cliente de CLI del servidor de MicrosoftSQL.

Procedimiento

1 Inicie la sesión en Microsoft SQL Server Management Studio como administrador del sistema o conuna cuenta con privilegios de administrador del sistema.



3 Para crear la base de datos con el esquema predeterminado denominado saas, introduzca lossiguientes comandos en la ventana del editor.

/*

Values within angle brackets (< >) are example values. When replacing the example value,

remove the angle brackets. The database name is case sensitive. Make sure you enter the database

name the same in all instances.

*/

CREATE DATABASE <saasdb>

COLLATE Latin1_General_CS_AS;

ALTER DATABASE <saasdb> SET READ_COMMITTED_SNAPSHOT ON;

GO

BEGIN

CREATE LOGIN <loginusername> WITH PASSWORD = N'<password>';

END

GO

USE <saasdb>;

IF EXISTS (SELECT * FROM sys.database_principals WHERE name=N'<loginusername>')

DROP USER [<loginusername>]

GO

CREATE USER [<loginusername>] FOR LOGIN [<loginusername>]

WITH DEFAULT_SCHEMA=saas;

GO

CREATE SCHEMA saas AUTHORIZATION <loginusername>

GRANT ALL ON DATABASE::<saasdb> TO <loginusername>;

GO

ALTER ROLE [db_owner] ADD MEMBER <loginusername>;

GO


VMware, Inc. 20


El servidor de base de datos de Microsoft SQL ya está preparado para conectarse a la base de datosde VMware Identity Manager.

La función de servidor que se utiliza para conceder privilegios de seguridad en todo el servidor seestablece como pública. La membresía de función de base de datos es db_owner. No establezcaninguna otra función.

Cuando se instala VMware Identity Manager para Windows, se selecciona la instancia del servidor de labase de datos a la que se conectará. Tras la instalación, la URL de JDBC y el nombre de usuario y lacontraseña que se crearon para la base de datos se configuran en la página de configuración deconexión de la base de datos en el servidor de VMware Identity Manager. Consulte Configure VMwareIdentity Manager para usar una base de datos externa

Confirmar que la base de datos de Microsoft SQL estéconfigurada correctamentePara confirmar que la base de datos de Microsoft SQL está configurada correctamente para que funcionecon VMware Identity Manager, se ejecuta el siguiente script de comprobación después de haberconfigurado la base de datos.

Requisitos previos

Se crea la base de datos de Microsoft SQL para el servicio de VMware Identity Manager.

Procedimiento

1 Inicie sesión en Microsoft SQL Server Management Studio con el nombre de usuario y la contraseñade inicio de sesión de <saasdb> que se crearon en el script que se utilizó para crear la base dedatos.



3 Ejecute los siguientes comandos. Edite los comandos según sea necesario.

execute as user = 'domain\username'

/* Check if user is db owner. Return true */

SELECT IS_ROLEMEMBER('db_owner') as isRoleMember

/* Make sure user is not sysadmin. Should return false */

SELECT IS_SRVROLEMEMBER('sysadmin') as isSysAdmin

/* check if saas schema exists, should be not null */

SELECT SCHEMA_ID('saas') as schemaId

/* check schema owner, should be user provided to installer */

SELECT SCHEMA_OWNER FROM INFORMATION_SCHEMA.SCHEMATA where SCHEMA_NAME='saas'


VMware, Inc. 21

/* check if saas is user default schema, should return saas */

SELECT SCHEMA_NAME() as SchemaName

/* check db collation, should return Latin1_General_CS_AS */

SELECT DATABASEPROPERTYEX('<saasdb>', 'Collation') AS Collation

/* check if read committed snapshot is on, should return true */

SELECT is_read_committed_snapshot_on FROM sys.databases WHERE name='<saasdb>'


Si la configuración no es correcta, se muestran mensajes de error. Antes de continuar configurandoel servicio de VMware Identity Manager para utilizar la base de datos de Microsoft SQL externa,corrija los problemas que se describen en los mensajes de error.

Cambiar las funciones de nivel de la base de datosCuando se utiliza el esquema saas para crear la base de datos de Microsoft SQL para el servicio deVMware Identity Manager, se concede la suscripción de la función de base de datos a la funcióndb_owner. Los miembros de la función de la base de datos fija db_owner pueden realizar todas lasactividades de configuración y mantenimiento en la base de datos.

Después de instalar y configurar la base de datos en el servicio de VMware Identity Manager, puederevocar el acceso a db_owner, add db_datareader y db_datawriter como funciones de base de datos.Los miembros de la función db_datareader pueden leer todos los datos de todas las tablas de usuario. Elmiembro de la función db_datawriter puede agregar, eliminar o cambiar los datos de todas las tablas deusuario.

Nota Si revoca el acceso a la función db_owner, asegúrese de que se vuelve a habilitar la funcióndb_owner antes de iniciar la actualización a una nueva versión de VMware Identity Manager.

Requisitos previos

La función del usuario para Microsoft SQL Server Management Studio como administrador del sistema ocomo cuenta de usuario con privilegios de administrador del sistema.

Procedimiento

1 En la sesión de Microsoft SQL Server Management Studio como administrador con privilegios deadministrador del sistema, conéctese a la instancia de base de datos <saasdb> paraVMware Identity Manager.

2 Revoque la función db_owner en la base de datos, introduzca el siguiente comando

Modo de autenticación Comando

Autenticación de Windows(domain\user) ALTER ROLE db_owner DROP MEMBER <domain\username>;

Autenticación de SQLServer (usuario local) ALTER ROLE db_owner DROP MEMBER <loginusername>;


VMware, Inc. 22

3 Agregue membresía de las funciones db_datawriter y db_datareader a la base de datos.

Modo de autenticación Comando

Autenticación de Windows(domain\user) ALTER ROLE db_datawriter ADD MEMBER <domain\username>;

GO

ALTER ROLE db_datareader ADD MEMBER <domain\username>;GO

Autenticación de SQLServer (usuario local) ALTER ROLE db_datawriter ADD MEMBER <loginusername>;

GOALTER ROLE db_datareader ADD MEMBER <loginusername>;GO

Listas de comprobación de implementaciónLa lista de comprobación de implementación le permite recopilar la información necesaria para instalar eldispositivo virtual de VMware Identity Manager.

Información del directorioVMware Identity Manager es compatible con los entornos de Active Directory o de los directorios LDAP.

Tabla 2‑3. Lista de comprobación de información sobre el controlador de dominio de ActiveDirectory

Información para recopilar Muestra la información

Nombre del servidor de Active Directory

Nombre del dominio de Active Directory

DN base

Para Active Directory mediante LDAP, el nombre de usuario yla contraseña de DN de enlace

Para Active Directory con autenticación integrada de Windows(IWA, Integrated Windows Authentication), el nombre deusuario y la contraseña de la cuenta con privilegios para unirequipos al dominio.

Tabla 2‑4. Lista de comprobación de información del servidor del directorio LDAP


Dirección IP o nombre del servidor del directorio LDAP

Número de puerto del servidor del directorio LDAP

DN base

Nombre de usuario DN de enlace y contraseña


VMware, Inc. 23

Tabla 2‑4. Lista de comprobación de información del servidor del directorio LDAP(Continuación)


Filtro de búsqueda de LDAP para objetos de grupo, objetos deusuarios de enlace y objetos de usuarios

Nombres de atributos LDAP de la pertenencia a grupos, UUIDdel objeto y nombre distintivo

certificados SSLPuede agregar un certificado SSL después de implementar el servicio del de VMware Identity Manager.

Tabla 2‑5. Lista de comprobación de información sobre el certificado SSL


Certificado SSL

Clave privada

Clave de licenciaTabla 2‑6. Lista de comprobación de información sobre la clave de licencia deVMware Identity Manager


Clave de licencia

Nota La información sobre la clave de licencia se introduce en la página Configuración dedispositivos > Licencia de la consola de VMware Identity Manager después de completar la instalación.

Base de datos externaTabla 2‑7. Lista de comprobación de información sobre la base de datos externa


Nombre del host de la base de datos

Puerto

Nombre de usuario

Contraseña


VMware, Inc. 24

Programa de mejora de laexperiencia de cliente 3El Programa de mejora de la experiencia de cliente (CEIP) de VMware proporciona a VMwareinformación que permite mejorar los productos y los servicios, además de solucionar problemas yaconsejarle sobre la mejor forma de implementar y utilizar nuestros productos. Como parte del CEIP,VMware recopila información técnica acerca del uso que hace la organización de los productos y losservicio de VMware de forma periódica en asociación con las claves de licencia de VMware de laorganización. Esta información no identifica a ninguna persona.

Si prefiere no participar en el CEIP de VMware para este producto, desactive la casilla cuando instaleVMware Identity Manager.

También puede unirse o abandonar el CEIP de este producto en cualquier momento después de lainstalación.

VMware, Inc. 25

Implementar el equipo del deVMware Identity Manager detrásde un equilibrador de carga 4En un entorno empresarial, la configuración del equipo de VMware Identity Manager recomendadaconsiste en implementar un clúster de tres nodos del servicio de VMware Identity Manager para altadisponibilidad. Después de instalar, configurar y probar el primer nodo de IDM detrás del equilibrador decarga, se ejecuta un script en el primer nodo para crear una copia de la primera instancia. Este archivocopiado se utiliza para crear los demás nodos del clúster.

El diagrama de la arquitectura de VMware Identity Manager demuestra cómo se puede implementar elentorno de VMware Identity Manager.

Consulte Capítulo 1Descripción general de VMware Identity Manager Services.

Usar un equilibrador de carga o un proxy inverso parahabilitar el acceso externo a VMware Identity ManagerDurante la implementación, el equipo del de VMware Identity Manager se configura dentro de la redinterna. Si desea proporcionar acceso al servicio a aquellos usuarios que se conectan desde redesexteriores, debe instalar un equilibrador de carga o un proxy inverso, como Apache, Nginx o F5, en la redperimetral o DMZ.

Si no usa un equilibrador de carga o un proxy inverso, posteriormente no podrá ampliar el número deequipos de VMware Identity Manager. Puede que necesite agregar más equipos para proporcionarredundancia y equilibrio de carga. El diagrama siguiente muestra la arquitectura de implementaciónbásica que puede usar para habilitar el acceso externo.

VMware, Inc. 26

Figura 4‑1. Proxy de equilibrador de carga externo con máquinas virtuales

Equilibrador de carga externoNombre de host: FQDN de VMware Identity ManagerDirección IP de ejemplo: 64.x.y.zPuerto: Puerto de VMware Identity ManagerDebe habilitar encabezados X-Forwarded-For.

Usuarios externos

Equilibrador de carga internoNombre de host: FQDN de VMware Identity ManagerDirección IP de ejemplo: 10.x.y.zPuerto: Puerto de VMware Identity ManagerDebe habilitar encabezados X-Forwarded-For.

Usuarios internos

Puerto 443

Puerto 443

Clúster de VMwareIdentity Manager

Cortafuegos de DMZ

Especifique el FQDN del de VMware Identity Manager durante laimplementaciónDurante la implementación del equipo del de VMware Identity Manager, se proporciona el número depuerto y el FQDN de VMware Identity Manager . Estos valores deben dirigir al nombre de host al quedesea que los usuarios finales obtengan acceso.

El equipo del de VMware Identity Manager siempre se ejecuta a través del puerto 443. Puede usar unnúmero de puerto diferente para el equilibrador de carga. Si usa un número de puerto diferente, debeespecificarlo durante la implementación. No utilice 8443 como número de puerto, ya que este es elpuerto administrativo de VMware Identity Manager y es único para cada equipo del clúster.

Opciones del equilibrador de carga para configurarLa configuración del equilibrador de carga incluye habilitar encabezados X-Forwarded-For, establecercorrectamente el tiempo de espera del equilibrador de carga y habilitar sesiones sticky. Además, se debeconfigurar la confianza SSL entre el equilibrador de carga y el equipo del de VMware Identity Manager.

n Encabezados X-Forwarded-For


VMware, Inc. 27

Debe habilitar encabezados X-Forwarded-For para su equilibrador de carga. Esto determina elmétodo de autenticación. Consulte la documentación proporcionada por el proveedor de suequilibrador de carga para obtener más información.

n Tiempo de espera del equilibrador de carga

Para que VMware Identity Manager funcione correctamente, es posible que necesite aumentar elvalor predeterminado correspondiente al tiempo de espera para las solicitudes del equilibrador decarga. Este valor se expresa en minutos. Si el valor del tiempo de espera es demasiado bajo, puedeque se muestre el mensaje "Error 502: El servicio no se encuentra disponible".

n Habilitar sesiones sticky

Debe habilitar la configuración de las sesiones sticky en el equilibrador de carga si la implementacióntiene varios equipos de VMware Identity Manager. El equilibrador de carga enlazará la sesión de unusuario con una instancia específica.

n Compatibilidad con WebSocket

El equilibrador de carga debe admitir WebSocket para habilitar los canales de comunicación seguraentre los conectores y los nodos de VMware Identity Manager.

n Cifrados con confidencialidad directa

Los requisitos de seguridad de transporte de la aplicación iOS de Apple se aplican a la aplicaciónWorkspace ONE en iOS. Para permitir que los usuarios utilicen la aplicación Workspace ONE eniOS, el equilibrador de carga debe tener cifrados con confidencialidad directa. Estas son los cifradosque cumplen los requisitos:

ECDHE_ECDSA_AES y ECDHE_RSA_AES en el modo GCM o CBC

tal como se especifica en el documento Seguridad de iOS de iOS 11:

"La seguridad de transporte de las app proporciona unos requisitos de conexión por omisión, demanera que las apps cumplan las buenas prácticas para conexiones seguras al utilizar las APINSURLConnection, CFURL o NSURLSession. Por omisión, la seguridad de transporte de las appslimita la selección de cifrados para incluir solo conjuntos que proporcionen la confidencialidad directa,concretamente ECDHE_ ECDSA_ AES y ECDHE_ RSA_ AES en modo GCM o CBC".


VMware, Inc. 28

Configurar el servicio deVMware Identity Manager 5Este capítulo incluye los siguientes temas:n Instalar VMware Identity Manager

n Usar el asistente de configuración para completar la instalación

n Implementar el equipo del de VMware Identity Manager detrás de un equilibrador de carga

n Usar un equilibrador de carga o un proxy inverso para habilitar el acceso externo a VMware IdentityManager

n Aplicar el certificado raíz de VMware Identity Manager al equilibrador de carga

n Aplicar el certificado raíz del equilibrador de carga a VMware Identity Manager

n Configurar la conmutación por error y la redundancia en un centro de datos único (Windows)

n Configurar conexiones del directorio LDAP o de Active Directory

n Agregar direcciones IP de la lista blanca al firewall externo

n Habilitar la configuración del proxy tras la instalación

n Introducir la clave de licencia

Instalar VMware Identity ManagerEjecute el instalador de VMware Identity Manager en un servidor Windows que cumpla todos losrequisitos de configuración del sistema enumerados.

Requisitos previos

Consulte Requisitos de configuración de la red y el sistema.

Procedimiento

1 Haga doble clic en el instalador de VMware Identity Manager.

Ejecute el instalador desde una cuenta con privilegios de administrador.

VMware, Inc. 29

2 En el cuadro de diálogo de bienvenida, haga clic en Siguiente.

El instalador comprueba los requisitos en el servidor. Si no se ha instalado el software necesario,como .NET o TLS, se le pedirá que instale el software y que reinicie el servidor. Después de reiniciar,vuelva a ejecutar el instalador de VMware Identity Manager.

3 Acepte el Contrato de licencia de usuario final (CLUF) y, a continuación, haga clic en Siguiente.

4 En el cuadro de diálogo Programa de mejora de la experiencia de cliente, la acciónpredeterminada se establece en Sí.

Este producto forma parte del Programa de mejora de la experiencia de cliente (CEIP) de VMware.La información relacionada con los datos recopilados a través del CEIP y los propósitos para los queVMware los utiliza están establecidos en el centro de seguridad y confianza en http://www.vmware.com/trustvmware/ceip.html. Si prefiere no participar en el CEIP de VMware paraeste producto, desactive la casilla.

También puede unirse al CEIP de este producto o abandonarlo en cualquier momento después de lainstalación.

Nota Si la red está configurada para acceder a Internet a través de un proxy HTTP, para enviar losdatos recopilados mediante el CEIP a VMware deberá ajustar la configuración del proxy en el equipode VMware Identity Manager.

5 Se enumerarán los requisitos previos de VMware Identity Manager. El instalador comprobará losmódulos necesarios. Se le pedirá que instale los módulos que falten.

Figura 5‑1. Confirmar la instalación de los requisitos previos

6 Seleccione el directorio en el que se instalará el servicio de VMware Identity Manager.

7 Si este nodo es la primera instancia de servicio que se instala en el clúster, haga clic en Siguiente.

Si instala instancias adicionales en el clúster, marque la casilla de verificación y desplácese hasta elarchivo ZIP exportado para que la primera instancia lo importe.

8 El nombre de host y el puerto 443 se rellenan automáticamente en el cuadro de diálogo deconfiguración. Haga clic en Siguiente.


VMware, Inc. 30

http://www.vmware.com/trustvmware/ceip.html

9 En el cuadro de diálogo del servidor de la base de datos, seleccione la instancia del servidor de labase de datos de VMware Identity Manager para conectarse; además, seleccione el modo deautenticación.

Opción Descripción

Servidor de la base de datos deVMware Identity Manager

Introduzca el FQDN de la base de datos, o haga clic en Examinar paraseleccionar la URL del servidor de la base de datos en la lista. Ejemplo de FQDNde la base de datos, introduzca http://MiServidorBD.

La aplicación se conecta mediante Puede seleccionar el modo Autenticación de Windows o Autenticación deSQL Server. Para la autenticación de SQL Server, introduzca el nombre deusuario y la contraseña locales.

Nombre de la base de datos deVMware Identity Manager

Introduzca el nombre de la base de datos que creó cuando configuró la base dedatos MySQL, o busque SQL Server para seleccionar el nombre en la lista si hacambiado el nombre de la base de datos.

¿SQL AlwaysOn? Habilite SQL AlwaysOn para establecer MultiSubNetFailover como True enSQL Server y así habilitar una conmutación por error más rápida en SQL Server.

La capacidad de SQL Server AlwaysOn es una combinación de la agrupación enclústeres de conmutación por error y la creación de reflejos de base de datos o elenvío de registros. Permite que haya varias copias de lectura de la base de datosy una sola copia para las operaciones de lectura y escritura. Si la red tiene anchode banda suficiente para admitir el tráfico que se genera, la base de datos deIdentity Manager admitirá AlwaysOn.

Figura 5‑2. Configuración de la base de datos con la opción SQL AlwayOn

Haga clic en Siguiente.

El instalador comprueba que la base de datos se haya configurado correctamente. Si laconfiguración no es correcta, aparecerán mensajes de error y no se podrá continuar con lainstalación. Corrija los problemas descritos en los mensajes de error. Consulte Confirmar que la basede datos de Microsoft SQL esté configurada correctamente.

10 En el cuadro de diálogo de la cuenta de servicio de VMware Identity Manager, marque la casilla deverificación si desea ejecutar el servicio como un usuario de dominio de Windows.

Ejecute el servicio como un usuario de dominio en los siguientes casos.

n Si tiene previsto conectarse a Active Directory (autenticación de Windows integrada).


VMware, Inc. 31

n Si tiene previsto utilizar la autenticación Kerberos.

n Si tiene previsto integrar Horizon View con VMware Identity Manager y quiere usar las opcionesRealizar sincronización de directorio o Configurar servidor de conexión 5.x.

Si no utiliza una cuenta de usuario de dominio, el servicio se ejecutará como un sistema local.

Figura 5‑3. Configuración de la cuenta de usuario de dominio

11 Haga clic en Instalar para comenzar la instalación.

12 Haga clic en Finalizar.

VMware Identity Server se inicializará y se mostrará la dirección URL de VMware Identity Managerpara iniciar sesión en la consola de VMware Identity Manager para finalizar la instalación. Parafinalizar la instalación ahora, haga clic en Sí. De lo contrario, anote la URL para iniciar sesión mástarde.

Figura 5‑4. Información sobre cómo iniciar sesión en la consola de Identity Manager


VMware, Inc. 32

Pasos siguientes

Ejecute el Asistente de configuración de VMware Identity Manager para finalizar la configuración delservicio.

Figura 5‑5. Asistente de configuración

Usar el asistente de configuración para completar lainstalaciónDespués de implementar VMware Identity Manager, utilice el Asistente de configuración para establecerla contraseña de administrador de VMware Identity Manager, aceptar el certificado autofirmado ycomprobar la URL de JDBC de la base de datos.

Asegúrese de ejecutar el Asistente de configuración utilizando el nombre de host completo. No escriba ladirección IP como nombre.

Procedimiento

1 Vaya a la URL de VMware Identity Manager que apareció al finalizar la instalación. Introduzca elnombre de dominio completo (FQDN). Por ejemplo, https://nombredehost.ejemplo.com.

2 Si se le solicita, acepte el certificado.

Durante la instalación, se implementa un certificado autofirmado. Podrá actualizarlo a un certificadofirmado después de la configuración inicial.

3 En la página Comenzar, haga clic en Continuar.

4 En la página de configuración de contraseñas, configure la contraseña del administrador deldispositivo. La contraseña del usuario administrador debe tener 6 caracteres como mínimo. Haga clicen Continuar.

La cuenta del usuario admin se utiliza para administrar la configuración del dispositivo.

5 En la página Seleccionar base de datos, se muestra la URL de JDBC de la base de datos.

La conexión a la base de datos se configurará y la base de datos se inicializará.

Se abrirá la página Se ha completado la configuración.

Pasos siguientes

Configure Active Directory. Consulte Configurar conexiones del directorio LDAP o de Active Directory.


VMware, Inc. 33

Implementar el equipo del de VMware Identity Managerdetrás de un equilibrador de cargaEn un entorno empresarial, la configuración del equipo de VMware Identity Manager recomendadaconsiste en implementar un clúster de tres nodos del servicio de VMware Identity Manager para altadisponibilidad. Después de instalar, configurar y probar el primer nodo de IDM detrás del equilibrador decarga, se ejecuta un script en el primer nodo para crear una copia de la primera instancia. Este archivocopiado se utiliza para crear los demás nodos del clúster.

El diagrama de la arquitectura de VMware Identity Manager demuestra cómo se puede implementar elentorno de VMware Identity Manager.

Consulte Capítulo 1Descripción general de VMware Identity Manager Services.

Usar un equilibrador de carga o un proxy inverso parahabilitar el acceso externo a VMware Identity ManagerDurante la implementación, el equipo del de VMware Identity Manager se configura dentro de la redinterna. Si desea proporcionar acceso al servicio a aquellos usuarios que se conectan desde redesexteriores, debe instalar un equilibrador de carga o un proxy inverso, como Apache, Nginx o F5, en la redperimetral o DMZ.

Si no usa un equilibrador de carga o un proxy inverso, posteriormente no podrá ampliar el número deequipos de VMware Identity Manager. Puede que necesite agregar más equipos para proporcionarredundancia y equilibrio de carga. El diagrama siguiente muestra la arquitectura de implementaciónbásica que puede usar para habilitar el acceso externo.


VMware, Inc. 34

Figura 5‑6. Proxy de equilibrador de carga externo con máquinas virtuales

Equilibrador de carga externoNombre de host: FQDN de VMware Identity ManagerDirección IP de ejemplo: 64.x.y.zPuerto: Puerto de VMware Identity ManagerDebe habilitar encabezados X-Forwarded-For.

Usuarios externos

Equilibrador de carga internoNombre de host: FQDN de VMware Identity ManagerDirección IP de ejemplo: 10.x.y.zPuerto: Puerto de VMware Identity ManagerDebe habilitar encabezados X-Forwarded-For.

Usuarios internos

Puerto 443

Puerto 443

Clúster de VMwareIdentity Manager

Cortafuegos de DMZ

Especifique el FQDN del de VMware Identity Manager durante laimplementaciónDurante la implementación del equipo del de VMware Identity Manager, se proporciona el número depuerto y el FQDN de VMware Identity Manager . Estos valores deben dirigir al nombre de host al quedesea que los usuarios finales obtengan acceso.

El equipo del de VMware Identity Manager siempre se ejecuta a través del puerto 443. Puede usar unnúmero de puerto diferente para el equilibrador de carga. Si usa un número de puerto diferente, debeespecificarlo durante la implementación. No utilice 8443 como número de puerto, ya que este es elpuerto administrativo de VMware Identity Manager y es único para cada equipo del clúster.

Opciones del equilibrador de carga para configurarLa configuración del equilibrador de carga incluye habilitar encabezados X-Forwarded-For, establecercorrectamente el tiempo de espera del equilibrador de carga y habilitar sesiones sticky. Además, se debeconfigurar la confianza SSL entre el equilibrador de carga y el equipo del de VMware Identity Manager.

n Encabezados X-Forwarded-For


VMware, Inc. 35

Debe habilitar encabezados X-Forwarded-For para su equilibrador de carga. Esto determina elmétodo de autenticación. Consulte la documentación proporcionada por el proveedor de suequilibrador de carga para obtener más información.

n Tiempo de espera del equilibrador de carga

Para que VMware Identity Manager funcione correctamente, es posible que necesite aumentar elvalor predeterminado correspondiente al tiempo de espera para las solicitudes del equilibrador decarga. Este valor se expresa en minutos. Si el valor del tiempo de espera es demasiado bajo, puedeque se muestre el mensaje "Error 502: El servicio no se encuentra disponible".

n Habilitar sesiones sticky

Debe habilitar la configuración de las sesiones sticky en el equilibrador de carga si la implementacióntiene varios equipos de VMware Identity Manager. El equilibrador de carga enlazará la sesión de unusuario con una instancia específica.

n Compatibilidad con WebSocket

El equilibrador de carga debe admitir WebSocket para habilitar los canales de comunicación seguraentre los conectores y los nodos de VMware Identity Manager.

n Cifrados con confidencialidad directa

Los requisitos de seguridad de transporte de la aplicación iOS de Apple se aplican a la aplicaciónWorkspace ONE en iOS. Para permitir que los usuarios utilicen la aplicación Workspace ONE eniOS, el equilibrador de carga debe tener cifrados con confidencialidad directa. Estas son los cifradosque cumplen los requisitos:

ECDHE_ECDSA_AES y ECDHE_RSA_AES en el modo GCM o CBC

tal como se especifica en el documento Seguridad de iOS de iOS 11:

"La seguridad de transporte de las app proporciona unos requisitos de conexión por omisión, demanera que las apps cumplan las buenas prácticas para conexiones seguras al utilizar las APINSURLConnection, CFURL o NSURLSession. Por omisión, la seguridad de transporte de las appslimita la selección de cifrados para incluir solo conjuntos que proporcionen la confidencialidad directa,concretamente ECDHE_ ECDSA_ AES y ECDHE_ RSA_ AES en modo GCM o CBC".

Aplicar el certificado raíz de VMware Identity Manager alequilibrador de cargaCuando el dispositivo virtual VMware Identity Manager se configure detrás de un equilibrador de carga,deberá establecer la confianza de SSL entre este y VMware Identity Manager. El certificado raíz deVMware Identity Manager se debe copiar en el equilibrador de carga.

El certificado raíz de VMware Identity Manager puede descargarse desde la página Configuración dedispositivos > Administrar configuración > Instalar certificados SSL > Certificado del servidor enla consola de administración de VMware Identity Manager.

Si el FQDN de VMware Identity Manager dirige a un equilibrador de carga, el certificado SSL solo sepuede aplicar al equilibrador de carga.


VMware, Inc. 36

Como el equilibrador de carga se comunica con el dispositivo virtual del VMware Identity Manager , debecopiar el certificado raíz de la CA de VMware Identity Manager al equilibrador de carga como certificadoraíz de confianza.

Procedimiento

1 En la consola de VMware Identity Manager, seleccione la pestaña Configuración de dispositivos, acontinuación, haga clic en Configuración del dispositivo virtual > Administrar configuración.

2 En el cuadro de diálogo que se abrirá, escriba la contraseña de usuario administrador.

3 Seleccione Instalar certificados SSL > Certificado de servidor.

4 Haga clic en el vínculo Certificados de CA raíz autofirmados del dispositivo.

Se muestra el certificado.

5 Copie todo lo que hay entre las líneas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE----,incluyendo estas líneas, y pegue el certificado raíz en la ubicación correcta de cada uno de susequilibradores de carga. Consulte la documentación proporcionada por el proveedor deequilibradores de carga.


VMware, Inc. 37

Pasos siguientes

Copie y pegue el certificado raíz del equilibrador de carga en el dispositivo VMware Identity Manager.

Aplicar el certificado raíz del equilibrador de carga aVMware Identity ManagerCuando el dispositivo virtual VMware Identity Manager se configure detrás de un equilibrador de carga,deberá establecer la confianza entre este y VMware Identity Manager. Además de copiar el certificadoraíz de VMware Identity Manager al equilibrador de carga, deberá copiar el certificado del equilibrador decarga a VMware Identity Manager.

Procedimiento

1 Obtenga el certificado raíz del equilibrador de carga.

2 En la consola de VMware Identity Manager, seleccione la pestaña Configuración de dispositivos, acontinuación, haga clic en Configuración del dispositivo virtual > Administrar configuración.

3 En el cuadro de diálogo que se abrirá, escriba la contraseña de usuario administrador.

4 Seleccione Instalar certificados SSL > Entidades de certificación de confianza.

5 Pegue el certificado raíz del equilibrador de carga en el cuadro de texto Certificado raíz ointermedio.


VMware, Inc. 38

6 Haga clic en Agregar.

Configurar la conmutación por error y la redundancia enun centro de datos único (Windows)Para obtener la conmutación por error y la redundancia, puede agregar varios equipos deVMware Identity Manager en un clúster. VMware Identity Manager seguirá disponible aunque uno de losequipos se apague por algún motivo.

Instale y configure VMware Identity Manager en un servidor de Windows y, a continuación, ejecute unscript para crear un archivo ENC que sea una copia de la primera instancia de VMware Identity Managerpara Windows con la misma configuración que el original.


VMware, Inc. 39

Antes de crear una copia de la primera instancia, se debe configurar el primer nodo detrás de unequilibrador de carga y cambiar su nombre de dominio completo (FQDN) para que coincida con el FQDNde equilibrador de carga. Además, se debe completar la configuración del directorio en el servicio deVMware Identity Manager antes de crear el archivo ENC.

Ejecute el instalador de VMware Identity Manager para Windows en cada nodo e importe el archivo ENCcopiado. Puede personalizar estos nodos para cambiar el nombre, la configuración de red y otraspropiedades según sea necesario. Cada nodo tiene una dirección IP diferente. Esta dirección IP debeseguir las mismas directrices que la dirección IP del primer nodo. La dirección IP debe resolverse en unnombre de host válido con una DNS directa e inversa.

Los nodos del clúster son copias idénticas y casi sin estado unas de otras. La sincronización con ActiveDirectory y con los recursos configurados, como Horizon, está habilitada en el primer nodo, perodeshabilitada en los demás nodos del clúster.

Cambiar el FQDN de VMware Identity Manager al FQDN delequilibrador de cargaAntes de copiar la instancia del equipo de VMware Identity Manager, debe cambiar su nombre dedominio completo (FQDN) para que coincida con el FQDN del equilibrador de carga.

Requisitos previos

n La instancia de VMware Identity Manager se agrega a un equilibrador de carga.

n Se aplicó el certificado raíz de CA a VMware Identity Manager.

Procedimiento

1 Inicie sesión en la consola de administración de VMware Identity Manager.

2 Seleccione la pestaña Configuración de dispositivos.

3 En la página Configuración del dispositivo virtual, haga clic en Administrar configuración.

4 Introduzca su contraseña de administrador para iniciar la sesión.

5 Haga clic en Configuración de Identity Manager.

6 En el campo FQDN de Identity Manager, cambie la parte del nombre de host de la URL del nombrede host de VMware Identity Manager por el nombre de host del equilibrador de carga.

Por ejemplo, si su nombre de host de VMware Identity Manager es miservicio y el nombre de hostde su equilibrador de carga es milb, cambiaría la URL

https://myservice.example.com

por la siguiente:

https://mylb.example.com


VMware, Inc. 40

7 Haga clic en Guardar.

n El FQDN se cambiará por el FQDN del equilibrador de carga.

n La URL del proveedor de identidades se cambiará por la URL del equilibrador de carga.

Pasos siguientes

Ejecute el script para generar el archivo ENC del primer nodo para VMware Identity Manager paraWindows.

Agregar nodos para crear un clúster de VMware Identity ManagerPara crear un clúster con el servicio de VMware Identity Manager después de instalar la primerainstancia de VMware Identity Manager, se copia dicha instancia para crear una imagen con la mismaconfiguración que la original.

Cuando se utilizan varios servicios de VMware Identity Manager, se necesitan tres o más nodos.

Nota El componente de VMware Identity Manager incluye Elasticsearch, un motor de búsqueda yanálisis; Elasticsearch tiene una limitación conocida con clústeres de dos nodos.

Requisitos previos

La primera instancia de VMware Identity Manager implementada y probada.


VMware, Inc. 41

El archivo de configuración del clúster creado a partir de la configuración de la primera instancia.

1 En la página Configuración de dispositivos > Configuración del dispositivo virtual de la consola deVMware Identity Manager, haga clic en Administrar configuración.

2 Haga clic en Ubicación del archivo del clúster.

3 Introduzca la contraseña que se utilizará para cifrar y descifrar el archivo del clúster.

4 Haga clic en Preparar paquete del clúster. Se creará un archivo ZIP de la instancia de VMwareIdentity Manager.

5 Descargue el archivo ZIP en una ubicación a la que tenga acceso.

Procedimiento

1 Ejecute el instalador de VMware Identity Manager para Windows en cada equipo que se vaya aconfigurar en el clúster.

Ejecute el instalador desde una cuenta con privilegios de administrador.

2 En el cuadro de diálogo de bienvenida, haga clic en Siguiente.

El instalador comprueba los requisitos en el servidor. Si no se ha instalado el software necesario,como .NET o TLS, se le pedirá que instale el software y que reinicie el servidor. Después de reiniciar,vuelva a ejecutar el instalador de VMware Identity Manager.

3 Acepte el Contrato de licencia de usuario final (CLUF) y, a continuación, haga clic en Siguiente.

4 El botón de radio Programa de mejora de la experiencia de cliente está seleccionado de manerapredeterminada. Anule la selección del botón de radio si no desea que se recopilen datos.

VMware recopila datos anónimos sobre su implementación con el fin de mejorar la respuesta deVMware a los requisitos del usuario.

5 Se enumerarán los requisitos previos de VMware Identity Manager. El instalador comprobará losmódulos necesarios. Se le pedirá que instale los módulos que falten.

6 Seleccione el directorio en el que se instalará el servicio de VMware Identity Manager.

7 En el cuadro de diálogo Configuración, marque la casilla de verificación Unirse a un clústerexistente y busque el archivo (ENC) de configuración del clúster de la primera instancia.

De forma predeterminada, el archivo se encuentra en<INSTALL_DIR>\VMwareIdentityManager\usr\local\horizon\<filename>.enc.

8 Introduzca la contraseña del clúster que creó para el archivo ENC de configuración del clúster y hagaclic en Siguiente.

9 Haga clic en Instalar para comenzar la instalación.

10 Para completar la instalación, haga clic en Finalizar.

Los archivos de configuración de VMware Identity Manager se copiarán en el servidor.


VMware, Inc. 42

Pasos siguientes

Agregue el equipo clonado al equilibrador de carga.

Eliminar un nodo de un clústerSi un nodo del clúster de VMware Identity Manager no funciona correctamente y no puede recuperarse,puede eliminarlo del clúster con el comando Eliminar nodo. El comando elimina las entradas del nodo dela base de datos de VMware Identity Manager.

Puede comprobar el estado de los nodos del clúster si consulta su estado en el panel de información dediagnósticos del sistema. Un mensaje El nodo actual se encuentra en un estado incorrectoindica que el nodo no está funcionando correctamente.

Importante Use el comando Eliminar nodo con moderación. Utilícelo solo cuando un nodo se encuentreen un estado irrecuperable y deba eliminarse por completo de la implementación deVMware Identity Manager.

Nota No puede utilizar el comando Eliminar nodo para quitar el último nodo de un clúster.

Desasociar el componente conector de los dominios, la configuración desincronización de directorios y el proveedor de identidades integradoPara poder eliminar un nodo de un clúster de VMware Identity Manager, debe asegurarse de que elcomponente conector del nodo no se encuentre unido a ningún dominio, no se utilice como un conectorde sincronización y no esté asociado al proveedor de identidades integrado.

Requisitos previos

Debe iniciar sesión como administrador de arrendatarios, es decir, un administrador local en el serviciode VMware Identity Manager. Un administrador de dominios sincronizado desde el directorio empresarialno tiene los permisos necesarios.

Procedimiento

1 Inicie sesión en la consola de VMware Identity Manager.

2 Haga clic en la pestaña Administración de acceso e identidad y, a continuación, enConfiguración.

Se abrirá la página Conectores.

3 Si el componente conector del nodo se utiliza como conector de sincronización de algún directorio,cambie la opción de configuración Conector de sincronización del directorio para usar otro conector.

a En la columna Directorio asociado de la página Conectores, consulte los directorios con los queel componente conector está asociado.

b Haga clic en un vínculo de directorio.

c En la sección Sincronización y autenticación de directorios de la página de directorios,compruebe el valor de la opción Conector de sincronización.


VMware, Inc. 43

d Si el componente conector se utiliza como conector de sincronización, seleccione otro conectorpara la opción Conector de sincronización y haga clic en Guardar.

e Repita estos pasos para todos los directorios con los que el componente conector está asociado.

4 Si el componente conector está asociado con el proveedor de identidades integrado, puedeeliminarlo del proveedor de identidades.

a En la página Conectores, en la columna Proveedor de identidades, consulte los proveedoresde identidades con los que está asociado el componente conector.

b Si el proveedor de identidades integrado forma parte de la lista, haga clic en el vínculo.

c En la página del proveedor de identidades, en la sección Conectores, haga clic en el iconoEliminar junto al conector.

Pasos siguientes

Elimine el nodo del clúster.

Eliminar el nodo del clústerDespués de desasociar el componente conector del nodo de los dominios, la configuración desincronización de directorios y el proveedor de identidades integrado, puede eliminar el nodo del clúster.

Nota No puede utilizar el comando Eliminar para quitar el último nodo de un clúster.

Requisitos previos

n Para eliminar un nodo, debe iniciar sesión como administrador de arrendatarios, es decir, unadministrador local en el servicio de VMware Identity Manager. Un administrador de dominiossincronizado desde el directorio empresarial no tiene los permisos necesarios.

n Desasoció el componente conector del nodo de los dominios, la configuración de sincronización dedirectorios y el proveedor de identidades integrado, si es necesario. Consulte Desasociar elcomponente conector de los dominios, la configuración de sincronización de directorios y elproveedor de identidades integrado.

Procedimiento

1 Desconecte la máquina virtual del nodo.

a Inicie sesión en la instancia de vCenter Server.

b Haga clic con el botón secundario en la máquina virtual del nodo y seleccione Alimentación >Apagar.

2 Elimine el nodo del equilibrador de carga.

3 En la consola de VMware Identity Manager, elimine el nodo.

a Inicie sesión en la consola de VMware Identity Manager como administrador local.

b Haga clic en la flecha hacia abajo de la pestaña Panel de información y seleccione el Panel deinformación de diagnósticos del sistema.


VMware, Inc. 44

c Busque el nodo que desea eliminar.

El nodo mostrará el siguiente estado:

El nodo actual se encuentra en un estado incorrecto. ¿Desea eliminarlo?

d Haga clic en el vínculo Eliminar que se muestra junto al mensaje.

Se eliminará el nodo del clúster. Las entradas para el nodo se eliminarán de la base de datos deVMware Identity Manager. El nodo también se eliminará de los clústeres de Elasticsearch y Ehcacheintegrados.

Pasos siguientes

Espere de 5 a 15 minutos para que los clústeres de Elasticsearch y Ehcache integrados se estabilicenantes de utilizar otros comandos.

Configurar conexiones del directorio LDAP o de ActiveDirectoryPuede integrar VMware Identity Manager con el directorio de la empresa y sincronizar los usuarios y losgrupos de este directorio con el servicio de VMware Identity Manager.

Los siguientes tipos de directorios son compatibles.

n Active Directory mediante LDAP

n Active Directory, Autenticación de Windows integrada

n Directorio LDAP.

Requisitos previos

n Consulte Integración de directorios con VMware Identity Manager para conocer los requisitos y laslimitaciones.

n La información del directorio LDAP o de Active Directory.

n Cuando se configura Active Directory con varios bosques y el grupo local de dominios contienemiembros de dominios de diferentes bosques, se debe agregar el usuario de DN de enlace utilizadoen la página del directorio de VMware Identity Manager al grupo de administradores del dominio enel que reside el grupo local de dominios. De lo contrario, estos miembros no estarán en el grupo localde dominios.

Nota Para usar varios bosques de Active Directory, el servicio de VMware Identity Manager debeconfigurarse para que se ejecute como el usuario del dominio de Windows.

n La lista de los atributos de usuario que desea utilizar como filtros y una lista de los grupos que deseaagregar a VMware Identity Manager.


VMware, Inc. 45

Procedimiento

1 Inicie sesión en la consola de VMware Identity Manager como usuario administrador con lacontraseña que estableció.

Iniciará sesión como administrador local. Se mostrará la página Directorios. Antes de agregar undirectorio, asegúrese de revisar Integración de directorios con VMware Identity Manager paraconocer los requisitos y las limitaciones.

2 Haga clic en la pestaña Administración de acceso e identidad.

3 Haga clic en Configurar > Atributos de usuario para seleccionar los atributos del usuario que sevan a sincronizar con el directorio.

Aparecerán los atributos predeterminados y podrá seleccionar los que sean necesarios. Si unatributo está marcado como obligatorio, solo se sincronizan al servicio los usuarios con dichoatributo. También puede agregar otros atributos.

Importante Después de crear un directorio, no podrá convertir un atributo en un atributo obligatorio.Debe elegir esa opción ahora.

Tenga en cuenta que las configuraciones de la página Atributos de usuario se aplican a todos losdirectorios del servicio. Cuando marque un atributo como obligatorio, tenga en cuenta el efecto quepueda causar en otros directorios. Si un atributo está marcado como obligatorio, no se sincronizancon el servicio de los usuarios sin dicho atributo.

Importante Si va a sincronizar recursos de XenApp con VMware Identity Manager, debe convertirdistinguishedName en un atributo obligatorio.


5 Haga clic en la pestaña Administración de acceso e identidad.

6 En la página Directorios, haga clic en Agregar directorio y seleccione Agregar Active Directory enLDAP/IWA o Agregar directorio LDAP, según el tipo de directorio que está integrando.

También puede crear un directorio local en el servicio. Para obtener más información sobre el uso delos directorios locales, consulte la Guía de administración de VMware Identity Manager.


VMware, Inc. 46

7 En el caso de Active Directory, siga estos pasos.

a Introduzca un nombre para el directorio que está creando en VMware Identity Manager yseleccione el tipo de directorio, ya sea Active Directory mediante LDAP o Active Directory(Autenticación de Windows integrada).

b Proporcione la información de la conexión.


Active Directory mediante LDAP 1 En el cuadro de texto Conector de sincronización, seleccione elconector que desee utilizar para sincronizar los usuarios y los grupos deActive Directory con el directorio de VMware Identity Manager.

De forma predeterminada, un componente del conector estará siempredisponible con el servicio de VMware Identity Manager. Este conectoraparecerá en el menú desplegable. Si instala varios dispositivos deVMware Identity Manager para lograr una alta disponibilidad, elcomponente del conector de cada uno aparecerá en la lista.

2 En el cuadro de texto Autenticación, seleccione Sí si desea utilizarActive Directory para autenticar a los usuarios.

Si desea utilizar un proveedor de identidades externo para autenticar alos usuarios, haga clic en No. Después de configurar la conexión deActive Directory para sincronizar usuarios y grupos, acceda a la páginaAdministración de acceso e identidad > Administrar > Proveedoresde identidades para agregar el proveedor de identidades externo pararealizar la autenticación.

3 En el campo Atributo de búsqueda de directorios, seleccione elatributo de la cuenta que contiene el nombre de usuario.

4 Si Active Directory utiliza la búsqueda de ubicaciones de servicio de DNS,seleccione las opciones siguientes.n En la sección Ubicación del servidor, active la casilla Este

directorio admite la ubicación de servicio de DNS.n Si Active Directory requiere el cifrado STARTTLS, active la casilla

Este directorio requiere que todas las conexiones usen SSL en lasección Certificados, copie el certificado de CA raíz de ActiveDirectory y lo pegue en el cuadro de texto Certificado SSL.

Asegúrese de que el certificado esté en formato PEM e incluya laslíneas "BEGIN CERTIFICATE" y "END CERTIFICATE".

Nota Si Active Directory requiere STARTTLS y usted no proporcionael certificado, no podrá crear el directorio.

5 Si Active Directory no utiliza la búsqueda de ubicaciones de servicio deDNS, seleccione las opciones siguientes.n En la sección Ubicación del servidor, compruebe que la casilla Este

directorio admite la ubicación de servicio de DNS no estéseleccionada, e introduzca el número de puerto y el nombre de hostdel servidor de Active Directory.

Para configurar el directorio como un catálogo global, consulte lasección Entorno de Active Directory de varios dominios y un únicobosque en "Entornos de Active Directory" en Integración dedirectorios con VMware Identity Manager.


VMware, Inc. 47


n Si Active Directory requiere acceso mediante SSL, active la casillaEste directorio requiere que todas las conexiones usen SSL en lasección Certificados, copie el certificado de CA raíz de ActiveDirectory y péguelo en el cuadro de texto Certificado SSL.

Asegúrese de que el certificado esté en formato PEM e incluya laslíneas "BEGIN CERTIFICATE" y "END CERTIFICATE".

Nota Si Active Directory requiere SSL y usted no proporciona elcertificado, no podrá crear el directorio.

6 En la sección Permitir el cambio de contraseña, seleccione Habilitar elcambio de contraseña si desea permitir a los usuarios que puedanrestablecer sus contraseñas en la página de inicio de sesión deVMware Identity Manager en caso de que la contraseña caduque o si eladministrador de Active Directory restablece la contraseña del usuario.

7 En el cuadro de texto DN base, introduzca el DN desde el que debenempezar las búsquedas en cuentas. Por ejemplo,OU=myUnit,DC=myCorp,DC=com.

8 En el cuadro de texto DN de enlace, introduzca la cuenta que puedebuscar usuarios. Por ejemplo,CN=binduser,OU=myUnit,DC=myCorp,DC=com.

Nota Se recomienda utilizar una cuenta de usuario de DN de enlace conuna contraseña que no caduque.

9 Después de introducir la contraseña de enlace, haga clic en Probarconexión para verificar que el directorio se puede conectar a ActiveDirectory.

Active Directory (Autenticación deWindows integrada)

1 En el cuadro de texto Conector de sincronización, seleccione elconector que desee utilizar para sincronizar los usuarios y los grupos deActive Directory con el directorio de VMware Identity Manager.

De forma predeterminada, un componente del conector estará siempredisponible con el servicio de VMware Identity Manager. Este conectoraparecerá en la lista desplegable. Si instala varios dispositivos deVMware Identity Manager para lograr una alta disponibilidad, elcomponente del conector de cada uno aparecerá en la lista.

2 En el cuadro de texto Autenticación, haga clic en Sí si desea utilizarActive Directory para autenticar a los usuarios.

Si desea utilizar un proveedor de identidades externo para autenticar alos usuarios, haga clic en No. Después de configurar la conexión deActive Directory para sincronizar usuarios y grupos, acceda a la páginaAdministración de acceso e identidad > Administrar > Proveedoresde identidades para agregar el proveedor de identidades externo pararealizar la autenticación.

3 En el campo Atributo de búsqueda de directorios, seleccione elatributo de la cuenta que contiene el nombre de usuario.

4 Si Active Directory requiere el cifrado STARTTLS, active la casilla Estedirectorio requiere que todas las conexiones usen STARTTLS en lasección Certificados, copie el certificado de CA raíz de Active Directory ylo pegue en el cuadro de texto Certificado SSL.

Asegúrese de que el certificado esté en formato PEM e incluya las líneas"BEGIN CERTIFICATE" y "END CERTIFICATE".


VMware, Inc. 48


Si el directorio tiene varios dominios, agregue los certificados CA raízpara todos los dominios de uno en uno.

Nota Si Active Directory requiere STARTTLS y usted no proporciona elcertificado, no podrá crear el directorio.

5 En la sección Permitir el cambio de contraseña, seleccione Habilitar elcambio de contraseña si desea permitir a los usuarios que puedanrestablecer sus contraseñas en la página de inicio de sesión deVMware Identity Manager en caso de que la contraseña caduque o si eladministrador de Active Directory restablece la contraseña del usuario.

6 En el campo UPN del usuario de enlace, introduzca el nombre principalde usuario que puede autenticarse con el dominio. Por [email protected].

Nota Se recomienda utilizar una cuenta de usuario de DN de enlace conuna contraseña que no caduque.

7 Introduzca la contraseña de usuario de DN de enlace.

c Haga clic en Guardar y Siguiente.

Aparecerá la página con la lista de dominios.


VMware, Inc. 49

8 En el caso de las directivas de LDAP, siga estos pasos.

a Proporcione la información de la conexión.


Nombre de directorio Un nombre para el directorio que está creando en VMware Identity Manager.

Sincronización de directorio yautenticación

1 En el cuadro de texto Conector de sincronización, seleccione elconector que desee utilizar para sincronizar usuarios y grupos deldirectorio LDAP con el directorio de VMware Identity Manager.

De forma predeterminada, un componente del conector estará siempredisponible con el servicio de VMware Identity Manager. Este conectoraparecerá en la lista desplegable. Si instala varios dispositivos deVMware Identity Manager para lograr una alta disponibilidad, elcomponente del conector de cada uno aparecerá en la lista.

No es necesario un conector diferente para un directorio LDAP. Unconector puede ser compatible con varios directorios,independientemente de si cuentan con directorios LDAP o ActiveDirectory.

2 En el cuadro de texto Autenticación, seleccione Sí si desea utilizar eldirectorio LDAP para autenticar a los usuarios.

Si desea utilizar un proveedor de identidades externo para autenticar alos usuarios, seleccione No. Después de agregar la conexión deldirectorio para sincronizar usuarios y grupos, acceda a la páginaAdministración de acceso e identidad > Administrar > Proveedoresde identidades para agregar el proveedor de identidades externo pararealizar la autenticación.

3 En el cuadro de texto Atributo de búsqueda de directorios, especifiqueel atributo del directorio LDAP que se utiliza para el nombre de usuario. Siel atributo no aparece en la lista, seleccione Personalizado y escriba elnombre del atributo. Por ejemplo, cn.

Ubicación del servidor Introduzca el número de puerto y el host del servidor del directorio LDAP. Enel caso del host del servidor, puede especificar el nombre del dominioplenamente cualificado o la dirección IP. Por ejemplo,myLDAPserver.example.com o 100.00.00.0.

Si cuenta con un clúster de servidores bajo un equilibrador de carga,introduzca la información de este último en su lugar.

Configuración LDAP Especifica los atributos y los filtros de búsqueda de LDAP queVMware Identity Manager puede utilizar para solicitar su directorio LDAP. Losvalores predeterminados se proporcionan según el esquema principal deLDAP.

Solicitudes LDAPn Obtener grupos: es el filtro de búsqueda para obtener los objetos de

grupo.

Por ejemplo: (objectClass=group)n Obtener usuario de enlace: es el filtro de búsqueda para obtener el

objeto de usuario de enlace, es decir, al usuario que puede enlazarse aldirectorio.

Por ejemplo: (objectClass=person)


VMware, Inc. 50


n Obtener usuario: es el filtro de búsqueda para obtener los usuarios parasincronizar.

Por ejemplo:(&(objectClass=user)(objectCategory=person))

Atributosn Afiliación: es el atributo que se utiliza en su directorio LDAP para definir

los miembros de un grupo.

Por ejemplo: membern UUID del objeto: es el atributo que se utiliza en su directorio LDAP para

definir el UUID.

Por ejemplo: entryUUIDn Nombre distintivo: es el atributo que se utiliza en su directorio LDAP

para definir el nombre distintivo de un usuario o un grupo.

Por ejemplo: entryDN

Certificados Si el directorio LDAP requiere acceso mediante SSL, seleccione la opciónEste directorio requiere que todas las conexiones usen SSL y copie ypegue el certificado CA SSL raíz del servidor del directorio LDAP. Asegúresede que el certificado esté en formato PEM e incluya las líneas "BEGINCERTIFICATE" y "END CERTIFICATE".

Detalles del usuario de enlace DN base: introduzca el DN desde el que deben empezar las búsquedas. Porejemplo, cn=users,dc=example,dc=com

DN de enlace: introduzca el nombre del usuario que enlaza al directorioLDAP.

Nota Se recomienda utilizar una cuenta de usuario de DN de enlace con unacontraseña que no caduque.

Contraseña DN de enlace: introduzca la contraseña del usuario DN deenlace.

b Para probar la conexión al servidor del directorio LDAP, haga clic en Probar conexión.

Si no se realizó la conexión correctamente, compruebe la información que introdujo y haga loscambios necesarios.

c Haga clic en Guardar y Siguiente.

Aparece la página con la lista del dominio.

9 En un directorio LDAP, el dominio aparece en la lista y no se puede modificar.

En Active Directory mediante LDAP, los dominios aparecen en la lista y no se pueden modificar.


VMware, Inc. 51

Para Active Directory (Autenticación de Windows integrada), seleccione los dominios que deberánasociarse con esta conexión de Active Directory.

Nota Si agrega un dominio de confianza una vez creado el directorio, el servicio no detectaráautomáticamente el nuevo dominio de confianza. Para permitir que el servicio detecte el dominio, elconector deberá abandonar el dominio y, a continuación, volver a unirse a él. Una vez que elconector vuelva a unirse al dominio, el dominio de confianza aparecerá en la lista.

Haga clic en Siguiente.

10 Compruebe que los nombres de los atributos de VMware Identity Manager estén asignados a losatributos de Active Directory o LDAP correctos y realice los cambios que sean necesarios.

Importante Si integra un directorio LDAP, debe especificar una asignación para el atributo dedominio.

11 Haga clic en Siguiente.


VMware, Inc. 52

12 Seleccione los grupos que desee sincronizar desde Active Directory o desde el directorio LDAP aldirectorio de VMware Identity Manager.


Especificar los DN de grupo Para seleccionar los grupos, especifique un DN o varios y seleccione los gruposque aparecen a continuación.

a Haga clic en + y especifique el DN de grupo. Por ejemplo,CN=users,DC=example,DC=company,DC=com.

Importante Especifique los DN de grupo que aparecen a continuación delDN base que introdujo. Si un DN de grupo aparece fuera del DN base, losusuarios de dicho DN se sincronizarán, pero no podrán iniciar sesión.

b Haga clic en Buscar grupos.

La columna Grupos para sincronizar muestra el número de grupos que seencuentran en el DN.

c Para seleccionar todos los grupos en el DN, haga clic en Seleccionar todo,o bien haga clic en Seleccionar y seleccione los grupos específicos quedesea sincronizar.

Nota Si cuenta con varios grupos con el mismo nombre en su directorioLDAP, debe especificar nombres únicos para ellos enVMware Identity Manager. Puede cambiar el nombre al seleccionar el grupo.

Nota Cuando sincroniza un grupo, los usuarios que no tengan Usuarios deldominio como su grupo principal en Active Directory no se sincronizan.

Sincronizar miembros de grupoanidados

La opción Sincronizar miembros de grupo anidados se habilita de formapredeterminada. Cuando se habilita esta opción, todos los usuarios quepertenezcan al grupo que seleccione y los que pertenezcan a grupos anidadosdentro de este grupo se sincronizan. Tenga en cuenta que los grupos anidadosno se sincronizan. Solo se sincronizarán los usuarios que pertenezcan a losgrupos anidados. En el directorio de VMware Identity Manager, estos usuariosserán miembros del grupo de nivel principal que seleccionó para sincronizarse.

Si deshabilita la opción Sincronizar miembros de grupo anidados, todos losusuarios que pertenezcan directamente a ese grupo se sincronizarán en el grupoque especificó. Los usuarios que pertenezcan a grupos anidados bajo este grupono se sincronizarán. Deshabilitar esta opción resulta útil para las grandesconfiguraciones de Active Directory en las que atravesar un árbol de gruporequiera demasiado tiempo o demasiados recursos. Si deshabilita esta opción,asegúrese de que selecciona todos los grupos cuyos usuarios desee sincronizar.



VMware, Inc. 53

14 Especifique los usuarios adicionales que desea sincronizar, si es necesario.

a Haga clic en + e introduzca los DN del usuario. Por ejemplo,CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.

Importante Especifique los DN de usuario que aparecen a continuación del DN base queintrodujo. Si un DN de usuario está fuera del DN base, los usuarios de dicho DN se sincronizan,pero no pueden iniciar sesión.

b (Opcional) Para excluir usuarios, cree un filtro que excluya algunos tipos de usuarios.

Debe seleccionar el atributo de usuario por el que desea filtrar, la regla de consulta y el valor.


16 Revise la página para ver cuántos usuarios y grupos se sincronizarán con el directorio así como laprogramación de la sincronización.

Para realizar cambios en los usuarios y los grupos o en la frecuencia de sincronización, haga clic enlos vínculos Editar.

17 Haga clic en Sincronizar directorio para iniciar la sincronización del directorio.

Nota Si se produce un error en la red y el nombre del host no puede resolverse de forma única con unaDNS inversa, el proceso de configuración se detendrá. Deberá resolver los problemas relacionados conla red y reiniciar el dispositivo virtual. A continuación, podrá continuar el proceso de implementación. Lanueva configuración de la red no estará disponible hasta que reinicie el dispositivo virtual.

Pasos siguientes

Para obtener más información sobre cómo configurar un equilibrador de carga o sobre la configuraciónde alta disponibilidad, consulte Capítulo 4Implementar el equipo del de VMware Identity Manager detrásde un equilibrador de carga.

Puede personalizar el catálogo de recursos de las aplicaciones de su organización y conceder a losusuarios acceso a estos recursos. También puede configurar otros recursos, como aplicaciones basadasen Citrix, View y ThinApp. Consulte Configurar recursos en VMware Identity Manager.

Habilitar la sincronización de directorio en otra instancia de encaso de falloEn caso de un fallo de la instancia del servicio, la autenticación la gestiona automáticamente unainstancia clonada, como se configuró en el equilibrador de carga. No obstante, para la sincronización deldirectorio es necesario modificar la configuración del directorio en el servicio VMware Identity Managerpara utilizar una instancia clonada. De la sincronización del directorio se encarga el componente deconector del servicio y solo se puede habilitar en un conector cada vez.

Procedimiento


2 Haga clic en la pestaña Administración de acceso e identidad y, a continuación, en Directorios.


VMware, Inc. 54

3 Haga clic en el directorio asociado al a instancia del servicio original.

Puede consultar esta información en la página Configuración > Conectores. La página indica elcomponente de conector de cada uno de los dispositivos virtuales del servicio del clúster.

4 En la sección Sincronización y autenticación de directorios de la página del directorio, en elcampo Conector de sincronización, seleccione uno de los otros conectores.

5 En el campo Contraseña del DN de enlace, introduzca la contraseña de la cuenta de enlace de

Active Directory.


Agregar direcciones IP de la lista blanca al firewallexternoCuando configure VMware Identity Manager con un firewall externo, incluya en la lista blanca los rangosde dirección IP o direcciones URL para los siguientes servicios de VMware Identity Manager paraproporcionar acceso a dicho servicio.

Utilice el comando nslookup u otra herramienta de línea de comandos para consultar el Sistema denombres de dominio y obtener las direcciones IP que va a agregar a la lista blanca del firewall externo.


VMware, Inc. 55

Tabla 5‑1. Servicio Sistema de nombres de dominio Descripción

Catálogo de VMware Identity Manager catalog.vmwareidentity.com Para asegurarse de que se puedaacceder al contenido del catálogo,agregue las direcciones URL de la lista ala lista blanca.

Dicho contenido también se distribuye através de CloudFront CDN de AWS, quemantiene su propia lista de direccionesIP públicas. Consulte https://docs.aws.amazon.com/es_es/AmazonCloudFront/latest/DeveloperGuide/LocationsOfEdgeServers.html.

VMware Verify api.authy.com Si VMware Verify está configurado comoun método de autenticación, agregue lasdirecciones URL de la lista a la listablanca.

KDC híbrido kdc.op.<vmwareidentity.xxx> Cuando el KDC híbrido se configurepara la operación local de VMwareIdentity Manager, seleccione uno de lossiguientes dominios para buscar lasdirecciones URL.n vmwareidentity.can vmwareidentity.comn vmwareidentity.eun vmwareidentity.co.ukn vmwareidentity.den vmwareidentity.com.aun vmwareidentity.asia

Actualizaciones de VMware IdentityManager

vapp-updates.vmware.com Para recibir las actualizaciones deVMware Identity Manager y descargarlas revisiones de VMware UpdateManager, agregue las direcciones URLde la lista a la lista blanca.

Habilitar la configuración del proxy tras la instalaciónEl equipo de VMware Identity Manager accede al catálogo de aplicaciones en la nube y a otros serviciosweb en Internet. Si la configuración de red proporciona acceso a Internet a través de un proxy HTTP,deberá ajustar la configuración del proxy en el equipo de VMware Identity Manager.

Habilite su proxy para gestionar solo el tráfico de Internet. Para garantizar que el proxy se configuracorrectamente, establezca el parámetro del tráfico interno en la opción sin proxy en el dominio.

Procedimiento

1 Inicie sesión en la consola de VMware Identity Manager y vaya a la página Configuración dedispositivos > Configuración del dispositivo virtual.


VMware, Inc. 56

http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/LocationsOfEdgeServers.html



2 Haga clic en Administrar configuración y, a continuación, en Configuración de proxy.

3 Habilite el proxy.

4 En el cuadro de texto Host del proxy con puerto, introduzca el nombre del proxy y el puerto. Porejemplo, proxyhost.example.com:3128.

5 En el cuadro de texto Hosts sin proxy, introduzca los hosts sin proxy a los que se accede sin pasara través del servidor proxy.

Use una coma para separar los nombres de host en la lista.


Introducir la clave de licenciaDespués de implementar el dispositivo de VMware Identity Manager, introduzca la clave de licencia.

Procedimiento


2 Seleccione la pestaña Configuración de dispositivos y haga clic en Licencia.

3 En la página Ajustes de licencia, introduzca la clave de licencia y haga clic en Guardar.


VMware, Inc. 57

Administrar los ajustes deconfiguración deVMware Identity Manager 6Una vez completada la configuración inicial de VMware Identity Manager, puede ir a las páginas de laconsola de VMware Identity Manager para instalar certificados, administrar contraseñas y descargar losarchivos de registro. También puede actualizar la base de datos, cambiar el FQDN de Identity Manager yconfigurar un servidor syslog externo.

Las páginas de configuración están disponibles en la pestaña Configuración del dispositivo de la consolade Identity Manager.

Nombre de la página Descripción de la configuración

Conexión de la base de datos La conexión a la base de datos, interna o externa, seencuentra habilitada. Puede cambiar el tipo de base de datos.Al seleccionar una base de datos externa, tiene que introduciruna URL, un nombre de usuario y una contraseña. Paraconfigurar una base de datos externa, consulte Crear la basede datos del servicio de VMware Identity Manager.

Instalar certificados SSL En las pestañas de esta página, puede instalar un certificadoSSL de VMware Identity Manager, descargar el certificado raízde VMware Identity Manager autofirmado e instalarcertificados raíz de confianza. Por ejemplo, si se configuraVMware Identity Manager detrás de un equilibrador de carga,puede instalar el certificado raíz de este.

Nota La pestaña Certificado de acceso directo se utilizaúnicamente cuando se configura la autenticación decertificados en el conector integrado en un escenario deimplementación de DMZ. Para obtener más información,consulte Implementar VMware Identity Manager en DMZ.

Consulte Utilizar certificados SSL.

FQDN de Identity Manager En esta página, puede ver o cambiar el FQDN deVMware Identity Manager. El FQDN deVMware Identity Manager es la URL que emplean los usuariospara obtener acceso al servicio.

Cambiar contraseña Esta página permite cambiar la contraseña del usuario adminde VMware Identity Manager.

Configuración de proxy (VMware Identity Manager paraWindows)

Configurar el proxy HTTPS

VMware, Inc. 58

Nombre de la página Descripción de la configuración

Ubicaciones de los archivos de registro Puede descargar los registros en un archivo ZIP. Consulte Información del archivo de registro.

Ubicación del archivo del clúster (VMware Identity Managerpara Windows)

Puede crear un archivo cifrado de la instancia de configuraciónde VMware Identity Manager. Puede descargar este archivoENC y utilizarlo para crear un clúster de nodos deVMware Identity Manager.

También puede modificar la URL del conector. Consulte Modificar la URL del conector.


n Cambiar ajustes de configuración del dispositivo

n Utilizar certificados SSL

n Configure VMware Identity Manager para usar una base de datos externa

n Modificar la URL del servicio VMware Identity Manager

n Modificar la URL del conector

n Información del archivo de registro

n Administrar la contraseña

n Configurar las opciones de SMTP

Cambiar ajustes de configuración del dispositivoDespués de configurar VMware Identity Manager, se puede acceder a las páginas de configuración dedispositivos para actualizar la configuración actual y supervisar la información del sistema del dispositivovirtual.

Procedimiento


2 Seleccione la pestaña Configuración de dispositivos y haga clic en Administrar configuración.

3 Inicie la sesión con la contraseña del administrador del servicio.

4 En el panel izquierdo, seleccione la página que desee ver o editar.

Pasos siguientes

Verifique que los cambios o actualizaciones realizados sean efectivos.

Utilizar certificados SSLAl instalar el dispositivo VMware Identity Manager, se genera automáticamente un certificado de servidorSSL predeterminado. Este certificado autofirmado se puede utilizar para una comprobación general de laimplementación. VMware le recomienda enfáticamente obtener e instalar certificados SSL firmados poruna entidad de certificación (CA) pública en su entorno de producción.


VMware, Inc. 59

Una entidad de certificación es una entidad de confianza que garantiza la identidad del certificado y desu creador. Si un certificado está firmado por una CA de confianza, los usuarios dejan de recibirmensajes en los que se les pide que verifiquen el certificado.

Los certificados de CA firmados se pueden instalar desde la página Configuración de dispositivos >Administrar configuración > Instalar certificados SSL > Certificados de servidor.

Si se implementa VMware Identity Manager con el certificado SSL autofirmado, el certificado de CA raízdebe estar disponible como CA de confianza para todos los clientes que accedan al servicio deVMware Identity Manager. Los clientes pueden incluir equipos de usuarios finales, equilibradores decarga, servidores proxy, etc. Puede descargar la CA raíz de la página Instalar certificados SSL >Certificados de servidor.

Instalar un certificado SSL para el servicio deVMware Identity ManagerCuando se instala el servicio de VMware Identity Manager, se genera un certificado de servidor SSLpredeterminado. El certificado autofirmado se puede usar para hacer pruebas. Sin embargo, VMwarerecomienda enfáticamente utilizar certificados SSL firmados por una entidad de certificación (CA) públicapara su entorno de producción.

Nota Si un equilibrador de carga delante de VMware Identity Manager termina el SSL, se aplica elcertificado SSL al equilibrador de carga.

Requisitos previos

n Genere una solicitud de firma del certificado (CSR) y obtenga un certificado válido y firmado SSL deCA. El certificado debe estar en formato PEM.

n Para la parte del nombre común del DN del sujeto, utilice el nombre de dominio completo que losusuarios utilizan para acceder al servicio de VMware Identity Manager. Si el dispositivo deVMware Identity Manager está detrás de un equilibrador de carga, este es el nombre del servidor delequilibrador de carga.

n Si SSL no termina en el equilibrador de carga, el certificado SSL usado por el servicio deberá incluirnombres alternativos del sujeto (SAN) para cada nombre de dominio completo del clúster deVMware Identity Manager de modo que los nodos del clúster puedan realizar solicitudes entre sí.También incluye un SAN para el nombre de host de FQDN que los usuarios utilizan para acceder alservicio de VMware Identity Manager, además de usarlo para el nombre común, debido a quealgunos navegadores lo exigen.

Procedimiento

1 En la consola de VMware Identity Manager, haga clic en la pestaña Configuración de dispositivos.

2 Haga clic en Administrar configuración e introduzca la contraseña del usuario administrador.

3 Seleccione Instalar certificados SSL > Certificado de servidor.

4 En el campo Certificado SSL, seleccione Certificado personalizado.


VMware, Inc. 60

5 En el cuadro de texto Cadena de certificados SSL, pegue los certificados de servidor, intermedio yraíz, en ese orden.

Debe incluir la cadena de certificados completa en el orden correcto. Para cada certificado, copietodo lo que haya entre las líneas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE----, inclusoestas líneas.

6 En el cuadro de texto Clave privada, pegue la clave privada. Copie todo entre ----BEGIN RSAPRIVATE KEY y ---END RSA PRIVATE KEY.


Ejemplo: Ejemplos de certificados

Ejemplo de cadena de certificados

-----BEGIN CERTIFICATE-----

jlQvt9WdR9Vpg3WQT5+C3HU17bUOwvhp/r0+

...

W53+O05j5xsxzDJfWr1lqBlFF/OkIYCPcyK1

-----END CERTIFICATE-----


WdR9Vpg3WQT5+C3HU17bUOwvhp/rjlQvt90+

...

O05j5xsxzDJfWr1lqBlFF/OkIYCPW53+cyK1



dR9Vpg3WQTjlQvt9W5+C3HU17bUOwvhp/r0+

...

5j5xsxzDJfWr1lqW53+O0BlFF/OkIYCPcyK1


Ejemplo de clave privada

-----BEGIN RSA PRIVATE KEY-----

jlQvtg3WQT5+C3HU17bU9WdR9VpOwvhp/r0+

...

1lqBlFFW53+O05j5xsxzDJfWr/OkIYCPcyK1

-----END RSA PRIVATE KEY-----

Instalar certificados raíz de confianzaInstale los certificados intermedios y raíz que deban ser de confianza para el servidor deVMware Identity Manager. El servidor de VMware Identity Manager podrá establecer conexiones segurasa los servidores cuya cadena de certificados incluya alguno de estos certificados.


VMware, Inc. 61

Si el servidor de VMware Identity Manager está configurado detrás de un equilibrador de carga y SSL setermina en el equilibrador de carga, instale el certificado raíz del equilibrador de carga.

Procedimiento

1 En la consola de VMware Identity Manager, haga clic en la pestaña Configuración de dispositivos.

2 Haga clic en Administrar configuración e introduzca la contraseña del usuario administrador.

3 Haga clic en Instalar certificados SSL y, a continuación, seleccione la pestaña CA de confianza.

4 Pegue el certificado raíz o intermedio en el cuadro de texto.

Incluya todo lo que haya entre las líneas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE----,incluso estas líneas.


Instalar un certificado de acceso directoLa pestaña Certificado de acceso directo se utiliza únicamente cuando se configura la autenticación decertificados en el conector integrado en un escenario de implementación de DMZ. No se utiliza en ningúnotro escenario. Para obtener más información, consulte Implementar VMware Identity Manager en DMZ.

Configure VMware Identity Manager para usar una basede datos externaDespués de crear la base de datos Microsoft SQL, si la base de datos externa creada no se configuraautomáticamente en VMware Identity Manager, configure VMware Identity Manager para utilizar la basede datos en la página Configuración de dispositivo.

Requisitos previos

n La base de datos con el esquema de saas creada en Microsoft SQL server como el servidor de basede datos externo. Para obtener información sobre las versiones específicas que son compatibles conVMware Identity Manager, consulte las matrices de interoperabilidad de productos de VMware.

Procedimiento

1 En la consola de VMware Identity Manager, haga clic en Configuración de dispositivos yseleccione Configuración del dispositivo virtual.

2 Haga clic en Administrar configuración.

3 Inicie sesión con la contraseña del administrador de VMware Identity Manager.

4 En la página Configuración de la conexión de la base de datos, seleccione Base de datos externacomo tipo de base de datos.


VMware, Inc. 62

http://www.vmware.com/resources/compatibility/sim/interop_matrix.php

5 Introduzca la información sobre la conexión de la base de datos.

a Escriba la URL de JDBC del servidor de la base de datos Microsoft SQL.

Modo de autenticación Cadena de URL de JDBC

Autenticación de Windows(domain\user) jdbc:jtds:sqlserver://<hostname_or_IP_address:port#>/<saasdb>;integra

tedSecurity=true;domain=<domainname>;useNTLMv2=true

Autenticación de SQLServer (usuario local) jdbc:sqlserver://<hostname_or_IP_address:port#>;DatabaseName=<saasdb>

Nota Para habilitar SQL Server AlwaysOn, establezca MultiSubNetFailover como True en SQL.La cadena de la URL de JDBC es

jdbc:jtds:sqlserver://<hostname_or_IP_address:port#>/<saasdb>;integratedSecurity=true;domain=<d

omainname>;useNTLMv2=true;multiSubnetFailover=true

b Introduzca el nombre de usuario y la contraseña de inicio de sesión que configuró al crear labase de datos. Consulte Configurar la base de datos de Microsoft SQL con el modo deautenticación local de SQL Server

6 Haga clic en Probar conexión para verificar y guardar la información.

Pasos siguientes

(Opcional) Cambie los privilegios de suscripción de la función de base de datos db_owner. Consulte Cambiar las funciones de nivel de la base de datos.

Modificar la URL del servicio VMware Identity ManagerEs posible cambiar la URL del servicio VMware Identity Manager, que es la que utilizan los usuarios paraacceder al servicio. Por ejemplo, se puede cambiar la URL por la de un equilibrador de carga.

Procedimiento


2 Haga clic en la pestaña Configuración de dispositivos y, a continuación, seleccioneConfiguración del dispositivo virtual.

3 Haga clic en Administrar configuración e inicie la sesión con la contraseña de usuarioadministrador.

4 Haga clic en FQDN de Identity Manager e introduzca la nueva URL en el campo FQDN de IdentityManager.

Utilice el formato https://FQDN:port. La especificación del puerto es opcional. El puertopredeterminado es 443.

Por ejemplo, https://miservicio.ejemplo.com.


VMware, Inc. 63


Pasos siguientes

Habilite la nueva interfaz de usuario del portal.

1 Vaya a https://VMwareIdentityManagerURL/admin para acceder a la consola de administración.

2 En la consola de administración, haga clic en la flecha de la pestaña Catálogo y seleccioneConfiguración.

3 Seleccione Nueva interfaz del portal de usuario final en el panel de la izquierda y haga clic enHabilitar nueva interfaz del portal.

Modificar la URL del conectorSe puede cambiar la URL del conector cuando se actualiza el nombre de host del proveedor deidentidades en la consola de VMware Identity Manager.

Procedimiento


2 Haga clic en la pestaña Administración de acceso e identidad y, a continuación, en la pestañaProveedores de identidades.

3 En la página Proveedores de identidades, seleccione el proveedor de identidades que deseeactualizar.

4 En el campo Nombre de host de IdP, introduzca el nuevo nombre de host.

Utilice el formato nombre de host:puerto. La especificación del puerto es opcional. El puertopredeterminado es 443.

Por ejemplo, vidm.ejemplo.com.


Información del archivo de registroLos archivos de registro de VMware Identity Manager pueden resultarle de ayuda para depurar errores yresolver problemas. Los archivos de registro que se enumeran a continuación son un punto de partidacomún. Encontrará registros adicionales en el directorio de registros.


VMware, Inc. 64

Tabla 6‑1. Archivos de registro

Componente

Ubicación del archivo deregistro en Linux

Ubicación del archivo de registroen Windows Descripción

Registrosdel serviciode IdentityManager

/opt/vmware/horizon/workspa

ce/logs/horizon.log

<INSTALL_DIR>\opt\vmware\horiz

on\workspace\logs\horizon.log

Información sobre la actividad enel servicio, como lasautorizaciones, los usuarios y losgrupos.

Registrosdelconfigurador


ce/logs/configurator.log


on\workspace\logs\configurator

.log

Solicitudes que recibe elconfigurador del cliente REST y dela interfaz web.

Registrosdel conector


ce/logs/connector.log


on\workspace\logs\connector.lo

g

Un registro de cada solicitudrecibida desde la interfaz web.Cada entrada del registro incluyetambién la URL, la marca de horay las excepciones de la solicitud.No se registra ninguna acción desincronización.


ce/logs/connector-dir-

sync.log

DirectorioInstalación\IDMConne

ctor\opt\vmware\horizon\worksp

ace\logs\connector-dir-

sync.log

Mensajes relacionados con lasincronización de directorio.

Registros deApacheTomcat


ce/logs/catalina.log


on\workspace\logs\catalina.log

Apache Tomcat registra losmensajes que no se registran enotros archivos de registro.

Recopilar información de registroDurante las pruebas o la resolución de problemas, los registros pueden proporcionar información sobrela actividad y el rendimiento del dispositivo virtual, así como información sobre los problemas que puedanocurrir.

Recopile los registros de cada dispositivo en su entorno.

Procedimiento


2 Seleccione la pestaña Configuración de dispositivos y haga clic en Administrar configuración.

3 Haga clic en Ubicaciones de los archivos de registro y en Preparar paquete de registro.

La información se recopila en un archivo tar.gz que se puede descargar.

4 Descargue el paquete preparado.

Pasos siguientes

Para recopilar todos los registros, haga esta operación con cada dispositivo.


VMware, Inc. 65

Establecer el nivel de registro del servicio VMware IdentityManager en DEBUGPuede establecer el nivel de registro en DEBUG para registrar información adicional que puede ayudar adepurar problemas.

Procedimiento

1 Inicie sesión en el equipo.

2 Cambie la ruta por el directorio conf.

Para Linux, vaya a /usr/local/horizon/conf/.

Para Windows, vaya a \usr\local\horizon\conf\.

3 Actualice el nivel de registro en los archivos log4j.properties cfg, log4j.properties hc ysaas log4j.properties, que son los archivos log4j más comúnmente usados para el servicio.

a Edite el archivo.

b En las líneas que tienen el nivel de registro establecido en INFO, reemplace INFO por DEBUG.

Por ejemplo, cambie:

rootLogger.level=INFO

por:

rootLogger.level=DEBUG

c Guarde el archivo.

No se requiere un reinicio del servicio o del sistema.

Administrar la contraseñaCuando se configuró VMware Identity Manager para Windows por primera vez, se crearon contraseñaspara el usuario administrador. Puede cambiar la contraseña de administración en la pestañaConfiguración de dispositivo de la consola de Identity Manager.

Asegúrese de crear contraseñas seguras. Las contraseñas seguras deben tener al menos ochocaracteres e incluir mayúsculas, minúsculas y al menos un dígito o un carácter especial.

Nota Si no puede iniciar sesión y necesita restablecer la contraseña, use el scripthznSetAdminPassword.bat para hacerlo. Consulte Restablecer la contraseña del usuario administradorpara VMware Identity Manager para Windows.

Procedimiento

1 En la consola de VMware Identity Manage, haga clic en la pestaña Configuración de dispositivos.

2 Haga clic en Configuración del dispositivo virtual > Administrar configuración.


VMware, Inc. 66

3 Para cambiar la contraseña de administrador, seleccione Cambiar contraseña.

Importante La contraseña del usuario administrador debe tener 6 caracteres como mínimo.

4 Introduzca la nueva contraseña.


Restablecer la contraseña del usuario administrador paraVMware Identity Manager para WindowsLa contraseña del usuario administrador del servicio de VMware Identity Manager se puede cambiar enlas páginas de administración del conector en https://<FQDNnombredehost>: 8443/cfg/login. Sinembargo, si no puede iniciar sesión y necesita restablecer la contraseña, use el scripthznSetAdminPassword.bat para hacerlo.

Procedimiento

1 En el servidor Windows, abra la ventana de la línea de comandos.

2 Desplácese hasta la carpeta IDM_INSTALL_DIR>\usr\local\horizon\bin.

cd <IDM_INSTALL_DIR>\usr\local\horizon\bin

donde IDM_INSTALL_DIR es el directorio de instalación del servicio de VMware Identity Manager.

3 Ejecute el comando siguiente.

hznSetAdminPassword.bat newPassword

La contraseña del usuario administrador debe tener 6 caracteres como mínimo.

Configurar las opciones de SMTPConfigure el servidor SMTP para recibir notificaciones por correo electrónico desde el servicio deVMware Identity Manager. Por ejemplo, se envían correos electrónicos de notificación cuando se creannuevos usuarios locales, cuando se restablece una contraseña o con el token de verificación dedetección automática.

Procedimiento


2 Haga clic en la pestaña Configuración de dispositivos y haga clic en SMTP.

3 Introduzca el nombre de host del servidor SMTP.

Por ejemplo: smtp.example.com

4 Introduzca el número de puerto del servidor SMTP.

Por ejemplo: 25

5 (Opcional) Si el servidor SMTP requiere autenticación, introduzca el nombre de usuario y lacontraseña.


VMware, Inc. 67


7 Para personalizar la dirección del remitente en las notificaciones de correo electrónico, agregue ladirección al archivo runtime-config.properties.

a Inicie sesión en el equipo de VMware Identity Manager.

b Edite el archivo /usr/local/horizon/conf/runtime-config.properties y añada lasiguiente propiedad:

notification.emails.support=emailaddress

Por ejemplo:

[email protected]

c Guarde el archivo.

d Reinicie el equipo.

<install dir>\usr\local\horizon\scripts\horizonService.bat restart

Esto cambia la dirección del remitente de la dirección predeterminada [email protected] la dirección de personalizada.


VMware, Inc. 68

Solucionar los problemas de lainstalación y la configuración 7Los temas sobre la solución de problemas describen soluciones a problemas potenciales que se puedeencontrar al instalar o al configurar VMware Identity Manager.


n Un grupo no muestra ningún miembro después de la sincronización de directorios

n Solucionar problemas de Elasticsearch

Un grupo no muestra ningún miembro después de lasincronización de directoriosLa sincronización de directorios se completa correctamente, pero no aparece ningún usuario en losgrupos sincronizados.

Problema

Después de sincronizar un directorio, de forma manual o automática según la programación de lasincronización, el proceso se completa correctamente pero no aparece ningún usuario en los grupossincronizados.

Causa

Este problema sucede cuando tiene dos o más nodos en un clúster y existe una diferencia de hora demás de 5 segundos entre los nodos.

Solución

1 Compruebe que no hay ninguna diferencia de hora entre nodos. Use el mismo servidor NTP entretodos los nodos en el clúster para sincronizar la hora.

Por ejemplo, escribahttps://community.spiceworks.com/how_to/5765-configure-windows-server-to-query-

an-external-ntp-server.

2 Reinicie el servicio en todos los nodos.

<install dir>\usr\local\horizon\scripts\horizonService.bat restart

3 (Opcional) En la consola de VMware Identity Manager, elimine el grupo, vuelva a agregarlo en laconfiguración de sincronización y vuelva a sincronizar el directorio.

VMware, Inc. 69

Solucionar problemas de ElasticsearchUtilice esta información para solucionar problemas de Elasticsearch en un entorno de clústeres.Elasticsearch, un motor de búsqueda y análisis usado para registros de sincronización de directorios,informes y auditorías, se encuentra incrustado en el dispositivo virtual de VMware Identity Manager.

Solucionar problemas de ElasticsearchPara comprobar el estado de Elasticsearch, debe usar la herramienta curl. Si curl no está instalada en elequipo Windows, puede realizar una consulta desde un equipo Linux o Mac a curlhttp://<hostname>:9200/_cluster/health?pretty. El firewall debe estar habilitado para lasconsultas externas.

El comando debe devolver un resultado similar al siguiente.

{

"cluster_name" : "horizon",

"status" : "green",

"timed_out" : false,

"number_of_nodes" : 3,

"number_of_data_nodes" : 3,

"active_primary_shards" : 20,

"active_shards" : 40,

"relocating_shards" : 0,

"initializing_shards" : 0,

"unassigned_shards" : 0,

"delayed_unassigned_shards" : 0,

"number_of_pending_tasks" : 0,

"number_of_in_flight_fetch" : 0

}

Si Elasticsearch no se inicia correctamente o su estado aparece en color rojo, siga estos pasos parasolucionar los problemas.

1 Asegúrese de que el puerto 9300 está abierto.

a Actualice la información de los nodos agregando las direcciones IP de todos los nodos del clústeren el archivo \usr\local\horizon\scripts\updateiptables.hzn.

ALL_IPS="node1IPadd node2IPadd node3IPadd"

b Ejecute el siguiente script en todos los nodos del clúster.

\usr\local\horizon\scripts\updateiptables.hzn

2 Reinicie Elasticsearch en todos los nodos del clúster.

3 Revise los registros para obtener más detalles.


VMware, Inc. 70

cd /opt/vmware/elasticsearch/logs

Puede usar Powershell o NotePad++ con el complemento de supervisión de documentos parasupervisar los archivos de registro. En Powershell, la sintaxis es Get-Conent myTestLog.log-Wait.


VMware, Inc. 71

Supervisar VMware IdentityManager 8La supervisión de VMware Identity Manager es importante para garantizar que la solución WorkspaceONE funcione correctamente.

Puede utilizar herramientas de terceros, como Nagios, Splunk, Symantec Altiris, Spotlight, Ignite oMontastic. Consulte al departamento de TI de su empresa para obtener recomendaciones específicassobre herramientas de supervisión si no tiene aún una solución instalada.

Este documento ofrece recomendaciones de capacidad de carga de hardware genérico e informaciónsobre los archivos de registros y extremos de URL. No cubre explícitamente cómo configurar unasolución de supervisión.

Este capítulo incluye los siguientes temas:n Recomendaciones de supervisión de la capacidad de carga de hardware

n Extremos de URL de VMware Identity Manager para la supervisión

n Registro del sistema

n Cambiar la memoria predeterminada asignada al servicio de VMware Identity Manager

Recomendaciones de supervisión de la capacidad decarga de hardwareUtilice estos estándares de supervisión para garantizar el estado del servidor.

Métricas de captura

Hardware Supervisa

CPU Uso

Memoria Uso

Disco duro Espacio libre

Red Uso

Alertas y umbralesVMware recomienda analizar cada caso de uso individual para determinar los umbrales correctos paraentornos individuales.

VMware, Inc. 72

Hardware Alertas, ejemplos, umbrales

CPU Ejemplos: ejemplos de 5 minutos

Umbral: 1 hora más del 90 %, 95 durante 1 hora

Alertas: 90 % de carga es una advertencia, 95 % es crítico

Memoria Ejemplos: ejemplos de 5 minutos


Alertas: 90 % utilizado es una advertencia, 95 % de uso escrítico

Disco duro Ejemplos: ejemplos de 5 minutos


Alertas: 90 % utilizado es una advertencia, 95 % de uso escrítico

Red Ejemplos: ejemplos de 5 minutos


Alertas: 90 % de carga es una advertencia, 95 % es crítico

Estrategias para la capturan Dispositivo virtual Linux de VMware Identity Manager: en un dispositivo virtual, la infraestructura

virtual subyacente captura las métricas a través de herramientas como vSphere o vRealizeOperations.

n VMware Identity Manager en Windows: Instale un agente de supervisión que sea compatible con losservidores de Windows y pueda capturar estas métricas. Además, para los servidores virtuales, sepueden utilizar herramientas nativas para que vSphere capture las métricas relevantes.

Extremos de URL de VMware Identity Manager para lasupervisiónSupervise los extremos de URL indicados para diversos componentes de VMware Identity Manager a finde garantizar un entorno funcional. Algunos extremos también pueden utilizarse para que losequilibradores de carga se aseguren de que el servicio está activo para el tráfico.

Comprobaciones de estado para los equilibradores de carga

Componente Comprobación de estado Rendimiento previsto Notas

Servicio de VMware IdentityManager

/SAAS/API/1.0/REST/syste

m/health/heartbeat

Cadena: Aceptar

Http: 200

Frecuencia de cada 30segundos.

SSO móvil Android -Certproxy:

:5262/system/health

Http: 200 Frecuencia de cada 30segundos.

SSO móvil iOS - KDC:

TCP half-open to port 88

Conexión Frecuencia de cada 30segundos.


VMware, Inc. 73

Componente Comprobación de estado Rendimiento previsto Notas

VMware Identity ManagerConnector

/hc/API/1.0/REST/syste

m/health/allOk

Cadena: true

Http: 200


Integration Broker /IB/API/RestServiceImpl.

svc/ibhealthcheck

Cadena: All Ok

Http: 200


Integración con XenApp 7.x:

/IB/API/RestServiceImpl.

svc/hznxenapp/admin/xenf

arminfo?

computerName=&xenappvers

ion=Version7x

Cadena: ‘SiteName’

Http: 200

Frecuencia cada 5 minutos

Integración con XenApp 6.x:

/IB/API/RestServiceImpl.

svc/hznxenapp/admin/xenf

arminfo?

computerName=&xenappvers

ion=Version65orLater

Cadena: 'FarmName'

Http: 200

Frecuencia cada 5 minutos

Las comprobaciones de estado de los equilibradores de carga devuelven valores simples para unanálisis sencillo realizado por el equipo de red.

Comprobaciones de estado adicionales para supervisiónLas comprobaciones de estado que se enumeran aquí pueden ser utilizadas por soluciones desupervisión que tienen la capacidad de analizar los datos y crear paneles de control. Establezca lafrecuencia cada 5 minutos.

Estado y supervisión del servicio de VMware Identity Manager

Llamada de URL: /SAAS/jersey/manager/api/system/health

o

/SAAS/API/1.0/REST/system/health

Datos de salida brutos:

{

"AnalyticsUrl":"unknown",

"ElasticsearchServiceOk":"true",

"EhCacheClusterPeers":"unknown",

"ElasticsearchMasterNode":"unknown",

"ElasticsearchIndicesCount":"unknown",

"ElasticsearchDocsCount":"unknown",

"AuditPollInterval":"0",

"AnalyticsConnectionOk":"true",

"EncryptionServiceVerified":"unknown",

"FederationBrokerStatus":"unknown",

"ServiceReadOnlyMode":"false",

"ElasticsearchUnassignedShards":"unknown",

"AuditWorkerThreadAlive":"true",


VMware, Inc. 74

"BuildVersion":"3.3.0.0 Build xxxxxxx",

"AuditQueueSize":"0",

"DatabaseStatus":"unknown",

"HostName":"unknown",

"ElasticsearchNodesCount":"unknown",

"EncryptionStatus":"unknown",

"FederationBrokerOk":"true",

"EncryptionConnectionOk":"true",

"EncryptionServiceImpl":"unknown",

"ClusterId":"22f6e089-45df-41ab-9c8a-77f3e4589230",

"EhCacheClusterDiagnostics":"unknown",

"ElasticsearchNodesList":"unknown",

"DatabaseConnectionOk":"true",

"ElasticsearchHealth":"unknown",

"StatusDate":"2018-08-06 19:14:40 UTC",

"ClockSyncOk":"true",

"MaintenanceMode":"false",

"MessagingConnectionOk":"true",

"fipsModeEnabled":"true",

"ServiceVersion":"3.3.0",

"AuditQueueSizeThreshold":"null",

"IpAddress":"unknown",

"AuditDisabled":"false",

"AllOk":"true"

}

"AllOk" "true", "false" Comprobación de estado deconsolidación para supervisar el estadogeneral de los servicios de VMwareIdentity Manager

"MessagingConnectionOk" "true", "false" Verifica que todos los emisores y losconsumidores de mensajes se conectena RabbitMQ

"DatabaseConnectionOk" "true", "false" Comprueba la conexión con la base dedatos

"EncryptionConnectionOk" "true", "false" Comprueba que esté bien la conexióncon el servicio de cifrado y el almacénde claves principal esté correcto

"AnalyticsConnectionOk" "true", "false" Comprueba la conexión con el serviciode análisis

"FederationBrokerOk" "true", "false" Comprueba los adaptadores deautenticación integrados para garantizarque sus subsistemas estén bien

Nota La etiqueta "desconocido" en el resultado indica que la información está restringida. De formapredeterminada, la información confidencial, como direcciones IP y nombres de host, está oculta. Paramostrar esta información, consulte Mostrar información adicional en la API de comprobación de estado.

Llamada de URL: /catalog-portal/services/health


VMware, Inc. 75

Esta comprobación de estado es específica de la parte de la interfaz de usuario de VMware IdentityManager


{

"status": "UP",

"uiService": {

"status": "UP"

},

"apiService": {

"status": "UP"

},

"eucCacheEngine": {

"status": "UP"

},

"cacheEngineClient": {

"status": "UP"

},

"persistenceEngine": {

"status": "UP",

"database": "Microsoft SQL Server",

"hello": 1

},

"tenantPersistenceEngine": {

"status": "UP",

"database": "Microsoft SQL Server",

"hello": 1

},

"diskSpace": {

"status": "UP",

"total": 8460120064,

"free": 4898279424,

"threshold": 10485760

}

}

"status" "UP", "DOWN" Comprobación de estado deconsolidación para supervisar el estadogeneral de la interfaz de usuario (IU) deVMware Identity Manager

"uiServer.status" "UP", "DOWN" UP si se está ejecutando el servicio deinterfaz de usuario principal

"apiService.status" "UP", "DOWN" UP si se está ejecutando el servicio deAPI de la interfaz de usuario principal

"eucCacheEngine.status" "UP", "DOWN" UP si se ejecuta el motor de clústerHazelcast

"cacheEngineClient.status" "UP", "DOWN" UP si se está ejecutando el cliente deHazelcast para la interfaz de usuario

"persistenceEngine.status" "UP", "DOWN" UP si se está ejecutando la base dedatos (SQL) principal


VMware, Inc. 76

"tenantPersistenceEngine.status" "UP", "DOWN" UP si se está ejecutando la base dedatos (SQL) principal

"diskSpace.status" "UP", "DOWN" UP si el espacio de disco libre es mayorque el umbral configurado, 10 MB

"diskSpace.free" Bytes Espacio libre en bytes en la partición enla que se instala la UI de VMwareIdentity Manager

Supervisión y estado del conector de VMware Identity Manager

Llamada de URL: /hc/API/1.0/REST/system/health


{

"HorizonDaaSSyncConfigurationStatus": "",

"AppManagerServiceOk": "true",

"DomainJoinEnabled": "false",

"XenAppEnabled": "true",

"ViewSyncConfigurationStatus": "",

"ThinAppServiceOk": "true",

"ThinAppSyncConfigurationStatus": "unknown",

"Activated": "true",

"XenAppServiceOk": "false",

"DirectoryServiceStatus": "Connection test successful",

"BuildVersion": "2017.1.1.0 Build 5077496",

"ThinAppServiceStatus": "unknown",

"XenAppServiceStatus": "A problem was encountered Sync Integration Broker",

"HostName": "hostname.company.local",

"NumberOfWarnAlerts": "0",

"JoinedDomain": "true",

"XenAppSyncConfigurationStatus": "Sync configured (manually)",

"DirectorySyncConfigurationStatus": "Sync configured (manually)",

"NumberOfErrorAlerts": "0",

"DirectoryServiceOk": "true",

"HorizonDaaSTenantOk": "true",

"ThinAppDirectoryPath": "",

"StatusDate": "2017-06-27 10:52:59 EDT",

"ViewSyncEnabled": "false",

"ViewServiceOk": "true",

"HorizonDaaSEnabled": "false",

"AppManagerUrl": "https://workspaceurl.com/SAAS/t/qwe12312qw/",

"HorizonDaaSServiceStatus": "unknown",

"DirectoryConnection": "ldap:///ldapcall",

"ServiceVersion": "VMware-C2-2017.1.1.0 Build 5077496",

"IpAddress": "169.118.86.105",

"DomainJoinStatus": "Domain: customerdomainname",

"AllOk": "false",

"ViewServiceStatus": "unknown",

"ThinAppEnabled": "false",

"XenAppSyncSsoBroker": "integrationbrokersso:443 / integrationbrokersync:443"

}


VMware, Inc. 77

"AllOk" "true", "false" Comprobación de estado deconsolidación para supervisar el estadogeneral de los servicios de conector deVMware Identity Manager.

"ViewServiceOk" "true", "false" True si la conexión con el agente deView se realiza correctamente. Esteatributo será True si la sincronización deView está deshabilitada.

"HorizonDaaSTenantOk" "true", "false" True si la conexión con Horizon Cloud serealiza correctamente. Este atributo seráTrue si la sincronización de HorizonCloud está deshabilitada.

"DirectoryServiceOk" "true", "false" True si la conexión con el directorio serealiza correctamente. Este atributo seráTrue si la sincronización del directorioestá deshabilitada.

"XenAppServiceOk" "true", "false" True si es correcta la conexión con elservidor de Citrix. Este atributo será Truesi el servidor de Citrix está deshabilitado.

"ThinAppServiceOk" "true", "false" True si la conexión con el servicio de lasaplicaciones que aparecen en el paquetede ThinApp es correcta. Este atributoserá True si las aplicaciones enpaquetes están deshabilitadas.

"AppManagerServiceOk" "true", "false" True si se puede autenticarcorrectamente en AppManager.

"NumberOfWarnAlerts" 0 - 1000 Número de alertas de advertencia quese han activado en este conector. Estosestán disponibles en el Log desincronización del conector como"Notas". Pueden indicar que un recursose sincronizó e incluye un usuario ogrupo que no está en VMware IdentityManager. Según la configuración, estopuede ser por diseño. El contador sigueaumentando en cada sincronizaciónhasta que los alertas de error yadvertencia equivalgan a 1000, y unadministrador borre los alertas.

"NumberOfErrorAlerts" 0 - 1000 Número de alertas de error que se hanactivado en este conector. Estos estándisponibles en el Log de sincronizacióndel conector como "Error". Puedenindicar que no pudo realizar unasincronización. El contador sigueaumentando en cada sincronizaciónhasta que los alertas de error yadvertencia equivalgan a 1000, y unadministrador borre los alertas.


VMware, Inc. 78

Supervisión y estado de VMware Identity Manager Integration Broker

Llamada de URL: /IB/API/RestServiceImpl.svc/ibhealthcheck


“All Ok”

Esta comprobación de estado verifica que todo el software de Integration Broker respondacorrectamente. Devuelve una respuesta 200 con la cadena "All Ok".

Supervisión y estado de VMware Identity Manager Integration Broker con Citrix XenApp 7.x

Llamada deURL: /IB/API/RestServiceImpl.svc/hznxenapp/Admin/xenfarminfo?computername=&xenappversion=Version7x

Esto trae información de una llamada API a Citrix. La supervisión puede garantizar que los valores seancoherentes.


[{

\ “ConfigurationLoggingServiceGroupUid \ “: \ “5e2a5602 - 45a8 - 4b56 - 92e6 - 9fae5a3ff459 \ “,

\ “ConfigurationServiceGroupUid \ “: \ “620d7c6e - b7c1 - 4ee7 - b192 - d00764f477e7 \

“, \ “DelegatedAdministrationServiceGroupUid \ “: \ “0a59914d - 4b6e - 4cca - bbaa -

a095067092e3 \ “,

\ “LicenseServerName \ “: \ “xd.hs.trcint.com \ “,

\ “LicenseServerPort \ “: \ “27000 \ “,

\ “LicenseServerUri \ “: \ “https: \ / \ / xd.hs.domain.com: 8083 \ / \ “,

\ “LicensingBurnIn \ “: \ “2014.0815 \ “,

\ “LicensingBurnInDate \ “: \ “8 \ / 14 \ / 2014 5: 00: 00 PM \ “,

\ “LicensingModel \ “: \ “UserDevice \ “,

\ “MetadataMap \ “: \ “System.Collections.Generic.Dictionary `2[System.String,System.String]\“,

\“PrimaryZoneName\“:\“\”,

\“PrimaryZoneUid\“:\“00000000-0000-0000-0000-000000000000\“,

\“ProductCode\“:\“XDT\“,

\“ProductEdition\“:\“PLT\“,

\“ProductVersion\“:\“7.6\“,

\“SiteGuid\“:\“0c074098-02d2-47cf-aa87-7e3asdsad7c\“,

\“SiteName\“:\“customer\“

}]

Excepción de datos de salida brutos:

{“ExceptionType”:“System.Management.Automation.CmdletInvocationException”,“Message”:“An invalid URL

was given for the service. The value given was ‘mit-xen751.hs.trcint.com’.\u000d\u000a The reason

given was: Failed to connect to back-end server ‘mit-xen751.hs.trcint.com’ on port 80 using binding

WSHttp. The server may be off-line or may not be running the appropriate

service\u000d\u000a\u0009There was no endpoint listening at http:\/\/mit-

xen751.hs.trcint.com\/Citrix\/ConfigurationContract\/v2 that could accept the message. This is often

caused by an incorrect address or SOAP action. See InnerException, if present, for more

details.\u000d\u000a\u0009The remote name could not be resolved: ‘mit-xen751.hs.trcint.com’.

“,”StackTrace”:” at


VMware, Inc. 79

System.Management.Automation.Internal.PipelineProcessor.SynchronousExecuteEnumerate(Object input,

Hashtable errorResults, Boolean enumerate)\u000d\u000a at

System.Management.Automation.Internal.PipelineProcessor.SynchronousExecute(Array input, Hashtable

errorResults)\u000d\u000a at

System.Management.Automation.Runspaces.LocalPipeline.InvokeHelper()\u000d\u000a at

System.Management.Automation.Runspaces.LocalPipeline.InvokeThreadProc()“}

Supervisión y estado de VMware Identity Manager Integration Broker con Citrix XenApp 6.x

Llamada deURL: /IB/API/RestServiceImpl.svc/hznxenapp/Admin/xenfarminfo?computername=&xenappversion=Version65orLater

Esto trae información de una llamada API a Citrix. La supervisión puede garantizar que los valores seancoherentes.


“[{

\ “FarmName \ “: \ “NewFarm \ “,

\ “ServerVersion \ “: \ “6.5.0 \ “,

\ “AdministratorType \ “: \ “Full \ “,

\ “SessionCount \ “: \ “0 \ “,

\ “MachineName \ “: \ “XENAPPTEST \ “

}]”

Mostrar información adicional en la API de comprobación deestadoPuede controlar si aparece información confidencial, como direcciones IP y nombres de host, en elresultado de las API de comprobación de estadohttps://<VIDM_FQDN>/SAAS/jersey/manager/api/system/health yhttps://<VIDM_FQDN>/SAAS/API/1.0/REST/system/health. De forma predeterminada, el resultadode la API no incluye esta información.

La propiedad service.health.check.basic en el archivo runtime-config.properties es la quecontrola este ajuste. Cuando la propiedad se establece en true, solo se muestra información básica y lainformación confidencial se oculta. La etiqueta "desconocido" en el resultado indica que la informaciónestá restringida. Por ejemplo:

AnalyticsUrl: "unknown"

ElasticsearchServiceOk: "true"

EhCacheClusterPeers: "unknown"

ElasticsearchMasterNode: "unknown"

ElasticsearchIndicesCount "unknown"

ElasticsearchDocsCount: "unknown"

AuditPollInterval: "1000"

AnalyticsConnectionOk: "true"

...


VMware, Inc. 80

IpAddress: "unknown"

AuditDisabled: "false"

AllOk: "true"

Cuando la propiedad se establece en false, se muestra toda la información disponible. Por ejemplo:

AnalyticsUrl: "http://198.51.100.0"

ElasticsearchServiceOk: "true"

EhCacheClusterPeers: ""

ElasticsearchMasterNode: "198.51.100.1"

ElasticsearchIndicesCount: "13"

ElasticsearchDocsCount: "11173"

AuditPollInterval: "1000"

AnalyticsConnectionOk: "true"

...

IpAddress: "198.51.100.2"

AuditDisabled: "false"

AllOk: "true"

La propiedad se establece en true de manera predeterminada.

Nota Si configuró un clúster de VMware Identity Manager y le cambia la propiedad, asegúrese derealizar el cambio en todos los nodos del clúster.

Procedimiento

1 Inicie sesión en el servidor de VMware Identity Manager.

2 Edite el archivo install_dir\usr\local\horizon\conf\runtime-config.properties yestablezca el valor de la propiedad service.health.check.basic en true o false.


verdadero Muestra solo información básica. La información confidencial se oculta y, en sulugar, aparece la etiqueta "desconocido".

falso Muestra toda la información disponible

3 Guarde el archivo.

4 Reinicie el servicio.

install_dir\usr\local\horizon\scripts\horizonService.bat restart

5 Si ha configurado un clúster de VMware Identity Manager, realice los cambios en cada nodo delclúster.


VMware, Inc. 81

Registro del sistemaEl inicio de sesión desde los componentes del servicio de VMware Identity Manager y el conector deVMware Identity Manager está disponible mediante syslog. El componente Integration Broker iniciasesión localmente. Los registros pueden recopilarse y revisarse en el servidor o a través de un serviciode registro central, como vRealize Log Insight o Splunk.

Registro del conector y el servicio de VMware Identity ManagerUbicaciones de registro

La mayoría de los registros del servicio y el conector se encuentran en la siguiente ubicación:

n Dispositivo virtual Linux de VMware Identity Manager: /opt/vmware/horizon/workspace/logs/

n VMware Identity Manager en Windows: \<Install_Dir>\VMware IdentityManager\opt\vmware\horizon\workspace\logs

Registro Propósito

greenbox_web.log Registro que contiene todas las interacciones de la interfaz deusuario para web y móvil

horizon.log Registro del servicio de VMware Identity Manager que incluyeadaptadores de identidad, RabbitMQ, Elasticsearch, Ehcachey otros subsistemas

connector.log Registro del conector de VMware Identity Manager para todoslos métodos de autenticación y las integraciones con Horizon yCitrix

cert-proxy.log Componente CertProxy del servicio de VMware IdentityManager para el SSO móvil Android

configurator.log Solicitudes que recibe el configurador del cliente REST y de lainterfaz web

catalina.log Registros de Apache Tomcat de los mensajes que no seregistran en otros archivos de registro

Registro de Integration BrokerLos registros de Integration Broker se encuentran en la siguiente ubicación:

C:\ProgramData\VMware\HorizonIntegrationBroker

Los registros se capturan por día y contienen todas las llamadas de API de REST realizadas porIntegration Broker o a este.


VMware, Inc. 82

Cambiar la memoria predeterminada asignada al serviciode VMware Identity ManagerPara lograr un control preciso sobre la cantidad de memoria asignada para el servicio deVMware Identity Manager, puede cambiar la memoria asignada en Tomcat a través de la página de lasvariables de entorno de propiedades del sistema de Windows.

Cuando se instala el servicio de VMware Identity Manager, la opción predeterminada es establecer elajuste de memoria para que sea la mitad de la memoria disponible. Por lo general, no es necesariocambiar la configuración predeterminada.

Procedimiento

1 En la máquina Windows de VMware Identity Manager, abra el panel de control y desplácese hasta lapestaña Propiedades de sistemas > Avanzadas.

2 Haga clic en Variables de entorno en la parte inferior del cuadro de diálogo.

3 En la sección Variables de entorno > Variables de usuario, haga clic en Nueva.

4 En el cuadro de diálogo Nueva variable de usuario, introduzca la variable comoIDM_TOMCAT_MEM= <#>g

#g es la memoria que se va a asignar. 2G es el ajuste mínimo de memoria para asignar, pero no hayninguna cantidad máxima.

5 Reinicie el servicio. Escriba el comando de archivo por lotes, horizonService.bat restart.


VMware, Inc. 83

Configurar límites de frecuencia 9Puede establecer los límites de frecuencia en el servicio de VMware Identity Manager y el conector deVMware Identity Manager.

Este capítulo incluye los siguientes temas:n Configurar límites de frecuencia en el servicio de VMware Identity Manager

n Configurar límites de frecuencia en el conector de VMware Identity Manager

Configurar límites de frecuencia en el servicio de VMwareIdentity ManagerPuede establecer límites en la cantidad de solicitudes de inicio de sesión, inicio y WS-Fed que puedenrealizarse por minuto en el servicio de VMware Identity Manager. Cuando se alcanza el límite, sedeniegan las solicitudes posteriores. La configuración de límites de frecuencia permite evitar lasobrecarga del sistema.

Por ejemplo, si establece el límite de frecuencia de las solicitudes de inicio de sesión en 100, se aceptanlas primeras 100 solicitudes por minuto, pero se deniegan las solicitudes 101 y posteriores.

Para un clúster de VMware Identity Manager, el límite de frecuencia se aplica a cada nodo del clúster.Por ejemplo, si establece el límite de frecuencia de las solicitudes de inicio de sesión en 100 para unclúster que tiene un NodoA, NodoB y NodoC, el NodoA puede procesar 100 de dichas solicitudes porminuto, el NodoB puede procesar otras 100 solicitudes por minuto y el NodoC, otras 100 por minuto. Nose pueden establecer límites de inicio de sesión por separado en cada nodo.

Cuando se alcanza el límite y se deniegan solicitudes, los usuarios finales verán el siguiente mensaje deerror:

VMware, Inc. 84

No se establecen límites de frecuencia de forma predeterminada.

Los límites de frecuencia se establecen mediante una REST API. Utilice un cliente REST como Postmanpara realizar las llamadas al servicio de VMware Identity Manager. Los cambios se aplicarán en unosminutos.

Configurar límites de frecuenciaUtilice la API para establecer límites de frecuencia para el servicio de VMware Identity Manager.

Endpoint: https://nombre dehost/SAAS/jersey/manager/api/system/tuning/resiliency/tenant/orgResiliencyConfigurat

ion?tenantId=ID de arrendatario

Método: PUT

Descripción: establece el número máximo de solicitudes de inicio de sesión, inicio y WS-Fed permitidaspor minuto por el servicio de VMware Identity Manager.

Encabezados:

Content-type application/vnd.vmware.horizon.manager.system.tuning.resiliency.config+json;charset=UTF-8

Aceptar application/vnd.vmware.horizon.manager.system.tuning.resiliency.config+json

Autorización HZN cookie_value

Para obtener el cookie_value, inicie sesión en el servicio de VMware Identity Manager como el administradorde arrendatarios, es decir, el usuario administrador que se crea cuando se instala VMware Identity Manager porprimera vez y obtenga el valor de la cookie de HZN desde la memoria caché de cookies del navegador.


VMware, Inc. 85

Parámetros de la ruta de acceso: hostname El nombre de dominio completo del servicio o del equilibrador de carga de VMware Identity Manager.

tenantId El ID de arrendatario del servicio de VMware Identity Manager. El ID de arrendatario es el nombre de arrendatarioque aparece en la esquina superior derecha de la consola de VMware Identity Manager.

Cuerpo de la solicitud:

{

"config": {

"rateLimitingDisabled": false,

"rateLimits": {

"login": {

"requestsPerMinute": n

},

"launch": {


},

"ws-fed": {


}

}

}

}

Parámetros del cuerpo de la solicitud

requestsPerMinute de iniciode sesión

Especifique el número máximo de solicitudes de inicio de sesión permitidas por minuto.

Nota Tenga en cuenta que es posible que se necesiten varias solicitudes API para que secomplete una solicitud de inicio de sesión y cada llamada de API cuenta en los límites defrecuencia. Por ejemplo, para una autenticación de contraseña se requieren dos llamadas de API,una para representar la página de inicio de sesión y otra para enviar las credenciales.

requestsPerMinute de inicio Especifique el número máximo de solicitudes de inicio permitidas por minuto.

requestsPerMinute de ws-fed

Especifique el número máximo de solicitudes de WS-Fed permitidas por minuto. Los límites defrecuencia de WS-Fed son solo para las configuraciones de inicio de sesión activa.

Visualización de límites de frecuenciaUtilice la API para ver los límites de frecuencia que se establecen para el servicio de VMware IdentityManager.

Endpoint: https://nombre dehost/SAAS/jersey/manager/api/system/tuning/resiliency/tenant/orgResiliencyConfigurat

ion?tenantId=ID de arrendatario

Método: GET

Descripción: recupera los límites de frecuencia configurados actualmente para las solicitudes de iniciode sesión, inicio y WS-Fed para el servicio de VMware Identity Manager.

Encabezados:


VMware, Inc. 86


Para obtener el cookie_value, inicie sesión en el servicio de VMware Identity Manager como el administrador dearrendatarios, es decir, el usuario administrador que se crea cuando se instala VMware Identity Manager porprimera vez y obtenga el valor de la cookie de HZN desde la memoria caché de cookies del navegador.



Resultados de ejemplo:

{

"config": {


"rateLimits": {

"login": {

"requestsPerMinute": 100

},

"launch": {


},

"ws-fed": {


}

}

}

}

requestsPerMinute de inicio desesión

El número máximo de solicitudes de inicio de sesión permitidas por minuto.

requestsPerMinute de inicio El número máximo de solicitudes de inicio permitidas por minuto.

requestsPerMinute de ws-fed El número máximo de solicitudes de WS-Fed permitidas por minuto. Los límites defrecuencia de WS-Fed son solo para las configuraciones de inicio de sesión activa.

Configurar límites de frecuencia en el conector deVMware Identity ManagerAl igual que puede establecer límites de frecuencia en el servicio de VMware Identity Manager, puedehacer lo mismo en el conector de VMware Identity Manager.

En el caso del conector, puede establecer un límite en el número de solicitudes de inicio de sesiónpermitidas por minuto. Cuando se alcanza el límite, se deniegan las solicitudes posteriores. Laconfiguración de límites de frecuencia permite evitar la sobrecarga del sistema.

Por ejemplo, si establece el límite de frecuencia de las solicitudes de inicio de sesión en 100, se aceptanlas primeras 100 solicitudes por minuto, pero se deniegan las solicitudes 101 y posteriores.


VMware, Inc. 87

Para un clúster del conector de VMware Identity Manager, el límite se aplica a cada nodo del clúster. Porejemplo, si establece el límite de frecuencia de las solicitudes de inicio de sesión en 100 para un clústerque tiene un NodoA, NodoB y NodoC, el NodoA puede procesar 100 de dichas solicitudes por minuto, elNodoB puede procesar otras 100 solicitudes por minuto y el NodoC, otras 100 por minuto. No se puedenestablecer límites de inicio de sesión por separado en cada nodo.

Cuando se alcance el límite y se denieguen las solicitudes, los usuarios finales verán el siguientemensaje de error:

No se establecen límites de frecuencia de forma predeterminada.

Los límites de frecuencia se establecen mediante una REST API. Utilice un cliente REST como Postmanpara realizar las llamadas al servicio de VMware Identity Manager.

Los cambios se aplican después de aproximadamente una hora. Si desea que los cambios se apliqueninmediatamente, reinicie el conector.

Para reiniciar el dispositivo virtual del conector basado en Linux, inicie sesión en el dispositivo virtual yejecute el siguiente comando:

service horizon-workspace restart

Para reiniciar el conector de Windows, ejecute el siguiente script:

install_dir\usr\local\horizon\scripts\horizonService.bat restart

Configurar límites de frecuenciaUtilice la API para establecer límites de frecuencia para el conector de VMware Identity Manager.


VMware, Inc. 88

Endpoint: https://nombre dehost/SAAS/jersey/manager/api/system/tuning/resiliency/tenant/orgResiliencyConnectorC

onfiguration?tenantId=ID de arrendatario

Método: PUT

Descripción: establece el número máximo de solicitudes de inicio de sesión permitidas por minuto por elconector de VMware Identity Manager.

Encabezados:

Content-type application/vnd.vmware.horizon.manager.system.tuning.resiliency.config+json;charset=UTF-8

Aceptar application/vnd.vmware.horizon.manager.system.tuning.resiliency.config+json


Para obtener el cookie_value, inicie sesión en el servicio de VMware Identity Manager como el administradorde arrendatarios, es decir, el usuario administrador que se crea cuando se instala VMware Identity Manager porprimera vez y obtenga el valor de la cookie de HZN desde la memoria caché de cookies del navegador.



Cuerpo de la solicitud:

{

"config": {


"rateLimits": {

"login": {


}

}

}

}

Parámetros del cuerpo de la solicitud

requestsPerMinute deinicio de sesión

Especifique el número máximo de solicitudes de inicio de sesión permitidas por minuto.

Nota Tenga en cuenta que es posible que se necesiten varias solicitudes API para que se completeuna solicitud de inicio de sesión y cada llamada de API cuenta en los límites de frecuencia. Porejemplo, para una autenticación de contraseña se requieren dos llamadas de API, una pararepresentar la página de inicio de sesión y otra para enviar las credenciales.

Visualización de límites de frecuenciaUtilice la API para ver los límites de frecuencia establecidos actualmente en el conector de VMwareIdentity Manager.


VMware, Inc. 89

Endpoint: https://nombre dehost/SAAS/jersey/manager/api/system/tuning/resiliency/tenant/orgResiliencyConnectorC

onfiguration?tenantId=ID de arrendatario

Método: GET

Descripción: recupera los límites de frecuencia configurados actualmente para las solicitudes de iniciode sesión para el conector de VMware Identity Manager.

Encabezados:


Para obtener el cookie_value, inicie sesión en el servicio de VMware Identity Manager como el administrador dearrendatarios, es decir, el usuario administrador que se crea cuando se instala VMware Identity Manager porprimera vez y obtenga el valor de la cookie de HZN desde la memoria caché de cookies del navegador.

Parámetros de la ruta de acceso: Nombre de host El nombre de dominio completo del servicio o del equilibrador de carga de VMware Identity Manager.

ID de arrendatario El ID de arrendatario del servicio de VMware Identity Manager. El ID de arrendatario es el nombre dearrendatario que aparece en la esquina superior derecha de la consola de VMware Identity Manager.

Resultados de ejemplo:

{

"config": {


"rateLimits": {

"login": {


}

}

}

}

requestsPerMinute de inicio de sesión El número máximo de solicitudes de inicio de sesión permitidas por minuto.


VMware, Inc. 90

instalar y configurar vmware identity manager para …para windows septiembre de 2018 vmware...

Documents