instalando e configurando o vmware identity manager para

Instalando econfigurando o VMwareIdentity Manager paraWindowsMAIO DE 2018Versão 3.2.0.1VMware Identity Manager 3.2

Instalando e configurando o VMware Identity Manager para Windows

VMware, Inc. 2

Você pode encontrar a documentação técnica mais atualizada no site da VMware, em:

https://docs.vmware.com/br/

Caso tenha comentários sobre esta documentação, envie seu feedback para:

[email protected]

Copyright © 2018 VMware, Inc. Todos os direitos reservados. Informações de direitos autorais e marcas registradas.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

https://docs.vmware.com/br/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

Conteúdo

Sobre como instalar e configurar o VMware Identity Manager para Windows 5

1 Visão geral do VMware Identity Manager Services 6

2 Preparando para instalar o VMware Identity Manager para Windows 9

Requisitos de configuração do sistema e da rede 9

Criar registros DNS e endereços IP 14

Criar o banco de dados de serviço do VMware Identity Manager 16

Listas de verificação de implantação 22

3 Programa de aperfeiçoamento da experiência do cliente 25

4 Implantando a máquina do VMware Identity Manager atrás de um balanceador

de carga 26Usando um balanceador de carga ou proxy reverso para habilitar o acesso externo ao

VMware Identity Manager 26

5 Configurando o serviço do VMware Identity Manager 29

Instalar o VMware Identity Manager 29

Usando o assistente de instalação para concluir a instalação 33

Implantando a máquina do VMware Identity Manager atrás de um balanceador de carga 34

Usando um balanceador de carga ou proxy reverso para habilitar o acesso externo ao

VMware Identity Manager 34

Aplicar o certificado raiz do VMware Identity Manager ao balanceador de carga 37

Aplicar o certificado raiz do balanceador de carga ao VMware Identity Manager 38

Configurando failover e redundância em um centro de dados único (Windows) 40

Configurar conexões do Active Directory ou do diretório LDAP 45

Habilitando as configurações de proxy após a instalação 54

Inserir a chave de licença 55

6 Gerenciando definições de configuração da máquina do

VMware Identity Manager 56Alterar as configurações do appliance 57

Usando certificados SSL 57

Configurar o VMware Identity Manager para usar um banco de dados externo 60

Modificar a URL do serviço do VMware Identity Manager 61

Modificar a URL do conector 62

Informações de arquivo de log 62

VMware, Inc. 3

Gerenciar a sua senha 64

Definir as configurações de SMTP 65

7 Solucionando problemas de instalação e configuração 67

O grupo não exibe nenhum membro após a sincronização de diretório 67

Solucionando problemas no Elasticsearch 68

8 Monitorando o VMware Identity Manager 69

Recomendações de monitoramento de capacidade de carga de hardware 69

Endpoints de URL do VMware Identity Manager para monitoramento 70

Log do sistema 77


VMware, Inc. 4

Sobre como instalar e configurar oVMware Identity Manager para Windows

Instalando e configurando o VMware Identity Manager fornece informações sobre como instalar econfigurar o serviço do VMware Identity Manager nos servidores Windows para implantações locais.Quando a instalação estiver concluída, você poderá usar o console de administração para autorizar osusuários a ter acesso de vários dispositivos gerenciados aos aplicativos da sua organização, incluindoaplicativos Web, aplicativos e desktops do Horizon e recursos publicados Citrix. O guia também explicacomo configurar a sua implantação para alta disponibilidade.

Público-alvoEstas informações destinam-se aos administradores do VMware Identity Manager. As informações sãoescritas para administradores experientes dos sistemas Windows e Linux que estejam familiarizados comas tecnologias da VMware, especialmente vCenter™, ESX™ e vSphere®, conceitos de rede, servidoresdo Active Directory, bancos de dados, procedimentos de backup e restauração, protocolo SMTP eservidores NTP. Se você pretender implementar esses recursos, o conhecimento de outras tecnologias,como o RSA SecurID, será útil.

VMware, Inc. 5

Visão geral doVMware Identity ManagerServices 1O VMware Identity Manager é o componente de gerenciamento de identidade e acesso doWorkspace ONE. Junto com o Workspace ONE UEM e o VMware Horizon, o VMware Identity Managerpode implantar um catálogo de aplicativo universal que inclui aplicativos da Web, nativos e virtuais.

O VMware Identity Manager também é fundamental para a implantação do single sign-on (SSO) móvel edo acesso condicional que inclui o gerenciamento de dispositivos e verificações de conformidade. OVMware Identity Manager está disponível nos modelos de implantação no local e de SaaScompartilhado.

Este guia descreve como implantar o VMware Identity Manager para Windows em um ambiente local,incluindo as configurações de alta disponibilidade e do balanceador de carga. Veja no capítuloPreparando para instalar o VMware Identity Manager os padrões de implantação recomendados e comodimensionar o seu banco de dados, conector e servidores do VMware Identity Manager com base notamanho da sua organização.

A figura do VMware Identity Manager para o modelo de implantação do Windows mostra o padrão deimplantação de alto nível para o Workspace ONE. O serviço de dispositivo do Workspace ONE UEM e oserviço do VMware Identity Manager são implantados na DMZ em que os dispositivos podem acessar osserviços diretamente. O serviço do VMware Horizon é implantado na rede interna.

VMware, Inc. 6

Figura 1‑1. O VMware Identity Manager para o modelo de implantação do Windows

Servidor do VMwareIdentity Manager

Servidor doAirWatch

Active Directory/

outros serviçosde diretório

HorizonServer

Conectores

No local

Implantação doWorkspace ONE

DMZ

Rede Corporativa

A figura do Diagrama de arquitetura do VMware Identity Manager para implantações típicas mostra umdiagrama detalhado com a configuração do balanceador de carga necessária para oVMware Identity Manager clusterizado.


VMware, Inc. 7

Figura 1‑2. Diagrama de arquitetura do VMware Identity Manager para implantações típicas

Dispositivos externosHTTP(s) 80/88/443

e iOS

Porta 443/88Porta 443/88/5262

Porta 443

Porta 443

Porta 80

8 GBBalanceadorde carga

Identity Manager

Servidor de banco de dados do Identity Manager

EnterpriseConnector

Administradores

RSA/DNS/DC53/88/464/135/5500

LDAP 389/636/3268/3269

Porta 80

Porta 443

AD/LDAP

Servidor SMTP

Autoridade de Certificação Corporativa

Workspace OneIntelligence Connector

Dispositivos internos

Firewallexterno

Balanceadorde carga

Balanceadorde carga

Firewallinterno

DMZ

Rede interna

HTTP(s) 80/443

Porta 443/88/5262

Porta 1443

Porta 1443

Porta 8443

Porta 443

4 núcleos 100 GB

40GBDB 12 núcleos 300GB

12GB 6 núcleos 100 GB

8 GB 1 núcleos 50 GB

Internet


VMware, Inc. 8

Preparando para instalar oVMware Identity Manager paraWindows 2O serviço do VMware Identity Manager pode ser instalado em um novo servidor autônomo ou em umcluster de três ou mais nós.

Considere a sua implantação inteira, incluindo como você integra recursos, ao tomar decisões sobrerequisitos de hardware, recursos e rede.

Este capítulo inclui os seguintes tópicos:

n Requisitos de configuração do sistema e da rede

n Criar registros DNS e endereços IP

n Criar o banco de dados de serviço do VMware Identity Manager

n Listas de verificação de implantação

Requisitos de configuração do sistema e da redeConsidere a sua implantação inteira, incluindo como você integra recursos, ao tomar decisões sobrerequisitos de hardware, recursos e rede.

Requisitos de dimensionamento de hardwareCertifique-se de atender aos requisitos de hardware para instalações do VMware Identity Manager paraWindows.

Quantidade deusuários Até 1.000 1.000-10.000 10.000-25.000 25.000-50.000 50.000-100.000

Quantidade deservidores doVMware IdentityManager

1 servidor 3 servidores combalanceamento decarga

3 servidores combalanceamento decarga



CPU (por servidor) 2 CPUs 2 CPUs 4 CPUs 8 CPUs 8 CPUs

RAM (por servidor) 6 GB 6 GB 8 GB 16 GB 32 GB

Espaço em disco(por servidor)

60 GB 100 GB 100 GB 100 GB 100 GB

Se você instalar conectores externos adicionais, certifique-se de atender aos seguintes requisitos.

VMware, Inc. 9


Quantidade deservidores deconector

1 servidor 2 servidores combalanceamento decarga




CPU (por servidor) 2 CPUs 4 CPUs 4 CPUs 4 CPUs 4 CPUs

RAM (por servidor) 6 GB 6 GB 8 GB 16 GB 16 GB

Espaço em disco(por servidor)

60 GB 60 GB 60 GB 60 GB 60 GB

Requisitos de software para a instalação do WindowsCertifique-se de que o seu Windows Server do VMware Identity Manager atenda aos seguintes requisitosde software.

Requisito Notas

Versões suportadas do Windows Servern Windows Server 2008 R2n Windows Server 2012 R2n Windows Server 2016

PowerShell 4.0 ou posteriores Módulo do Active Directory para o PowerShell (RSAT-AD-PowerShell)

JRE 1.8 instalado O instalador do VMware Identity Manager instalará a versãomais recente se ela não estiver instalada antes daimplantação.

Se o seu JRE for uma versão mais antiga, o instalador atualizaautomaticamente a versão, mas não remove o JRE existente.Você deve desinstalar manualmente as versões anteriores.

Servidor do RabbitMQ O instalador do VMware Identity Manager instalará o servidorRabbitMQ se ele não estiver instalado antes da implantação.

Erlang O instalador do VMware Identity Manager instalará o Erlang seele não estiver instalado antes da implantação.

Requisitos de banco de dadosConfigure o VMware Identity Manager com um banco de dados externo do Microsoft SQL paraarmazenar e organizar os dados do servidor.

Para obter informações sobre as versões do banco de dados Microsoft SQL e as configurações deservice pack suportadas, consulte Matrizes de interoperabilidade de produtos da VMware em https://www.vmware.com/resources/compatibility/sim/interop_matrix.php.

Os seguintes requisitos se aplicam a um banco de dados de SQL Server externo. As especificaçõesexatas necessárias para o seu SQL Server dependem do tamanho e das necessidades da suaimplantação.


VMware, Inc. 10

https://www.vmware.com/resources/compatibility/sim/interop_matrix.php


CPU 2 CPUs 2 CPUs 4 CPUs 8 CPUs 8 CPUs

RAM 4 GB 4 GB 8 GB 16 GB 32 GB

Espaço em disco 50 GB 50 GB 50 GB 100 GB 100 GB

O recurso SQL Server AlwaysOn é uma combinação de cluster de failover e espelhamento de banco dedados combinados com o envio de logs para alta disponibilidade. O AlwaysON permite várias cópias deleitura de seu banco de dados e uma única cópia de leitura-gravação para as operações. Se o seuambiente de implantação tiver largura de banda para suportar o tráfego gerado, o banco de dados doVMware Identity Manager suportará o AlwaysON.

Requisitos de configuração de rede

Componente Requisito mínimo

Registro DNS e endereço IP Endereço IP e registro DNS

Porta do firewall Certifique-se de que a porta 443 do firewall de entrada está aberta para os usuáriosfora da rede para a instância do VMware Identity Manager ou o balanceador de carga.

Proxy Reverso Implante um proxy reverso, como o F5 Access Policy Manager na DMZ, para permitirque os usuários acessem o portal do usuário do VMware Identity Managerremotamente.

O VMware Unified Access Gateway 2.8 e posteriores são compatíveis com afuncionalidade de proxy reverso para permitir que os usuários acessem com segurançao catálogo unificado do VMware Identity Manager remotamente. O Unified AccessGateway pode ser implantado na DMZ atrás dos balanceadores de carga e na frente doappliance do VMware Identity Manager.

Para configurar a autenticação de certificado em uma implantação do DMZ local do VMware IdentityManager, será necessário o seguinte.

n Passagem do SSL habilitada na porta 443 no balanceador de carga na frente do VMware IdentityManager.

n Porta 6443 (HTTPS) aberta no balanceador de carga ou no firewall.

Requisitos de portaAs portas usadas na configuração do servidor estão descritas aqui. A implantação pode incluir somenteum subconjunto dessas portas. Por exemplo:

n Para sincronizar usuários e grupos do Active Directory, o VMware Identity Manager deve se conectarao Active Directory.


VMware, Inc. 11

Porta Protocolo Origem Target Descrição

443 HTTPS Balanceador de Carga Máquina do VMware IdentityManager

443, 8443 HTTP/HTTPS

Máquina do VMware IdentityManager


Para todas asinstâncias doVMware IdentityManager em umcluster e em clustersde centros de dadosdiferentes.

443 HTTPS Navegadores Máquina do VMware IdentityManager

443 HTTPS Máquina do VMware IdentityManager

discovery.awmdm.com Acesso à descobertaautomática doaplicativo WorkspaceONE


catalog.vmwareidentity.com Acesso ao catálogona nuvem

8443 HTTPS Navegadores Máquina do VMware IdentityManager

Porta doadministrador

25 SMTP Máquina do VMware IdentityManager

SMTP Porta para transmitirmensagens de saída

389

636

3268

3269

LDAP

LDAPS

MSFT-GC

MSFT-GC-SSL


Active Directory Os valores padrãoaparecem. Essasportas sãoconfiguráveis.

5500 UDP Máquina do VMware IdentityManager

Sistema RSA SecurID O valor padrão émostrado. Essa portaé configurável.

53 TCP/UDP Máquina do VMware IdentityManager

Servidor DNS Todos os appliancesvirtuais devem teracesso ao servidorDNS na porta 53 epermitir o tráfegoSSH de entrada naporta 22.

88, 464,135, 445

TCP/UDP Máquina do VMware IdentityManager

Controlador de domínio

9300–9400 TCP Máquina do VMware IdentityManager


Necessidades deauditoria

54328 UDP

1433 TCP Máquina do VMware IdentityManager

Banco de dados A porta padrão doMicrosoft SQL é a1433

443 Máquina do VMware IdentityManager

Servidor do View Acesso ao servidordo View


VMware, Inc. 12

Porta Protocolo Origem Target Descrição

80, 443 TCP Máquina do VMware IdentityManager

Servidor do Integration Broker Conexão com oIntegration Broker. Aopção de portadepende do fato deum certificado estarinstalado no servidordo Integration Broker


API REST do AirWatch Para a verificação deconformidade dedispositivo e para ométodo deautenticação desenha do AirWatchCloud Connector, sefor usado.

88 UDP Unified Access Gateway Máquina do VMware IdentityManager

Porta UDP a seraberta para SSOmóvel

5262 TCP Dispositivo móvel Android Serviço de proxy HTTPS doAirWatch

O cliente doAirWatch Tunnelencaminha o tráfegopara o proxy HTTPSde dispositivosAndroid.

88 UDP Dispositivo móvel iOS Máquina do VMware IdentityManager

A porta usada para otráfego Kerberos dedispositivos iOS parao serviço do KDChospedado nanuvem.

443 HTTPS/TCP

514 UDP Máquina do VMware IdentityManager

servidor syslog UDP

Para o servidorsyslog externo, seconfigurado

Diretórios com suporteVocê integra o seu diretório corporativo ao VMware Identity Manager e sincroniza com o serviço osusuários e os grupos a partir do seu diretório corporativo.

n O ambiente do Active Directory pode consistir em um único domínio do Active Directory, váriosdomínios em uma única floresta do Active Directory ou vários domínios em várias florestas do ActiveDirectory.


VMware, Inc. 13

O VMware Identity Manager suporta o Active Directory no Windows 2008, 2008 R2, 2012 e 2012 R2,com um nível funcional de Domínio e nível funcional de Floresta do Windows 2003 e posteriores.

Observação Um nível funcional mais alto pode ser necessário para alguns recursos. Por exemplo,para permitir que os usuários alterem as senhas do Active Directory a partir do Workspace ONE, onível funcional do Domínio deve ser Windows 2008 ou posterior.

Navegadores da Web suportados para acessar o console deadministraçãoO console de administração do VMware Identity Manager é um aplicativo baseado na Web que você usapara gerenciar seu tenant. Você pode acessar o console de administração nas versões mais recentes doGoogle Chrome, Mozilla Firefox, Safari, Microsoft Edge e Internet Explorer 11.

Observação No Internet Explorer 11, deve-se habilitar o JavaScript e se permitir cookies para aautenticação pelo VMware Identity Manager.

Navegadores suportados para acessar o portal do WorkspaceONEOs usuários finais podem acessar o portal do Workspace ONE nos seguintes navegadores.

n Mozilla Firefox (mais recente)

n Google Chrome (mais recente)

n Safari (mais recente)

n Internet Explorer 11

n Navegador Microsoft Edge

n Navegador nativo e Google Chrome em dispositivos Android

n Safari em dispositivos iOS

Observação No Internet Explorer 11, deve-se habilitar o JavaScript e se permitir cookies para aautenticação pelo VMware Identity Manager.

Criar registros DNS e endereços IPUma entrada DNS e um endereço IP estático devem estar disponíveis para o appliance virtual doVMware Identity Manager. Como cada empresa administra os próprios endereços IP e registros DNS deforma diferente, solicite o registro DNS e os endereços IP a serem usados antes de começar ainstalação.

A configuração da pesquisa inversa é opcional. Ao implementar a pesquisa inversa, você deve definir umregistro PTR no servidor DNS para que o appliance virtual use a configuração de rede correta.


VMware, Inc. 14

Você pode usar a lista de amostra de registros DNS ao conversar com o administrador da rede.Substitua as informações de amostra por informações do seu ambiente. Este exemplo mostra osregistros DNS e os endereços IP encaminhados.

Tabela 2‑1. Exemplos de registros DNS e endereços IP encaminhados

Nome do domínio Tipo de Recurso Endereço IP

meuidentitymanager.exemplo.com Um 10.28.128.3

Este exemplo mostra os registros DNS e endereços IP reversos.

Tabela 2‑2. Exemplos de registros DNS e endereços IP reversos

Endereço IP Tipo de Recurso Nome do Host

10.28.128.3 PTR meuidentitymanager.exemplo.com

Depois de concluir a configuração do DNS, verifique se a pesquisa de DNS reverso está configuradacorretamente. Por exemplo, o comando do appliance virtual host IPaddress deve ser resolvido para apesquisa de nome de DNS.

Planejando para a autenticação KerberosSe você planeja configurar a autenticação Kerberos, observe os seguintes requisitos:

n Em um cenário no qual você usa o conector integrado no VMware Identity Manager para aautenticação Kerberos, o nome do host do VMware Identity Manager deve corresponder ao domíniodo Active Directory no qual o VMware Identity Manager ingressou. Por exemplo, se o domínio doActive Directory for vendas.exemplo.com, o nome do host do VMware Identity Manager deverá servidmhost.vendas.exemplo.com.

Se você não puder atribuir um nome de host que corresponda à estrutura de domínio do ActiveDirectory, precisará configurar manualmente o VMware Identity Manager e o Active Directory.Consulte a Base de conhecimento para obter informações.

n Em um cenário no qual você usa conectores externos para a autenticação Kerberos, o nome do hostdo conector deve corresponder ao domínio do Active Directory no qual o conector ingressou. Porexemplo, se o domínio do Active Directory for vendas.exemplo.com, o nome do host do conectordeverá ser connectorhost.vendas.exemplo.com.

Se você não puder atribuir um nome de host que corresponda à estrutura de domínio do ActiveDirectory, precisará configurar manualmente o conector e o Active Directory. Consulte a Base deconhecimento para obter informações.


VMware, Inc. 15

Usando um servidor DNS baseado em Unix/LinuxSe você estiver usando um servidor DNS baseado em Linux ou Unix e pretende ingressar oVMware Identity Manager no domínio do Active Directory, certifique-se de que os registros de recurso doserviço (SRV) adequados sejam criados para cada controlador de domínio do Active Directory.

Observação Caso você tenha um balanceador de carga com um endereço IP virtual (VIP) na frentedos servidores DNS, observe que o VMware Identity Manager não oferece para suporta usar um VIP.Você pode especificar vários servidores DNS separados por vírgula.

Criar o banco de dados de serviço do VMware IdentityManagerO serviço do VMware Identity Manager requer um banco de dados do Microsoft SQL Server externo paraarmazenar e organizar os dados do servidor. O administrador do banco de dados deve preparar umesquema e um banco de dados vazio do Microsoft SQL Server antes de instalar oVMware Identity Manager.

Ao se conectar com o Microsoft SQL Server, insira o nome da instância à qual você deseja se conectar eo modo de autenticação. Você pode selecionar o modo de autenticação do Windows e especificar odomínio\nome de usuário ou o modo de autenticação do SQL Server e especificar o nome do usuáriolocal e a senha.

Conecte-se à conexão de banco de dados externo ao executar o assistente de Instalação doVMware Identity Manager. Você também pode ir à página Configurações do Appliance > Configuração daVA > Instalação da Conexão do Banco de Dados para configurar a conexão com o banco de dadosexterno.

Você pode usar o Microsoft SQL Server para criar um ambiente de banco de dados de altadisponibilidade.

Pré-requisitos do servidor do banco de dadosAntes de configurar o banco de dados Microsoft SQL, certifique-se de que os requisitos de hardware esoftware estejam corretos para a sua implantação.

Para dimensionar os seus servidores corretamente, leia no Guia de Arquitetura Recomendada doVMware Identity Manager as informações sobre dimensionamento de hardware e outros detalhestécnicos para garantir a configuração correta do seu banco de dados.

Requisitos de software do SQL Servern SQL Server 2012, SQL Server 2014 ou SQL Server 2016 com Ferramentas de Cliente (SQL

Management Studio, Reporting Services, Integration Services, SQL Server Agent, service packsmais recentes). Certifique-se de que os SQL Servers sejam de 64 bits (SO e SQL Server). Apenasas edições Standard e Enterprise são compatíveis.


VMware, Inc. 16

n É necessário o .NET 4.6.2 para executar o instalador do banco de dados. Se você não quiser instalaro .NET no seu servidor do banco de dados, execute o instalador do banco de dados a partir de outroservidor do AirWatch ou de um jump server no qual o .NET possa ser instalado.

n Certifique-se de que o Serviço Windows do SQL Server Agent esteja definido como Automático ouAutomático (Atraso) como o tipo de inicialização para o serviço. Se definido como manual, o ServiçoWindows do SQL Server Agent deverá ser iniciado manualmente antes da instalação do banco dedados.

TCP/IP habilitadoUse TCP/IP para se conectar ao banco de dados e desabilite Pipes Nomeados. No SQL ServerConfiguration Manager, navegue até a página Configuração de Rede do SQL Server e selecioneProtocolos para MSSQLSERVER.

Configurar o banco de dados do Microsoft SQL com o modo deautenticação do WindowsPara usar um banco de dados Microsoft SQL para o VMware Identity Manager, você deve criar um novobanco de dados no Microsoft SQL Server. Durante a instalação, você deve selecionar um modo deautenticação para o banco de dados. Se você selecionar a Autenticação do Windows, quando você criaro banco de dados, deverá inserir o nome de usuário e o domínio. O nome de usuário e o domínio sãoinseridos como domain\username.

Ao executar os comandos do Microsoft SQL, crie um banco de dados no Microsoft SQL Server, insira onome do banco de dados, adicione as credenciais de usuário de login e crie o esquema. O nome doesquema é saas.

Observação O agrupamento padrão diferencia maiúsculas de minúsculas.

Pré-requisitos

n Uma versão compatível do Microsoft SQL Server instalado como um servidor de banco de dadosexterno.

n Uma implementação de balanceamento de carga configurada.

n Autenticação do Windows selecionada como o modo de autenticação.

n Direitos do administrador para acessar e criar os componentes de banco de dados usando oMicrosoft SQL Server Management Studio ou de outro cliente CLI do Microsoft SQL Server.

Procedimentos

1 Faça login na sessão do Microsoft SQL Server Management Studio como sysadmin ou usando umaconta de usuário com privilégios sysadmin.

É exibida a janela do editor.

2 Na barra de ferramentas, clique em Nova Consulta.


VMware, Inc. 17

3 Para criar o banco de dados com o esquema padrão denominado saas, insira os comandos a seguirna janela do editor.

/*

Values within angle brackets (< >) are example values. When replacing the example value,

remove the angle brackets. The database name is case sensitive. Make sure you enter the database

name the same in all instances.

*/

CREATE DATABASE <saasdb>

COLLATE Latin1_General_CS_AS;

ALTER DATABASE <saasdb> SET READ_COMMITTED_SNAPSHOT ON;

GO

IF NOT EXISTS

(SELECT name

FROM master.sys.server_principals

WHERE name=N'<domain\username>')

BEGIN

CREATE LOGIN [<domain\username>] FROM WINDOWS;

END

GO

USE <saasdb>;

IF EXISTS (SELECT * FROM sys.database_principals WHERE name=N'<domain\username>')

DROP USER [<domain\username>]

GO

CREATE USER [<domain\username>] FOR LOGIN [<domain\username>]

WITH DEFAULT_SCHEMA=saas;

GO

CREATE SCHEMA saas AUTHORIZATION "<domain\username>"

GRANT ALL ON DATABASE::<saasdb> TO "<domain\username>";

GO

ALTER ROLE db_owner ADD MEMBER '<domain\username>';

GO

4 Na barra de ferramentas, clique em !Execute.

O servidor de banco de dados do Microsoft SQL está agora pronto para ser conectado ao banco dedados do VMware Identity Manager.

A função de servidor usada para conceder privilégios de segurança em todo o servidor está definidacomo pública. A associação de função de banco de dados é db_owner. Não defina nenhuma outrafunção.


VMware, Inc. 18

Ao instalar o VMware Identity Manager para Windows, selecione essa instância de servidor de banco dedados para se conectar a ela. Após a instalação, a URL do JDBC e o nome de usuário e a senha criadospara o banco de dados serão configurados na página Configuração de Conexão do Banco de Dados noservidor do VMware Identity Manager. Consulte Configurar o VMware Identity Manager para usar umbanco de dados externo

Configurar banco de dados do Microsoft SQL usando o modo deautenticação do SQL Server localPara usar um banco de dados Microsoft SQL para o VMware Identity Manager, você deve criar um novobanco de dados no Microsoft SQL Server. Durante a instalação, você deve selecionar um modo deautenticação para o banco de dados. Se você selecionar a Autenticação do SQL Server, quando vocêcriar o banco de dados, deverá inserir um nome de usuário local e uma senha.

Ao executar os comandos do Microsoft SQL, crie um banco de dados no Microsoft SQL Server, insira onome do banco de dados, adicione as credenciais de usuário de login e crie o esquema. O nome doesquema é saas.

Observação O agrupamento de banco de dados padrão diferencia maiúsculas de minúsculas.

Pré-requisitos

n Uma versão compatível do Microsoft SQL Server instalado como um servidor de banco de dadosexterno.

n Uma implementação de balanceamento de carga configurada.

n Autenticação do SQL Server selecionada como o modo de autenticação.

n Direitos do administrador para acessar e criar os componentes de banco de dados usando oMicrosoft SQL Server Management Studio ou de outro cliente CLI do Microsoft SQL Server.

Procedimentos

1 Faça login na sessão do Microsoft SQL Server Management Studio como sysadmin ou usando umaconta de usuário com privilégios sysadmin.



3 Para criar o banco de dados com o esquema padrão denominado saas, insira os comandos a seguirna janela do editor.

/*

Values within angle brackets (< >) are example values. When replacing the example value,

remove the angle brackets. The database name is case sensitive. Make sure you enter the database

name the same in all instances.

*/

CREATE DATABASE <saasdb>


VMware, Inc. 19

COLLATE Latin1_General_CS_AS;

ALTER DATABASE <saasdb> SET READ_COMMITTED_SNAPSHOT ON;

GO

BEGIN

CREATE LOGIN <loginusername> WITH PASSWORD = N'<password>';

END

GO

USE <saasdb>;

IF EXISTS (SELECT * FROM sys.database_principals WHERE name=N'<loginusername>')

DROP USER [<loginusername>]

GO

CREATE USER [<loginusername>] FOR LOGIN [<loginusername>]

WITH DEFAULT_SCHEMA=saas;

GO

CREATE SCHEMA saas AUTHORIZATION <loginusername>

GRANT ALL ON DATABASE::<saasdb> TO <loginusername>;

GO

ALTER ROLE [db_owner] ADD MEMBER <loginusername>;

GO


O servidor de banco de dados do Microsoft SQL está agora pronto para ser conectado ao banco dedados do VMware Identity Manager.

A função de servidor usada para conceder privilégios de segurança em todo o servidor está definidacomo pública. A associação de função de banco de dados é db_owner. Não defina nenhuma outrafunção.

Ao instalar o VMware Identity Manager para Windows, selecione essa instância de servidor de banco dedados para se conectar a ela. Após a instalação, a URL do JDBC e o nome de usuário e a senha criadospara o banco de dados serão configurados na página Configuração de Conexão do Banco de Dados noservidor do VMware Identity Manager. Consulte Configurar o VMware Identity Manager para usar umbanco de dados externo

Confirmar que o banco de dados do Microsoft SQL estáconfigurado corretamentePara confirmar que o banco de dados do Microsoft SQL está configurado corretamente para funcionarcom o VMware Identity Manager, o script de verificação a seguir é executado depois que o banco dedados é configurado.

Pré-requisitos

O banco de dados do Microsoft SQL é criado para o serviço do VMware Identity Manager.


VMware, Inc. 20

Procedimentos

1 Faça login na sessão do Microsoft SQL Server Management Studio com o nome de usuário e asenha de login do <saasdb> que foram criados no script usado para criar o banco de dados.



3 Execute os comandos a seguir. Edite os comandos conforme necessário.

Use <saasdb>;

/* Check if user is db owner. Return true */

SELECT IS_ROLEMEMBER('db_owner') as isRoleMember

/* Make sure user is not sysadmin. Should return false */

SELECT IS_SRVROLEMEMBER('sysadmin') as isSysAdmin

/* check if saas schema exists, should be not null */

SELECT SCHEMA_ID('saas') as schemaId

/* check schema owner, should be user provided to installer */

SELECT SCHEMA_OWNER FROM INFORMATION_SCHEMA.SCHEMATA where SCHEMA_NAME='saas'

/* check if saas is user default schema, should return saas */

SELECT SCHEMA_NAME() as SchemaName

/* check db collation, should return Latin1_General_CS_AS */

SELECT DATABASEPROPERTYEX('<saasdb>', 'Collation') AS Collation

/* check if read committed snapshot is on, should return true */

SELECT is_read_committed_snapshot_on FROM sys.databases WHERE name='<saasdb>'


Se a configuração não estiver correta, mensagens de erro serão exibidas. Antes de continuar aconfigurar o serviço do VMware Identity Manager para usar o banco de dados do Microsoft SQLexterno, corrija os problemas descritos nas mensagens de erro.

Alterar as funções de nível de banco de dadosQuando o esquema saas é usado para criar o banco de dados do Microsoft SQL para o serviço doVMware Identity Manager, a associação de função de banco de dados é concedida à função db_owner.Os membros da função de banco de dados fixa db_owner podem executar todas as atividades demanutenção e configuração do banco de dados.


VMware, Inc. 21

Depois que o banco de dados for definido e configurado no serviço do VMware Identity Manager, vocêpoderá revogar o acesso à db_owner e adicionar db_datareader e db_datawriter como as funções debanco de dados. Os membros da função db_datareader podem ler todos os dados de todas as tabelasde usuário. O membro da função db_datawriter pode adicionar, excluir ou alterar dados em todas astabelas de usuário.

Observação Se você revogar o acesso ao db_owner, certifique-se de que a função db_owner sejaconcedida novamente antes de iniciar uma atualização para uma nova versão doVMware Identity Manager.

Pré-requisitos

A função de usuário para o Microsoft SQL Server Management Studio como sysadmin ou como umaconta de usuário com privilégios de sysadmin.

Procedimentos

1 Na sessão do Microsoft SQL Server Management Studio como um administrador com privilégios desysadmin, conecte-se à instância do banco de dados <saasdb>para o VMware Identity Manager.

2 Revogue a função db_owner no banco de dados, insira o comando a seguir

Modo de autenticação Comando

Autenticação do Windows(domínio\usuário) ALTER ROLE db_owner DROP MEMBER <domain\username>;

Autenticação do SQLServer (usuário local) ALTER ROLE db_owner DROP MEMBER <loginusername>;

3 Adicione a associação de função db_datawriter e db_datareader ao banco de dados.

Modo de autenticação Comando

Autenticação do Windows(domínio\usuário) ALTER ROLE db_datawriter ADD MEMBER <domain\username>;

GO

ALTER ROLE db_datareader ADD MEMBER <domain\username>;GO

Autenticação do SQLServer (usuário local) ALTER ROLE db_datawriter ADD MEMBER <loginusername>;

GOALTER ROLE db_datareader ADD MEMBER <loginusername>;GO

Listas de verificação de implantaçãoVocê pode usar a lista de verificação de implantação para reunir as informações necessárias parainstalar o appliance virtual do VMware Identity Manager.


VMware, Inc. 22

Informações do diretórioO VMware Identity Manager é compatível com a integração aos ambientes Active Directory ou diretórioLDAP.

Tabela 2‑3. Lista de verificação de informações do controlador de domínio do ActiveDirectory

Informações a reunir Listar as informações

Nome do servidor Active Directory

Nome do domínio do Active Directory

DN base

Para o Active Directory sobre LDAP, o nome de usuário e asenha do DN Bind

Para o Active Directory com Autenticação Integrada doWindows, o nome de usuário e a senha da conta comprivilégios para ingressar computadores no domínio.

Tabela 2‑4. Lista de verificação de informações do servidor do diretório LDAP


Nome ou endereço IP do servidor do diretório LDAP

Número da porta do servidor do diretório LDAP

DN base

Nome de usuário e senha do DN Bind

Filtros de pesquisa LDAP para objetos de grupo, objetos dousuário bind e objetos de usuário

Nomes de atributo LDAP para associação, UUID do objeto enome distinto

Certificados SSLVocê pode adicionar um certificado SSL depois de implantar o serviço do VMware Identity Manager.

Tabela 2‑5. Lista de verificação de informações do certificado SSL


certificado SSL

Chave privada


VMware, Inc. 23

Chave de LicençaTabela 2‑6. Lista de verificação de informações da chave de licença doVMware Identity Manager


Chave de licença

Observação As informações de Chave de Licença são inseridas no console de administração napágina Configurações do Appliance > Licença após a conclusão da instalação.

Banco de dados externoTabela 2‑7. Lista de verificação de informações do banco de dados externo


Nome do host do banco de dados

Porta

Nome de usuário

Senha


VMware, Inc. 24

Programa de aperfeiçoamentoda experiência do cliente 3O Programa de aperfeiçoamento da experiência do cliente da VMware (“CEIP”) oferece informações àVMware que a permitem melhorar seus produtos e serviços, corrigir problemas e lhe recomendar comoimplantar e utilizar nossos produtos da melhor forma. Como parte do CEIP, a VMware coletaregularmente informações técnicas sobre o uso dos produtos e serviços da VMware pela suaorganização, em associação com a(s) chave(s) de licença da VMware da sua organização. Essasinformações não identificam nenhuma pessoa individualmente.

Caso prefira não participar do CEIP da VMware para este produto, desmarque a caixa ao instalar oVMware Identity Manager.

Você pode participar ou deixar de participar do CEIP da VMware para este produto a qualquer momento.

VMware, Inc. 25

Implantando a máquina doVMware Identity Manager atrásde um balanceador de carga 4Em um ambiente empresarial, a configuração de máquina recomendada do VMware identity Manager éimplantar um cluster de três nós do serviço do VMware Identity Manager para a alta disponibilidade.Quando o primeiro nó do IDM estiver instalado, configurado e testado atrás do balanceador de carga, umscript será executado no primeiro nó para criar uma cópia da primeira instância. Este arquivo copiado éusado para criar os outros nós no cluster.

O diagrama de arquitetura do VMware Identity Manager demonstra como você pode implantar oambiente VMware Identity Manager.

Consulte Capítulo 1 Visão geral do VMware Identity Manager Services.

Usando um balanceador de carga ou proxy reverso parahabilitar o acesso externo ao VMware Identity ManagerDurante a implantação, a máquina do VMware Identity Manager é instalada na rede interna. Se vocêdesejar fornecer acesso ao serviço aos usuários que se conectam de redes externas, deverá instalar umbalanceador de carga ou um proxy reverso, como Apache, Nginx ou F5, no DMZ.

Se você não usar um balanceador de carga ou um proxy reverso, não poderá expandir o número demáquinas do VMware Identity Manager depois. Talvez seja necessário adicionar mais máquinas parafornecer redundância e balanceamento de carga. O diagrama a seguir mostra a arquitetura deimplantação básica que você pode usar para habilitar o acesso externo.

VMware, Inc. 26

Figura 4‑1. Proxy do balanceador de carga externo com máquinas virtuais

Balanceador de carga externoNome do host: FQDN do VMware Identity ManagerEndereço IP de exemplo: 64.x.y.zPorta: porta do VMware Identity ManagerOs cabeçalhos X-Forwarded-For devem ser ativados.

Usuários externos

Balanceador de carga internoNome do host: FQDN do VMware Identity ManagerEndereço IP de exemplo: 10..x.y.zPorta: porta do VMware Identity ManagerOs cabeçalhos X-Forwarded-For devem ser ativados.

Usuários internos

Porta 443

Porta 443

Cluster do VMwareIdentity Manager

Firewall DMZ

Especificar o FQDN do VMware Identity Manager durante aimplantaçãoDurante a implantação da máquina do VMware Identity Manager , insira o FQDN e o número da porta doVMware Identity Manager . Esses valores devem apontar para o nome do host que você deseja que osusuários finais acessem.

A máquina do VMware Identity Manager é sempre executada na porta 443. Você pode usar um númeroda porta diferente para o balanceador de carga. Se você usar um número da porta diferente, deveráespecificá-lo durante a implantação. Não utilize 8443 como o número da porta, pois esse número deporta é a porta administrativa do VMware Identity Manager e é exclusivo para cada máquina em umcluster.


VMware, Inc. 27

Definições do balanceador de carga a serem configuradasAs definições do balanceador de carga a serem configuradas incluem habilitar cabeçalhos X-Forwarded-For, definir corretamente o tempo limite do balanceador de carga e habilitar sessões fixas. Além disso, aconfiança SSL deve ser configurada entre a máquina do VMware Identity Manager e o balanceador decarga.

n Cabeçalhos X-Forwarded-For

Você deve ativar os cabeçalhos X-Forwarded-For no seu balanceador de carga. Isso determina ométodo de autenticação. Consulte a documentação fornecida pelo fornecedor do seu balanceador decarga para obter mais informações.

n Tempo limite do balanceador de carga

Para que o VMware Identity Manager funcione corretamente, talvez você precise aumentar o padrãodo tempo limite de solicitação do balanceador de carga. O valor é definido em minutos. Se aconfiguração de tempo limite for muito baixa, talvez você veja este erro: "Erro 502: o serviço estáindisponível".

n Ativar sessões fixas

Você deverá ativar a configuração de sessão fixa no balanceador de carga se sua implantação tivervárias máquinas do VMware Identity Manager. O balanceador de carga associa a sessão de umusuário a uma instância específica.

n Suporte a WebSocket

O balanceador de carga deve ter suporte ao WebSocket para habilitar canais de comunicaçãosegura entre conectores e os nós do VMware Identity Manager.

n Codificações com forward secrecy

Os requisitos da Apple iOS App Transport Security se aplicam ao aplicativo do Workspace ONE noiOS. Para permitir que os usuários usem o aplicativo do Workspace ONE no iOS, o balanceador decarga deve ter codificações com forward secrecy. As seguintes codificações atendem a esserequisito:

ECDHE_ECDSA_AES e ECDHE_RSA_AES no modo GCM ou CBC

como afirmado no documento Segurança de iOS do iOS 11:

"A App Transport Security oferece requisitos de conexão padrão para que os aplicativos adiram àspráticas recomendadas para conexões seguras ao usarem as APIS NSURLConnection, CFURL ouNSURLSession. Por padrão, a App Transport Security limita a seleção de codificação para incluirapenas os pacotes que fornecem forward secrecy, especificamente ECDHE_ECDSA_AES eECDHE_RSA_AES no modo GCM ou CBC."


VMware, Inc. 28

Configurando o serviço doVMware Identity Manager 5Este capítulo inclui os seguintes tópicos:

n Instalar o VMware Identity Manager

n Usando o assistente de instalação para concluir a instalação

n Implantando a máquina do VMware Identity Manager atrás de um balanceador de carga

n Usando um balanceador de carga ou proxy reverso para habilitar o acesso externo ao VMwareIdentity Manager

n Aplicar o certificado raiz do VMware Identity Manager ao balanceador de carga

n Aplicar o certificado raiz do balanceador de carga ao VMware Identity Manager

n Configurando failover e redundância em um centro de dados único (Windows)

n Configurar conexões do Active Directory ou do diretório LDAP

n Habilitando as configurações de proxy após a instalação

n Inserir a chave de licença

Instalar o VMware Identity ManagerExecute o instalador do VMware Identity Manager em um Windows Server que atenda a todos osrequisitos de configuração de sistema listados.

Pré-requisitos

Consulte Requisitos de configuração do sistema e da rede.

Procedimentos

1 Clique duas vezes no instalador do VMware Identity Manager.

Execute o instalador a partir de uma conta com privilégios de administrador.

2 Na caixa de diálogo de boas-vindas, clique em Avançar.

O instalador verifica os pré-requisitos no servidor. Se o software necessário, como o .NET ou o TLS,não estiver instalado, você será solicitado a instalar o software e a reiniciar o servidor. Após areinicialização, execute o instalador do VMware Identity Manager novamente.

VMware, Inc. 29

3 Aceite o Contrato de Licença de Usuário Final (EULA) e clique em Avançar.

4 Na caixa de diálogo Programa de aperfeiçoamento da experiência do cliente, a ação padrão édefinida como Sim.

Este produto participa do Programa de aperfeiçoamento da experiência do cliente (“CEIP”) daVMware. Os detalhes sobre os dados recolhidos pelo CEIP e os fins para os quais eles sãoutilizados pela VMware são estabelecidos pelo Centro de Confiança e Garantia, em http://www.vmware.com/trustvmware/ceip.html. Caso prefira não participar do CEIP da VMware paraeste produto, desmarque a caixa abaixo.

Você pode participar ou deixar de participar do CEIP da VMware para este produto a qualquermomento.

Observação Se a sua rede estiver configurada para acessar a Internet por meio do proxy HTTP,para enviar à VMware os dados coletados pelo CEIP, você deverá ajustar as configurações de proxyna máquina do VMware Identity Manager.

5 Os pré-requisitos do VMware Identity Manager são listados. O instalador verifica os módulosnecessários. Você será solicitado a instalar qualquer módulo ausente.

Figura 5‑1. Confirmando os pré-requisitos instalados

6 Selecione o diretório no qual instalar o serviço do VMware Identity Manager.

7 Se esse nó for a primeira instância de serviço sendo instalada no cluster, clique em Avançar.

Ao instalar instâncias adicionais do cluster, marque a caixa de seleção e o navegador para o arquivoZIP exportado para a primeira instância a ser importada.

8 O nome do host e a porta 443 são preenchidos previamente na caixa de diálogo Configuração.Clique em Avançar.


VMware, Inc. 30

http://www.vmware.com/trustvmware/ceip.html

9 Na caixa de diálogo Servidor do Banco de Dados, selecione a instância do servidor de banco dedados do VMware Identity Manager à qual se conectar, bem como o modo de autenticação.

Opção Descrição

Servidor do banco de dados doVMware Identity Manager

Insira o FQDN do banco de dados ou clique em Procurar para selecionar a URLdo servidor de banco de dados na lista. Exemplo do FQDN do banco de dados,insira http://MyDBServer.

O aplicativo conecta-se usando Você pode selecionar o modo de Autenticação do Windows ou o Modo deAutenticação do SQL Server. Para a autenticação do SQL Server, insira onome de usuário local e a senha.

Nome do banco de dados do VMwareIdentity Manager

Insira o nome do banco de dados que você criou ao configurar o banco de dadosMySQL ou pesquise no SQL Server para selecionar o nome em uma lista, sevocê tiver renomeado o banco de dados.

SQL AlwaysON? Habilitar o SQL AlwaysON para definir MultiSubNetFailover como True noSQL Server para habilitar o failover mais rápido no SQL Server.

O recurso SQL Server AlwaysOn é uma combinação de cluster de failover eespelhamento de banco de dados/envio de logs. Ele permite várias cópias deleitura de seu banco de dados e uma única cópia para operações de leitura-gravação. Se a sua rede tiver a largura de banda para suportar o tráfego gerado,o banco de dados do VMware Identity Manager suportará o AlwaysON.

Figura 5‑2. Configuração do banco de dados com a opção SQL AlwaysOn

Clique em Avançar.

O instalador valida se o banco de dados está configurado corretamente. Se a configuração nãoestiver correta, serão exibidas mensagens de erro e a instalação não continuará. Corrija osproblemas descritos nas mensagens de erro. Consulte Confirmar que o banco de dados do MicrosoftSQL está configurado corretamente.

10 Na caixa de diálogo Conta de Serviço do VMware Identity Manager, marque a caixa de seleção sequiser executar o serviço como usuário de domínio do Windows.

Execute o serviço como usuário de domínio nos seguintes casos.

n Se você pretende conectar-se ao Active Directory (Autenticação Integrada do Windows).

n Se você planeja usar a autenticação Kerberos.


VMware, Inc. 31

n Se você planeja integrar o Horizon View ao VMware Identity Manager e deseja usar as opçõesExecutar Sincronização de Diretório ou Configurando o Servidor de Conexão 5.x.

Se você não usar uma conta de usuário de domínio, o serviço será executado como um sistemalocal.

Figura 5‑3. Configuração de conta de usuário do domínio

11 Clique em Instalar para iniciar a instalação.

12 Clique em Concluir.

O VMware Identity Server é inicializado e é exibida a URL do VMware Identity Manager para o loginno console do VMware Identity Manager a fim de concluir a configuração. Para concluir a instalaçãoagora, clique em Sim. Caso contrário, anote a URL para fazer login mais tarde.

Figura 5‑4. Informações sobre como fazer login no Console do Identity Manager

Próximo passo

Execute o Assistente de Instalação do VMware Identity Manager para concluir a configuração do serviço.


VMware, Inc. 32

Figura 5‑5. Assistente de Instalação

Usando o assistente de instalação para concluir ainstalaçãoApós a implantação do VMware Identity Manager, você usará o Assistente de Instalação para definir asenha de administrador da máquina do VMware Identity Manager, aceitar o certificado autoassinado everificar a URL do JDBC do banco de dados.

Verifique se a sua execução do Assistente de instalação está usando o nome de host totalmentequalificado. Não insira o endereço IP como o nome.

Procedimentos

1 Acesse a URL do VMware Identity Manager exibida quando você terminou a instalação. Insira onome de domínio totalmente qualificado (FQDN). Por exemplo,https://nomedohost.exemplo.com.

2 Aceite o certificado, se for solicitado a fazê-lo.

Durante a instalação, um certificado autoassinado é implantado. Você pode atualizar para umcertificado assinado após a configuração inicial.

3 Na página Iniciar, clique em Continuar.

4 Na página Definir Senhas, configure a senha de Administrador do Appliance. A senha do usuárioadministrador deve ter pelo menos 6 caracteres. Clique em Continuar.

A conta do usuário administrador é usada para gerenciar as configurações do appliance.

5 Na página Selecionar Banco de Dados, a URL do JDBC do banco de dados é exibida.

A conexão com o banco de dados está configurada e ele é inicializado.

É exibida a página A instalação foi concluída.

Próximo passo

Configure o Active Directory. Consulte Configurar conexões do Active Directory ou do diretório LDAP.


VMware, Inc. 33

Implantando a máquina do VMware Identity Manageratrás de um balanceador de cargaEm um ambiente empresarial, a configuração de máquina recomendada do VMware identity Manager éimplantar um cluster de três nós do serviço do VMware Identity Manager para a alta disponibilidade.Quando o primeiro nó do IDM estiver instalado, configurado e testado atrás do balanceador de carga, umscript será executado no primeiro nó para criar uma cópia da primeira instância. Este arquivo copiado éusado para criar os outros nós no cluster.

O diagrama de arquitetura do VMware Identity Manager demonstra como você pode implantar oambiente VMware Identity Manager.

Consulte Capítulo 1 Visão geral do VMware Identity Manager Services.

Usando um balanceador de carga ou proxy reverso parahabilitar o acesso externo ao VMware Identity ManagerDurante a implantação, a máquina do VMware Identity Manager é instalada na rede interna. Se vocêdesejar fornecer acesso ao serviço aos usuários que se conectam de redes externas, deverá instalar umbalanceador de carga ou um proxy reverso, como Apache, Nginx ou F5, no DMZ.

Se você não usar um balanceador de carga ou um proxy reverso, não poderá expandir o número demáquinas do VMware Identity Manager depois. Talvez seja necessário adicionar mais máquinas parafornecer redundância e balanceamento de carga. O diagrama a seguir mostra a arquitetura deimplantação básica que você pode usar para habilitar o acesso externo.


VMware, Inc. 34

Figura 5‑6. Proxy do balanceador de carga externo com máquinas virtuais

Balanceador de carga externoNome do host: FQDN do VMware Identity ManagerEndereço IP de exemplo: 64.x.y.zPorta: porta do VMware Identity ManagerOs cabeçalhos X-Forwarded-For devem ser ativados.

Usuários externos

Balanceador de carga internoNome do host: FQDN do VMware Identity ManagerEndereço IP de exemplo: 10..x.y.zPorta: porta do VMware Identity ManagerOs cabeçalhos X-Forwarded-For devem ser ativados.

Usuários internos

Porta 443

Porta 443

Cluster do VMwareIdentity Manager

Firewall DMZ

Especificar o FQDN do VMware Identity Manager durante aimplantaçãoDurante a implantação da máquina do VMware Identity Manager , insira o FQDN e o número da porta doVMware Identity Manager . Esses valores devem apontar para o nome do host que você deseja que osusuários finais acessem.

A máquina do VMware Identity Manager é sempre executada na porta 443. Você pode usar um númeroda porta diferente para o balanceador de carga. Se você usar um número da porta diferente, deveráespecificá-lo durante a implantação. Não utilize 8443 como o número da porta, pois esse número deporta é a porta administrativa do VMware Identity Manager e é exclusivo para cada máquina em umcluster.


VMware, Inc. 35

Definições do balanceador de carga a serem configuradasAs definições do balanceador de carga a serem configuradas incluem habilitar cabeçalhos X-Forwarded-For, definir corretamente o tempo limite do balanceador de carga e habilitar sessões fixas. Além disso, aconfiança SSL deve ser configurada entre a máquina do VMware Identity Manager e o balanceador decarga.

n Cabeçalhos X-Forwarded-For

Você deve ativar os cabeçalhos X-Forwarded-For no seu balanceador de carga. Isso determina ométodo de autenticação. Consulte a documentação fornecida pelo fornecedor do seu balanceador decarga para obter mais informações.

n Tempo limite do balanceador de carga

Para que o VMware Identity Manager funcione corretamente, talvez você precise aumentar o padrãodo tempo limite de solicitação do balanceador de carga. O valor é definido em minutos. Se aconfiguração de tempo limite for muito baixa, talvez você veja este erro: "Erro 502: o serviço estáindisponível".

n Ativar sessões fixas

Você deverá ativar a configuração de sessão fixa no balanceador de carga se sua implantação tivervárias máquinas do VMware Identity Manager. O balanceador de carga associa a sessão de umusuário a uma instância específica.

n Suporte a WebSocket

O balanceador de carga deve ter suporte ao WebSocket para habilitar canais de comunicaçãosegura entre conectores e os nós do VMware Identity Manager.

n Codificações com forward secrecy

Os requisitos da Apple iOS App Transport Security se aplicam ao aplicativo do Workspace ONE noiOS. Para permitir que os usuários usem o aplicativo do Workspace ONE no iOS, o balanceador decarga deve ter codificações com forward secrecy. As seguintes codificações atendem a esserequisito:

ECDHE_ECDSA_AES e ECDHE_RSA_AES no modo GCM ou CBC

como afirmado no documento Segurança de iOS do iOS 11:

"A App Transport Security oferece requisitos de conexão padrão para que os aplicativos adiram àspráticas recomendadas para conexões seguras ao usarem as APIS NSURLConnection, CFURL ouNSURLSession. Por padrão, a App Transport Security limita a seleção de codificação para incluirapenas os pacotes que fornecem forward secrecy, especificamente ECDHE_ECDSA_AES eECDHE_RSA_AES no modo GCM ou CBC."


VMware, Inc. 36

Aplicar o certificado raiz do VMware Identity Manager aobalanceador de cargaQuando o appliance virtual do VMware Identity Manager é configurado por trás de um balanceador decarga, você deve estabelecer a confiança SSL entre o balanceador de carga e oVMware Identity Manager. O certificado raiz do VMware Identity Manager deve ser copiado para obalanceador de carga.

O certificado raiz do VMware Identity Manager pode ser baixado da página Configurações doAppliance > Gerenciar Configuração > Instalar Certificados SSL > Certificado do Servidor noconsole de administração.

Se o FQDN do VMware Identity Manager apontar para um balanceador de carga, o certificado SSLpoderá ser aplicado somente ao balanceador de carga.

Como o balanceador de carga se comunica com o appliance virtual do VMware Identity Manager , vocêdeve copiar o certificado da CA raiz do VMware Identity Manager para o balanceador de carga como umcertificado raiz confiável.

Procedimentos

1 No console de administração, selecione a guia Configurações do Appliance e, em seguida, cliqueem Configuração da VA > Gerenciar Configuração.

2 Na caixa de diálogo exibida, insira a senha de usuário administrador.

3 Selecione Instalar Certificados SSL > Certificado do Servidor.

4 Clique no link Certificados da CA Raiz Autoassinados do Appliance.


VMware, Inc. 37

O certificado é exibido.

5 Copie tudo entre e incluindo as linhas -----BEGIN CERTIFICATE----- e -----END CERTIFICATE----, ecole o certificado raiz na localização correta em cada balanceador de carga. Consulte adocumentação fornecida pelo fornecedor do seu balanceador de carga.

Próximo passo

Copie e cole o certificado raiz do balanceador de carga no appliance doVMware Identity Managerconector.

Aplicar o certificado raiz do balanceador de carga aoVMware Identity ManagerQuando o appliance virtual do VMware Identity Manager é configurado por trás de um balanceador decarga, você deve estabelecer a confiança entre o balanceador de carga e o VMware Identity Manager.Além de copiar o certificado raiz do VMware Identity Manager para o balanceador de carga, você deverácopiar o certificado raiz do balanceador de carga para o VMware Identity Manager.


VMware, Inc. 38

Procedimentos

1 Obtenha o certificado raiz do balanceador de carga.

2 No console de administração, selecione a guia Configurações do Appliance e, em seguida, cliqueem Configuração da VA > Gerenciar Configuração.

3 Na caixa de diálogo exibida, insira a senha de usuário administrador.

4 Selecione Instalar Certificados SSL > CAs Confiáveis.

5 Cole o certificado raiz do balanceador de carga na caixa de texto Certificado Raiz ouIntermediário .

6 Clique em Adicionar.


VMware, Inc. 39

Configurando failover e redundância em um centro dedados único (Windows)Para obter failover e redundância, você pode adicionar várias máquinas do VMware Identity Manager aum cluster. Se uma das máquinas for encerrada por qualquer motivo, o VMware Identity Managercontinuará disponível.

Instale e configure o VMware Identity Manager em um Windows Server e, em seguida, execute um scriptpara criar um arquivo ENC que é uma cópia da primeira instância do VMware Identity Manager paraWindows com a mesma configuração da original.

Antes de criar uma cópia da primeira instância, você deve configurar o primeiro nó atrás de umbalanceador de carga e alterar o respectivo nome de domínio totalmente qualificado (FQDN) paracoincidir com o FQDN do balanceador de carga. Além disso, conclua a configuração do diretório noserviço do VMware Identity Manager antes de criar o arquivo ENC.

Execute oVMware Identity Manager para o Windows Installer em cada nó e importe o arquivo ENCcopiado. Você pode personalizar esses nós para alterar o nome, as configurações de rede e outraspropriedades, conforme necessário. Cada nó tem um endereço IP diferente. Esse endereço IP deveseguir as mesmas diretrizes que o endereço IP para o primeiro nó. O endereço IP deve ser resolvidopara um nome do host válido usando DNS progressivo e reverso.

Todos os nós no cluster são cópias idênticas e quase sem monitoramento de estado um do outro. Asincronização com o Active Directory e com os recursos configurados, como o Horizon, é habilitada noprimeiro nó, mas desabilitada em todos os outros nós do cluster.

Alterar o FQDN do VMware Identity Manager para o FQDN dobalanceador de cargaAntes de clonar a instância da máquina do VMware Identity Manager, você deve alterar o respectivonome de domínio totalmente qualificado (FQDN) para corresponder ao FQDN do balanceador de carga.

Pré-requisitos

n A máquina do VMware Identity Manager é adicionada a um balanceador de carga.

n Você aplicou o certificado da CA raiz do balanceador de carga ao VMware Identity Manager.

Procedimentos

1 Faça login no console de administração do VMware Identity Manager.

2 Selecione a guia Configurações do Appliance.

3 Na página Configuração do Appliance Virtual, clique em Gerenciar Configuração.

4 Insira sua senha do administrador para fazer login.

5 Clique em Configuração do Identity Manager.


VMware, Inc. 40

6 No campo FQDN do Identity Manager, altere a parte do nome do host da URL do nome do host doVMware Identity Manager para o nome do host do balanceador de carga.

Por exemplo, se o nome do host do VMware Identity Manager for meuserviço e seu nome do hostdo balanceador de carga for meubc, você alteraria a URL

https://meuserviço.exemplo.com

para o seguinte:

https://mylb.exemplo.com

7 Clique em Salvar.

n O FQDN do serviço é alterado para o FQDN do balanceador de carga.

n A URL do Provedor de Identidade é alterada para a URL do balanceador de carga.

Próximo passo

Clone o appliance virtual para o VMware Identity Manager para Linux.

Execute o script para gerar um arquivo ENC do primeiro nó para o VMware Identity Manager paraWindows.


VMware, Inc. 41

Adicionando nós para criar um cluster doVMware Identity ManagerPara criar um cluster com o serviço do VMware Identity Manager depois de instalar a primeira instânciado VMware Identity Manager, copie essa instância para criar uma imagem com a mesma configuraçãoque a original.

Ao usar vários serviços do VMware Identity Manager, três ou mais nós são necessários.

Observação O componente do VMware Identity Manager inclui o Elasticsearch, mecanismo depesquisa e análise, o qual tem uma limitação conhecida com cluster de dois nós.

Pré-requisitos

A primeira instância do VMware Identity Manager implantada e testada.

Um arquivo de configuração de cluster criado da configuração da primeira instância. Para criar o arquivode configuração do cluster da primeira instância, faça login no console de administração do IdentityManager.

1 Nas Configurações do Appliance > página Configuração do VA, clique em Gerenciar Configuração.

2 Clique em Local do Arquivo de Cluster.

3 Insira a senha a ser usada para criptografar e descriptografar o arquivo de cluster.

4 Clique em Preparar pacote de clusters. É criado um arquivo ZIP da instância do VMware IdentityManager.

5 Baixe o arquivo ZIP em um local que você possa acessar.

Procedimentos

1 Execute o VMware Identity Manager para o Windows Installer em cada máquina que está sendoconfigurada no cluster.

Execute o instalador a partir de uma conta com privilégios de administrador.

2 Na caixa de diálogo de boas-vindas, clique em Avançar.

O instalador verifica os pré-requisitos no servidor. Se o software necessário, como o .NET ou o TLS,não estiver instalado, você será solicitado a instalar o software e a reiniciar o servidor. Após areinicialização, execute o instalador do VMware Identity Manager novamente.

3 Aceite o Contrato de Licença de Usuário Final (EULA) e clique em Avançar.

4 O botão de opções Programa de aperfeiçoamento da experiência do cliente é marcado porpadrão. Desmarque o botão de opções se você não quiser que os dados sejam coletados.

A VMware coleta dados anônimos sobre sua implantação para melhorar a resposta da VMware àsnecessidades do usuário.

5 Os pré-requisitos do VMware Identity Manager são listados. O instalador verifica os módulosnecessários. Você será solicitado a instalar qualquer módulo ausente.


VMware, Inc. 42

6 Selecione o diretório no qual instalar o serviço do VMware Identity Manager.

7 Na caixa de diálogo Configuração, marque a caixa de seleção Você está ingressando em umcluster existente e navegue até o arquivo de configuração (ENC) do cluster da primeira instância.

Por padrão, o arquivo está em < INSTALL_DIR>\VMwareIdentityManager\usr\local\horizon\<filename>.enc.

8 Digite a senha de cluster criada para o arquivo ENC de configuração de cluster e clique em Avançar.

9 Clique em Instalar para iniciar a instalação.

10 Para concluir a instalação, clique em Concluir.

Todos os arquivos de configuração do VMware Identity Manager são copiados para o servidor.

Próximo passo

Adicione a máquina clonada ao balanceador de carga.

Removendo um nó de um clusterSe um nó no cluster do VMware Identity Manager não estiver funcionando corretamente e você nãoconseguir recuperá-lo, poderá removê-lo do cluster com o comando Remover Nó. O comando remove asentradas do nó do banco de dados do VMware Identity Manager.

Você pode verificar a integridade dos nós no cluster exibindo seus status no Painel de Diagnóstico doSistema. Uma mensagem O nó atual está em um estado incorreto indica que o nó não estáfuncionando corretamente.

Importante Use o comando Remover Nó com moderação. Use-o somente se um nó estiver em umestado irrecuperável e tiver de ser removido completamente da implantação doVMware Identity Manager.

Observação Você não pode usar o comando Remover Nó para remover o último nó em um cluster.

Desassociar o componente do conector dos domínios, das configurações desincronização de diretório e do provedor de identidade integradoAntes de poder remover um nó de um cluster do VMware Identity Manager, você deve garantir que ocomponente do conector do nó não esteja vinculado a qualquer domínio, não esteja sendo usado comoum conector de sincronização e não esteja associado ao provedor de identidade integrado.

Pré-requisitos

Você deve efetuar logon como administrador de tenant, ou seja, um administrador local no serviço doVMware Identity Manager. Um administrador de domínio sincronizado a partir do diretório corporativonão possui as permissões necessárias.

Procedimentos

1 Faça login no console de administração.


VMware, Inc. 43

2 Clique na guia Gerenciamento de Identidade e Acesso e, em seguida, clique em Instalar.

A página Conectores é exibida.

3 Se o componente do conector do nó estiver sendo usado como o conector de sincronização paraqualquer diretório, altere a configuração do conector de sincronização do diretório para usar outroconector.

a Na coluna Diretório Associado na página Conectores, visualize os diretórios aos quais ocomponente do conector está associado.

b Clique no link de um diretório.

c Na seção Sincronização e Autenticação de diretório da página do diretório, verifique o valorda opção Conector de Sincronização.

d Se o componente do conector estiver sendo usado como o conector de sincronização, selecioneoutro conector para a opção Conector de Sincronização e clique em Salvar.

e Repita essas etapas para todos os diretórios aos quais o componente do conector estáassociado.

4 Se o componente do conector estiver associado ao provedor de identidade integrado, remova-o doprovedor de identidade.

a Na página Conectores, na coluna Provedor de Identidade, visualize os provedores deidentidade aos quais o componente do conector está associado.

b Se o provedor de identidade integrado estiver listado, clique no link.

c Na página do provedor de identidade, na seção Conectores, clique no ícone de exclusão aolado do conector.

Próximo passo

Remova o nó do cluster.

Remover o nó do clusterDepois de desassociar o componente do conector do nó dos domínios, as configurações desincronização de diretório e o fornecedor de identidade integrado, você poderá remover o nó do cluster.

Observação Você não pode usar o comando Remover para remover o último nó em um cluster.

Pré-requisitos

n Para remover um nó, você deve efetuar logon como administrador de tenant, ou seja, umadministrador local no serviço do VMware Identity Manager. Um administrador de domíniosincronizado a partir do diretório corporativo não possui as permissões necessárias.

n Você desassociou o componente de conector do nó dos domínios, as configurações desincronização de diretório e o provedor de identidade integrado, se necessário. Consulte Desassociar o componente do conector dos domínios, das configurações de sincronização dediretório e do provedor de identidade integrado.


VMware, Inc. 44

Procedimentos

1 Encerre a máquina virtual do nó.

a Faça logon na instância do vCenter Server.

b Clique com o botão direito do mouse na máquina virtual do nó e selecione Ligar > Desligar.

2 Remova o nó do balanceador de carga.

3 No console de administração do VMware Identity Manager, remova o nó.

a Faça logon no console de administração do VMware Identity Manager como administrador local.

b Clique na seta para baixo na guia Painel e selecione Painel de Diagnóstico do Sistema.

c Localize o nó que você deseja remover.

O nó exibe o seguinte status:

O nó atual está em um estado incorreto. Deseja removê-lo?

d Clique no link Remover que é exibido ao lado da mensagem.

O nó é removido do cluster. As entradas para o nó são removidas do banco de dados doVMware Identity Manager. O nó também é removido dos clusters incorporados Elasticsearch e Ehcache.

Próximo passo

Aguarde de 5 a 15 minutos para que os clusters incorporados Elasticsearch e Ehcache se estabilizemantes de usar qualquer outro comando.

Configurar conexões do Active Directory ou do diretórioLDAPVocê integra seu diretório corporativo ao VMware Identity Manager para sincronizar com o serviço doVMware Identity Manager os usuários e os grupos a partir do seu diretório corporativo.

Os seguintes tipos de diretórios são suportados.

n Active Directory sobre LDAP

n Active Directory, Autenticação integrada do Windows

n Diretório LDAP.

Pré-requisitos

n Revise Integração do diretório com o VMware Identity Manager para obter os requisitos e aslimitações.

n Suas informações de diretório do Active Directory ou do diretório LDAP.


VMware, Inc. 45

n Quando um Active Directory de várias florestas está configurado e o grupo Domínio Local contémmembros de domínios em diferentes florestas, o usuário de DN de associação usado na página dodiretório do VMware Identity Manager deve ser adicionado ao grupo Administradores do domínio noqual o grupo Domínio Local reside. Se isso não for feito, esses membros estarão ausentes do grupolocal de domínio.

Observação É preciso configurar o serviço do VMware Identity Manager para ser executado comoo usuário de domínio do Windows para usar o Active Directory de várias florestas.

n A lista dos atributos de usuário que deseja usar como filtros, e uma lista dos grupos que desejaadicionar ao VMware Identity Manager.

Procedimentos

1 Faça login no console de administração como o usuário admin usando a senha que você definiu.

Você está conectado como um Administrador Local. A página Diretórios é exibida. Antes de adicionarum diretório, certifique-se de revisar Integração do diretório com o VMware Identity Manager paraobter os requisitos e as limitações.

2 Clique na guia Gerenciamento de Identidade e Acesso.

3 Clique em Instalar > Atributos de Usuário para selecionar os atributos de usuário a seremsincronizados com o diretório.

Os atributos padrão são listados e você pode selecionar os necessárias. Se um atributo for marcadocomo necessário, somente os usuários com esse atributo serão sincronizados com o serviço. Vocêtambém pode adicionar outros atributos.

Importante Depois que um diretório é criado, você não pode alterar um atributo para que ele sejanecessário. Você deve fazer essa seleção agora.

Observe que as configurações na página Atributos de Usuário aplicam-se a todos os diretórios noserviço. Quando você marca um atributo como necessário, considere o impacto em outros diretórios.Se um atributo for marcado como necessário, os usuários sem esse atributo não serão sincronizadoscom o serviço.

Importante Se você pretende sincronizar recursos do XenApp para o VMware Identity Manager,torne o distinguishedName um atributo obrigatório.

4 Clique em Salvar.

5 Clique na guia Gerenciamento de Identidade e Acesso.

6 Na página Diretórios, clique em Adicionar Diretório e selecione Adicionar Active Directory sobreLDAP/IWA ou Adicionar Diretório LDAP, dependendo do tipo de diretório que você estáintegrando.

Você também pode criar um diretório local no serviço. Para obter mais informações sobre como usardiretórios locais, consulte o Guia de administração do VMware Identity Manager.


VMware, Inc. 46

7 Para o Active Directory, siga estas etapas.

a Insira um nome para o diretório que você está criando no VMware Identity Manager e selecione otipo de diretório, Active Directory sobre LDAP ou Active Directory (Autenticação Integradado Windows).

b Forneça as informações de conexão.

Opção Descrição

Active Directory sobre LDAP 1 Na caixa de texto Sincronizar Conector, selecione o conector que vocêdeseja usar para sincronizar usuários e grupos do Active Directory com odiretório do VMware Identity Manager.

Um componente de conector está sempre disponível com o serviço doVMware Identity Manager por padrão. Esse conector é exibido no menususpenso. Se você instalar vários appliances doVMware Identity Manager para alta disponibilidade, o componente deconector de cada um deles será exibido na lista.

2 Na caixa de texto Autenticação, selecione Sim se quiser usar esseActive Directory para autenticar usuários.

Se você desejar usar um provedor de identidade de terceiros paraautenticar usuários, clique em Não. Depois de configurar a conexão doActive Directory para sincronizar usuários e grupos, acesse a páginaGerenciamento de Identidade e Acesso > Gerenciar > Provedores deIdentidade para adicionar o provedor de identidade de terceiros paraautenticação.

3 Na caixa de texto Atributo de Pesquisa do Diretório, selecione oatributo de conta que contém o nome de usuário.

4 Se o Active Directory usar a pesquisa Localização do serviço DNS, façaas seleções a seguir.n Na seção Local do Servidor, marque a caixa de seleção Esse

diretório suporta localização do serviço DNS.

Será criado um arquivo domain_krb.properties, preenchidoautomaticamente com uma lista de controladores de domínio, quandoo diretório for criado. Consulte "Sobre a seleção do controlador dedomínio (arquivo domain_krb.properties)" em Integração do diretóriocom o VMware Identity Manager.

n Se o Active Directory exigir criptografia STARTTLS, marque a caixade seleção Esse diretório requer que todas as conexões usemSSL na seção Certificados e copie e cole o certificado da CA raiz doActive Directory na caixa de texto Certificado SSL.

Verifique se o certificado está no formato PEM e inclui as linhas“BEGIN CERTIFICATE” e “END CERTIFICATE”.

Observação Se o Active Directory exigir STARTTLS e o certificadonão for fornecido, você não poderá criar o diretório.

5 Se o Active Directory não usar a pesquisa de Localização do ServiçoDNS, faça as seleções a seguir.n Na seção Local do Servidor, verifique se a caixa de seleção Esse

diretório suporta localização do serviço DNS está desmarcada einsira o nome do host e o número da porta do servidor do ActiveDirectory.


VMware, Inc. 47

Opção Descrição

Para configurar o diretório como um catálogo global, consulte a seçãoAmbiente do Active Directory de floresta única e de vários domíniosem "Ambientes do Active Directory" no documento Integração dodiretório com o VMware Identity Manager.

n Se o Active Directory exigir acesso por SSL, marque a caixa deseleção Esse diretório requer que todas as conexões usem SSLna seção Certificados e copie e cole o certificado da CA raiz doActive Directory na caixa de texto Certificado SSL.

Verifique se o certificado está no formato PEM e inclui as linhas“BEGIN CERTIFICATE” e “END CERTIFICATE”.

Observação Se o Active Directory exigir SSL e o certificado não forfornecido, você não poderá criar o diretório.

6 Na seção Permitir Alteração de Senha, selecione Ativar a Alteração deSenha se você desejar permitir que os usuários redefinam as própriassenhas na página de login do VMware Identity Manager caso a senhaexpire ou se o administrador do Active Directory redefinirá a senha dousuário.

7 Na caixa de texto DN Base, insira o DN do qual iniciar as pesquisas deconta. Por exemplo, OU=myUnit,DC=myCorp,DC=com.

8 Na caixa de texto DN de Associação, insira a conta que pode pesquisarpor usuários. Por exemplo,CN=binduser,OU=myUnit,DC=myCorp,DC=com.

Observação É recomendável usar uma conta de usuário DN Bind comuma senha que não expire.

9 Depois de inserir a Senha do bind, clique em Testar Conexão paraverificar se o diretório consegue se conectar ao seu Active Directory.

Active Directory (AutenticaçãoIntegrada do Windows)

1 Na caixa de texto Sincronizar Conector, selecione o conector que vocêdeseja usar para sincronizar usuários e grupos do Active Directory com odiretório do VMware Identity Manager.

Um componente de conector está sempre disponível com o serviço doVMware Identity Manager por padrão. Esse conector é exibido na listasuspensa. Se você instalar vários appliances doVMware Identity Manager para alta disponibilidade, o componente deconector de cada um deles será exibido na lista.

2 Na caixa de texto Autenticação, se você quiser usar esse ActiveDirectory para autenticar usuários, selecione Sim.

Se você desejar usar um provedor de identidade de terceiros paraautenticar usuários, clique em Não. Depois de configurar a conexão doActive Directory para sincronizar usuários e grupos, acesse a páginaGerenciamento de Identidade e Acesso > Gerenciar > Provedores deIdentidade para adicionar o provedor de identidade de terceiros paraautenticação.

3 Na caixa de texto Atributo de Pesquisa do Diretório, selecione oatributo de conta que contém o nome de usuário.

4 Se o Active Directory exigir criptografia STARTTLS, marque a caixa deseleção Esse diretório requer que todas as conexões usemSTARTTLS na seção Certificados e copie e cole o certificado da CA raizdo Active Directory na caixa de texto Certificado SSL.


VMware, Inc. 48

Opção Descrição

Verifique se o certificado está no formato PEM e inclui as linhas “BEGINCERTIFICATE” e “END CERTIFICATE”.

Se o diretório tiver vários domínios, adicione os certificados da CA raiz atodos os domínios, um por vez.

Observação Se o Active Directory exigir STARTTLS e o certificado nãofor fornecido, você não poderá criar o diretório.

5 Na seção Permitir Alteração de Senha, selecione Ativar a Alteração deSenha se você desejar permitir que os usuários redefinam as própriassenhas na página de login do VMware Identity Manager caso a senhaexpire ou se o administrador do Active Directory redefinirá a senha dousuário.

6 No campo UPN do usuário do bind, insira o Nome principal do usuárioque pode se autenticar no domínio. Por exemplo,[email protected].

Observação É recomendável usar uma conta de usuário DN Bind comuma senha que não expire.

7 Insira a senha do Usuário do DN de associação.

c Clique em Salvar e Avançar.

É exibida a página com a lista de domínios.


VMware, Inc. 49

8 Para diretórios LDAP, siga estas etapas.

a Forneça as informações de conexão.

Opção Descrição

Nome do diretório Um nome para o diretório que você está criando no VMware Identity Manager.

Sincronização e Autenticação doDiretório

1 Na caixa de texto Sincronizar Conector, selecione o conector que vocêdeseja usar para sincronizar usuários e grupos a partir de seu diretórioLDAP com o diretório do VMware Identity Manager.

Um componente de conector está sempre disponível com o serviço doVMware Identity Manager por padrão. Esse conector é exibido na listasuspensa. Se você instalar vários appliances doVMware Identity Manager para alta disponibilidade, o componente deconector de cada um deles será exibido na lista.

Você não precisa de um conector separado para um diretório LDAP. Umconector pode ser compatível com vários diretórios, independentementese eles são diretórios do Active Directory ou LDAP.

2 Na caixa de texto Autenticação, selecione Sim se quiser usar essediretório LDAP para autenticar usuários.

Se você desejar usar um provedor de identidade de terceiros paraautenticar usuários, selecione Não. Após adicionar a conexão de diretóriopara sincronizar usuários e grupos, vá para a página Gerenciamento deIdentidade e Acesso > Gerenciar > Provedores de Identidade paraadicionar o provedor de identidade de terceiros para a autenticação.

3 Na caixa de texto Atributo de Pesquisa do Diretório, especifique oatributo de diretório LDAP a ser usado para nomes de usuário. Se oatributo não estiver listado, selecione Personalizado e insira o nome doatributo. Por exemplo, cn.

Localização de Servidor Insira o número de porta e o host do servidor do Diretório LDAP. Para o hostdo servidor, você pode especificar o nome de domínio totalmente qualificadoou o endereço IP. Por exemplo, meuservidorLDAP.exemplo.com ou100.00.00.0.

Se você tiver um cluster de servidores atrás de um balanceador de carga,digite as informações do balanceador de carga.

Configuração LDAP Especifique os atributos e os filtros de pesquisa LDAP que oVMware Identity Manager pode usar para consultar seu diretório LDAP. Osvalores padrão são fornecidos com base no esquema LDAP principal.

Consultas LDAPn Obter grupos: o filtro de pesquisa para a obtenção de objetos de grupo.

Por exemplo: (objectClass=group)n Obter usuário de associação: o filtro de pesquisa para a obtenção do

objeto de usuário de associação, quer dizer, o usuário que pode associar-se ao diretório.

Por exemplo: (objectClass=person)n Obter usuário: o filtro de pesquisa para a obtenção de usuários para

sincronização.

Por exemplo:(&(objectClass=user)(objectCategory=person))

Atributos


VMware, Inc. 50

Opção Descrição

n Associação: o atributo usado em seu diretório LDAP para a definição dosmembros de um grupo.

Por exemplo: membern UUID de objeto: o atributo usado em seu diretório LDAP para a definição

do UUID de um usuário ou grupo.

Por exemplo: entryUUIDn Nome Distinto: o atributo usado em seu diretório LDAP para o nome

distinto de um usuário ou grupo.

Por exemplo: entryDN

Certificados Se o seu diretório LDAP requer acesso via SSL, selecione Esse diretóriorequer que todas as conexões usem SSL e copie e cole o certificado SSLda CA raiz do servidor do diretório LDAP. Verifique se o certificado está noformato PEM e inclui as linhas “BEGIN CERTIFICATE” e “ENDCERTIFICATE”.

Associar detalhes do usuário DN base: digite o DN do qual se deseja iniciar as pesquisas. Por exemplo,cn=users,dc=example,dc=com

DN de associação: digite o nome de usuário a ser usado para vinculação aodiretório LDAP.

Observação É recomendável usar uma conta de usuário DN Bind com umasenha que não expire.

Senha do DN de associação: digite a senha para o usuário do DN deassociação.

b Para testar a conexão com o servidor do diretório LDAP, clique em Testar Conexão.

Se a conexão não for bem-sucedida, verifique as informações que você inseriu e faça asalterações adequadas.

c Clique em Salvar e Avançar.

A página que lista o domínio é exibida.

9 Para um diretório LDAP, o domínio é listado e não pode ser modificado.

Para Active Directory sobre LDAP, os domínios são listados e não podem ser modificados.

Para o Active Directory (Autenticação Integrada do Windows), selecione os domínios que devem serassociados com esta conexão do Active Directory.

Observação Se você adicionar um domínio confiante após o diretório ser criado, o serviço nãodetecta automaticamente o domínio recém confiante. Para habilitar o serviço para detectar odomínio, o conector deve sair e, em seguida, voltar a ingressar no domínio. Quando o conectorreingressa no domínio, o domínio de confiança aparece na lista.

Clique em Avançar.


VMware, Inc. 51

10 Verifique se os nomes de atributo do VMware Identity Manager estão mapeados para os atributoscorretos do Active Directory ou do LDAP e, se necessário, faça alterações.

Importante Se você estiver integrando um diretório LDAP, deverá especificar um mapeamento parao atributo domain.

11 Clique em Avançar.

12 Selecione os grupos que você deseja sincronizar do seu diretório do Active Directory ou LDAP para odiretório do VMware Identity Manager.

Opção Descrição

Especificar os DNs de grupo Para selecionar grupos, especifique um ou mais DNs de grupo e selecione osgrupos sob eles.

a Clique em + e especifique o DN de grupo. Por exemplo,CN=users,DC=example,DC=company,DC=com.

Importante Especifique os DNs de grupo que estão sob o DN Base quevocê digitou. Se um DN de grupo estiver fora do DN Base, os usuários desseDN serão sincronizados, mas não poderão fazer login.

b Clique em Encontrar Grupos.

A coluna Grupos a Sincronizar lista o número de grupos encontrados noDN.

c Para selecionar todos os grupos no DN, clique em Selecionar Tudo; casocontrário, clique em Selecionar e selecione os grupos específicos a seremsincronizados.

Observação Se você tiver vários grupos com o mesmo nome no seudiretório LDAP, especifique nomes exclusivos para eles noVMware Identity Manager. Você pode alterar o nome ao selecionar o grupo.

Observação Quando você sincroniza um grupo, todos os usuários que nãopossuem Usuários de Domínio como grupo primário no Active Directory não sãosincronizados.

Sincronizar membros reunidos dogrupo

A opção Sincronizar membros reunidos do grupo é ativada por padrão.Quando essa opção está ativada, todos os usuários que pertencem diretamenteao grupo que você selecionar, bem como todos os usuários que pertencem aosgrupos aninhados abaixo dele, serão sincronizados. Observe que os gruposaninhados não são sincronizados; somente os usuários que pertencem aosgrupos aninhados são sincronizados. No diretório do VMware Identity Manager,esses usuários serão membros do grupo principal que você selecionou parasincronização.

Se a opção Sincronizar membros reunidos do grupo estiver desativada,quando você especificar um grupo para a sincronização, todos os usuários quepertencerem diretamente a esse grupo serão sincronizados. Os usuários quepertencem a grupos aninhados abaixo dele não são sincronizados. Desativaressa opção é útil para grandes configurações do Active Directory nas quaispassar por uma árvore de grupos exige muitos recursos e tempo. Se vocêdesativá-la, certifique-se de selecionar todos os grupos cujos usuários desejasincronizar.



VMware, Inc. 52

14 Especifique usuários adicionais para sincronizar, se necessário.

a Clique em + e insira os DNs de usuário. Por exemplo,CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.

Importante Especifique os DNs de usuário que estão sob o DN Base que você digitou. Se umDN do usuário estiver fora do DN Base, os usuários desse DN serão sincronizados, mas nãopoderão fazer login.

b (Opcional) Para excluir usuários, clique em um filtro para excluir alguns tipos de usuários.

Você seleciona o atributo do usuário a ser usado para filtragem, a regra de consulta e o valor.


16 Revise a página para ver quantos usuários e grupos serão sincronizados com o diretório e paraexibir a agenda de sincronização.

Para fazer alterações em usuários e grupos, ou na frequência de sincronização, clique nos linksEditar.

17 Clique em Sincronizar diretório para iniciar a sincronização de diretório.

Observação Se ocorrer um erro de rede e o nome do host não puder ser resolvido de forma exclusivausando o DNS reverso, o processo de configuração será interrompido. Você deverá corrigir os problemasde rede e reiniciar o appliance virtual. Em seguida, poderá continuar o processo de implantação. Asnovas configurações de rede não estarão disponíveis antes do reinício do appliance virtual.

Próximo passo

Para obter informações sobre como configurar um balanceador de carga ou uma configuração de altadisponibilidade, consulte Capítulo 4 Implantando a máquina do VMware Identity Manager atrás de umbalanceador de carga.

Você pode personalizar o catálogo de recursos para os aplicativos da sua organização e permitir oacesso do usuário a esses recursos. Você também pode configurar outros recursos, incluindo o View, oThinApp e os aplicativos baseados no Citrix. Consulte Configurando recursos no VMware IdentityManager.

Ativando a sincronização de diretório em outra instância do emcaso de falhaEm caso de uma falha da instância do serviço, a autenticação é manipulada automaticamente por umainstância clonada, conforme configurado no balanceador de carga. No entanto, para a sincronização dediretório, você precisa modificar as configurações de diretório no serviço do VMware Identity Managerpara usar uma instância clonada. A sincronização de diretório é manipulada pelo componente deconector do serviço e pode ser ativada somente em um conector por vez.

Procedimentos



VMware, Inc. 53

2 Clique na guia Gerenciamento de Identidade e Acesso e, em seguida, clique em Diretórios.

3 Clique no diretório que era associado à instância original do serviço.

Você pode exibir essas informações na página Instalar > Conectores. A página lista o componentedo conector de cada um dos appliances virtuais do serviço no seu cluster.

4 Na seção Sincronização e Autenticação do Diretório da página do diretório, no campoSincronizar Conector, selecione um dos outros conectores.

5 No campo Senha do DN do Bind, insira a senha da conta de associação do Active Directory.

6 Clique em Salvar.

Habilitando as configurações de proxy após a instalaçãoA máquina do VMware Identity Manager acessa o catálogo de aplicativos na nuvem e outros serviços daWeb na Internet. Se a sua configuração de rede fornece acesso à Internet por meio de um proxy HTTP,você deve ajustar as suas configurações de proxy na máquina do VMware Identity Manager.

Habilite seu proxy para lidar apenas com o tráfego da Internet. Para garantir que o proxy estejaconfigurado corretamente, defina o parâmetro para o tráfego interno para não proxy no domínio.

Procedimentos

1 Faça login no console de administração do VMware Identity Manager e navegue até a páginaConfigurações do Appliance > Configuração do VA.

2 Clique em Gerenciar Configuração e em Configuração de Proxy.


VMware, Inc. 54

3 Habilite Proxy.

4 Na caixa de texto Host do proxy com porta, insira o nome e a porta do proxy. Por exemplo,hostproxy.exemplo.com:3128

5 Na caixa de texto Hosts sem proxy, insira os hosts sem proxy que são acessados sem se passarpelo servidor proxy.

Use uma vírgula para separar uma lista de nomes de host.

6 Clique em Salvar.

Inserir a chave de licençaDepois de implantar o appliance do VMware Identity Manager, insira a sua chave de licença.

Procedimentos


2 Selecione a guia Configurações do Appliance e clique em Licença.

3 Na página Configurações de Licença, insira a chave de licença e clique em Salvar.


VMware, Inc. 55

Gerenciando definições deconfiguração da máquina doVMware Identity Manager 6Após a configuração inicial do VMware Identity Manager, você poderá acessar as páginas do console doadministração do VMware Identity Manager para instalar certificados, gerenciar senhas e baixar arquivosde log. Você também pode atualizar o banco de dados, alterar o FQDN do Identity Manager e configurarum servidor syslog externo.

As páginas de definições de configuração estão disponíveis na guia Configurações do Appliance noconsole do Identity Manager.

Nome da página Descrição da definição

Conexão do Banco de Dados A configuração da conexão do banco de dados, Interno ouExterno, é ativada. Você pode alterar o tipo do banco dedados. Ao selecionar Banco de Dados Externo, insira a URL, onome de usuário e a senha do banco de dados externo. Paraconfigurar um banco de dados externo, consulte Criar o bancode dados de serviço do VMware Identity Manager.

Instalar Certificados SSL Nas guias nesta página, você pode instalar um certificado SSLpara o VMware Identity Manager, baixar o certificado raizautoassinado do VMware Identity Manager e instalarcertificados raiz confiáveis. Por exemplo, se o VMware IdentityManager for configurado atrás de um balanceador de carga,você poderá instalar o certificado raiz do balanceador decarga.

Observação A guia Certificado de Passagem é usadasomente quando a autenticação de certificado é configuradano conector incorporado em um cenário de implantação doDMZ. Consulte Implantando o VMware Identity Manager noDMZ para obter informações.

Consulte Usando certificados SSL.

FQDN do Identity Manager Nessa página, você pode exibir ou alterar o FQDN doVMware Identity Manager. O FQDN doVMware Identity Manager é a URL que os usuários usam paraacessar o serviço.

Alterar Senha Nessa página, você pode alterar a senha do usuárioadministrador do VMware Identity Manager.

Configuração de proxy (VMware Identity Manager paraWindows)

Definir as configurações de proxy HTTPS

VMware, Inc. 56

Nome da página Descrição da definição

Localizações do Arquivo de Log Você pode baixar os logs em um arquivo zip. Consulte Informações de arquivo de log.

Local de arquivo de cluster (VMware Identity Manager paraWindows)

Você pode criar um arquivo criptografado da instância deconfiguração do VMware Identity Manager. Este arquivo ENCpode ser baixado e usado para criar um cluster de nós doVMware Identity Manager.

Você também pode modificar a URL do conector. Consulte Modificar a URL do conector.


n Alterar as configurações do appliance

n Usando certificados SSL

n Configurar o VMware Identity Manager para usar um banco de dados externo

n Modificar a URL do serviço do VMware Identity Manager

n Modificar a URL do conector

n Informações de arquivo de log

n Gerenciar a sua senha

n Definir as configurações de SMTP

Alterar as configurações do applianceDepois de configurar o VMware Identity Manager, você poderá acessar as páginas Configurações doAppliance para atualizar a configuração atual e monitorar as informações do sistema do appliance virtual.

Procedimentos


2 Selecione a guia Configurações do Appliance e clique em Gerenciar Configuração.

3 Faça login com a senha do administrador do serviço.

4 No painel esquerdo, selecione a página a ser exibida ou editada.

Próximo passo

Verifique se as configurações ou as atualizações que você realizou estão em vigor.

Usando certificados SSLQuando o appliance do VMware Identity Manager é instalado, um certificado do servidor SSL padrão égerado automaticamente. Você pode usar esse certificado autoassinado para testes gerais de suaimplementação. A VMware recomenda que você obtenha e instale os certificados SSL assinados poruma Autoridade de Certificação (CA) pública em seu ambiente de produção.


VMware, Inc. 57

Uma CA é uma entidade confiável que garante a identidade do certificado e de seu criador. Quando umcertificado é assinado por uma CA confiável, os usuários não receberão mais mensagens solicitando averificação do certificado.

Você pode instalar um certificado CA assinado na página Configurações do Appliance > GerenciarConfiguração > Instalar Certificados SSL > Certificados do Servidor.

Se você implantar o VMware Identity Manager com o certificado SSL autoassinado, o certificado da CAraiz deverá estar disponível como uma CA confiável para qualquer cliente que acessa o serviço doVMware Identity Manager. Os clientes podem incluir máquinas do usuário final, balanceadores de carga,proxies etc. Você pode baixar a CA raiz na página Instalar Certificados SSL > Certificados deServidor.

Instalando um certificado SSL para o serviço doVMware Identity ManagerQuando o serviço do VMware Identity Manager está instalado, um certificado do servidor SSL padrão égerado. Você pode usar esse certificado autoassinado fins de teste. No entanto, a VMware recomendaque você use os certificados SSL assinados por uma Autoridade de Certificação (CA) pública em seuambiente de produção.

Observação Se um balanceador de carga na frente do VMware Identity Manager encerrar o SSL, ocertificado SSL será aplicado ao balanceador de carga.

Pré-requisitos

n Gere uma Solicitação de Assinatura de Certificado (CSR) e obtenha um certificado SSL válido eassinado por uma autoridade de certificação. O certificado deve estar no formato PEM.

n Para a parte do Nome Comum do DN da Entidade, use o nome de domínio totalmente qualificadoque os usuários usam para acessar o serviço do VMware Identity Manager. Se o appliance doVMware Identity Manager estiver atrás de um balanceador de carga, esse será o nome do servidordo balanceador de carga.

n Se o SSL não for finalizado no balanceador de carga, o certificado SSL usado pelo serviço deveráincluir Nomes Alternativos da Entidade (SANs) para cada um dos nomes de domínio totalmentequalificados no cluster do VMware Identity Manager, para que os nós no cluster possam fazersolicitações uns aos outros. Também inclua um SAN para o nome de host do FQDN que os usuáriosusam para acessar o serviço do VMware Identity Manager, além de usá-lo para o Nome Comum,porque alguns navegadores o exigem.

Procedimentos

1 No console de administração, clique na guia Configurações do Appliance.

2 Clique em Gerenciar Configuração e insira a senha do usuário administrador.

3 Selecione Instalar Certificados SSL > Certificado do Servidor.

4 No campo Certificado SSL, selecione Certificado Personalizado.


VMware, Inc. 58

5 Na caixa de texto Cadeia de Certificados SSL, cole os certificados intermediários, de servidor e deraiz, nessa ordem.

Você deve incluir a cadeia de certificados inteira na ordem correta. Para cada certificado, copie tudoque estiver entre as linhas -----INICIAR CERTIFICADO----- e -----FINALIZAR CERTIFICADO----.

6 Na caixa de texto Chave Privada, cole a chave privada. Copie tudo entre ----INICIAR CHAVEPRIVADA RSA e ---FINALIZAR CHAVE PRIVADA RSA.


Exemplo: Exemplos de certificados

Exemplo de cadeia de certificados

-----INICIAR CERTIFICADO-----

jlQvt9WdR9Vpg3WQT5+C3HU17bUOwvhp/r0+

...

W53+O05j5xsxzDJfWr1lqBlFF/OkIYCPcyK1

-----FINALIZAR CERTIFICADO-----


WdR9Vpg3WQT5+C3HU17bUOwvhp/rjlQvt90+

...

O05j5xsxzDJfWr1lqBlFF/OkIYCPW53+cyK1



dR9Vpg3WQTjlQvt9W5+C3HU17bUOwvhp/r0+

...

5j5xsxzDJfWr1lqW53+O0BlFF/OkIYCPcyK1


Exemplo de chave privada

-----INICIAR CHAVE PRIVADA RSA-----

jlQvtg3WQT5+C3HU17bU9WdR9VpOwvhp/r0+

...

1lqBlFFW53+O05j5xsxzDJfWr/OkIYCPcyK1

-----FINALIZAR CHAVE PRIVADA RSA-----

Instalando certificados raiz confiáveisInstale os certificados raiz ou intermediários que devem ser confiáveis pelo servidor doVMware Identity Manager. O servidor do VMware Identity Manager poderá estabelecer conexõesseguras com servidores cuja cadeia de certificados inclui qualquer um desses certificados.

Se o servidor do VMware Identity Manager for configurado atrás de um balanceador de carga e o SSL forencerrado no balanceador de carga, instale o certificado raiz do balanceador de carga.


VMware, Inc. 59

Procedimentos

1 No console de administração, clique na guia Configurações do Appliance.

2 Clique em Gerenciar Configuração e insira a senha do usuário administrador.

3 Clique em Instalar Certificados de SSL e selecione a guia CAs Confiáveis.

4 Cole o certificado raiz ou intermediário na caixa de texto.

Inclua tudo entre e incluindo as linhas -----INICIAR CERTIFICADO----- e -----FINALIZARCERTIFICADO----.


Instalando um certificado de passagemA guia Certificado de Passagem é usada somente quando a autenticação de certificado é configuradano conector incorporado em um cenário de implantação do DMZ. Ela não é usada em nenhum outrocenário. Consulte Implantando o VMware Identity Manager no DMZ para obter informações.

Configurar o VMware Identity Manager para usar umbanco de dados externoDepois de criar o banco de dados do Microsoft SQL, se o banco de dados externo que você criouautomaticamente não estiver configurado no VMware Identity Manager, configure oVMware Identity Manager para usar o banco de dados na página Configurações do Appliance.

Pré-requisitos

n O banco de dados com o esquema saas criado no Microsoft SQL Server, como o servidor de bancode dados externo. Para obter informações sobre versões específicas que têm suporte noVMware Identity Manager, consulte as Matrizes de interoperabilidade entre produtos VMware.

Procedimentos

1 No console de administração, clique em Configurações do Appliance e selecione Configuraçãodo VA.

2 Clique em Gerenciar Configuração.

3 Faça login com a senha do administrador do VMware Identity Manager.

4 Na página Instalação da Conexão do Banco de Dados, selecione Banco de Dados Externo como otipo de banco de dados.


VMware, Inc. 60

http://www.vmware.com/resources/compatibility/sim/interop_matrix.php

5 Insira as informações sobre a conexão do banco de dados.

a Digite a URL do JDBC do servidor de banco de dados do Microsoft SQL.

Modo de autenticação Cadeia de caracteres de URL JDBC

Autenticação do Windows(domínio\usuário) jdbc:jtds:sqlserver://<hostname_or_IP_address:port#>/saas;integratedS

ecurity=true;domain=<domainname>;useNTLMv2=true

Autenticação do SQLServer (usuário local) jdbc:sqlserver://<hostname_or_IP_address:port#>;DatabaseName=<saasdb>

Observação Para habilitar o recurso SQL Server Always on, defina MultiSubNetFailover comoTrue no SQL. A cadeia de caracteres da URL do JDBC é

jdbc:jtds:sqlserver://<hostname_or_IP_address:port#>/saas;integratedSecurity=true;domain=<domai

nname>;useNTLMv2=true;multiSubnetFailover=true

b Insira o loginusername e a senha configurados quando você criou o banco de dados. Consulte Configurar banco de dados do Microsoft SQL usando o modo de autenticação do SQL Serverlocal

6 Clique em Testar Conexão para verificar e salvar as informações.

Próximo passo

(Opcional) Altere os privilégios de associação da função de banco de dados db_owner. Consulte Alteraras funções de nível de banco de dados.

Modificar a URL do serviço do VMware Identity ManagerVocê pode alterar a URL do serviço do VMware Identity Manager, que é a URL que os usuários usampara acessar o serviço. Por exemplo, você pode alterar a URL para uma URL do balanceador de carga.

Procedimentos


2 Clique na guia Configurações do Appliance e selecione Configuração da VA.

3 Clique em Gerenciar Configuração e faça login com a senha do usuário administrador.

4 Clique em FQDN do Identity Manager e insira a nova URL no campo FQDN do Identity Manager.

Use o formato https://FQDN:porta. A especificação de uma porta é opcional. A porta padrão é443.

Por exemplo, https://meuserviço.exemplo.com.

5 Clique em Salvar.


VMware, Inc. 61

Próximo passo

Ative a nova interface do usuário do portal.

1 Acesse https://URLdoVMwareIdentityManager/admin para acessar o console de administração.

2 No console de administração, clique na seta na guia Catálogo e selecione Configurações.

3 Selecione Nova Interface de Usuário do Portal para o Usuário Final no painel à esquerda e cliqueem Habilitar Nova Interface de Usuário do Portal.

Modificar a URL do conectorVocê pode alterar a URL do conector atualizando o nome do host do provedor de identidade no consolede administração.

Procedimentos


2 Clique na guia Gerenciamento de Identidade e Acesso e, em seguida, clique na guia Provedoresde Identidade.

3 Na página Provedores de Identidade, selecione o provedor de identidade a ser atualizado.

4 No campo Nome do Host IdP, insira o novo nome do host.

Use o formato nome do host:porta. A especificação de uma porta é opcional. A porta padrão é443.

Por exemplo, vidm.exemplo.com.

5 Clique em Salvar.

Informações de arquivo de logOs arquivos de log do VMware Identity Manager podem ajudar a depurar e solucionar problemas. Osarquivos de log listados abaixo são um ponto de partida comum. Logs adicionais podem ser encontradosno diretório de logs.

Tabela 6‑1. Arquivos de log

Componente

Localização do arquivo de logno Linux

Localização do arquivo de log noWindows Descrição

Logs doserviço doIdentityManager

/opt/vmware/horizon/workspa

ce/logs/horizon.log

<INSTALL_DIR>\opt\vmware\horiz

on\workspace\logs\horizon.log

Informações sobre a atividade noserviço, como direitos, usuários egrupos.

Logs doConfigurador


ce/logs/configurator.log


on\workspace\logs\configurator

.log

Solicita que o Configurador recebado cliente REST e da interface daWeb.


VMware, Inc. 62

Tabela 6‑1. Arquivos de log (Continuação)

Componente

Localização do arquivo de logno Linux

Localização do arquivo de log noWindows Descrição

Logs doconector


ce/logs/connector.log


on\workspace\logs\connector.lo

g

Um registro de cada solicitaçãorecebida da interface Web. Cadaentrada de log inclui também aURL, o carimbo de data/hora e asexceções da solicitação. Nenhumaação de sincronização éregistrada.

Logs doApacheTomcat


ce/logs/catalina.log


on\workspace\logs\catalina.log

O registros do Apache Tomcat demensagens que não sãoregistradas em outros arquivos delog.

Coletar informações de logDurante testes ou solução de problemas, os logs podem oferecer comentários sobre a atividade e odesempenho do appliance virtual, bem como informações sobre qualquer problema que ocorra.

Colete os logs de cada appliance no seu ambiente.

Procedimentos


2 Selecione a guia Configurações do Appliance e clique em Gerenciar Configuração.

3 Clique em Localizações do Arquivo de Log e em Preparar pacote de logs.

As informações são coletadas em um arquivo tar.gz que pode ser baixado.

4 Baixe o pacote preparado.

Próximo passo

Para coletar todos os logs, realize esse procedimento em cada appliance.

Definindo o nível de log do serviço VMware Identity Managercomo DEBUGVocê pode definir o nível de log como DEBUG para registrar informações adicionais que possam ajudara depurar problemas.

Procedimentos

1 Faça login na máquina.

2 Altere para o caminho para o diretório conf.

No Linux, vá para /usr/local/horizon/conf/.

No Windows, vá para \usr\local\horizon\conf\.


VMware, Inc. 63

3 Atualize o nível de log nos arquivos cfg-log4j.properties, hc-log4j.properties e saas-log4j.properties, que são os arquivos log4j mais comumente usados para o serviço.

a Edite o arquivo.

b Nas linhas que têm o nível de log definido como INFO, substitua INFO por DEBUG.

Por exemplo, altere:

rootLogger.level=INFO

para:

rootLogger.level=DEBUG

c Salve o arquivo.

Uma reinicialização do serviço ou do sistema não é necessária.

Gerenciar a sua senhaQuando configurou o VMware Identity Manager para Windows inicialmente, você criou senhas para ousuário administrador. Você pode alterar a senha do administrador na guia Configurações do Applianceno console do Identity Manager.

Certifique-se de criar senhas fortes. As senhas de alta segurança devem ter pelo menos oito caracterese incluir letras maiúsculas e minúsculas e pelo menos um caractere numérico ou especial.

Observação Se você não conseguir fazer login e precisar redefinir a senha, poderá usar o scripthznSetAdminPassword.bat para redefinir a senha. Consulte Redefinindo a senha do usuárioadministrador do VMware Identity Manager para Windows.

Procedimentos

1 No console do Identity Manager, clique na guia Configurações do Appliance.

2 Clique em Configuração da VA > Gerenciar Configuração.

3 Para alterar a senha de administrador, selecione Alterar Senha.

Importante A senha do usuário administrador deve ter pelo menos 6 caracteres.

4 Insira a nova senha.

5 Clique em Salvar.

Redefinindo a senha do usuário administrador doVMware Identity Manager para WindowsVocê pode alterar a senha de usuário administrador do serviço do VMware Identity Manager nas páginasde administração do conector em https://<hostnameFQDN>: 8443/cfg/login. No entanto, se você nãoconseguir fazer login e precisar redefinir a senha, poderá usar o script hznSetAdminPassword.bat pararedefinir a senha.


VMware, Inc. 64

Procedimentos

1 No Windows Server, abra a janela Prompt de Comando.

2 Navegue até a pasta <IDM_INSTALL_DIR>\usr\local\horizon\bin.

cd <IDM_INSTALL_DIR>\usr\local\horizon\bin

onde IDM_INSTALL_DIR é o diretório de instalação do serviço do VMware Identity Manager.

3 Execute o seguinte comando.

hznSetAdminPassword.bat newPassword

A senha do usuário administrador deve ter pelo menos 6 caracteres.

Definir as configurações de SMTPDefina as configurações do servidor SMTP para receber notificações por e-mail do serviço doVMware Identity Manager. Por exemplo, e-mails de notificação são enviados quando novos usuárioslocais são criados, quando uma senha é redefinida ou com o token de verificação de descobertaautomática.

Procedimentos


2 Clique na guia Configurações do Appliance e clique em SMTP.

3 Insira o nome do host do servidor SMTP.

Por exemplo: smtp.example.com

4 Insira o número da porta do servidor SMTP.

Por exemplo: 25

5 (Opcional) Se o servidor SMTP requerer autenticação, digite o nome de usuário e a senha.

6 Clique em Salvar.

7 Para personalizar o endereço do remetente nas notificações de e-mail, adicione o endereço aoarquivo runtime-config.properties.

a Faça login na máquina do VMware Identity Manager.

b Edite o arquivo /usr/local/horizon/conf/runtime-config.properties e adicione apropriedade a seguir.

notification.emails.support=emailaddress

Por exemplo:

[email protected]


VMware, Inc. 65

c Salve o arquivo.

d Reinicie a máquina.

<install dir>\usr\local\horizon\scripts\horizonService.bat restart

Isso muda o endereço do remetente de [email protected] padrão para o endereçopersonalizado.


VMware, Inc. 66

Solucionando problemas deinstalação e configuração 7Os tópicos de solução de problemas descrevem soluções para problemas potenciais que você podeencontrar ao instalar e configurar o VMware Identity Manager.


n O grupo não exibe nenhum membro após a sincronização de diretório

n Solucionando problemas no Elasticsearch

O grupo não exibe nenhum membro após a sincronizaçãode diretórioA sincronização do diretório é concluída com sucesso mas nenhum usuário é exibido nos grupossincronizados.

Problema

Após a sincronização de diretório, quer de modo automático ou manual com base na agenda desincronização, o processo de sincronização é concluído com sucesso mas nenhum usuário é exibido nosgrupos sincronizados.

Causa

Esse problema ocorre quando você tem dois ou mais nós em um cluster e há uma diferença de tempo demais de 5 segundos entre os nós.

Solução

1 Certifique-se de que não há nenhuma diferença de tempo entre os nós. use o mesmo servidor NTPpara todos os nós do cluster para sincronizar o tempo.

Por exemplo, insirahttps://community.spiceworks.com/how_to/5765-configure-windows-server-to-query-

an-external-ntp-server.

2 Reinicie o serviço em todos os nós.

<install dir>\usr\local\horizon\scripts\horizonService.bat restart

3 (Opcional) No console de administração, exclua o grupo, adicione-o novamente às configurações desincronização e sincronize o diretório novamente.

VMware, Inc. 67

Solucionando problemas no ElasticsearchUse essas informações para solucionar problemas com o Elasticsearch em um ambiente de cluster.Elasticsearch, um mecanismo de pesquisa e análise usado para auditoria, relatórios e logs desincronização de diretório, é incorporado ao appliance virtual do VMware Identity Manager.

Solucionando problemas no ElasticsearchPara verificar a integridade do Elasticsearch, você deve usar a ferramenta de curl. Se o curl não estiverinstalado na máquina Windows, você poderá consultar desde uma máquina Linux ou Mac para curlhttp://<hostname>:9200/_cluster/health?pretty O firewall deve estar habilitado à consultaexterna.

O comando deve retornar um resultado semelhante ao seguinte.

{

"cluster_name" : "horizon",

"status" : "green",

"timed_out" : false,

"number_of_nodes" : 3,

"number_of_data_nodes" : 3,

"active_primary_shards" : 20,

"active_shards" : 40,

"relocating_shards" : 0,

"initializing_shards" : 0,

"unassigned_shards" : 0,

"delayed_unassigned_shards" : 0,

"number_of_pending_tasks" : 0,

"number_of_in_flight_fetch" : 0

}

Caso o Elasticsearch não inicie corretamente ou o status esteja vermelho, siga estes passos parasolucionar o problema.

1 Certifique-se de que a porta 9300 esteja aberta.

a Atualize os detalhes do nó adicionando os endereços IP de todos os nós no cluster aoarquivo \usr\local\horizon\scripts\updateiptables.hzn.

ALL_IPS="node1IPadd node2IPadd node3IPadd"

b execute o seguinte script em todos os nós do cluster.

\usr\local\horizon\scripts\updateiptables.hzn

2 Reinicie o Elasticsearch em todos os nós do cluster.

3 Verifique os logs para obter mais detalhes.

cd /opt/vmware/elasticsearch/logs

Você pode usar o Powershell ou o NotePad++ com o Plug-in do Monitor de Documento paramonitorar os arquivos de log. No Powershell, a sintaxe é, Get-Conent myTestLog.log-Wait.


VMware, Inc. 68

Monitorando o VMware IdentityManager 8O monitoramento do VMware Identity Manager é uma parte importante para garantir que sua solução doWorkspace ONE funcione corretamente.

Você pode usar ferramentas de terceiros, como Nagios, Splunk, Symantec Altiris, Spotlight, Ignite ouMontastic. Consulte o departamento de TI da sua empresa para obter recomendações específicas sobreas ferramentas de monitoramento, caso você ainda não possua uma solução em vigor.

Este documento fornece recomendações e informações genéricas de capacidade de carga de hardwaresobre arquivos de log e endpoints de URL. Ele não abrange explicitamente como configurar uma soluçãode monitoramento.


n Recomendações de monitoramento de capacidade de carga de hardware

n Endpoints de URL do VMware Identity Manager para monitoramento

n Log do sistema

Recomendações de monitoramento de capacidade decarga de hardwareUse estes padrões de monitoramento para garantir a integridade do servidor.

Métricas a serem capturadas

Hardware Monitores

CPU Uso

Memória Uso

Disco rígido Espaço livre

Rede Uso

Alertas e limitesA VMware recomenda a análise de cada caso de uso individual para determinar os limites corretos paraambientes individuais.

VMware, Inc. 69

Hardware Alertas, amostras, limites

CPU Amostras: amostras de 5 minutos

Limite: 90% em 1 hora, 95 em 1 hora

Alertas: 90% de carga é um aviso, 95% é crítico

Memória Amostras: amostras de 5 minutos


Alertas: 90% usado é um aviso, 95% usado é crítico

Disco rígido Amostras: amostras de 5 minutos


Alertas: 90% usado é um aviso, 95% usado é crítico

Rede Amostras: amostras de 5 minutos


Alertas: 90% de carga é um aviso, 95% é crítico

Estratégias para capturan Appliance Virtual do Linux do VMware Identity Manager: usando um appliance virtual, as métricas

são capturadas pela infraestrutura virtual subjacente usando ferramentas, como vSphere ou vRealizeOperations.

n VMware Identity Manager no Windows: instale um agente de monitoramento que seja compatívelcom Windows Server e possa capturar essas métricas. Além disso, para servidores virtuais, vocêpode usar ferramentas nativas do vSphere para capturar as métricas relevantes.

Endpoints de URL do VMware Identity Manager paramonitoramentoMonitore os endpoints da URL listados para vários componentes do VMware Identity Manager paragarantir um ambiente funcional. Certos endpoints também podem ser usados para balanceadores decarga para garantir que o serviço esteja pronto para o tráfego.

Verificações de integridade para os balanceadores de carga

Componente Verificação de integridade Retorno esperado Notas

Serviço do VMware IdentityManager

/SAAS/API/1.0/REST/syste

m/health/heartbeat

Cadeia de caracteres: OK

Http: 200

Frequência a cada 30segundos.

SSO móvel do Android -Certproxy:

:5262/system/health

Http: 200 Frequência a cada 30segundos.

SSO móvel do iOS - KDC:

TCP half-open to port 88

Conexão Frequência a cada 30segundos.

VMware Identity ManagerConnector

/hc/API/1.0/REST/syste

m/health/allOk

Cadeia de caracteres: true

Http: 200



VMware, Inc. 70

Componente Verificação de integridade Retorno esperado Notas

Integration Broker /IB/API/RestServiceImpl.

svc/ibhealthcheck

Cadeia de caracteres: todasOK

Http: 200


Integração do XenApp 7.x:

/IB/API/RestServiceImpl.

svc/hznxenapp/admin/xenf

arminfo?

computerName=&xenappvers

ion=Version7x

Cadeia de caracteres:'SiteName'

Http: 200

Frequência a cada 5 minutos

Integração do XenApp 6.x:

/IB/API/RestServiceImpl.

svc/hznxenapp/admin/xenf

arminfo?

computerName=&xenappvers

ion=Version65orLater

Cadeia de caracteres:'FarmName'

Http: 200

Frequência a cada 5 minutos

As verificações de integridade para os balanceadores de carga retornam valores simples para análisefácil por equipamento de rede.

Verificações de integridade adicionais para monitoramentoAs verificações de integridade listadas aqui podem ser consumidas por soluções de monitoramento quetêm a capacidade de analisar dados e criar painéis. Defina a frequência como a cada 5 minutos.

Integridade e monitoramento de serviço do VMware Identity Manager

Chamada à URL: /SAAS/API/1.0/REST/system/health

Saída bruta:

{

"AnalyticsUrl": "https://aws-analytics.vmwareidentity.com",

"AuditPollInterval": "0",

"EncryptionServiceVersion": "unknown",

"AnalyticsConnectionOk": "true",

"EncryptionServiceVerified": "Master Keystore verified",

"FederationBrokerStatus": "ok",

"ServiceReadOnlyMode": "false",

"AuditWorkerThreadAlive": "true",

"BuildVersion": "2.8.0.0.7382 Build 2a459ff64bce76576hgjh789tyhgo876ruyv",

"AuditQueueSize": "1",

"DatabaseStatus": "connection successful",

"HostName": "svc1.servr.comp.local",

"EncryptionStatus": "connected",

"FederationBrokerOk": "true",

"EncryptionConnectionOk": "true",

"EncryptionServiceImpl": "Remote: Encryption Service DB",

"ClusterId": "38u76ghj7-54f2-4803-b73b-4g6587gjh8",

"DatabaseConnectionOk": "true",

"StatusDate": "2017-01-16 16:28:03 UTC",

"MaintenanceMode": "false",


VMware, Inc. 71

"MessagingConnectionOk": "true",

"ServiceVersion": "2.8.0.0",

"IpAddress": "192.168.211.31",

"AuditDisabled": "false",

"AllOk": "true"

}

"AllOk" "true", "false" Acumular verificação de integridade paramonitorar a integridade geral dosserviços do VMware Identity Manager

"MessagingConnectionOk" "true", "false" Verifica se todos os produtores econsumidores de mensagens estãoconectados ao RabbitMQ

"DatabaseConnectionOk" "true", "false" Verifica a conexão ao banco de dados

"EncryptionConnectionOk" "true", "false" Verifica se a conexão ao serviço decriptografia está adequada e oarmazenamento de chaves mestre estáadequado

"AnalyticsConnectionOk" "true", "false" Verifica a conexão ao serviço Analytics

"FederationBrokerOk" "true", "false" Verifica os adaptadores de autenticaçãointegrada para garantir que seussubsistemas estão adequados

Chamada à URL: /catalog-portal/services/health

Essa verificação de integridade é específica para a parte de interface de usuário do VMware IdentityManager.

Saída bruta:

{

"status": "UP",

"uiService": {

"status": "UP"

},

"apiService": {

"status": "UP"

},

"eucCacheEngine": {

"status": "UP"

},

"cacheEngineClient": {

"status": "UP"

},

"persistenceEngine": {

"status": "UP",

"database": "Microsoft SQL Server",

"hello": 1

},

"tenantPersistenceEngine": {

"status": "UP",


VMware, Inc. 72

"database": "Microsoft SQL Server",

"hello": 1

},

"diskSpace": {

"status": "UP",

"total": 8460120064,

"free": 4898279424,

"threshold": 10485760

}

}

"status" "UP", "DOWN" Acumular verificação de integridade paramonitorar a integridade geral dainterface do usuário (IU) do VMwareIdentity Manager

"uiServer.status" "UP", "DOWN" UP se o serviço principal da interface dousuário está em execução

"apiService.status" "UP", "DOWN" UP se o serviço principal da API dainterface do usuário está em execução

"eucCacheEngine.status" "UP", "DOWN" UP se o mecanismo de cluster Hazelcastestá em execução

"cacheEngineClient.status" "UP", "DOWN" UP se o cliente Hazelcast da interfacedo usuário está em execução

"persistenceEngine.status" "UP", "DOWN" UP se o banco de dados principal (SQL)está em execução

"tenantPersistenceEngine.status" "UP", "DOWN" UP se o banco de dados principal (SQL)está em execução

"diskSpace.status" "UP", "DOWN" UP se o espaço livre em disco é maiordo que o limite configurado, 10 MB

"diskSpace.free" Bytes Espaço livre em Bytes na partição naqual a interface do usuário do VMwareIdentity Manager está instalada

Integridade e monitoramento do VMware Identity Manager Connector

Chamada à URL: /hc/API/1.0/REST/system/health

Saída bruta:

{

"HorizonDaaSSyncConfigurationStatus": "",

"AppManagerServiceOk": "true",

"DomainJoinEnabled": "false",

"XenAppEnabled": "true",

"ViewSyncConfigurationStatus": "",

"ThinAppServiceOk": "true",

"ThinAppSyncConfigurationStatus": "unknown",

"Activated": "true",

"XenAppServiceOk": "false",

"DirectoryServiceStatus": "Connection test successful",


VMware, Inc. 73

"BuildVersion": "2017.1.1.0 Build 5077496",

"ThinAppServiceStatus": "unknown",

"XenAppServiceStatus": "A problem was encountered Sync Integration Broker",

"HostName": "hostname.company.local",

"NumberOfWarnAlerts": "0",

"JoinedDomain": "true",

"XenAppSyncConfigurationStatus": "Sync configured (manually)",

"DirectorySyncConfigurationStatus": "Sync configured (manually)",

"NumberOfErrorAlerts": "0",

"DirectoryServiceOk": "true",

"HorizonDaaSTenantOk": "true",

"ThinAppDirectoryPath": "",

"StatusDate": "2017-06-27 10:52:59 EDT",

"ViewSyncEnabled": "false",

"ViewServiceOk": "true",

"HorizonDaaSEnabled": "false",

"AppManagerUrl": "https://workspaceurl.com/SAAS/t/qwe12312qw/",

"HorizonDaaSServiceStatus": "unknown",

"DirectoryConnection": "ldap:///ldapcall",

"ServiceVersion": "VMware-C2-2017.1.1.0 Build 5077496",

"IpAddress": "169.118.86.105",

"DomainJoinStatus": "Domain: customerdomainname",

"AllOk": "false",

"ViewServiceStatus": "unknown",

"ThinAppEnabled": "false",

"XenAppSyncSsoBroker": "integrationbrokersso:443 / integrationbrokersync:443"

}

"AllOk" "true", "false" Acumular verificação de integridade paramonitorar a integridade geral dosServiços do VMware Identity ManagerConnector.

"ViewServiceOk" "true", "false" True, se a conexão com o Agente doView foi bem-sucedida. Esse atributoserá true se a sincronização do Viewestiver desativada.

"HorizonDaaSTenantOk" "true", "false" True, se a conexão ao Horizon Cloud foibem-sucedida. Esse atributo será true sea sincronização do Horizon Cloud estiverdesativada.

"DirectoryServiceOk" "true", "false" True, se a conexão com o diretório foibem-sucedida. Esse atributo será true sea sincronização do diretório estiverdesativada.

"XenAppServiceOk" "true", "false" True, se a conexão com o servidor doCitrix foi bem-sucedida. Esse atributoserá true se o servidor do Citrix estiverdesativado.


VMware, Inc. 74

"ThinAppServiceOk" "true", "false" True, se a conexão com o serviço dosaplicativos em pacote do ThinApp foibem-sucedida. Esse atributo será true seos aplicativos empacotados estiveremdesativados.

"AppManagerServiceOk" "true", "false" True, se pudermos autenticarcorretamente no AppManager.

"NumberOfWarnAlerts" 0 - 1000 Número de alertas de aviso disparadosneste Conector. Eles estão disponíveisno Log de Sincronização do Conectorcomo "Notas". Eles podem indicar queum recurso foi sincronizado no queincluiu um usuário ou grupo que nãoestá no VMware Identity Manager.Dependendo da configuração, isso podeser por padrão. O contador continuará aaumentar em cada sincronização atéque os alertas de Aviso e de Erro seremiguais a 1000 e um administrador limparos alertas.

"NumberOfErrorAlerts" 0 - 1000 Número de alertas de erro disparadosneste Conector. Eles estão disponíveisno Log de Sincronização do Conectorcomo "Erro". Eles podem indicar queuma sincronização falhou. O contadorcontinuará a aumentar em cadasincronização até que os alertas deAviso e de Erro serem iguais a 1000 eum administrador limpar os alertas.

Integridade e monitoramento do VMware Identity Manager Integration Broker

Chamada à URL: /IB/API/RestServiceImpl.svc/ibhealthcheck

Saída bruta:

“All Ok”

Essa verificação de integridade verifica se todos os softwares no Integration Broker estão respondendocorretamente. Ela retorna uma resposta 200 com a cadeia de caracteres "Todos OK".

Integridade e monitoramento do VMware Identity Manager Integration Broker com o Citrix XenApp7.x

Chamada àURL: /IB/API/RestServiceImpl.svc/hznxenapp/admin/xenfarminfo?computerName=&xenappversion=Version7x

Isso extrai informações de uma chamada à API para o Citrix. O monitoramento pode garantir que osvalores sejam consistentes.


VMware, Inc. 75

Saída bruta:

[{

\ “ConfigurationLoggingServiceGroupUid \ “: \ “5e2a5602 - 45a8 - 4b56 - 92e6 - 9fae5a3ff459 \ “,

\ “ConfigurationServiceGroupUid \ “: \ “620d7c6e - b7c1 - 4ee7 - b192 - d00764f477e7 \

“, \ “DelegatedAdministrationServiceGroupUid \ “: \ “0a59914d - 4b6e - 4cca - bbaa -

a095067092e3 \ “,

\ “LicenseServerName \ “: \ “xd.hs.trcint.com \ “,

\ “LicenseServerPort \ “: \ “27000 \ “,

\ “LicenseServerUri \ “: \ “https: \ / \ / xd.hs.domain.com: 8083 \ / \ “,

\ “LicensingBurnIn \ “: \ “2014.0815 \ “,

\ “LicensingBurnInDate \ “: \ “8 \ / 14 \ / 2014 5: 00: 00 PM \ “,

\ “LicensingModel \ “: \ “UserDevice \ “,

\ “MetadataMap \ “: \ “System.Collections.Generic.Dictionary `2[System.String,System.String]\“,

\“PrimaryZoneName\“:\“\”,

\“PrimaryZoneUid\“:\“00000000-0000-0000-0000-000000000000\“,

\“ProductCode\“:\“XDT\“,

\“ProductEdition\“:\“PLT\“,

\“ProductVersion\“:\“7.6\“,

\“SiteGuid\“:\“0c074098-02d2-47cf-aa87-7e3asdsad7c\“,

\“SiteName\“:\“customer\“

}]

Exceção de saída bruta:

{“ExceptionType”:“System.Management.Automation.CmdletInvocationException”,“Message”:“An invalid URL

was given for the service. The value given was ‘mit-xen751.hs.trcint.com’.\u000d\u000a The reason

given was: Failed to connect to back-end server ‘mit-xen751.hs.trcint.com’ on port 80 using binding

WSHttp. The server may be off-line or may not be running the appropriate

service\u000d\u000a\u0009There was no endpoint listening at http:\/\/mit-

xen751.hs.trcint.com\/Citrix\/ConfigurationContract\/v2 that could accept the message. This is often

caused by an incorrect address or SOAP action. See InnerException, if present, for more

details.\u000d\u000a\u0009The remote name could not be resolved: ‘mit-xen751.hs.trcint.com’.

“,”StackTrace”:” at

System.Management.Automation.Internal.PipelineProcessor.SynchronousExecuteEnumerate(Object input,

Hashtable errorResults, Boolean enumerate)\u000d\u000a at

System.Management.Automation.Internal.PipelineProcessor.SynchronousExecute(Array input, Hashtable

errorResults)\u000d\u000a at

System.Management.Automation.Runspaces.LocalPipeline.InvokeHelper()\u000d\u000a at

System.Management.Automation.Runspaces.LocalPipeline.InvokeThreadProc()“}

Integridade e monitoramento do VMware Identity Manager Integration Broker com o Citrix XenApp6.x

Chamada àURL: /IB/API/RestServiceImpl.svc/hznxenapp/admin/xenfarminfo?computerName=&xenappversion=Version65orLater

Isso extrai informações de uma chamada à API para o Citrix. O monitoramento pode garantir que osvalores sejam consistentes.


VMware, Inc. 76

Saída bruta:

“[{

\ “FarmName \ “: \ “NewFarm \ “,

\ “ServerVersion \ “: \ “6.5.0 \ “,

\ “AdministratorType \ “: \ “Full \ “,

\ “SessionCount \ “: \ “0 \ “,

\ “MachineName \ “: \ “XENAPPTEST \ “

}]”

Log do sistemaO log do serviço do VMware Identity Manager e os componentes do conector do VMware IdentityManager estão disponíveis por meio do syslog. O componente Integration Broker registra em loglocalmente. Os logs podem ser coletados e analisados no servidor ou por meio de um serviço de logcentral, como vRealize Log Insight ou Splunk.

Log do conector e do Serviço do VMware Identity ManagerLocalizações de Log

A maioria dos logs do serviço e do conector se encontram na seguinte localização:

n Appliance virtual do Linux do VMware Identity Manager: /opt/vmware/horizon/workspace/logs/

n VMware Identity Manager no Windows: \<Install_Dir>\VMware IdentityManager\opt\vmware\horizon\workspace\logs

Log Finalidade

greenbox_web.log Log que contém todas as interações de interface do usuáriopara web e dispositivos móveis

horizon.log Log do serviço do VMware Identity Manager que incluiAdaptadores de Identidade, RabbitMQ, Elasticsearch,Ehcache e outros subsistemas

connector.log Log do conector do VMware Identity Manager para todos osmétodos de autenticação e integrações com o Horizon e oCitrix

cert-proxy.log Componente CertProxy do serviço do VMware IdentityManager para SSO móvel do Android

configurator.log Solicita que o Configurador receba do cliente REST e dainterface da Web

catalina.log Registros de mensagens do Apache Tomcat que não sãoregistrados em outros arquivos de log

Log do Integration BrokerOs logs do Integration Broker se encontram na seguinte localização:


VMware, Inc. 77

C:\ProgramData\VMware\HorizonIntegrationBroker

Os logs são capturados por dia e contêm todas as chamadas à REST API feitas para e pelo IntegrationBroker.


VMware, Inc. 78

instalando e configurando o vmware identity manager para

Documents