VMware Identity Manager Уст ановка и наст ройка Windows · Установка и настройка VMware Identity Manager для Windows 5 1. Обзор VMware

Установка и настройкаVMware Identity Managerдля WindowsСентябрь 2018 г.VMware Identity Manager 3.3

Установка и настройка VMware Identity Manager для Windows

VMware, Inc. 2

Актуальная техническая документация доступна на веб-сайте VMware:

https://docs.vmware.com/ru/

Также на веб-сайте VMware доступны последние обновления продуктов.

Все замечания по данной документации можно отправлять по адресу:

[email protected]

© 2018 VMware, Inc. Все права защищены. Информация об авторских правах и товарных знаках.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware РоссияРоссия, 125284, г. Москваул. Беговая, д.3, стр.1Бизнес-центр "NORDSTAR TOWER" 30й этажТелефон: +7 495 212 29 00www.vmware.com/ru

https://docs.vmware.com/ru/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

Содержание

Установка и настройка VMware Identity Manager для Windows 5

1. Обзор VMware Identity Manager Services 6

2. Подготовка к установке VMware Identity Manager для Windows 9

Требования к конфигурации системы и сети 9

Создание DNS-записей и IP-адресов 16

Создание базы данных службы VMware Identity Manager 17

Контрольные списки развертывания 24

3. Программа улучшения качества программного обеспечения 26

4. Развертывание компьютера VMware Identity Manager , защищенного

подсистемой балансировки нагрузки 27Использование подсистемы балансировки нагрузки или обратного прокси-сервера для

обеспечения внешнего доступа к VMware Identity Manager 27

5. Настройка службы VMware Identity Manager 30

Установка VMware Identity Manager 30

Использование мастера установки для завершения установки 34

Развертывание компьютера VMware Identity Manager , защищенного подсистемой

балансировки нагрузки 35

Использование подсистемы балансировки нагрузки или обратного прокси-сервера для

обеспечения внешнего доступа к VMware Identity Manager 35

Применение корневого сертификата средства VMware Identity Manager в средстве

балансировки нагрузки 38

Применение корневого сертификата средства балансировки нагрузки в

VMware Identity Manager 39

Настройка аварийного переключения и резервирования в едином центре обработки данных

(Windows) 41

Настройка подключений каталога LDAP или Active Directory 46

Добавление разрешенных IP-адресов во внешний брандмауэр 57

Включение параметров прокси-сервера после установки 58

Ввод лицензионного ключа 59

6. Управление параметрами конфигурации VMware Identity Manager 60

Изменение параметров конфигурации устройства 61

Использование сертификатов SSL 62

VMware, Inc. 3

Настройка VMware Identity Manager для использования внешней базы данных 64

Изменение URL-адреса службы VMware Identity Manager 65

Изменение URL-адреса соединителя 66

Сведения о файле журнала 67

Управление паролем 68

Настройка параметров SMTP 69

7. Устранение неполадок при установке и настройке 71

После синхронизации каталога в группе не отображаются пользователи 71

Устранение неполадок Elasticsearch 72

8. Мониторинг VMware Identity Manager 74

Рекомендации по мониторингу максимальной мощности оборудования 74

Конечные точки URL-адресов VMware Identity Manager для мониторинга 75

Ведение системного журнала 84

Изменения объема памяти по умолчанию, выделенной для службы VMware Identity Manager 85

9. Установка ограничений скорости 87

Установка ограничений скорости в службе VMware Identity Manager 87

Установка ограничений скорости на соединителе VMware Identity Manager 91


VMware, Inc. 4

Установка и настройкаVMware Identity Manager для Windows

В разделе Установка и настройка VMware Identity Manager содержатся сведения об установке инастройке службы VMware Identity Manager на серверах Windows для локальных развертываний.После завершения установки с помощью консоли VMware Identity Manager для пользователейможно настроить управляемый вход с разных устройств в приложения организации, в том числевеб-приложения, приложения и настольные компьютеры Horizon, а также опубликованные ресурсыCitrix. В руководстве также объясняется, как настроить развертывание для обеспечения высокойдоступности.

Целевая аудиторияЭта информация предназначена для администраторов VMware Identity Manager. Эта информацияпредназначена для опытных администраторов систем Windows и Linux, знакомых с технологиямиVMware (в частности, vCenter™, ESX™ и vSphere®) и принципами организации сети, умеющихработать с серверами Active Directory, базами данных, серверами SMTP и NTP, а также умеющихвыполнять процедуры резервного копирования и восстановления. Если планируется внедрять этикомпоненты, пригодятся также знания о других технологиях, таких как RSA SecurID.

VMware, Inc. 5

ОбзорVMware Identity ManagerServices 1VMware Identity Manager является компонентом управления учетными данными и доступом вWorkspace ONE. Наряду с Workspace ONE UEM и VMware Horizon VMware Identity Manager можетразвернуть каталог универсальных приложений, который включает в себя веб-приложения, а такжесобственные и виртуальные приложения.

VMware Identity Manager также имеет решающее значение для развертывания единого входа (SSO)для мобильных устройств и проверяет условный доступ, включающий в себя управлениеустройствами и проверки соответствия. Приложение VMware Identity Manager доступно в общеймодели SaaS и моделях локального развертывания.

В данном руководстве описывается развертывание VMware Identity Manager для Windows влокальной среде, включая конфигурации обеспечения высокой доступности и подсистемыбалансировки нагрузки. Рекомендации по использованию шаблонов развертывания и процедураизменения размера базы данных, соединителя и серверов VMware Identity Manager в зависимостиот размера организации описаны в главе Подготовка к установке VMware Identity Manager.

На рисунке модели развертывания VMware Identity Manager для Windows показан шаблонразвертывания для Workspace ONE. Службы устройства Workspace ONE UEM иVMware Identity Manager развернуты в демилитаризованной зоне, где устройства могут открыватьслужбы напрямую. Выполняется развертывание службы VMware Horizon во внутренней сети.

VMware, Inc. 6

Рис. 1‑1. Модель развертывания VMware Identity Manager для Windows

Сервер VMware Identity Manager

СерверAirWatch

Active Directory и

другие службыкаталогов

СерверHorizon

Соединители

Локальная

РазвертываниеWorkspace ONE

ДМЗ

Корпоративная сеть

На рисунке схемы архитектуры VMware Identity Manager для типовых развертываний показанаподробная схема с конфигурацией подсистемы балансировки нагрузки, необходимой длякластерного узла VMware Identity Manager.


VMware, Inc. 7

Рис. 1‑2. Схема архитектуры VMware Identity Manager для типовых развертываний

Внешние устройстваHTTP(s) 80/88/443

и iOS

Порт 443/88Порт 443/88/5262

Порт 443

Порт 443

Порт 80

8 ГбайтПодсистема балансировки

нагрузки

Identity Manager

Identity ManagerСервер базы данных

EnterpriseConnector

Администраторы

RSA/DNS/DC53/88/464/135/5500

LDAP 389/636/3268/3269

Порт 80

Порт 443

AD/LDAP

Сервер SMTP

Центр сертификации организации

Workspace OneIntelligence Connector

Внутренние устройства

Внешний брандмауэр

Подсистема балансировки

нагрузки

Подсистема балансировки

нагрузкиВнутреннийбрандмауэр

ДМЗ

Внутренняя сеть

HTTP(s) 80/443

Порт 443/88/5262

Порт 1443

Порт 1443

Порт 8443

Порт 443

4 ядра 100 Гбайт

40 ГбайтБД 12 ядра 300 Гбайт

12 Гбайт 6 ядер 100 Гбайт

8 Гбайт 1 ядро 50 Гбайт

Интернет


VMware, Inc. 8

Подготовка к установкеVMware Identity Manager дляWindows 2Службу VMware Identity Manager можно установить на новый автономный сервер или в кластер,содержащий не менее трех узлов.

В этом разделе рассматривается развертывание в целом, в том числе подход к интеграцииресурсов, выбор момента для принятия решений об оборудовании, ресурсах и требования к сети.

В эту главу входят следующие разделы:

n Требования к конфигурации системы и сети

n Создание DNS-записей и IP-адресов

n Создание базы данных службы VMware Identity Manager

n Контрольные списки развертывания

Требования к конфигурации системы и сетиВ этом разделе рассматривается развертывание в целом, в том числе подход к интеграцииресурсов, выбор момента для принятия решений об оборудовании, ресурсах и требования к сети.

Требования к размерам оборудованияУбедитесь, что соблюдены требования к оборудованию для установок VMware Identity Manager вОС Windows.

Числопользователей До 1 000 1 000–10 000 10 000–25 000 25 000–50 000 50 000–100 000

Число серверовVMware IdentityManager

1 сервер 3 сервера сбалансировкойнагрузки

3 сервера сбалансировкойнагрузки



Числопроцессоров (насервер)

2 процессора 2 процессора 4 процессора 8 процессоров 8 процессоров

ОЗУ (на сервер) 6 Гбайт 6 Гбайт 8 Гбайт 16 Гбайт 32 Гбайт

Пространство надиске (на сервер)

60 Гбайт 100 Гбайт 100 Гбайт 100 Гбайт 100 Гбайт

VMware, Inc. 9

При установке дополнительных автономных соединителей необходимо убедиться в том, чтособлюдены следующие требования.


Число серверовсоединителей

1 сервер 2 сервера сбалансировкойнагрузки




Числопроцессоров (насервер)

2 процессора 4 процессора 4 процессора 4 процессора 4 процессора

ОЗУ (на сервер) 6 Гбайт 6 Гбайт 8 Гбайт 16 Гбайт 16 Гбайт

Пространство надиске (на сервер)


Требования к программному обеспечению для установки WindowsУбедитесь, что сервер Windows VMware Identity Manager отвечает следующим требованиям кпрограммному обеспечению.

Требования Примечания

Поддерживаемые версии Windows Servern Windows Server 2008 R2n Windows Server 2012 R2n Windows Server 2016

PowerShell 4.0 или более поздней версии Модуль Active Directory для PowerShell(RSAT AD PowerShell)

Установленная среда JRE 1.8 Установщик VMware Identity Manager устанавливаетпоследнюю версию, если она не была установлена передразвертыванием.

Если установлена среда JRE более ранней версии,установщик автоматически обновляет версию, но неудаляет существующую среду JRE. Необходимо вручнуюудалить более ранние версии.

Сервер RabbitMQ Установщик VMware Identity Manager устанавливает серверRabbitMQ, если он не был установлен передразвертыванием.

Erlang Установщик VMware Identity Manager устанавливает языкErlang, если он не был установлен перед развертыванием.

Требования к базе данныхНастройте параметры VMware Identity Manager для хранения и сортировки данных серверов вовнешней базе данных Microsoft SQL.


VMware, Inc. 10

Дополнительные сведения о поддерживаемых версиях баз данных Microsoft SQL и конфигурацияхпакетов обновления см. в таблицах совместимости продуктов VMware по адресу https://www.vmware.com/resources/compatibility/sim/interop_matrix.php.

К внешней базе данных SQL Server предъявляются следующие требования. Точныехарактеристики, необходимые для SQL Server, зависят от размера и требований к развертыванию.


Процессор 2 процессора 2 процессора 4 процессора 8 процессоров 8 процессоров

ОЗУ 4 Гбайт 4 Гбайт 8 Гбайт 16 Гбайт 32 Гбайт

Дисковоепространство


Возможность SQL Server AlwaysOn представляет собой комбинацию отказоустойчивойкластеризации и зеркального копирования базы данных в сочетании с переносом журналов дляобеспечения высокой доступности. AlwaysON позволяет использовать несколько копий базыданных для чтения и одну копию для операций чтения-записи. Если в среде развертыванияиспользуется пропускная способность для поддержки созданного трафика, в базе данныхVMware Identity Manager поддерживается возможность AlwaysON.

Требования к конфигурации сетиКомпонент Минимальные требования

DNS-запись и IP-адрес IP-адрес и DNS-запись

В VMware Identity Manager во время установки используется hostname.domainnameили hostname.workgroupname. Эти имена должны быть заданы в соответствии сDNS-именем сервера.

Порт брандмауэра Убедитесь, что порт 443 брандмауэра входящего трафика открыт дляподключения пользователей за пределами сети к экземпляру средстваVMware Identity Manager или средству балансировки нагрузки.

Обратный прокси-сервер Разверните обратный прокси-сервер, например Access Policy Manager от F5, вдемилитаризованной зоне, чтобы разрешить пользователям получать безопасныйудаленный доступ к порталу пользователей VMware Identity Manager.

VMware Unified Access Gateway 2.8 поддерживает технологию обратного прокси-сервера, благодаря которой пользователи могут получить безопасный удаленныйдоступ к единому каталогу VMware Identity Manager. Unified Access Gateway можноразвернуть в демилитаризованной зоне, расположенной за средствамибалансировки нагрузки, которые являются внешними по отношению к устройствуVMware Identity Manager.


VMware, Inc. 11

https://www.vmware.com/resources/compatibility/sim/interop_matrix.php

Требования к портамЗдесь описаны порты, используемые в конфигурации сервера. Развертывание может включать всебя только часть этих портов. Пример:

n Для синхронизации пользователей и групп из Active Directory VMware Identity Managerнеобходимо подключиться к Active Directory.

Порт Протокол Источник Место назначения Описание

443 HTTPS Средство балансировкинагрузки

Компьютер VMware IdentityManager

443 HTTPS Компьютер VMware IdentityManager

Средство балансировки нагрузки Требуется дляпроверки полногодоменного имениподсистемыбалансировкинагрузки, еслизадано.

443, 8443 HTTPS/HTTP



Для всехэкземпляровVMware Identity Manager в одномкластере и внесколькихкластерах,охватывающихнесколько ЦОД.

443 HTTPS Браузеры Компьютер VMware IdentityManager


discovery.awmdm.com Доступ к средствуавтоматическогообнаруженияприложенийWorkspace ONE


catalog.vmwareidentity.com Доступ к каталогуоблачных служб

8443 HTTPS Браузеры Компьютер VMware IdentityManager

Портадминистратора

25 SMTP Компьютер VMware IdentityManager

SMTP Порт для передачиисходящей почты

389

636

3268

3269

LDAP

LDAPS

MSFT-GC

MSFT-GC-SSL


Active Directory Здесь приведенызначения поумолчанию. Этипортынастраиваются.


VMware, Inc. 12


5500 UDP Компьютер VMware IdentityManager

Система RSA SecurID Отображаетсязначение поумолчанию. Этотпорт настраивается.

53 TCP/UDP Компьютер VMware IdentityManager

Сервер DNS Для каждоговиртуальногоустройства долженбыть настроендоступ к серверуDNS через порт 53и разрешенвходящий SSH-трафик черезпорт 22

88, 464,135, 445

TCP/UDP Компьютер VMware IdentityManager

Контроллер домена

9300 TCP Компьютер VMware IdentityManager


Используется длязадач аудита

54328 UDP



Кэш Hazelcast

40002

40003

TCP Компьютер VMware IdentityManager


Ehcache


База данных По умолчанию дляMicrosoft SQLиспользуетсяпорт 1433.

443 Компьютер VMware IdentityManager

Сервер View Доступ к серверуView

80, 443 TCP Компьютер VMware IdentityManager

Сервер Integration Broker Подключение кIntegration Broker.Параметр портазависит от того,установлен лисертификат насервере IntegrationBroker.


AirWatch REST API Для проверкисоответствияустройстватребованиям ипроверкиподлинности спомощью пароляAirWatch CloudConnector (прииспользовании).


VMware, Inc. 13


88 UDP Unified Access Gateway Компьютер VMware IdentityManager

UDP-порт дляоткрытия спомощью единоговхода длямобильныхустройств

5262 TCP Мобильное устройство Android Прокси-служба HTTPS в AirWatch Клиент AirWatchTunnel направляеттрафик на прокси-сервер HTTPS дляустройств Android.

88 UDP Мобильное устройство iOS Компьютер VMware IdentityManager

Порт используетсядля передачиданных службойKerberos междуустройствами iOS иоблачной службойKDC.

443 HTTPS/TCP


сервер syslog UDP

Для внешнегосервера syslog,если настроено


Сервер гибридного варианта KDCв облаке. Имя узла —kdc.<область>. Например,kdc.op.vmwareidentity.com.

UDP-портиспользуется дляхранящихся воблачной службеKDC обновленийконфигурацииадаптера проверкиподлинности спомощью единоговхода длямобильныхустройств iOS. Этотпорт используетсятолько в томслучае, еслиприменяетсяединый вход длямобильныхустройств iOS(гибридный вариантKDC).


VMware, Inc. 14

Поддерживаемые каталогиНеобходимо интегрировать корпоративный каталог с VMware Identity Manager и синхронизироватьпользователей и группы из корпоративного каталога со службой.

n Среда Active Directory может состоять из одного домена Active Directory, нескольких доменов водном лесу Active Directory или нескольких доменов в нескольких лесах Active Directory.

VMware Identity Manager поддерживает Active Directory в Windows 2008, 2008 R2, 2012, 2012 R2и 2016. На функциональном уровне домена и леса поддерживается Windows 2003 и болееновые версии этой ОС.

Примечание Для некоторых компонентов может потребоваться более высокийфункциональный уровень. Например, чтобы разрешить пользователям изменять пароли ActiveDirectory из Workspace ONE, на функциональном уровне домена должна поддерживаться ОСWindows 2008 или более поздние версии.

Поддерживаемые веб-браузеры для доступа к консолиVMware Identity ManagerКонсоль VMware Identity Manager представляет собой веб-приложение, которое используется дляуправления арендатором. Доступ к консоли VMware Identity Manager можно получить с помощьюпоследних версий Mozilla Firefox, Google Chrome, Safari, Microsoft Edge и Internet Explorer 11.

Примечание В Internet Explorer 11 должны быть включены JavaScript и использование файловcookie для проверки подлинности с помощью VMware Identity Manager.

Поддерживаемые браузеры для доступа к порталу Workspace ONEКонечные пользователи могут получить доступ к порталу Workspace ONE с помощью следующихбраузеров.

n Mozilla Firefox (новейшая версия)

n Google Chrome (новейшая версия)

n Safari (новейшая версия)

n Internet Explorer 11

n Microsoft Edge

n Google Chrome и встроенный браузер на устройствах с Android

n Safari на устройствах с iOS.

Примечание В Internet Explorer 11 должны быть включены JavaScript и использование файловcookie для проверки подлинности с помощью VMware Identity Manager.


VMware, Inc. 15

Создание DNS-записей и IP-адресовDNS-запись и статический IP-адрес должны быть доступными для виртуального устройствасредства «» VMware Identity Manager. Так как администрирование DNS-записями и IP-адресами вразных компаниях осуществляется по-разному, перед началом установки необходимо отправитьзапрос на получение DNS-записи и IP-адресов, которые нужно использовать.

Настройка обратного просмотра необязательна. При реализации обратного просмотра необходимоопределить на сервере DNS запись PTR. Это позволит виртуальным устройствам использоватьправильные настройки сети.

Обратившись к администратору сети, можно использовать следующие образцы DNS-записей.Замените эти образцы сведениями из вашей среды. В этом примере показана DNS-запись и IP-адрес для перенаправления.

Таблица 2‑1. Пример DNS-записи и IP-адреса для перенаправления

Доменное имя Тип ресурса IP-адрес

myidentitymanager.example.com A 10.28.128.3

В этом примере показана DNS-запись и IP-адрес для обратного перенаправления.

Таблица 2‑2. Пример DNS-записи и IP-адреса для обратного перенаправления

IP-адрес Тип ресурса Имя узла

10.28.128.3 PTR myidentitymanager.example.com

После настройки DNS убедитесь, что обратный просмотр DNS настроен правильно. Например, спомощью команды виртуального устройства host IPaddress можно выполнить поиск имени всистеме DNS.

Планирование проверки подлинности KerberosЕсли планируется настройка проверки подлинности Kerberos, обратите внимание на следующиетребования.

n Если используется встроенный соединитель для проверки подлинности Kerberos в VMwareIdentity Manager, имя узла VMware Identity Manager должно соответствовать домену ActiveDirectory, к которому присоединяется VMware Identity Manager. Например, для домена ActiveDirectory sales.example.com имя узла VMware Identity Manager должно иметь видvidmhost.sales.example.com.

Если невозможно назначить имя узла, которое соответствует структуре доменов ActiveDirectory, необходимо вручную настроить VMware Identity Manager и Active Directory.Дополнительные сведения см. в базе знаний.


VMware, Inc. 16

n Если для проверки подлинности Kerberos используются внешние соединители, имя узласоединителя должно соответствовать домену Active Directory, к которому присоединяетсясоединитель. Например, если доменом Active Directory является sales.example.com, имя узласоединителя должно быть connectorhost.sales.example.com.

Если невозможно назначить имя узла, которое соответствует структуре доменов ActiveDirectory, необходимо вручную настроить соединитель и Active Directory. Дополнительныесведения см. в базе знаний.

Использование сервера DNS на базе ОС Linux или UnixЕсли используется сервер DNS на базе ОС Linux или Unix и планируется присоединение средства«» VMware Identity Manager к домену Active Directory, для каждого контроллера доменаActive Directory необходимо создать соответствующие записи расположения службы (SRV).

Примечание При наличии подсистемы балансировки нагрузки с виртуальным IP-адресом (VIP)перед DNS-серверами следует учитывать, что VMware Identity Manager не поддерживаетиспользование VIP. При необходимости можно указать несколько DNS-серверов через запятую.

Создание базы данных службы VMware Identity ManagerДля службы VMware Identity Manager требуется внешняя база данных Microsoft SQL Server, чтобыхранить и упорядочивать данные сервера. Перед установкой VMware Identity Managerадминистратору баз данных необходимо подготовить пустую базу данных сMicrosoft SQL Server исхему.

При подключении к Microsoft SQL Server введите имя экземпляра, к которому необходимоподключиться, и режим проверки подлинности. Вы можете выбрать режим проверки подлинностиWindows и указать домен и имя пользователя или режим проверки подлинности SQL Server, иуказать имя локального пользователя и пароль.

Подключитесь к внешней базе данных при запуске мастера установки VMware Identity Manager.Можно также перейти на страницу «Установка подключения к базе данных» («Настройкиустройства» > «Конфигурация виртуального устройства»), чтобы настроить подключение квнешней базе данных.

Можно использовать Microsoft SQL Server для создания среды базы данных с высокойдоступности.

Предварительные требования к серверу базы данныхПеред настройкой базы данных Microsoft SQL убедитесь, что для развертывания выполняютсянеобходимые требования к оборудованию и программному обеспечению.

Чтобы изменить размер серверов надлежащим образом, ознакомьтесь с руководством порекомендуемой архитектуре VMware Workspace ONE UEM для получения информации о размереоборудования и других технических сведений и убедитесь, что базу данных можно настроитьнадлежащим образом.


VMware, Inc. 17

https://docs.vmware.com/ru/VMware-Workspace-ONE-UEM/9.6/vmware-airwatch-guides-96/GUID-AW96-Architecture.html

https://docs.vmware.com/ru/VMware-Workspace-ONE-UEM/9.6/vmware-airwatch-guides-96/GUID-AW96-Architecture.html

Требования к программному обеспечению SQL Servern SQL Server 2012, SQL Server 2014 или SQL Server 2016 с клиентскими средствами (SQL

Management Studio, службами отчетов, службами интеграции, агентом SQL Server, последнимипакетами обновления). Убедитесь, что для SQL Server используется 64-разрядная версия(операционной системы и SQL Server). Поддерживаются только версии Standard и Enterprise.

n Для запуска установщика базы данных требуется .NET 4.6.2. Чтобы не устанавливать .NET насервере базы данных, запустите установщик базы данных с другого сервераWorkspace ONE UEM или перейдите на сервер, где может быть установлено программноеобеспечение .NET.

n Убедитесь, что для типа запуска службы Windows агента SQL Server установлено значение«Автоматически» или «Автоматически (отложенный запуск)». Если задано значение«Вручную», службу Windows агента SQL Server необходимо запустить вручную передустановкой базы данных.

Включен протокол TCP/IPИспользуйте протокол TCP/IP для подключения к базе данных и отключения именованных каналов.В диспетчере конфигурации SQL Server перейдите на страницу «Сетевая конфигурацияSQL Server» и выберите протоколы для MSSQLSERVER.

Настройка базы данных Microsoft SQL в режиме проверки подлинностиWindowsЧтобы использовать базу данных Microsoft SQL для VMware Identity Manager, необходимо создатьновую базу данных на сервере Microsoft SQL. Во время установки необходимо выбрать режимпроверки подлинности базы данных. Если выбрать проверку подлинности Windows при созданиибазы данных, необходимо будет ввести имя пользователя и домен. Имя пользователя и доменвводятся как domain\username.

Выполняя команды Microsoft SQL, вы создаете базу данных на сервере Microsoft SQL, вводите ееимя, добавляете учетные данные пользователя для входа в систему и создаете схему. Имясхемы — saas.

Примечание Параметр сортировки по умолчанию чувствителен к регистру.

Необходимые условия

n Поддерживаемая версия сервера Microsoft SQL установлена в качестве сервера внешней базыданных.

n Средство балансировки нагрузки настроено.

n В качестве режима проверки подлинности выбрана проверка подлинности Windows.


VMware, Inc. 18

n Права администратора для доступа и создания компонентов базы данных с помощьюMicrosoft SQL Server Management Studio или из другого клиента интерфейса командной строкиMicrosoft SQL Server.

Процедура

1. Войдите в сеанс Microsoft SQL Management Server Studio в качестве sysadmin или с учетнойзаписью пользователя с привилегиями sysadmin.

Откроется окно редактора.

2. На панели инструментов щелкните Создать запрос.

3. Чтобы создать базу данных со схемой по умолчанию с именем saas, введите следующиекоманды в окно редактора:

/*

Values within angle brackets (< >) are example values. When replacing the example value,

remove the angle brackets. The database name is case sensitive. Make sure you enter the database

name the same in all instances.

*/

CREATE DATABASE <saasdb>

COLLATE Latin1_General_CS_AS;

ALTER DATABASE <saasdb> SET READ_COMMITTED_SNAPSHOT ON;

GO

IF NOT EXISTS

(SELECT name

FROM master.sys.server_principals

WHERE name=N'<domain\username>')

BEGIN

CREATE LOGIN [<domain\username>] FROM WINDOWS;

END

GO

USE <saasdb>;

IF EXISTS (SELECT * FROM sys.database_principals WHERE name=N'<домен\имя_пользователя>')DROP USER [<домен\имя_пользователя>]GO

CREATE USER [<домен\имя_пользователя>] FOR LOGIN [<домен\имя_пользователя>] WITH DEFAULT_SCHEMA=saas;

GO

CREATE SCHEMA saas AUTHORIZATION "<домен\имя_пользователя>"GRANT ALL ON DATABASE::<saasdb> TO "<домен\имя_пользователя>";GO

ALTER ROLE db_owner ADD MEMBER "<домен\имя_пользователя>";GO


VMware, Inc. 19

4. На панели инструментов щелкните !Выполнить.

Теперь сервер базы данных Microsoft SQL готов для подключения к базе данныхVMware Identity Manager.

Роль сервера, используемая для предоставления привилегий безопасности на сервере —public. Роль пользователя базы данных — db_owner. Не устанавливайте другие роли.

При установке VMware Identity Manager для Windows выберите этот экземпляр сервера базыданных для подключения. После установки URL-адрес JDBC, а также имя пользователя и пароль,созданные для базы данных, будут настроены на странице «Установка подключения к базеданных» на сервере VMware Identity Manager. См. Настройка VMware Identity Manager дляиспользования внешней базы данных.

Настройка базы данных Microsoft SQL в режиме проверки подлинностилокального SQL ServerЧтобы использовать базу данных Microsoft SQL для VMware Identity Manager, необходимо создатьновую базу данных на сервере Microsoft SQL. Во время установки необходимо выбрать режимпроверки подлинности базы данных. Если выбрать проверку подлинности SQL Server при созданиибазы данных, необходимо будет ввести имя локального пользователя и домен.

Выполняя команды Microsoft SQL, вы создаете базу данных на сервере Microsoft SQL, вводите ееимя, добавляете учетные данные пользователя для входа в систему и создаете схему. Имясхемы — saas.

Примечание Параметр сортировки базы данных по умолчанию чувствителен к регистру.


n Поддерживаемая версия сервера Microsoft SQL установлена в качестве сервера внешней базыданных.

n Средство балансировки нагрузки настроено.

n В качестве режима проверки подлинности выбрана проверка подлинности SQL Server.

n Права администратора для доступа и создания компонентов базы данных с помощьюMicrosoft SQL Server Management Studio или из другого клиента интерфейса командной строкиMicrosoft SQL Server.

Процедура

1. Войдите в сеанс Microsoft SQL Management Server Studio в качестве sysadmin или с учетнойзаписью пользователя с привилегиями sysadmin.




VMware, Inc. 20

3. Чтобы создать базу данных со схемой по умолчанию с именем saas, введите следующиекоманды в окно редактора:

/*

Values within angle brackets (< >) are example values. When replacing the example value,

remove the angle brackets. The database name is case sensitive. Make sure you enter the database

name the same in all instances.

*/

CREATE DATABASE <saasdb>

COLLATE Latin1_General_CS_AS;

ALTER DATABASE <saasdb> SET READ_COMMITTED_SNAPSHOT ON;

GO

BEGIN

CREATE LOGIN <loginusername> WITH PASSWORD = N'<password>';

END

GO

USE <saasdb>;

IF EXISTS (SELECT * FROM sys.database_principals WHERE name=N'<loginusername>')

DROP USER [<loginusername>]

GO

CREATE USER [<loginusername>] FOR LOGIN [<loginusername>]

WITH DEFAULT_SCHEMA=saas;

GO

CREATE SCHEMA saas AUTHORIZATION <loginusername>

GRANT ALL ON DATABASE::<saasdb> TO <loginusername>;

GO

ALTER ROLE [db_owner] ADD MEMBER <loginusername>;

GO


Теперь сервер базы данных Microsoft SQL готов для подключения к базе данныхVMware Identity Manager.

Роль сервера, используемая для предоставления привилегий безопасности на сервере —public. Роль пользователя базы данных — db_owner. Не устанавливайте другие роли.

При установке VMware Identity Manager для Windows выберите этот экземпляр сервера базыданных для подключения. После установки URL-адрес JDBC, а также имя пользователя и пароль,созданные для базы данных, будут настроены на странице «Установка подключения к базеданных» на сервере VMware Identity Manager. См. Настройка VMware Identity Manager дляиспользования внешней базы данных.


VMware, Inc. 21

Подтверждение правильной настройки база данных Microsoft SQLЧтобы убедиться, что база данных Microsoft SQL правильно настроен для работы сVMware Identity Manager, после настройки базы данных выполняется следующий сценарийпроверки.


Для службы VMware Identity Manager создается база данных Microsoft SQL.

Процедура

1. Войдите в сеанс Microsoft SQL Server Management Studio, используя имя пользователя<saasdb> и пароль, который был задан в сценарии, используемом для создания базы данных.



3. Выполните следующие команды. Измените команды при необходимости.

execute as user = 'domain\username'

/* Check if user is db owner. Return true */

SELECT IS_ROLEMEMBER('db_owner') as isRoleMember

/* Make sure user is not sysadmin. Should return false */

SELECT IS_SRVROLEMEMBER('sysadmin') as isSysAdmin

/* check if saas schema exists, should be not null */

SELECT SCHEMA_ID('saas') as schemaId

/* check schema owner, should be user provided to installer */

SELECT SCHEMA_OWNER FROM INFORMATION_SCHEMA.SCHEMATA where SCHEMA_NAME='saas'

/* check if saas is user default schema, should return saas */

SELECT SCHEMA_NAME() as SchemaName

/* check db collation, should return Latin1_General_CS_AS */

SELECT DATABASEPROPERTYEX('<saasdb>', 'Collation') AS Collation

/* check if read committed snapshot is on, should return true */

SELECT is_read_committed_snapshot_on FROM sys.databases WHERE name='<saasdb>'


Если конфигурация является неправильной, отображаются сообщения об ошибках. Преждечем продолжить настройку службы VMware Identity Manager для использования внешней базыданных Microsoft SQL, устраните проблемы, описанные в сообщения об ошибках.


VMware, Inc. 22

Изменение ролей на уровне базы данныхЕсли схема saas используется для создания базы данных Microsoft SQL для службыVMware Identity Manager, роль пользователя базы данных предоставляется роли db_owner.Пользователи исправленной роли базы данных db_owner могут выполнять все действия понастройке и обслуживанию в базе данных.

После установки и настройки базы данных в службе VMware Identity Manager можно отозватьдоступ у db_owner и добавить db_datareader и db_datawriter в качестве ролей базы данных.Пользователи роли db_datareader могут читать все данные из всех пользовательских таблиц.Пользователи роли db_datawriter могут добавлять, удалять или изменять данные во всехпользовательских таблицах.

Примечание При отзыве доступа у db_owner убедитесь, что роли db_owner возвращены праваперед запуском обновления до новой версии VMware Identity Manager.


Роль пользователя для Microsoft SQL Server Management Studio в качестве системногоадминистратора или в качестве учетной записи пользователя с привилегиями системногоадминистратора.

Процедура

1. В сеансе Microsoft SQL Server Management Studio подключитесь к экземпляру базы данных<saasdb> для VMware Identity Manager от имени администратора с правами системногоадминистратора.

2. Отзовите роль db_owner в базе данных, введите следующую команду

Режим проверкиподлинности Команда

Проверка подлинностиWindows(домен\пользователь)

ALTER ROLE db_owner DROP MEMBER <domain\username>;

Проверка подлинностиSQL Server (локальныйпользователь)

ALTER ROLE db_owner DROP MEMBER <loginusername>;


VMware, Inc. 23

3. Добавьте пользователей роли db_datawriter и db_datareader в базу данных.

Режим проверкиподлинности Команда


ALTER ROLE db_datawriter ADD MEMBER <domain\username>;GO

ALTER ROLE db_datareader ADD MEMBER <domain\username>;GO


ALTER ROLE db_datawriter ADD MEMBER <loginusername>;GOALTER ROLE db_datareader ADD MEMBER <loginusername>;GO

Контрольные списки развертыванияКонтрольный список развертывания можно использовать, чтобы собрать необходимуюинформацию для установки виртуального устройства VMware Identity Manager.

Сведения о каталогеVMware Identity Manager поддерживает интеграцию со средами Active Directory или каталогомLDAP.

Таблица 2‑3. Контрольный список для информации по контроллеру домена Active Directory

Информация, которую нужно собрать Укажите информацию

Имя сервера Active Directory

Доменное имя Active Directory

Базовое различающееся имя

Для Active Directory с протоколом LDAP: имя пользователяи пароль для различающегося имени для подключения

Для Active Directory с встроенной проверкой подлинностиWindows: имя пользователя и пароль учетной записи,имеющей права для присоединения компьютеров кдомену.

Таблица 2‑4. Контрольный список для сервера каталога LDAP


Имя сервера или IP-адрес каталога LDAP

Номер порта сервера каталога LDAP

Базовое различающееся имя

Имя пользователя и пароль для различающегося именидля подключения


VMware, Inc. 24

Таблица 2‑4. Контрольный список для сервера каталога LDAP (продолжение)


Фильтры поиска LDAP для объектов групп, пользователейи пользователей подключений

Имена атрибутов LDAP для членства, идентификатораUUID-объекта и различающегося имени

Сертификаты SSLСертификат SSL можно добавить после развертывания службы VMware Identity Manager.

Таблица 2‑5. Контрольный список сертификата SSL


сертификат SSL

Закрытый ключ

Лицензионный ключТаблица 2‑6. Контрольный список по информации о лицензионном ключе VMware Identity Manager


Лицензионный ключ

Примечание Информация о лицензионном ключе вводится в консоли VMware Identity Manager настранице Настройки устройства > Лицензия после завершения установки.

Внешняя база данныхТаблица 2‑7. Контрольный список по внешней базе данных


Имя узла базы данных

Порт

Имя пользователя

Пароль


VMware, Inc. 25

Программа улучшения качествапрограммного обеспечения 3Программа улучшения качества программного обеспечения от компании VMware («CEIP»)предоставляет информацию для VMware, которая позволяет VMware улучшать свои продукты иуслуги, исправлять ошибки, а также давать советы по эффективному развертыванию ииспользованию наших продуктов. В рамках CEIP VMware постоянно собирает техническуюинформацию о продуктах и услугах VMware, которые использует ваша организация в соответствиис ключами лицензий VMware, предоставленными организации. Собираемые сведения не содержатинформации, позволяющей идентифицировать личность.

Если вы предпочитаете не участвовать в программе CEIP компании VMware для данного продукта,снимите этот флажок при установке VMware Identity Manager.

Присоединиться к программе CEIP для данного продукта и выйти из нее можно в любое время.

VMware, Inc. 26

Развертывание компьютераVMware Identity Manager ,защищенного подсистемойбалансировки нагрузки 4В корпоративной среде для конфигурации компьютера VMware Identity Manager рекомендуетсяразвернуть кластер службы VMware Identity Manager с тремя узлами для обеспечения высокойдоступности. После установки, настройки и тестирования первого узла IDM за подсистемойбалансировки нагрузки на нем выполняется сценарий для создания копии первого экземпляра.Этот скопированный файл используется для создания других узлов в кластере.

На схеме архитектуры VMware Identity Manager показано, как можно развернуть средуVMware Identity Manager.

См. раздел Глава1Обзор VMware Identity Manager Services.

Использование подсистемы балансировки нагрузки или обратногопрокси-сервера для обеспечения внешнего доступа кVMware Identity ManagerВо время развертывания компьютер VMware Identity Manager устанавливается во внутренней сети.Если нужно предоставить доступ к службе пользователям, подключающимся из внешних сетей, вдемилитаризованной зоне необходимо установить подсистему балансировки нагрузки илиобратный прокси-сервер, например Apache, Nginx, F5 и т. п.

Если подсистема балансировки нагрузки или обратный прокси-сервер не используются, количествокомпьютеров VMware Identity Manager в дальнейшем увеличить невозможно. В некоторых случаяхдля резервирования и балансировки нагрузки необходимо добавить несколько компьютеров. Наследующей схеме показана базовая архитектура развертывания, которую можно использовать дляорганизации внешнего доступа.

VMware, Inc. 27

Рис. 4‑1. Внешний прокси-сервер балансировки нагрузки с виртуальными машинами

Имя узла внешнего средствабалансировки нагрузки: Полное доменное имя VMware Identity ManagerПример IP-адреса: 64.x.y.zПорт: Порт VMware Identity ManagerНеобходимо включить заголовки X-Forwarded-For.

Внешние пользователи

Имя узла внутреннего средствабалансировки нагрузки: Полное доменное имя VMware Identity ManagerПример IP-адреса: 10..x.y.zПорт: Порт VMware Identity ManagerНеобходимо включить заголовки X-Forwarded-For.

Внутренние пользователи

Порт 443

Порт 443

Класте VMwareIdentity Manager

Брандмауэр ДМЗ

Указание полного доменного имени во время развертывания средстваVMware Identity ManagerПри развертывании компьютера VMware Identity Manager указывается полное доменное имя иномер порта VMware Identity Manager . Эти значения должны соответствовать имени сервера, ккоторому конечным пользователям нужно предоставить доступ.

Компьютер VMware Identity Manager всегда работает через порт 443. Для балансировки нагрузкиможно использовать другой номер порта. Если используется другой номер порта, его необходимоуказать во время развертывания. Не используйте порт 8443 в качестве номера порта, поскольку онявляется портом администрирования VMware Identity Manager и уникален для каждого компьютерав кластере.


VMware, Inc. 28

Настройка средства балансировки нагрузкиС помощью параметров подсистемы балансировки нагрузки можно включить использованиезаголовков X-Forwarded-For, указать правильное время ожидания для подсистемы балансировкинагрузки и включить закрепленные сеансы. Кроме того, между компьютеромVMware Identity Manager и подсистемой балансировки нагрузки должно быть настроено отношениедоверия при использовании протокола SSL.

n Заголовки X-Forwarded-For

В средстве балансировки нагрузки нужно включить использование заголовков X-Forwarded-For.От этого зависит метод проверки подлинности. Дополнительные сведения см. в документациииспользуемого средства балансировки нагрузки.

n Время ожидания средства балансировки нагрузки

В некоторых случаях для правильной работы VMware Identity Manager необходимо увеличитьзаданное по умолчанию время ожидания для запросов средства балансировки нагрузки. Этозначение задается в минутах. Если задать слишком малое время ожидания, отображаетсяследующее сообщение об ошибке: 502 error: The service is unavailable (Ошибка 502: службанедоступна).

n Включение закрепляемых сеансов

Если в развертывании несколько компьютеров VMware Identity Manager, следует включитьзакрепленные сеансы в подсистеме балансировки нагрузки. После этого подсистемабалансировки нагрузки будет привязывать сеанс пользователя к определенному экземпляру.

n Поддержка WebSocket

Для подсистемы балансировки нагрузки требуется поддержка WebSocket, чтобы включитьбезопасные каналы связи между соединителями и узлами VMware Identity Manager.

n Шифры с безопасностью пересылки

К приложению Workspace ONE в iOS применяются требования Apple iOS App Transport Security.Чтобы пользователи могли использовать приложение Workspace ONE в iOS, в подсистемебалансировки нагрузки должны быть шифры с безопасностью пересылки. Этому требованиюсоответствуют следующие шифры:

ECDHE_ECDSA_AES и ECDHE_RSA_AES в режиме GCM или CBC

Как указано в документации по безопасности iOS для iOS 11:

«В App Transport Security представлены требования к подключению по умолчанию, чтобыприложения придерживались рекомендаций для защищенных подключений при использованииAPI-интерфейсов NSURLConnection, CFURL или NSURLSession. По умолчанию App TransportSecurity ограничивает выбор шифров и включает только те наборы, которые обеспечиваютбезопасность пересылки, в частности, ECDHE_ECDSA_AES и ECDHE_RSA_AES в режимеGCM или CBC».


VMware, Inc. 29

Настройка службыVMware Identity Manager 5В эту главу входят следующие разделы:n Установка VMware Identity Manager

n Использование мастера установки для завершения установки

n Развертывание компьютера VMware Identity Manager , защищенного подсистемойбалансировки нагрузки

n Использование подсистемы балансировки нагрузки или обратного прокси-сервера дляобеспечения внешнего доступа к VMware Identity Manager

n Применение корневого сертификата средства VMware Identity Manager в средствебалансировки нагрузки

n Применение корневого сертификата средства балансировки нагрузки в VMware IdentityManager

n Настройка аварийного переключения и резервирования в едином центре обработки данных(Windows)

n Настройка подключений каталога LDAP или Active Directory

n Добавление разрешенных IP-адресов во внешний брандмауэр

n Включение параметров прокси-сервера после установки

n Ввод лицензионного ключа

Установка VMware Identity ManagerЗапустите установщик VMware Identity Manager на сервере Windows, который отвечаетперечисленным требованиям к конфигурации системы.


См. Требования к конфигурации системы и сети.

VMware, Inc. 30

Процедура

1. Щелкните установщик VMware Identity Manager дважды.

Запустите установщик, используя учетную запись с правами администратора.

2. В диалоговом окне приветствия нажмите кнопку Далее.

Установщик проверит наличие предварительных условий на сервере. Если необходимоепрограммное обеспечение, например .NET или TLS, не установлено, появится запрос на егоустановку и перезапуск сервера. После перезапуска снова запустите установщикVMware Identity Manager.

3. Примите условия лицензионного соглашения (EULA) и нажмите кнопку Далее.

4. В диалоговом окне Программа улучшения качества программного обеспечения длядействия по умолчанию установлено значение «Да».

Данный продукт участвует в Программе улучшения качества программного обеспечения отVMware («CEIP»). Дополнительные сведения о собранных в CEIP данных и целях ихиспользования для VMware изложена в разделе Trust & Assurance Center настранице http://www.vmware.com/trustvmware/ceip.html. Если вы предпочитаете не участвовать впрограмме CEIP компании VMware для данного продукта, снимите этот флажок.

Присоединиться к программе CEIP для данного продукта и выйти из нее можно в любое время.

Примечание Если для сети настроен доступ к Интернету через прокси-сервер HTTP, чтобыотправить данные, собранные в рамках программы CEIP для VMware, необходимо настроитьпараметры прокси-сервера в компьютере VMware Identity Manager.

5. Перечислены предварительные требования к VMware Identity Manager. Установщик проверяетналичие требуемых модулей. Будет предложено установить все недостающие модули.

Рис. 5‑1. Подтверждение предварительных условий для установки

6. Выберите каталог, в котором нужно установить службуVMware Identity Manager.


VMware, Inc. 31

http://www.vmware.com/trustvmware/ceip.html

7. Если этот узел является первым экземпляром службы, установленным в кластере, нажмитеДалее.

При установке дополнительных экземпляров в кластере установите флажок и выберитебраузер для экспортированного ZIP-файла, чтобы выполнить импорт первого экземпляра.

8. В диалоговом окне «Конфигурация» предварительно заполнены имя узла и порт 443. Нажмитекнопку Далее.

9. В диалоговом окне «Сервер базы данных» выберите экземпляр сервера базы данныхVMware Identity Manager для подключения и режим проверки подлинности.

Параметр Описание

Сервер базы данныхVMware Identity Manager

Введите полное доменное имя базы данных или нажмите Обзор, чтобывыбрать URL-адрес сервера базы данных из списка. Например, введитеполное доменное имя базы данных http://MyDBServer.

Подключение приложения спомощью...

Можно выбрать режим Проверка подлинности Windows или Проверкаподлинности SQL Server. Для проверки подлинности SQL Server введитеимя локального пользователя и пароль.

Имя базы данныхVMware Identity Manager

Введите имя базы данных, созданной при настройке базы данных MySQL,или укажите SQL Server, чтобы выбрать имя из списка, если база данныхбыла переименована.

SQL AlwaysON? Включение SQL AlwaysON для установки для MultiSubNetFailoverзначения True на сервере SQL Server, чтобы включить на сервереSQL Server быстрое аварийное переключение.

Возможность SQL Server AlwaysOn представляет собой комбинациюотказоустойчивой кластеризации и зеркального копирования базы данныхили переноса журналов. Она позволяет использовать несколько копий базыданных для чтения и одну копию для операций чтения-записи. Если в сетииспользуется пропускная способность для поддержки созданного трафика, вбазе данных Identity Manager поддерживается возможность AlwaysOn.

Рис. 5‑2. Настройка базы данных с помощью параметра SQL AlwayOn

Нажмите кнопку Далее.


VMware, Inc. 32

Установщик проверяет, что база данных настроена надлежащим образом. При неправильнойконфигурации отображаются сообщения об ошибках и невозможно продолжить установку.Устраните проблемы, описанные в сообщения об ошибках. См. Подтверждение правильнойнастройки база данных Microsoft SQL.

10. В диалоговом окне «Учетная запись службы VMware Identity Manager» установите флажок,если необходимо запустить службу от имени пользователя домена Windows.

Запускайте службу от имени пользователя домена в следующих случаях.

n Если планируется подключение к Active Directory (встроенная проверка подлинностиWindows).

n Если планируется использование проверки подлинности Kerberos.

n Если планируется интеграция Horizon View с VMware Identity Manager и требуетсявоспользоваться параметрами «Выполнить синхронизацию каталогов» или «Настройкасервера подключений 5.x».

Если не используется учетная запись пользователя домена, служба запускается в качествелокальной системы.

Рис. 5‑3. Настройка учетной записи пользователя домена

11. Нажмите кнопку Установить, чтобы начать установку.


VMware, Inc. 33

12. Нажмите кнопку Готово.

Инициализируется сервер VMware Identity и отображается URL-адрес VMware Identity Managerдля входа в консоль VMware Identity Manager и завершения установки. Чтобы завершитьустановку сейчас, щелкните Да. В противном случае запишите URL-адрес для входа позже.

Рис. 5‑4. Сведения о входе в консоль Identity Manager

Следующие шаги

Запустите мастер настройки VMware Identity Manager, чтобы завершить настройку службы.

Рис. 5‑5. Мастер установки

Использование мастера установки для завершения установкиПосле развертывания VMware Identity Manager используйте мастер установки, чтобы установитьпароль администратора компьютера для VMware Identity Manager, примите самозаверяющийсясертификат и проверьте URL-адрес JDBC базы данных.

Убедитесь, что при запуске мастера установки используется полное имя узла. Не вводите IP-адресв качестве имени.

Процедура

1. Перейдите к URL-адресу VMware Identity Manager, который отображался после завершенияустановки. Введите полное доменное имя (FQDN). Например, https://имя_узла.example.com.

2. Примите сертификат, если отобразится запрос.

Во время установки будет развернут самозаверяющийся сертификат. После начальнойустановки можно выполнить обновление до подписанного сертификата.


VMware, Inc. 34

3. На странице «Начало работы» щелкните Продолжить.

4. На странице «Задать пароли» настройте пароль администратора устройства. Парольадминистратора должен состоять не менее чем из 6 символов. Нажмите кнопку Продолжить.

Учетная запись admin используется для управления настройками устройства.

5. На странице «Выбрать базу данных» отображается URL-адрес JDBC базы данных.

Теперь подключение к базе данных настроено, и база данных будет инициализирована.

Откроется страница Настройка завершена.


Настройка Active Directory. См. раздел Настройка подключений каталога LDAP или Active Directory.

Развертывание компьютера VMware Identity Manager ,защищенного подсистемой балансировки нагрузкиВ корпоративной среде для конфигурации компьютера VMware Identity Manager рекомендуетсяразвернуть кластер службы VMware Identity Manager с тремя узлами для обеспечения высокойдоступности. После установки, настройки и тестирования первого узла IDM за подсистемойбалансировки нагрузки на нем выполняется сценарий для создания копии первого экземпляра.Этот скопированный файл используется для создания других узлов в кластере.

На схеме архитектуры VMware Identity Manager показано, как можно развернуть средуVMware Identity Manager.

См. раздел Глава1Обзор VMware Identity Manager Services.

Использование подсистемы балансировки нагрузки или обратногопрокси-сервера для обеспечения внешнего доступа кVMware Identity ManagerВо время развертывания компьютер VMware Identity Manager устанавливается во внутренней сети.Если нужно предоставить доступ к службе пользователям, подключающимся из внешних сетей, вдемилитаризованной зоне необходимо установить подсистему балансировки нагрузки илиобратный прокси-сервер, например Apache, Nginx, F5 и т. п.

Если подсистема балансировки нагрузки или обратный прокси-сервер не используются, количествокомпьютеров VMware Identity Manager в дальнейшем увеличить невозможно. В некоторых случаяхдля резервирования и балансировки нагрузки необходимо добавить несколько компьютеров. Наследующей схеме показана базовая архитектура развертывания, которую можно использовать дляорганизации внешнего доступа.


VMware, Inc. 35

Рис. 5‑6. Внешний прокси-сервер балансировки нагрузки с виртуальными машинами

Имя узла внешнего средствабалансировки нагрузки: Полное доменное имя VMware Identity ManagerПример IP-адреса: 64.x.y.zПорт: Порт VMware Identity ManagerНеобходимо включить заголовки X-Forwarded-For.

Внешние пользователи

Имя узла внутреннего средствабалансировки нагрузки: Полное доменное имя VMware Identity ManagerПример IP-адреса: 10..x.y.zПорт: Порт VMware Identity ManagerНеобходимо включить заголовки X-Forwarded-For.

Внутренние пользователи

Порт 443

Порт 443

Класте VMwareIdentity Manager

Брандмауэр ДМЗ

Указание полного доменного имени во время развертывания средстваVMware Identity ManagerПри развертывании компьютера VMware Identity Manager указывается полное доменное имя иномер порта VMware Identity Manager . Эти значения должны соответствовать имени сервера, ккоторому конечным пользователям нужно предоставить доступ.

Компьютер VMware Identity Manager всегда работает через порт 443. Для балансировки нагрузкиможно использовать другой номер порта. Если используется другой номер порта, его необходимоуказать во время развертывания. Не используйте порт 8443 в качестве номера порта, поскольку онявляется портом администрирования VMware Identity Manager и уникален для каждого компьютерав кластере.


VMware, Inc. 36

Настройка средства балансировки нагрузкиС помощью параметров подсистемы балансировки нагрузки можно включить использованиезаголовков X-Forwarded-For, указать правильное время ожидания для подсистемы балансировкинагрузки и включить закрепленные сеансы. Кроме того, между компьютеромVMware Identity Manager и подсистемой балансировки нагрузки должно быть настроено отношениедоверия при использовании протокола SSL.

n Заголовки X-Forwarded-For

В средстве балансировки нагрузки нужно включить использование заголовков X-Forwarded-For.От этого зависит метод проверки подлинности. Дополнительные сведения см. в документациииспользуемого средства балансировки нагрузки.

n Время ожидания средства балансировки нагрузки

В некоторых случаях для правильной работы VMware Identity Manager необходимо увеличитьзаданное по умолчанию время ожидания для запросов средства балансировки нагрузки. Этозначение задается в минутах. Если задать слишком малое время ожидания, отображаетсяследующее сообщение об ошибке: 502 error: The service is unavailable (Ошибка 502: службанедоступна).

n Включение закрепляемых сеансов

Если в развертывании несколько компьютеров VMware Identity Manager, следует включитьзакрепленные сеансы в подсистеме балансировки нагрузки. После этого подсистемабалансировки нагрузки будет привязывать сеанс пользователя к определенному экземпляру.

n Поддержка WebSocket

Для подсистемы балансировки нагрузки требуется поддержка WebSocket, чтобы включитьбезопасные каналы связи между соединителями и узлами VMware Identity Manager.

n Шифры с безопасностью пересылки

К приложению Workspace ONE в iOS применяются требования Apple iOS App Transport Security.Чтобы пользователи могли использовать приложение Workspace ONE в iOS, в подсистемебалансировки нагрузки должны быть шифры с безопасностью пересылки. Этому требованиюсоответствуют следующие шифры:

ECDHE_ECDSA_AES и ECDHE_RSA_AES в режиме GCM или CBC

Как указано в документации по безопасности iOS для iOS 11:

«В App Transport Security представлены требования к подключению по умолчанию, чтобыприложения придерживались рекомендаций для защищенных подключений при использованииAPI-интерфейсов NSURLConnection, CFURL или NSURLSession. По умолчанию App TransportSecurity ограничивает выбор шифров и включает только те наборы, которые обеспечиваютбезопасность пересылки, в частности, ECDHE_ECDSA_AES и ECDHE_RSA_AES в режимеGCM или CBC».


VMware, Inc. 37

Применение корневого сертификата средстваVMware Identity Manager в средстве балансировки нагрузкиКогда виртуальное устройство средства VMware Identity Manager настроено за подсистемойбалансировки нагрузки, необходимо установить доверие SSL между этим средством и средствомVMware Identity Manager. Корневой сертификат средства VMware Identity Manager необходимоскопировать в средство балансировки нагрузки.

Корневой сертификат VMware Identity Manager можно загрузить на странице Настройкиустройства > Управление конфигурацией > Установить сертификаты SSL > Сертификатсервера в консоли VMware Identity Manager.

Если полное доменное имя VMware Identity Manager указывает на средство балансировки нагрузки,сертификат SSL применяется только к нему.

Поскольку средство балансировки нагрузки связывается с виртуальным устройством средстваVMware Identity Manager, необходимо скопировать сертификат корневого центра сертификациисредства VMware Identity Manager в средство балансировки нагрузки в качестве доверенногокорневого сертификата.

Процедура

1. В консоли VMware Identity Manager выберите вкладку Настройки устройства, а затемщелкните Конфигурация виртуального устройства > Управление конфигурацией.

2. В открывшемся диалоговом окне введите пароль администратора.

3. Выберите Установить сертификаты SSL > Сертификат сервера.

4. Щелкните ссылку Самозаверяющиеся сертификаты устройства корневого ЦС.


VMware, Inc. 38

Отобразится сертификат.

5. Скопируйте все содержимое между линиями и сами линии «-----BEGIN CERTIFICATE-----» и«-----END CERTIFICATE----» и вставьте корневой сертификат в нужное расположение длякаждого средства балансировки нагрузки. См. документацию, предоставляемую поставщикомбалансировки нагрузки.


Скопируйте и вставьте корневой сертификат балансировки нагрузки на устройствоVMware Identity Manager.

Применение корневого сертификата средства балансировкинагрузки в VMware Identity ManagerКогда виртуальное устройство средства VMware Identity Manager настроено за подсистемойбалансировки нагрузки, необходимо установить доверие между этим средством и средствомVMware Identity Manager. Кроме копирования корневого сертификата средства «»VMware Identity Manager в средство балансировки нагрузки, необходимо скопировать корневойсертификат средства балансировки нагрузки в VMware Identity Manager.


VMware, Inc. 39

Процедура

1. Получите корневой сертификат средства балансировки нагрузки.

2. В консоли VMware Identity Manager выберите вкладку Настройки устройства, а затемщелкните Конфигурация виртуального устройства > Управление конфигурацией.

3. В открывшемся диалоговом окне введите пароль администратора.

4. Выберите Установить сертификаты SSL > Доверенные центры сертификации.

5. Вставьте корневой сертификат подсистемы балансировки нагрузки в текстовом поле Корневойили промежуточный сертификат.

6. Нажмите кнопку Добавить.


VMware, Inc. 40

Настройка аварийного переключения и резервирования в единомцентре обработки данных (Windows)Для аварийного переключения и резервирования можно добавить несколько компьютеровVMware Identity Manager в кластер. Если один из компьютеров завершит работу по какой-либопричине, диспетчер VMware Identity Manager по-прежнему будет доступен.

Установите и настройте VMware Identity Manager на сервере Windows, затем запустите сценарий,чтобы создать файл ENC, который является копией первого экземпляра VMware Identity Managerдля Windows с той же конфигурацией, что и у оригинала.

Прежде чем создавать копию первого экземпляра, необходимо настроить первый узел заподсистемой балансировки нагрузки и изменить его полное доменное имя для сопоставления сполным доменным именем подсистемы балансировки нагрузки. Помимо этого, выполнитенастройку каталога в службе VMware Identity Manager перед созданием файла ENC.

Запустите установщик VMware Identity Manager для Windows на каждом узле и импортируйтескопированный файл ENC. Можно настроить эти узлы, чтобы изменить имя, сетевые настройки идругие свойства при необходимости. На каждом узле установлен свой IP-адрес. Этот IP-адресдолжен соответствовать тем же правилам, что и IP-адрес первого узла. IP-адрес должен разрешатьдействительному имени сервера использовать прямое и обратное перенаправление DNS.

Все узлы в кластере являются идентичными копиями друг друга без возможности сохранениясостояния. Синхронизация с Active Directory и настроенными ресурсами, например Horizon,включена на первом узле, но отключена на всех остальных узлах в кластере.

Изменение полного доменного имени VMware Identity Manager наполное доменное имя балансировки нагрузкиПеред тем как копировать экземпляр компьютера VMware Identity Manager, необходимо изменитьего полное доменное имя, чтобы оно соответствовало полному доменному имени подсистемыбалансировки нагрузки.


n Экземпляр VMware Identity Manager добавлен в подсистему балансировки нагрузки.

n Вы применили сертификат корневого центра сертификации балансировки нагрузки дляVMware Identity Manager.

Процедура

1. Войдите в консоль администрирования VMware Identity Manager.

2. Выберите вкладку Настройки устройства.

3. На странице "Конфигурация виртуального устройства" щелкните Управление конфигурацией.

4. Введите пароль администратора для входа в систему.

5. Щелкните Конфигурация Identity Manager.


VMware, Inc. 41

6. В поле Полное доменное имя Identity Manager измените часть URL-адреса имени узла вVMware Identity Manager на имя узла балансировки нагрузки.

Например, если имя узла VMware Identity Manager — моя_служба, а имя узла средствабалансировки нагрузки (СБН) — мое_СБН, можно изменить URL-адрес с

https://myservice.example.com

на следующий:

https://mylb.example.com

7. Нажмите кнопку Сохранить.

n Полное доменное имя службы изменено на полное доменное имя балансировки нагрузки.

n URL-адрес поставщика удостоверений изменен на URL-адрес средства балансировки нагрузки.


Запустите сценарий, чтобы создать файл ENC первого узла для VMware Identity Manager дляWindows.

Добавление узлов для создания кластера VMware Identity ManagerЧтобы создать кластер со службой VMware Identity Manager после установки первого экземпляраVMware Identity Manager, скопируйте этот экземпляр, чтобы создать образ с той же конфигурацией,что и у оригинала.


VMware, Inc. 42

При использовании нескольких служб VMware Identity Manager требуется не менее трех узлов.

Примечание Компонент VMware Identity Manager включает в себя механизм поиска и анализаElasticsearch, в котором есть известное ограничение с кластером из двух узлов.


Первый экземпляр VMware Identity Manager развернут и протестирован.

Файл конфигурации кластера создан на основе конфигурации первого экземпляра.

1. В консоли VMware Identity Manager перейдите на страницу «Настройки устройства» >«Конфигурация виртуального устройства» и щелкните Управление конфигурацией.

2. Выберите Расположение файла кластера.

3. Введите пароль, используемый для шифрования и расшифровки файла кластера.

4. Щелкните Подготовить пакет кластера. ZIP-файл создается на основе экземпляраVMware Identity Manager.

5. Загрузите ZIP-файл в доступное расположение.

Процедура

1. Запустите установщик VMware Identity Manager для Windows на каждом компьютере,настраиваемом в кластере.

Запустите установщик, используя учетную запись с правами администратора.

2. В диалоговом окне приветствия нажмите кнопку Далее.

Установщик проверит наличие предварительных условий на сервере. Если необходимоепрограммное обеспечение, например .NET или TLS, не установлено, появится запрос на егоустановку и перезапуск сервера. После перезапуска снова запустите установщикVMware Identity Manager.

3. Примите условия лицензионного соглашения (EULA) и нажмите кнопку Далее.

4. Переключатель Программа улучшения качества программного обеспечения установлен поумолчанию. Отключите переключатель, чтобы данные не собирались.

В рамках этой программы VMware собирает анонимные данные о развертывании, чтобы лучшеудовлетворять требования пользователей.

5. Перечислены предварительные требования к VMware Identity Manager. Установщик проверяетналичие требуемых модулей. Будет предложено установить все недостающие модули.

6. Выберите каталог, в котором нужно установить службуVMware Identity Manager.

7. В диалоговом окне «Конфигурация» установите флажок Присоединение к существующемукластеру и выберите файл конфигурации кластера (ENC) для первого экземпляра.

По умолчанию файл расположен в папке <INSTALL_DIR>\VMwareIdentityManager\usr\local\horizon\< filename>.enc.


VMware, Inc. 43

8. Введите пароль кластера, созданный для файла конфигурации кластера (ENC), и нажмитекнопку Далее.

9. Нажмите кнопку Установить, чтобы начать установку.

10. Для завершения установки нажмите кнопку Готово.

Все файлы конфигурации VMware Identity Manager будут скопированы на сервер.


Добавление клонированного компьютера в подсистему балансировки нагрузки.

Удаление узла из кластераЕсли узел в кластере VMware Identity Manager неисправен и его работоспособность не удаетсявосстановить, можно удалить его из кластера с помощью команды «Удалить узел». Командаудалит записи узла из базы данных VMware Identity Manager.

Чтобы проверить работоспособность узлов в кластере, можно просмотреть их статусы на панелимониторинга диагностики системы. Сообщение Текущий узел находится в неисправном состоянииуказывает на то, что данный узел неисправен.

Важно! Используйте команду «Удалить узел» с осторожностью. Ее следует использовать только втех случаях, когда работоспособность узла невозможно восстановить и узел необходимополностью удалить из развернутой среды VMware Identity Manager.

Примечание Команду «Удалить узел» нельзя использовать для удаления последнего узла вкластере.

Отмена связи компонента соединителя с доменами, параметрами синхронизациикаталогов и встроенным поставщиком удостоверенийПрежде чем удалить узел из кластера VMware Identity Manager, необходимо убедиться в том, чтокомпонент соединителя узла не связан с другими доменами, не используется как соединительсинхронизации и не связан с встроенным поставщиком удостоверений.


Необходимо выполнить вход с учетными данными администратора арендатора (то есть локальногоадминистратора службы VMware Identity Manager). Администратор домена, синхронизированный скорпоративным каталогом, не обладает требуемыми разрешениями.

Процедура

1. Выполните вход в консоль VMware Identity Manager.

2. Откройте вкладку Управление учетными данными и доступом и щелкните Настройка.

Отобразится страница «Соединители».


VMware, Inc. 44

3. Если компонент соединителя узла используется как соединитель синхронизации для любого изкаталогов, необходимо изменить параметр «Соединитель синхронизации», чтобы использоватьдругой соединитель.

а) В столбце Связанный каталог на странице «Соединители» просмотрите каталоги, скоторыми связан компонент соединителя.

б) Перейдите по ссылке на каталог.

в) В разделе Синхронизация каталогов и проверка подлинности на странице каталогапроверьте значение, установленное для параметра Соединитель синхронизации.

г) Если компонент соединителя используется как соединитель синхронизации, выберитедругой соединитель для параметра Соединитель синхронизации и нажмите Сохранить.

д) Выполните эти действия для всех каталогов, с которыми связан компонент соединителя.

4. Если компонент соединителя связан с встроенным поставщиком удостоверений, необходимоудалить его из поставщика удостоверений.

а) На странице «Соединители» в столбце Поставщик удостоверений просмотрите всехпоставщиков удостоверений, с которыми связан данный компонент соединителя.

б) Если встроенный поставщик удостоверений отображается в списке, щелкните ссылку нанего.

в) В разделе Соединители на странице поставщика удостоверений щелкните значокудаления рядом с соединителем.


Удалите узел из кластера.

Удаление узла из кластераПосле отмены связи компонента соединителя узла с доменами, параметрами синхронизациикаталогов и встроенным поставщиком удостоверений можно удалить узел из кластера.

Примечание Команду «Удалить» нельзя использовать для удаления последнего узла в кластере.


n Чтобы удалить узел, необходимо выполнить вход с учетными данными администратораарендатора (то есть локального администратора службы VMware Identity Manager).Администратор домена, синхронизированный с корпоративным каталогом, не обладаеттребуемыми разрешениями.

n При необходимости следует отменить связь компонента соединителя узла с доменами,параметрами синхронизации каталогов и встроенным поставщиком удостоверений. См. раздел Отмена связи компонента соединителя с доменами, параметрами синхронизации каталогов ивстроенным поставщиком удостоверений.


VMware, Inc. 45

Процедура

1. Отключите виртуальную машину узла.

а) Войдите в экземпляр vCenter Server.

б) Щелкните правой кнопкой мыши виртуальную машину узла и выберите Питание >Отключить.

2. Удалите узел из подсистемы балансировки нагрузки.

3. Удалите узел в консоли VMware Identity Manager.

а) Войдите в консоль VMware Identity Manager от имени локального администратора.

б) Щелкните стрелку вниз на вкладке Панель мониторинга и выберите Панель мониторингадиагностики системы.

в) Найдите узел, который требуется удалить.

На узле отобразится следующий статус:

Текущий узел находится в неисправном состоянии. Удалить его?

г) Щелкните ссылку Удалить, которая отображается рядом с сообщением.

Узел будет удален из кластера. Записи для узла удаляются из базы данныхVMware Identity Manager. Узел также удаляется из встроенных кластеров Elasticsearch и Ehcache.


Прежде чем использовать другие команды, подождите 5–15 минут, пока стабилизируютсявстроенные кластеры Elasticsearch и Ehcache.

Настройка подключений каталога LDAP или Active DirectoryНеобходимо интегрировать корпоративный каталог с VMware Identity Manager для синхронизациипользователей и групп из корпоративного каталога со службойVMware Identity Manager.

Поддерживаются следующие типы каталогов.

n Active Directory с протоколом LDAP

n Active Directory, встроенный механизм проверки подлинности Windows.

n Каталог LDAP.


n Ознакомьтесь с требованиями и ограничениями в документе Интеграция каталога сVMware Identity Manager.

n Доступны сведения о каталоге LDAP или Active Directory.


VMware, Inc. 46

n Если настроены несколько лесов Active Directory, а в локальной группе домена есть участники,принадлежащие к доменам в разных лесах, пользователя с различающимся имением дляподключения, указанного на странице каталога VMware Identity Manager, необходимо добавитьв группу администраторов домена, к которому относится локальная группа. Если не сделатьэтого, эти участники не будут входить в локальную группу домена.

Примечание Служба VMware Identity Manager должна быть настроена на запуск от именипользователя домена Windows для использования Active Directory с несколькими лесами.

n Составлен список пользовательских атрибутов, которые нужно использовать в качествефильтров, а также список групп для добавления в VMware Identity Manager.

Процедура

1. Войдите в консоль VMware Identity Manager, используя учетную запись Администратор изаданный пароль.

Выполнен вход в систему в качестве локального администратора. Отобразится страница«Каталоги». Прежде чем добавить каталог, ознакомьтесь с требованиями и ограничениями вдокументе Интеграция каталога с VMware Identity Manager.

2. Откройте вкладку Управление учетными данными и доступом.

3. Щелкните Настройка > Атрибуты пользователя, чтобы выбрать атрибуты для синхронизациис каталогом.

Атрибуты по умолчанию будут перечислены в списке, в котором можно выбрать обязательные.Если отметить атрибут в качестве обязательного, только пользователи с этим атрибутом будутсинхронизироваться со службой. Кроме того, можно добавить другие атрибуты.

Важно! После создания каталога атрибут уже нельзя сделать обязательным. Такие атрибутынеобходимо выбрать сейчас.

Обратите внимание, что параметры на странице «Атрибуты пользователя» применяются ковсем каталогам службы. Прежде чем отметить атрибут в качестве обязательного, оцените еговлияние на другие каталоги. Если отметить атрибут в качестве обязательного, пользователибез этого атрибута не будут синхронизироваться со службой.

Важно! Если планируется синхронизировать ресурсы XenApp с VMware Identity Manager,необходимо сделать distinguishedName обязательным атрибутом.


5. Откройте вкладку Управление учетными данными и доступом.


VMware, Inc. 47

6. На странице «Каталоги» щелкните Добавить каталог и выберите команду Добавить каталогActive Directory с помощью LDAP или IWA или Добавить каталог LDAP в зависимости оттипа интегрируемого каталога.

Кроме того, можно создать в службе локальный каталог. Дополнительные сведения обиспользовании локальных каталогов см. в руководстве по администрированиюVMware Identity Manager.


VMware, Inc. 48

7. При использовании Active Directory выполните следующие шаги.

а) Введите имя каталога, создаваемого в VMware Identity Manager, а затем его тип(Active Directory с протоколом LDAP или Active Directory (встроенная проверкаподлинности Windows)).

б) Предоставьте сведения о подключении.


Active Directory с протоколом LDAP 1. В поле Синхронизируйте соединитель выберите соединитель,который необходимо использовать для синхронизации пользователейи групп Active Directory с каталогом VMware Identity Manager.

Компонент соединителя всегда доступен в службеVMware Identity Manager по умолчанию. Этот соединительотображается в раскрывающемся меню. Если для высокойдоступности установлены несколько устройствVMware Identity Manager, компонент соединителя каждого из нихбудет в этом списке.

2. В текстовом поле Проверка подлинности выберите значение Да,если необходимо использовать этот каталог Active Directory, чтобыпроверять подлинность пользователей.

Если для проверки подлинности пользователей необходимоприменять сторонний поставщик удостоверений, выберите значениеНет. После настройки подключения Active Directory длясинхронизации пользователей и групп перейдите на страницуУправление учетными данными и доступом > Управление >Поставщики удостоверений, чтобы добавить сторонний поставщикудостоверений для проверки подлинности.

3. В текстовом поле Атрибут поиска каталогов выберите атрибутучетной записи, который содержит имя пользователя.

4. Если в Active Directory используется поиск данных о расположениислужб DNS, выберите приведенные ниже параметры.n В разделе Расположение сервера установите флажок Данный

каталог поддерживает поиск размещения службы DNS.n Если для Active Directory требуется шифрование STARTTLS, в

разделе Сертификаты установите флажок Все подключенияобъектов, входящих в данный каталог, выполняются сиспользованием протокола SSL, а также скопируйте и вставьтесертификат корневого центра сертификации Active Directory втекстовом поле Сертификат SSL.

Убедитесь, что сертификат находится в формате PEM и содержитстроки BEGIN CERTIFICATE и END CERTIFICATE.

Примечание Если для Active Directory требуется протоколSTARTTLS, а сертификат не предоставлен, создать каталогневозможно.

5. Если в Active Directory не используется поиск данных о расположениислужб DNS, выберите приведенные ниже параметры.n Убедитесь, что в разделе Расположение сервера не установлен

флажок Данный каталог поддерживает поиск размещенияслужбы DNS, и введите имя узла сервера и номер портаActive Directory.


VMware, Inc. 49


Чтобы настроить каталог в качестве глобального каталога,изучите раздел о средах с одним лесом Active Directory инесколькими доменами в главе «Среды Active Directory»документа Интеграция каталога с VMware Identity Manager.

n Если для Active Directory требуется доступ по протоколу SSL, вразделе Сертификаты установите флажок Все подключенияобъектов, входящих в данный каталог, выполняются сиспользованием протокола SSL, а также скопируйте и вставьтесертификат корневого центра сертификации Active Directory втекстовом поле Сертификат SSL.


Примечание Если для Active Directory требуется протокол SSL,а сертификат не предоставлен, создать каталог невозможно.

6. В разделе Разрешить изменение паролей выберите параметрВключить функцию изменения паролей, если необходиморазрешить пользователям сбрасывать свои пароли на страницевхода в VMware Identity Manager, когда срок действия пароля истечетили если администратор Active Directory сбросит парольпользователя.

7. В текстовом поле Базовое различающееся имя введитеразличающееся имя, с которого будет начинаться поиск учетныхзаписей. Например, OU=myUnit, DC=myCorp, DC=com.

8. В текстовом поле Различающееся имя для подключения введитеучетную запись с правом поиска пользователей. Например,CN=binduser,OU=myUnit,DC=myCorp,DC=com.

Примечание Рекомендуется использовать учетную записьпользователя различающегося имени для подключения с паролем безсрока действия.

9. После ввода пароля подключения щелкните Протестироватьсоединение, чтобы проверить, может ли каталог подключиться кActive Directory.

Active Directory (служба проверкиподлинности, встроенная вWindows)

1. В поле Синхронизируйте соединитель выберите соединитель,который необходимо использовать для синхронизации пользователейи групп Active Directory с каталогом VMware Identity Manager.

Компонент соединителя всегда доступен в службеVMware Identity Manager по умолчанию. Этот соединительотображается в раскрывающемся списке. Если для высокойдоступности установлены несколько устройствVMware Identity Manager, компонент соединителя каждого из нихбудет в этом списке.

2. Если необходимо использовать этот каталог Active Directory дляпроверки подлинности пользователей, в текстовом поле Проверкаподлинности выберите значение Да.


VMware, Inc. 50


Если для проверки подлинности пользователей необходимоприменять сторонний поставщик удостоверений, выберите значениеНет. После настройки подключения Active Directory длясинхронизации пользователей и групп перейдите на страницуУправление учетными данными и доступом > Управление >Поставщики удостоверений, чтобы добавить сторонний поставщикудостоверений для проверки подлинности.

3. В текстовом поле Атрибут поиска каталогов выберите атрибутучетной записи, который содержит имя пользователя.

4. Если для Active Directory требуется шифрование STARTTLS, вразделе Сертификаты установите флажок Все подключенияобъектов, входящих в данный каталог, выполняются сиспользованием протокола STARTTLS, а также скопируйте ивставьте сертификат корневого центра сертификации Active Directoryв текстовом поле Сертификат SSL.


Если в каталоге несколько доменов, добавьте сертификаты корневогоцентра сертификации для всех доменов по отдельности.

Примечание Если для Active Directory требуется протоколSTARTTLS, а сертификат не предоставлен, создать каталогневозможно.

5. В разделе Разрешить изменение паролей выберите параметрВключить функцию изменения паролей, если необходиморазрешить пользователям сбрасывать свои пароли на страницевхода в VMware Identity Manager, когда срок действия пароля истечетили если администратор Active Directory сбросит парольпользователя.

6. Заполните поле Имя участника-пользователя подключения дляпользователя, который может выполнять проверку подлинности вдомене. Например, имя_пользователя@example.com.

Примечание Рекомендуется использовать учетную записьпользователя различающегося имени для подключения с паролем безсрока действия.

7. Введите пароль пользователя с различающимся именем дляподключения.

в) Нажмите Сохранить и Далее.

Откроется страница со списком доменов.


VMware, Inc. 51

8. При использовании каталогов LDAP выполните следующие шаги.

а) Предоставьте сведения о подключении.


Имя каталога Имя для каталога, создаваемого в VMware Identity Manager.

Синхронизация службы каталогови проверка подлинности

1. В текстовом поле Синхронизируйте соединитель выберитесоединитель, который необходимо использовать для синхронизациипользователей и групп каталога LDAP с каталогомVMware Identity Manager.

Компонент соединителя всегда доступен в службеVMware Identity Manager по умолчанию. Этот соединительотображается в раскрывающемся списке. Если для высокойдоступности установлены несколько устройствVMware Identity Manager, компонент соединителя каждого из нихбудет в этом списке.

В отдельном соединителе для каталога LDAP нет необходимости.Соединитель может поддерживать несколько каталогов, будь токаталоги Active Directory или LDAP.

2. В текстовом поле Проверка подлинности выберите значение Да,если необходимо использовать этот каталог LDAP, чтобы проверятьподлинность пользователей.

Если для проверки подлинности пользователей необходимоприменять сторонний поставщик удостоверений, выберите Нет.После подключения к каталогу для синхронизации пользователей игрупп перейдите на страницу Управление учетными данными идоступом > Управление > Поставщики удостоверений, чтобыдобавить сторонний поставщик удостоверений для проверкиподлинности.

3. В текстовом поле Атрибут поиска каталога укажите атрибуткаталога LDAP, который будет использоваться в качестве именипользователя. Если необходимого атрибута нет в списке, выберитепараметр Пользовательский и введите имя атрибута. Например, cn.

Расположение сервера Введите имя узла и номер порта узла сервера каталога LDAP. В качествеузла сервера можно указать полное доменное имя или IP-адрес.Например, myLDAPserver.example.com или 100.00.00.0.

При наличии серверного кластера за средством балансировки нагрузкивведите вместо этого сведения о средстве балансировки нагрузки.

Настройка LDAP Укажите фильтры и атрибуты поиска LDAP, которыеVMware Identity Manager следует использовать для создания запросакаталога LDAP. Значения по умолчанию указываются, исходя из данныхосновной схемы LDAP.

Запросы LDAPn Получить группы: поисковой фильтр для получения объектов

группы.

Например, (objectClass=group).n Получить пользователя подключения: фильтр поиска для

получения объекта пользователя подключения, то есть пользователя,который может подключаться к каталогу.

Например, (objectClass=person).


VMware, Inc. 52


n Получить пользователя: поисковой фильтр, позволяющий получатьданные пользователей, которых необходимо синхронизировать.

Например, (&(objectClass=user)(objectCategory=person)).

Атрибутыn Состав: атрибут, который используется в каталоге LDAP для

определения участников группы.

Например, member.n Универсальный уникальный идентификатор объекта: атрибут,

который используется в каталоге LDAP для определенияуниверсального уникального идентификатора пользователя и группы.

Например, entryUUID.n Различающееся имя: атрибут, который используется в каталоге

LDAP для определения различающегося имени пользователя илигруппы.

Например, entryDN.

Сертификаты Если необходимо настроить получение доступа к каталогу LDAP сиспользованием SSL, выберите параметр Все подключения объектов,входящих в данный каталог, выполняются с использованиемпротокола SSL, а затем скопируйте и вставьте сертификат SSL изкорневого центра сертификации, настроенного для сервера каталогаLDAP. Убедитесь, что сертификат находится в формате PEM и содержитстроки BEGIN CERTIFICATE и END CERTIFICATE.

Сведения о пользователеподключения

Базовое различающееся имя: введите различающееся имя, с которогобудет начинаться поиск. Например, cn=users,dc=example,dc=com.

Различающееся имя для подключения — введите имя пользователя,которое следует использовать для подключения к каталогу LDAP.

Примечание Рекомендуется использовать учетную запись пользователяразличающегося имени для подключения с паролем без срока действия.

Пароль для базового различающегося имени — введите пароль дляпользователя с различающимся именем для подключения.

б) Чтобы проверить подключение к серверу каталога LDAP, щелкните Протестировать

соединение.

Если не удастся установить подключение, проверьте введенные сведения и внеситесоответствующие изменения.

в) Нажмите Сохранить и Далее.

Откроется страница, на которой указан домен.

9. Указанный домен каталога LDAP изменить нельзя.

Для Active Directory с протоколом LDAP указанные домены изменить нельзя.


VMware, Inc. 53

Для Active Directory (встроенная проверка подлинности Windows) выберите домены, которыенеобходимо связать с этим подключением к Active Directory.

Примечание В случае добавления доверенного домена после создания каталога новыйдоверенный домен служба автоматически не обнаруживает. Чтобы служба смогла обнаружитьдомен, соединитель соединитель должен отсоединиться от домена, а затем сноваприсоединиться к нему. После того как соединитель снова присоединится к домену,доверенный домен появится в списке.

Нажмите кнопку Далее.

10. Убедитесь, что имена атрибутов VMware Identity Manager сопоставлены с соответствующимиатрибутами Active Directory или LDAP и при необходимости внесите изменения.

Важно! При интеграции каталога LDAP необходимо указать сопоставление для атрибутадомена.

11. Нажмите кнопку Далее.


VMware, Inc. 54

12. Выберите группы в каталоге Active Directory или LDAP, которые должны синхронизироваться скаталогом VMware Identity Manager.


Укажите различающиеся имена групп Чтобы выбрать группы, укажите одно или несколько различающихся имен ивыберите под ними группы.

а) Щелкните знак + и укажите различающееся имя группы. Например,CN=users,DC=example,DC=company,DC=com.

Важно! Следует указывать различающиеся имена групп, которыеимеют базовое различающееся имя, введенное вами ранее. Еслиразличающееся имя группы не соответствует базовому различающемусяимени, данные пользователей из группы с этим различающимся именембудут синхронизироваться, но сами пользователи не смогут выполнитьвход.

б) Щелкните Поиск групп.

В столбце Число синхронизируемых групп указывается количествогрупп с заданным различающимся именем.

в) Если необходимо выбрать все группы, которым назначено эторазличающееся имя, щелкните Выбрать все. В противном случаещелкните Выбрать и выберите конкретные группы для синхронизации.

Примечание Если в каталоге LDAP есть несколько групп содинаковыми именами, в VMware Identity Manager необходимо указатьдля них уникальные имена. Имя можно изменить при выборе группы.

Примечание При синхронизации группы все пользователи, для которыхгруппа «Пользователи домена» в Active Directory не является основной, несинхронизируются.

Синхронизировать участниковвложенных групп

Параметр Синхронизировать участников вложенных групп включен поумолчанию. Когда этот параметр включен, все пользователи, которыепринадлежат непосредственно к выбранной группе, а также к вложеннымгруппам этой группы, синхронизируются. Обратите внимание, чтосинхронизируются не вложенные группы, а только пользователи,принадлежащие к ним. В каталоге VMware Identity Manager эти пользователибудут участниками родительской группы, выбранной для синхронизации.

Если параметр Синхронизировать участников вложенных группотключен, то при указании группы для синхронизации все пользователи,которые принадлежат непосредственно к ней, будут синхронизированы.Пользователи, которые принадлежат к вложенным группам этой группы, несинхронизируются. Отключение этого параметра может потребоваться вбольших конфигурациях Active Directory, где навигация по дереву групптребует значительных объемов ресурсов и времени. Но перед тем как егоотключить, убедитесь, что выбраны все группы, пользователей которыхнеобходимо синхронизировать.



VMware, Inc. 55

14. При необходимости укажите дополнительных пользователей для синхронизации.

а) Щелкните знак + и введите различающиеся имена пользователей. Например,CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.

Важно! Следует указывать различающиеся имена пользователей, которые имеют базовоеразличающееся имя, введенное вами ранее. Если различающееся имя пользователя несоответствует базовому различающемуся имени, пользователи с этим различающимсяименем будут синхронизироваться, но не смогут войти.

б) (Необязательно.) Чтобы удалить пользователей, щелкните фильтр, позволяющийисключить некоторые типы пользователей.

Вы выбираете атрибут пользователя для фильтрации, правило запроса и значение.


16. На этой странице можно просмотреть расписание синхронизации и узнать, сколькопользователей и групп будет синхронизироваться с каталогом.

Чтобы внести изменения в список пользователей и групп или интервал синхронизации,щелкните ссылки Изменить.

17. Щелкните команду Синхронизировать каталог, чтобы запустить синхронизацию каталогов.

Примечание Если возникнет ошибка сети и уникальное имя узла нельзя будет разрешить,используя обратный поиск DNS, процесс настройки будет остановлен. Проблемы сети необходимоисправить, а виртуальную машину перезагрузить. Затем можно продолжить развертывание. Новыесетевые настройки будут доступны только после перезагрузки виртуального устройства.


Дополнительные сведения о настройке средства балансировки нагрузки или конфигурации свысоким уровнем доступности см. в разделе Глава4Развертывание компьютера VMware IdentityManager , защищенного подсистемой балансировки нагрузки.

Для приложений организации можно настроить каталог ресурсов, а затем предоставитьпользователям доступ к этим ресурсам. Кроме того, можно настроить другие ресурсы, в том числеView, ThinApp и приложения Citrix. См. раздел Настройка ресурсов в VMware Identity Manager.

Включение синхронизации каталога на другом экземпляре в случае отказаВ случае отказа экземпляра службы проверка подлинности выполняется автоматически с помощьюклонированного экземпляра в соответствии с настройками средства балансировки нагрузки. Тем неменее для синхронизации каталога необходимо изменить его параметры в службеVMware Identity Manager так, чтобы использовался клонированный экземпляр. Синхронизациякаталога обрабатывается компонентом соединителя службы. Эту возможность можно включитьтолько для одного соединителя за раз.


VMware, Inc. 56

Процедура


2. Перейдите на вкладку Управление учетными данными и доступом и щелкните Каталоги.

3. Щелкните каталог, который был связан с исходным экземпляром службы.

Эту информацию можно просмотреть на странице Настройка > Соединители. На этойстранице перечислены компоненты соединителей каждого из виртуальных устройств службы вкластере.

4. В разделе Синхронизация службы каталогов и проверка подлинности на страницекаталога выберите в поле Синхронизируйте соединитель какой-нибудь другой соединитель.

5. В поле Пароль для базового различающегося имени введите пароль учетной записи для

подключения Active Directory.


Добавление разрешенных IP-адресов во внешний брандмауэрПри настройке VMware Identity Manager с помощью внешнего брандмауэра добавьте диапазоны IP-адресов или URL-адреса в список разрешенных адресов для следующих службVMware Identity Manager, чтобы обеспечить доступ к этой службе.

Используйте команду nslookup или другой инструмент командной строки для отправки в системудоменных имен запроса на получение IP-адресов для добавления в свой список разрешенныхадресов во внешнем брандмауэре.


VMware, Inc. 57

Таблица 5‑1. Служба Система доменных имен Описание

Каталог VMware Identity Manager catalog.vmwareidentity.com Для доступа к содержимому каталогадобавьте URL-адреса из списка всписок разрешенных адресов.

Это содержимое такжепредоставляется черезAWS CloudFront CDN, где содержитсясобственный список общедоступныхIP-адресов. См. раздел http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/LocationsOfEdgeServers.html.

VMware Verify api.authy.com Если VMware Verify настраивается вкачестве метода проверкиподлинности, добавьте URL-адреса изсписка в список разрешенныхадресов.

Гибридный вариант KDC kdc.op.<vmwareidentity.xxx> Если настраивается гибридныйвариант KDC для локальной операцииVMware Identity Manager, выберитеодин из следующих доменов дляпоиска URL-адреса.n vmwareidentity.CAn vmwareidentity.comn vmwareidentity.eun vmwareidentity.co.ukn vmwareidentity.den vmwareidentity.com.aun vmwareidentity.Asia

Обновления изVMware Identity Manager

vapp-updates.vmware.com Чтобы получать обновленияVMware Identity Manager и загружатьисправления изVMware Update Manager, добавьтеURL-адреса из списка в списокразрешенных адресов.

Включение параметров прокси-сервера после установкиКомпьютеру VMware Identity Manager предоставляется доступ к каталогу облачных приложений идругих веб-служб в Интернете. Если конфигурация сети обеспечивает доступ к Интернету черезпрокси-сервер HTTP, необходимо настроить параметры прокси-сервера на компьютереVMware Identity Manager.

Настройте прокси-сервер для обработки только интернет-трафика. Чтобы убедиться, что прокси-сервер настроен должным образом, установите для параметра внутреннего трафика значение no-proxy в пределах домена.


VMware, Inc. 58

http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/LocationsOfEdgeServers.html



Процедура

1. Войдите в консоль VMware Identity Manager и перейдите в раздел «Настройки устройства» настранице «Конфигурация виртуального устройства».

2. Выберите Управление конфигурацией и щелкните Конфигурация прокси-сервера.

3. Включите прокси-сервер.

4. В текстовом поле Прокси-узел с портом введите имя прокси-сервера и номер порта.Например, proxyhost.example.com:3128

5. В текстовом поле Узлы без прокси-сервера введите узлы без прокси-сервера, которыеполучают доступ без прохождения через прокси-сервер.

Используйте запятую для разделения имен узлов в списке.


Ввод лицензионного ключаПосле развертывания устройства VMware Identity Manager введите лицензионный ключ.

Процедура


2. Выберите вкладку Настройки устройства, а затем щелкните элемент Лицензия.

3. На странице «Параметры лицензии» введите лицензионный ключ и нажмите кнопкуСохранить.


VMware, Inc. 59

Управление параметрамиконфигурацииVMware Identity Manager 6После завершения настройки начальной конфигурации VMware Identity Manager можно перейти настраницы администрирования VMware Identity Manager, чтобы установить сертификаты, управлятьпаролями и загружать файлы журналов. Также можно обновить базу данных, изменить полноедоменное имя Identity Manager и настроить внешний сервер системного журнала.

Страницы настройки конфигурации доступны с вкладки «Настройки устройства» в консолиадминистрирования Identity Manager.

Название страницы Описание параметра

Подключение к базе данных Параметр подключения к базе данных (внутренней иливнешней) включен. Тип базы данных можно изменить. Привыборе внешней базы данных необходимо ввести ее URL-адрес, имя пользователя и пароль. Сведения о том, какнастроить внешнюю базу данных, см в разделе Созданиебазы данных службы VMware Identity Manager.

Установка сертификатов SSL На вкладках на этой странице можно установитьсертификат SSL для VMware Identity Manager, загрузитьсамозаверяющийся корневой сертификатVMware Identity Manager и установить доверенныекорневые сертификаты. Например, еслиVMware Identity Manager настроен за подсистемойбалансировки нагрузки, можно установить корневойсертификат подсистемы балансировки нагрузки.

Примечание Вкладка Сертификат сквозной передачииспользуется только в том случае, если проверкаподлинности сертификата настроена во внедренномсоединителе при развертывании в демилитаризованнойзоне. Дополнительные сведения см. в разделеРазвертывание VMware Identity Manager вдемилитаризованной зоне.

См. раздел Использование сертификатов SSL.

Полностью определенное доменное имя Identity Manager На этой странице можно просмотреть или изменить полноедоменное имя (FQDN) VMware Identity Manager. Полноедоменное имя VMware Identity Manager — это URL-адрес,который используется для доступа к службе.

Изменить пароль На этой странице можно изменить пароль администратораVMware Identity Manager.

VMware, Inc. 60

Название страницы Описание параметра

Конфигурация прокси-сервера (VMware Identity Managerдля Windows)

Настройте параметры прокси-сервера (HTTPS)

Расположение файлов журнала Можно загрузить журналы в ZIP-файл. См. раздел Сведения о файле журнала.

Расположение файла кластера (VMware Identity Managerдля Windows)

Можно создать зашифрованный файл экземпляраконфигурации VMware Identity Manager. Этот файл ENCможно загрузить и использовать для создания кластера изузлов VMware Identity Manager.

Можно также изменить URL-адрес соединителя. См. раздел Изменение URL-адреса соединителя.


n Изменение параметров конфигурации устройства

n Использование сертификатов SSL

n Настройка VMware Identity Manager для использования внешней базы данных

n Изменение URL-адреса службы VMware Identity Manager

n Изменение URL-адреса соединителя

n Сведения о файле журнала

n Управление паролем

n Настройка параметров SMTP

Изменение параметров конфигурации устройстваПосле настройки VMware Identity Manager можно перейти на страницу «Настройки устройства»,чтобы обновить сведения о текущей конфигурации и системе мониторинга для виртуальногоустройства.

Процедура


2. Выберите вкладку Настройки устройства, а затем щелкните элемент Управлениеконфигурацией.

3. Войдите, используя пароль администратора службы.

4. В области слева выберите страницу для просмотра или редактирования.


Убедитесь, что изменения и обновления параметров вступили в силу.


VMware, Inc. 61

Использование сертификатов SSLПри установке устройства VMware Identity Manager для серверов автоматически создаетсясертификат SSL по умолчанию. Этот самозаверяющий сертификат можно использовать дляобщего тестирования внедрения. В VMware настоятельно рекомендуется получить и установитьсертификаты SSL, подписанные открытым Центром сертификации (ЦС), в производственнойсреде.

ЦС — это доверенная организация, которая гарантирует подлинность сертификата и его создателя.Если сертификат подписан доверенным ЦС, пользователи больше не получают сообщения спросьбой проверить сертификат.

Подписанный сертификат ЦС можно установить со страницы Настройки устройства >Управление конфигурацией > Установка SSL-сертификатов > Сертификаты сервера.

При развертывании VMware Identity Manager с самозаверяющим сертификатом SSL сертификаткорневого центра сертификации должен быть доступен как сертификат доверенного ЦС длялюбого клиента с доступом к службе VMware Identity Manager. Клиентами могут быть компьютерыконечных пользователей, средства балансировки нагрузки, прокси-серверы и т. п. Сертификаткорневого ЦС можно загрузить на странице Установка SSL-сертификатов > Сертификатысервера.

Установка сертификата SSL для службы VMware Identity ManagerПри установке службы VMware Identity Manager создается сертификат SSL по умолчанию длясерверов. Этот самозаверяющийся сертификат можно использовать для тестирования. Тем неменее в VMware настоятельно рекомендуется использовать сертификаты SSL, подписанныеоткрытым центром сертификации (ЦС), в рабочей среде.

Примечание Если подсистема балансировки нагрузки перед VMware Identity Manager завершаетсеанс SSL, к ней применяется сертификат SSL.


n Создайте запрос подписи сертификата (CSR) и получите действительный подписанныйсертификат SSL из Центра сертификации. У файлов сертификатов должен быть формат PEM.

n В качестве обычного имени в различающемся имени субъекта используйте полное доменноеимя, которое пользователи будут использовать для доступа к службе VMware Identity Manager.Если устройство VMware Identity Manager находится за подсистемой балансировки нагрузки,это имя сервера подсистемы балансировки нагрузки.


VMware, Inc. 62

n Если сеанс SSL не будет завершен в подсистеме балансировки нагрузки, сертификат SSL,используемый службой, должен включать в себя альтернативные имена субъектов (SAN) длявсех полных доменных имен в кластере VMware Identity Manager, чтобы узлы в кластере моглиотправлять запросы друг к другу. Также включите альтернативное имя субъекта для полногодоменного имени узла, которое пользователи будут использовать для доступа к службеVMware Identity Manager, помимо использования для обычного имени, так как это требуется внекоторых браузерах.

Процедура

1. В консоли VMware Identity Manager выберите вкладку Настройки устройства.

2. Щелкните Управление конфигурацией и введите пароль администратора.

3. Выберите Установить сертификаты SSL > Сертификат сервера.

4. В поле «Сертификат SSL» выберите Пользовательский сертификат.

5. В текстовом поле Цепочка сертификатов SSL вставьте имя сервера, промежуточные икорневые сертификаты (в таком же порядке).

Нужно вставить всю цепочку сертификатов в правильном порядке. Для каждого сертификатаскопируйте все содержимое между строками и сами строки «-----BEGIN CERTIFICATE-----» и«-----END CERTIFICATE----».

6. В текстовом поле Закрытый ключ вставьте закрытый ключ. Скопируйте все содержимоемежду «----BEGIN RSA PRIVATE KE» и «---END RSA PRIVATE KEY».


Пример:Примеры сертификатов

Пример цепочки сертификатов

-----BEGIN CERTIFICATE-----

jlQvt9WdR9Vpg3WQT5+C3HU17bUOwvhp/r0+

...

W53+O05j5xsxzDJfWr1lqBlFF/OkIYCPcyK1

-----END CERTIFICATE-----


WdR9Vpg3WQT5+C3HU17bUOwvhp/rjlQvt90+

...

O05j5xsxzDJfWr1lqBlFF/OkIYCPW53+cyK1



dR9Vpg3WQTjlQvt9W5+C3HU17bUOwvhp/r0+

...

5j5xsxzDJfWr1lqW53+O0BlFF/OkIYCPcyK1



VMware, Inc. 63

Пример цепочки закрытых ключей

-----BEGIN RSA PRIVATE KEY-----

jlQvtg3WQT5+C3HU17bU9WdR9VpOwvhp/r0+

...

1lqBlFFW53+O05j5xsxzDJfWr/OkIYCPcyK1

-----END RSA PRIVATE KEY-----

Установка доверенных корневых сертификатовУстановите корневой или промежуточный сертификат, которому доверяет серверVMware Identity Manager. Серве VMware Identity Manager сможет установить безопасныеподключения к серверам, цепочка сертификатов которых включает в себя любой из такихсертификатов.

Если в среде подсистемы балансировки нагрузки настроен сервер VMware Identity Manager, а срокдействия SSL-сертификата истек, установите в этой среде корневой сертификат.

Процедура


2. Щелкните Управление конфигурацией и введите пароль администратора.

3. Перейдите на вкладку Установка сертификатов SSL, а затем Доверенные центрысертификации.

4. Вставьте корневой или промежуточный сертификат в текстовом поле.

Скопируйте все содержимое между строками и сами строки «-----BEGIN CERTIFICATE-----» и«-----END CERTIFICATE----».


Установка сертификата сквозной передачиВкладка Сертификат сквозной передачи используется только в том случае, если проверкаподлинности сертификата настроена во внедренном соединителе при развертывании вдемилитаризованной зоне. В других случаях эта вкладка не используется. Дополнительныесведения см. в разделе Развертывание VMware Identity Manager в демилитаризованной зоне.

Настройка VMware Identity Manager для использованиявнешней базы данныхПосле создания базы данных Microsoft SQL, если внешняя созданная база данных автоматическине настроен в VMware Identity Manager, настройте VMware Identity Manager использовать базуданных на странице «Настройки устройства».


VMware, Inc. 64


n База данных со схемой saas, которая создана на сервере Microsoft SQL в качестве серверавнешней базы данных. Дополнительные сведения о конкретных версиях, которыеподдерживаются в VMware Identity Manager, см. в таблицах совместимости продуктов VMware.

Процедура

1. В консоли VMware Identity Manager перейдите на вкладку Настройки устройства и щелкнитеКонфигурация виртуального устройства.

2. Щелкните Конфигурация управления.

3. Войдите, используя пароль администратора VMware Identity Manager.

4. На странице «Установка подключения к базе данных» выберите тип базы данных Внешняябаза данных.

5. Введите сведения о подключении к базе данных.

а) Введите URL-адрес JDBC сервера базы данных Microsoft SQL.

Режим проверкиподлинности Строка URL-адреса JDBC


jdbc:jtds:sqlserver://<hostname_or_IP_address:port#>/<saasdb>;integratedSecurity=true;domain=<domainname>;useNTLMv2=true


jdbc:sqlserver://<hostname_or_IP_address:port#>;DatabaseName=<saasdb>

Примечание Чтобы включить возможность SQL Server AlwaysOn, установите значениеTrue для параметра MultiSubNetFailover в SQL. Строка URL-адреса JDBC:

jdbc:jtds:sqlserver://<hostname_or_IP_address:port#>/<saasdb>;integratedSecurity=true;domain=<d

omainname>;useNTLMv2=true;multiSubnetFailover=true

б) Введите loginusername и пароль, заданные при создании базы данных. См. Настройка базыданных Microsoft SQL в режиме проверки подлинности локального SQL Server.

6. Щелкните Протестировать соединение, чтобы проверить и сохранить сведения.


(Необязательно.) Измените привилегии для роли пользователя базы данных db_owner. См. раздел Изменение ролей на уровне базы данных.

Изменение URL-адреса службы VMware Identity ManagerURL-адрес, который пользователи используют для доступа к службе VMware Identity Manager,можно изменить. Например, его можно заменить на URL-адрес средства балансировки нагрузки.


VMware, Inc. 65

http://www.vmware.com/resources/compatibility/sim/interop_matrix.php

Процедура

1. Войдите в консоль VMware Identity Manager.

2. Перейдите на вкладку Настройки устройства и выберите Конфигурация виртуальногоустройства.

3. Щелкните Управление конфигурацией и войдите в систему, используя парольадминистратора.

4. Щелкните Полностью определенное доменное имя Identity Manager и введите новый URL-адрес в поле Полностью определенное доменное имя Identity Manager.

Используйте формат https://полное_доменное_имя:порт. Порт можно не указывать. Поумолчанию используется порт 443.

Например, https://myservice.example.com.



Включите новый пользовательский интерфейс портала.

1. Перейдите на страницу https://URL-адрес_VMware_Identity_Manager/admin, чтобы получитьдоступ к консоли администрирования.

2. В консоли администрирования щелкните стрелку на вкладке Каталог и выберите Параметры.

3. Выберите Новый пользовательский интерфейс портала для конечных пользователей вобласти слева и щелкните Включить пользовательский интерфейс нового портала.

Изменение URL-адреса соединителяURL-адрес соединителя можно изменить путем обновления имени узла поставщика удостоверенийв консоли VMware Identity Manager.

Процедура


2. Перейдите на вкладку Управление учетными данными и доступом, а затем — на вкладкуПоставщики удостоверений.

3. На странице «Поставщики удостоверений» выберите поставщика удостоверений дляобновления.

4. В поле Имя узла поставщика удостоверений введите новое имя узла.

Используйте формат имя_узла:порт. Порт можно не указывать. По умолчанию используетсяпорт 443.

Например, vidm.example.com.



VMware, Inc. 66

Сведения о файле журналаФайлы журнала VMware Identity Manager могут помочь выполнить отладку и устранить неполадки.Обычно рекомендуется начать с файлов журнала, перечисленных ниже. Дополнительные журналыможно найти в каталоге журналов.

Таблица 6‑1. Файлы журнала

КомпонентРасположение файла журналаLinux

Расположение файла журналаWindows Описание

ЖурналыслужбыIdentity Manager

/opt/vmware/horizon/workspa

ce/logs/horizon.log

<INSTALL_DIR>\opt\vmware\horiz

on\workspace\logs\horizon.log

Сведения о действиях в службе,например правах, пользователяхи группах.

Журналыконфигуратора


ce/logs/configurator.log


on\workspace\logs\configurator

.log

Запросы, поступающие вконфигуратор от клиента REST ивеб-интерфейса.

Журналысоединителя


ce/logs/connector.log


on\workspace\logs\connector.lo

g

Запись каждого запроса,полученного из веб-интерфейса.Каждая запись журналавключает также URL-адрес,временную метку и исключениязапроса. Действия посинхронизации не вносятся вжурнал.


ce/logs/connector-dir-

sync.log

InstallDirectory\IDMConnecto

r\opt\vmware\horizon\workspac

e\logs\connector-dir-sync.log

Сообщения, относящиеся ксинхронизации каталогов.

ЖурналыApache Tomcat


ce/logs/catalina.log


on\workspace\logs\catalina.log

Сообщения Apache Tomcat, незаписанные в другие файлыжурнала.

Сбор сведений журналаВо время тестирования или устранения неполадок в журналах собираются отзывы об активности ипроизводительности виртуального устройства, а также сведения о каких-либо проблемах, которыевозникают.

Соберите журналы со всех устройств в своей среде.

Процедура


2. Выберите вкладку Настройки устройства, а затем щелкните элемент Управлениеконфигурацией.

3. Щелкните Расположение файлов журнала, а затем выберите Подготовить пакет журнала.

Сведения собираются в файле формата tar.gz, который можно загрузить.


VMware, Inc. 67

4. Загрузите подготовленный пакет.


Чтобы собрать все журналы, выполните эти действия для каждого устройства.

Настройка значения DEBUG в качестве уровня журнала службыVMware Identity ManagerВы можете установить уровень ведения журнала DEBUG для регистрации дополнительныхсведений, которые могут помочь при устранении проблем.

Процедура

1. Выполните вход на компьютер.

2. Измените путь к каталогу conf.

В ОС Linux перейдите в /usr/local/horizon/conf/.

В ОС Windows перейдите в \usr\local\horizon\conf\.

3. Обновите уровень ведения журнала в файлах cfg log4j.properties, hc-log4j.properties иsaas-log4j.properties, которые представляют собой самые часто используемые файлыформата log4j для службы.

а) Измените файл.

б) В строках, для которых задан уровень ведения журнала INFO, замените INFO на DEBUG.

Например, измените:

rootLogger.level=INFO

на:

rootLogger.level=DEBUG

в) Сохраните файл.

Перезапускать службу или систему не нужно.

Управление паролемПри начальной настройке VMware Identity Manager для Windows создаются пароли дляадминистратора. Можно изменить пароль администратора на вкладке «Настройки устройства»консоли Identity Manager.


VMware, Inc. 68

Убедитесь, что создаются надежные пароли. Надежные пароли должны состоять не менее чем из8 символов, и содержать строчные и прописные буквы, а также по крайней мере одну цифру испециальный символ.

Примечание Если не удается войти в систему и требуется сбросить пароль, можно использоватьсценарий hznSetAdminPassword.bat для сброса пароля. См. Сброс пароля администратора вVMware Identity Manager для Windows.

Процедура


2. Щелкните Конфигурация виртуального устройства > Управление конфигурацией.

3. Чтобы изменить пароль администратора, выберите Изменить пароль.

Важно! Пароль администратора должен состоять не менее чем из 6 символов.

4. Введите новый пароль.


Сброс пароля администратора в VMware Identity Manager дляWindowsМожно изменить пароль администратора службы VMware Identity Manager со страницадминистрирования соединителя по адресу https://<hostnameFQDN>:8443/cfg/login. Однако если неудается войти в систему и требуется сбросить пароль, можно использовать сценарийhznSetAdminPassword.bat для сброса пароля.

Процедура

1. В Windows Server откройте окно командной строки.

2. Перейдите в папку <IDM_INSTALL_DIR>\usr\local\horizon\bin,

cd <IDM_INSTALL_DIR>\usr\local\horizon\bin

где IDM_INSTALL_DIR — это каталог установки службы VMware Identity Manager.

3. Выполните следующую команду.

hznSetAdminPassword.bat newPassword

Пароль администратора должен состоять не менее чем из 6 символов.

Настройка параметров SMTPС помощью параметров SMTP-сервера можно настроить получение уведомлений из службыVMware Identity Manager по электронной почте. Например, уведомлений по электронной почтеотправляются при создании новых локальных пользователей, при сбросе пароля или с помощьюмаркера проверки автоматического обнаружения.


VMware, Inc. 69

Процедура


2. Перейдите на вкладку Настройки устройства, а затем щелкните элемент SMTP.

3. Введите имя узла SMTP-сервера.

Например, smtp.example.com.

4. Введите номер порта SMTP-сервера.

Например, 25.

5. (Необязательно) Если для сервера SMTP необходима проверка подлинности, введите имяпользователя и пароль.


7. Чтобы настроить адрес отправителя в уведомлениях по электронной почте, добавьте адреса вфайл runtime-config.properties.

а) Выполните вход на компьютер VMware Identity Manager.

б) Измените файл /usr/local/horizon/conf/runtime-config.properties и добавьтеследующее свойство:

notification.emails.support=emailaddress

Пример:

[email protected]

в) Сохраните файл.

г) Перезагрузите компьютер.

<install dir>\usr\local\horizon\scripts\horizonService.bat restart

Адрес отправителя изменится с адреса по умолчанию [email protected] нанастроенный адрес.


VMware, Inc. 70

Устранение неполадок при установкеи настройке 7В разделах по устранению неполадок приведены решения потенциальных проблем, которые могутвозникнуть при установке и настройке VMware Identity Manager.


n После синхронизации каталога в группе не отображаются пользователи

n Устранение неполадок Elasticsearch

После синхронизации каталога в группе не отображаютсяпользователиСинхронизация каталогов завершается успешно, но в синхронизированных группах неотображаются пользователи.

Проблема

После синхронизации каталога вручную или автоматически по расписанию процесс синхронизацииуспешно завершается, но пользователи в синхронизированных группах не отображаются.

Причина

Эта проблема возникает при наличии нескольких узлов в кластере, если расхождения во временимежду ними превышает 5 секунд.

Решение

1. Убедитесь в отсутствии разницы во времени между узлами. Используйте на всех узлахкластера один и тот же NTP-сервер для синхронизации времени.

Например, введитеhttps://community.spiceworks.com/how_to/5765-configure-windows-server-to-query-

an-external-ntp-server.

2. Перезапустите службу на всех узлах.

<install dir>\usr\local\horizon\scripts\horizonService.bat restart

3. (Необязательно.) В консоли VMware Identity Manager удалите группу, добавьте ее снова впараметрах синхронизации, а затем синхронизируйте каталог еще раз.

VMware, Inc. 71

Устранение неполадок ElasticsearchЭти сведения помогут устранить неполадки в кластерной среде, связанные с Elasticsearch.Подсистема поиска и анализа Elasticsearch, используемая для аудита, создания отчетов ижурналов синхронизации каталогов, встроена в виртуальное устройство VMware Identity Manager.

Устранение неполадок ElasticsearchЧтобы проверить работоспособность Elasticsearch, необходимо использовать средство curl. Еслисредство curl не установлено на компьютере под управлением Windows, можно отправить запрос скомпьютера под управлением Linux или Mac на адрес curl http://<hostname>:9200/_cluster/health?pretty. Брандмауэр должен быть включен для внешних запросов.

Команда должна возвратить результат, аналогичный приведенному ниже.

{

"cluster_name" : "horizon",

"status" : "green",

"timed_out" : false,

"number_of_nodes" : 3,

"number_of_data_nodes" : 3,

"active_primary_shards" : 20,

"active_shards" : 40,

"relocating_shards" : 0,

"initializing_shards" : 0,

"unassigned_shards" : 0,

"delayed_unassigned_shards" : 0,

"number_of_pending_tasks" : 0,

"number_of_in_flight_fetch" : 0

}

Если подсистема Elasticsearch не запускается надлежащим образом или ее состояние отмеченокрасным цветом, выполните следующие действия для устранения неполадок.

1. Убедитесь, что порт 9300 открыт.

а) Обновите сведения об узле, добавив IP-адреса всех узлов в кластере вфайл \usr\local\horizon\scripts\updateiptables.hzn.

ALL_IPS="node1IPadd node2IPadd node3IPadd"

б) Выполните следующий сценарий на всех узлах кластера.

\usr\local\horizon\scripts\updateiptables.hzn

2. Перезапустите подсистему Elasticsearch на всех узлах кластера.

3. Просмотрите журналы, чтобы получить дополнительную информацию.


VMware, Inc. 72

cd /opt/vmware/elasticsearch/logs

Можно использовать Powershell или NotePad ++ с подключаемым модулем мониторингадокумента для мониторинга файлов журнала. В Powershell синтаксис выглядит следующимобразомGet-Conent myTestLog.log-Wait.


VMware, Inc. 73

МониторингVMware Identity Manager 8Мониторинг VMware Identity Manager является важной частью обеспечения надлежащей работырешения Workspace ONE.

Можно использовать сторонние средства, такие как Nagios, Splunk, Symantec Altiris, Spotlight, Igniteили Montastic. Обратитесь к специалисту ИТ-отдела своей компании для получения конкретныхрекомендаций по выбору средств мониторинга, если у вас еще нет решения.

Этот документ предоставляет общие рекомендации по максимальной мощности оборудования,сведения о файлах журнала и конечные точки URL-адресов. В нем в явной форме нерассказывается о настройке мониторинга решения.

В эту главу входят следующие разделы:n Рекомендации по мониторингу максимальной мощности оборудования

n Конечные точки URL-адресов VMware Identity Manager для мониторинга

n Ведение системного журнала

n Изменения объема памяти по умолчанию, выделенной для службы VMware Identity Manager

Рекомендации по мониторингу максимальной мощностиоборудованияИспользуйте эти стандарты мониторинга для проверки работоспособности сервера.

Показатели для записиОборудование Мониторы

ЦП Использование

Память Использование

Жесткий диск Свободное пространство

Сеть Использование

Оповещения и пороговые значенияКомпания VMware рекомендует анализировать каждый отдельный случай использования, чтобыопределить правильные пороговые значения для отдельных сред.

VMware, Inc. 74

Оборудование Оповещения, образцы, пороговые значения

ЦП Образцы: 5-минутные образцы

Пороговое значение: 90% более 1 ч, 95 более 1 ч

Оповещения: нагрузка 90% — предупреждение, 95% —критическая ошибка

Память Образцы: 5-минутные образцы


Оповещения: используется 90% — предупреждение,95% — критическая ошибка

Жесткий диск Образцы: 5-минутные образцы


Оповещения: используется 90% — предупреждение,95% — критическая ошибка

Сеть Образцы: 5-минутные образцы


Оповещения: нагрузка 90% — предупреждение, 95% —критическая ошибка

Стратегии для записиn Виртуальное устройство VMware Identity Manager на базе Linux. Для виртуального устройства

показатели записываются с помощью базовых средств использования виртуальнойинфраструктуры, например vSphere или vRealize Operations.

n VMware Identity Manager в ОС Windows. Установите агент мониторинга, которыйподдерживается для серверов Windows и может записывать эти показатели. Кроме того, длявиртуальных серверов можно использовать встроенные в vSphere инструменты для записисоответствующих показателей.

Конечные точки URL-адресов VMware Identity Manager длямониторингаОтслеживайте перечисленные конечные точки URL-адресов различных компонентов VMwareIdentity Manager для обеспечения работы среды. Некоторые конечные точки также можноиспользовать для подсистем балансировки нагрузки, чтобы убедиться, что в службе настроенприем трафика.


VMware, Inc. 75

Проверки работоспособности подсистем балансировки нагрузки

КомпонентПроверкаработоспособности Ожидаемый возврат Примечания

Служба VMware IdentityManager

/SAAS/API/1.0/REST/syste

m/health/heartbeat

Строка: ОК

Http: 200

Частота: каждые 30 секунд.

Единый вход длямобильных устройств сAndroid —Certproxy:

:5262/system/health

Http: 200 Частота: каждые 30 секунд.

Единый вход длямобильных устройств сiOS — KDC:

TCP half-open to port 88

Подключение Частота: каждые 30 секунд.

VMware Identity Manager Connector

/hc/API/1.0/REST/syste

m/health/allOk

Строка: true

Http: 200


Integration Broker /IB/API/RestServiceImpl.

svc/ibhealthcheck

Строка: все ОК

Http: 200


Интеграция XenApp 7.x:

/IB/API/RestServiceImpl.

svc/hznxenapp/admin/xenf

arminfo?

computerName=&xenappvers

ion=Version7x

Строка: «SiteName»

Http: 200

Частота: каждые 5 минут

Интеграция XenApp 6.x:

/IB/API/RestServiceImpl.

svc/hznxenapp/admin/xenf

arminfo?

computerName=&xenappvers

ion=Version65orLater

Строка: «FarmName»

Http: 200

Частота: каждые 5 минут

Проверки работоспособности подсистемы балансировки нагрузки возвращают простые значениядля разбора, выполняемого сетевым оборудованием.

Дополнительные проверки работоспособности для мониторингаПроверки работоспособности, перечисленные ниже, могут использоваться в решениях помониторингу, которые могут разбирать данные и создавать панели мониторинга. Установитечастоту «каждые 5 минут».

Мониторинг и работоспособность службы VMware Identity Manager

URL-адрес вызова: /SaaS/jersey/Manager/API/System/Health

или

/SaaS/API/1.0/REST/System/Health


VMware, Inc. 76

Необработанный результат:

{

"AnalyticsUrl":"unknown",

"ElasticsearchServiceOk":"true",

"EhCacheClusterPeers":"unknown",

"ElasticsearchMasterNode":"unknown",

"ElasticsearchIndicesCount":"unknown",

"ElasticsearchDocsCount":"unknown",

"AuditPollInterval":"0",

"AnalyticsConnectionOk":"true",

"EncryptionServiceVerified":"unknown",

"FederationBrokerStatus":"unknown",

"ServiceReadOnlyMode":"false",

"ElasticsearchUnassignedShards":"unknown",

"AuditWorkerThreadAlive":"true",

"BuildVersion":"3.3.0.0 Build xxxxxxx",

"AuditQueueSize":"0",

"DatabaseStatus":"unknown",

"HostName":"unknown",

"ElasticsearchNodesCount":"unknown",

"EncryptionStatus":"unknown",

"FederationBrokerOk":"true",

"EncryptionConnectionOk":"true",

"EncryptionServiceImpl":"unknown",

"ClusterId":"22f6e089-45df-41ab-9c8a-77f3e4589230",

"EhCacheClusterDiagnostics":"unknown",

"ElasticsearchNodesList":"unknown",

"DatabaseConnectionOk":"true",

"ElasticsearchHealth":"unknown",

"StatusDate":"2018-08-06 19:14:40 UTC",

"ClockSyncOk":"true",

"MaintenanceMode":"false",

"MessagingConnectionOk":"true",

"fipsModeEnabled":"true",

"ServiceVersion":"3.3.0",

"AuditQueueSizeThreshold":"null",

"IpAddress":"unknown",

"AuditDisabled":"false",

"AllOk":"true"

}

«AllOk» «true», «false» Сведение данных проверкиработоспособности для мониторингаобщей работоспособности службVMware Identity Manager

«MessagingConnectionOk» «true», «false» Проверяет, подключены ли все авторыи получатели сообщений к RabbitMQ

«DatabaseConnectionOk» «true», «false» Проверяет подключение к базе данных

«EncryptionConnectionOk» «true», «false» Проверяет, все ли в порядке сподключением к службе шифрованияи хранилищем главных ключей


VMware, Inc. 77

«AnalyticsConnectionOk» «true», «false» Проверяет подключение к службесредств анализа

«FederationBrokerOk» «true», «false» Проверяет встроенные адаптерыпроверки подлинности, чтобыобеспечить надлежащую работу ихподсистем

Примечание Метка «неизвестно» в выходных данных указывает на данные с ограниченнымдоступом. По умолчанию, конфиденциальная информация, например IP-адреса и имена узлов,скрывается. Чтобы отобразить эту информацию, см. раздел Отображение дополнительнойинформации в API-интерфейсе проверки работоспособности.

URL-адрес вызова: /Catalog-Portal/Services/Health

Эта проверка работоспособности используется только для части пользовательского интерфейсаVMware Identity Manager.


{

"status": "UP",

"uiService": {

"status": "UP"

},

"apiService": {

"status": "UP"

},

"eucCacheEngine": {

"status": "UP"

},

"cacheEngineClient": {

"status": "UP"

},

"persistenceEngine": {

"status": "UP",

"database": "Microsoft SQL Server",

"hello": 1

},

"tenantPersistenceEngine": {

"status": "UP",

"database": "Microsoft SQL Server",

"hello": 1

},

"diskSpace": {

"status": "UP",

"total": 8460120064,

"free": 4898279424,

"threshold": 10485760

}

}


VMware, Inc. 78

«состояние» «ВВЕРХ», «ВНИЗ» Сведение данных проверкиработоспособности для мониторингаобщей работоспособностипользовательского интерфейсаVMware Identity Manager

«uiServer.status» «ВВЕРХ», «ВНИЗ» «ВВЕРХ», если запущена главнаяслужба пользовательскогоинтерфейса

«apiService.status» «ВВЕРХ», «ВНИЗ» «ВВЕРХ», если запущена главная API-служба пользовательскогоинтерфейса

«eucCacheEngine.status» «ВВЕРХ», «ВНИЗ» «ВВЕРХ», если запущен механизмкластера Hazelcast

«cacheEngineClient.status» «ВВЕРХ», «ВНИЗ» «ВВЕРХ», если запущен клиентHazelcast для пользовательскогоинтерфейса

«persistenceEngine.status» «ВВЕРХ», «ВНИЗ» «ВВЕРХ», если запущена главнаябаза данных (SQL)

«tenantPersistenceEngine.status» «ВВЕРХ», «ВНИЗ» «ВВЕРХ», если запущена главнаябаза данных (SQL)

«diskSpace.status» «ВВЕРХ», «ВНИЗ» «ВВЕРХ», если свободноепространство больше, чемнастроенное пороговое значение,равное 10 МБ

«diskSpace.free» Байты Свободное пространство в байтах вразделе, где установленпользовательский интерфейс VMwareIdentity Manager

Мониторинг и работоспособность VMware Identity Manager Connector

URL-адрес вызова: /hc/API/1.0/REST/system/health


{

"HorizonDaaSSyncConfigurationStatus": "",

"AppManagerServiceOk": "true",

"DomainJoinEnabled": "false",

"XenAppEnabled": "true",

"ViewSyncConfigurationStatus": "",

"ThinAppServiceOk": "true",

"ThinAppSyncConfigurationStatus": "unknown",

"Activated": "true",

"XenAppServiceOk": "false",

"DirectoryServiceStatus": "Connection test successful",

"BuildVersion": "2017.1.1.0 Build 5077496",

"ThinAppServiceStatus": "unknown",

"XenAppServiceStatus": "A problem was encountered Sync Integration Broker",

"HostName": "hostname.company.local",


VMware, Inc. 79

"NumberOfWarnAlerts": "0",

"JoinedDomain": "true",

"XenAppSyncConfigurationStatus": "Sync configured (manually)",

"DirectorySyncConfigurationStatus": "Sync configured (manually)",

"NumberOfErrorAlerts": "0",

"DirectoryServiceOk": "true",

"HorizonDaaSTenantOk": "true",

"ThinAppDirectoryPath": "",

"StatusDate": "2017-06-27 10:52:59 EDT",

"ViewSyncEnabled": "false",

"ViewServiceOk": "true",

"HorizonDaaSEnabled": "false",

"AppManagerUrl": "https://workspaceurl.com/SAAS/t/qwe12312qw/",

"HorizonDaaSServiceStatus": "unknown",

"DirectoryConnection": "ldap:///ldapcall",

"ServiceVersion": "VMware-C2-2017.1.1.0 Build 5077496",

"IpAddress": "169.118.86.105",

"DomainJoinStatus": "Domain: customerdomainname",

"AllOk": "false",

"ViewServiceStatus": "unknown",

"ThinAppEnabled": "false",

"XenAppSyncSsoBroker": "integrationbrokersso:443 / integrationbrokersync:443"

}

«AllOk» «true», «false» Сведение проверкиработоспособности для мониторингаобщей работоспособности службсоединителя VMware Identity Manager.

«ViewServiceOk» «true», «false» «True», если установленоподключение к брокеру View. Дляэтого атрибута будет задано значениеTrue, если синхронизация Viewотключена.

«HorizonDaaSTenantOk» «true», «false» «True», если установленоподключение к Horizon Cloud. Дляэтого атрибута будет задано значениеTrue, если синхронизация HorizonCloud отключена.

«DirectoryServiceOk» «true», «false» «True», если установленоподключение к каталогу. Для этогоатрибута будет задано значение True,если синхронизация каталоговотключена.

«XenAppServiceOk» «true», «false» «True», если установленоподключение к серверу Citrix. Дляэтого атрибута будет задано значениеTrue, если сервер Citrix отключен.


VMware, Inc. 80

«ThinAppServiceOk» «true», «false» «True», если установленоподключение к службе пакетныхприложений ThinApp. Для этогоатрибута будет задано значение True,если пакетные приложенияотключены.

«AppManagerServiceOk» «true», «false» «True», если в AppManager можновыполнять проверку подлинностинадлежащим образом.

«NumberOfWarnAlerts» 0–1000 Количество предупреждающихоповещений, запущенных в этомсоединителе. Они доступны в журналесинхронизации соединителя в разделе«Примечания». Они могут указывать,что ресурс синхронизирован, то естьвключены пользователь или группа, невходящие в VMware Identity Manager.В зависимости от конфигурации этоможет быть реализовано поумолчанию. Показания счетчикаувеличиваются с каждойсинхронизацией, пока количествооповещений о предупреждениях и обошибках не достигнет 1000 иадминистратор не удалитоповещения.

«NumberOfErrorAlerts» 0–1000 Количество оповещений об ошибках,которые получены в этомсоединителе. Они доступны в журналесинхронизации соединителя в разделе«Ошибка». Они могут указывать насбой синхронизации. Показаниясчетчика увеличиваются с каждойсинхронизацией, пока количествооповещений о предупреждениях и обошибках не достигнет 1000 иадминистратор не удалитоповещения.

Мониторинг и работоспособность VMware Identity Manager Integration Broker

URL-адрес вызова: /IB/API/RestServiceImpl.svc/ibhealthcheck


“All Ok”

Эта проверка работоспособности позволяет убедиться, что все программное обеспечение вIntegration Broker отвечает надлежащим образом. Она возвращает ответ 200 со строкой «All Ok».

Мониторинг и работоспособность VMware Identity Manager Integration Broker на основе CitrixXenApp 7.x


VMware, Inc. 81

URL-адресвызова: /IB/API/RestServiceImpl.svc/hznxenapp/Admin/xenfarminfo?ComputerName=&xenappversion=Version7x

Данные вызова API-интерфейса передаются в Citrix. Мониторинг позволяет проверитьсогласованность всех значений.


[{

\ “ConfigurationLoggingServiceGroupUid \ “: \ “5e2a5602 - 45a8 - 4b56 - 92e6 - 9fae5a3ff459 \ “,

\ “ConfigurationServiceGroupUid \ “: \ “620d7c6e - b7c1 - 4ee7 - b192 -

d00764f477e7 \ “, \ “DelegatedAdministrationServiceGroupUid \ “: \ “0a59914d - 4b6e - 4cca -

bbaa - a095067092e3 \ “,

\ “LicenseServerName \ “: \ “xd.hs.trcint.com \ “,

\ “LicenseServerPort \ “: \ “27000 \ “,

\ “LicenseServerUri \ “: \ “https: \ / \ / xd.hs.domain.com: 8083 \ / \ “,

\ “LicensingBurnIn \ “: \ “2014.0815 \ “,

\ “LicensingBurnInDate \ “: \ “8 \ / 14 \ / 2014 5: 00: 00 PM \ “,

\ “LicensingModel \ “: \ “UserDevice \ “,

\ “MetadataMap \ “: \ “System.Collections.Generic.Dictionary `2[System.String,System.String]\“,

\“PrimaryZoneName\“:\“\”,

\“PrimaryZoneUid\“:\“00000000-0000-0000-0000-000000000000\“,

\“ProductCode\“:\“XDT\“,

\“ProductEdition\“:\“PLT\“,

\“ProductVersion\“:\“7.6\“,

\“SiteGuid\“:\“0c074098-02d2-47cf-aa87-7e3asdsad7c\“,

\“SiteName\“:\“customer\“

}]

Исключение необработанного результата:

{“ExceptionType”:“System.Management.Automation.CmdletInvocationException”,“Message”:“An invalid URL

was given for the service. The value given was ‘mit-xen751.hs.trcint.com’.\u000d\u000a The reason

given was: Failed to connect to back-end server ‘mit-xen751.hs.trcint.com’ on port 80 using binding

WSHttp. The server may be off-line or may not be running the appropriate

service\u000d\u000a\u0009There was no endpoint listening at http:\/\/mit-

xen751.hs.trcint.com\/Citrix\/ConfigurationContract\/v2 that could accept the message. This is often

caused by an incorrect address or SOAP action. See InnerException, if present, for more

details.\u000d\u000a\u0009The remote name could not be resolved: ‘mit-

xen751.hs.trcint.com’.“,”StackTrace”:” at

System.Management.Automation.Internal.PipelineProcessor.SynchronousExecuteEnumerate(Object input,

Hashtable errorResults, Boolean enumerate)\u000d\u000a at

System.Management.Automation.Internal.PipelineProcessor.SynchronousExecute(Array input, Hashtable

errorResults)\u000d\u000a at

System.Management.Automation.Runspaces.LocalPipeline.InvokeHelper()\u000d\u000a at

System.Management.Automation.Runspaces.LocalPipeline.InvokeThreadProc()“}

Мониторинг и работоспособность VMware Identity Manager Integration Broker на основе CitrixXenApp 6.x


VMware, Inc. 82

URL-адресвызова: /IB/API/RestServiceImpl.svc/hznxenapp/Admin/xenfarminfo?ComputerName=&xenappversion=Version65orLater

Данные вызова API-интерфейса передаются в Citrix. Мониторинг позволяет проверитьсогласованность всех значений.


“[{

\ “FarmName \ “: \ “NewFarm \ “,

\ “ServerVersion \ “: \ “6.5.0 \ “,

\ “AdministratorType \ “: \ “Full \ “,

\ “SessionCount \ “: \ “0 \ “,

\ “MachineName \ “: \ “XENAPPTEST \ “

}]”

Отображение дополнительной информации в API-интерфейсе проверкиработоспособностиМожно управлять отображением конфиденциальной информации, например IP-адресов и именузлов, в выходных данных API-интерфейсов проверки работоспособностиhttps://<VIDM_FQDN>/SAAS/jersey/manager/api/system/health иhttps://<VIDM_FQDN>/SAAS/API/1.0/REST/system/health. По умолчанию эта информация невключена в выходные данные API-интерфейса.

Свойство service.health.check.basic в файле runtime-config.properties управляет этимпараметром. Если свойство имеет значение True, отображается только основная информация, аконфиденциальная информация скрывается. Метка «Неизвестно» в выходных данных указывает наданные с ограниченным доступом. Пример:

AnalyticsUrl: "unknown"

ElasticsearchServiceOk: "true"

EhCacheClusterPeers: "unknown"

ElasticsearchMasterNode: "unknown"

ElasticsearchIndicesCount "unknown"

ElasticsearchDocsCount: "unknown"

AuditPollInterval: "1000"

AnalyticsConnectionOk: "true"

...

IpAddress: "unknown"

AuditDisabled: "false"

AllOk: "true"


VMware, Inc. 83

Если свойство имеет значение False, отображается вся доступная информация. Пример:

AnalyticsUrl: "http://198.51.100.0"

ElasticsearchServiceOk: "true"

EhCacheClusterPeers: ""

ElasticsearchMasterNode: "198.51.100.1"

ElasticsearchIndicesCount: "13"

ElasticsearchDocsCount: "11173"

AuditPollInterval: "1000"

AnalyticsConnectionOk: "true"

...

IpAddress: "198.51.100.2"

AuditDisabled: "false"

AllOk: "true"

По умолчанию для свойства установлено значение True.

Примечание При настройке кластера VMware Identity Manager в случае изменения свойстваубедитесь, что изменения сделаны на всех узлах в кластере.

Процедура

1. Войдите в систему на сервере VMware Identity Manager.

2. Измените файл install_dir\usr\local\horizon\conf\runtime-config.properties иустановите для свойства service.health.check.basic значение True или False.


true Отображается только основная информация. Конфиденциальнаяинформация скрывается, и на ее месте отображается метка «Неизвестно».

false Отображается вся доступная информация

3. Сохраните файл.

4. Перезапустите службу.

install_dir\usr\local\horizon\scripts\horizonService.bat restart

5. Если настроен кластер VMware Identity Manager, внесите эти изменения на каждом узле вкластере.

Ведение системного журналаВедение журнала из службы VMware Identity Manager и компонентов соединителя VMware IdentityManager доступно с помощью системного журнала. Компонент Integration Broker заносится вжурнал локально. Журналы можно собирать и проверять на сервере или с помощью центральнойслужбы ведения журнала, например, vRealize Log Insight или Splunk.


VMware, Inc. 84

Ведение журнала службы и соединителя VMware Identity ManagerРасположения журналов

Большинство журналов службы и соединителя находятся в следующем расположении.

n Виртуальное устройствоLinux VMware Identity Manager: /opt/vmware/horizon/workspace/logs/

n VMware Identity Manager в ОС Windows: \<Install_Dir>\VMware IdentityManager\opt\vmware\horizon\workspace\logs

Журнал Цель

greenbox_web.log Журнал, который содержит сведения обо всехманипуляциях с пользовательским интерфейсом для веб- имобильных приложений

horizon.log Журнал службы VMware Identity Manager, которыйвключает в себя адаптеры удостоверений, RabbitMQ,Elasticsearch, Ehcache и другие подсистемы

connector.log Журнал соединителя VMware Identity Manager для всехметодов проверки подлинности, а также интеграции сHorizon и Citrix

сертификат proxy.log Компонент CertProxy службы VMware Identity Manager дляединого входа для мобильных устройств с Android

configurator.log Запросы, поступающие в конфигуратор от клиента REST ивеб-интерфейса

catalina.log Сообщения Apache Tomcat, не записанные в другие файлыжурнала

Ведение журнала Integration BrokerЖурналы Integration Broker находятся в следующем расположении:

C:\ProgramData\VMware\HorizonIntegrationBroker

Журналы записываются по дням и содержат все вызовы REST API, совершенные в и от IntegrationBroker.

Изменения объема памяти по умолчанию, выделенной для службыVMware Identity ManagerДля точного контроля объема памяти, выделенной для службы VMware Identity Manager, можноизменить объем памяти, выделенной в Tomcat через страницу переменных среды со свойствамисистемы Windows.


VMware, Inc. 85

Когда служба VMware Identity Manager установлена, по умолчанию для параметра памятиустанавливается значение в половину объема доступной памяти. Обычно параметр по умолчаниюне нужно изменять.

Процедура

1. На компьютере VMware Identity Manager под управлением Windows откройте панельуправления и перейдите на вкладку «Свойства системы» > «Дополнительно».

2. Щелкните Переменные среды в нижней части диалогового окна.

3. В разделе «Переменные среды» > «Пользовательские переменные» щелкните Создать.

4. В диалоговом окне Новая пользовательская переменная введите переменную в видеIDM_TOMCAT_MEM= <#>g

#g — выделяемая память. 2G — минимальный объем выделяемой памяти, но ограничения намаксимальное значение не существует.

5. Перезапустите службу. Введите команду пакетного файла horizonService.bat restart.


VMware, Inc. 86

Установка ограничений скорости 9Можно установить ограничения скорости в службе VMware Identity Manager и соединителеVMware Identity Manager.

В эту главу входят следующие разделы:n Установка ограничений скорости в службе VMware Identity Manager

n Установка ограничений скорости на соединителе VMware Identity Manager

Установка ограничений скорости в службеVMware Identity ManagerМожно установить ограничения на количество запросов на вход, запуск и запросов WS-Fed,которые могут быть сделаны в минуту для службы VMware Identity Manager. По достижении этогоограничения последующие запросы будут отклоняться. Настройка ограничения скорости позволяетизбежать перегрузки системы.

Например, если в качестве ограничения скорости для запросов на вход установить значение 100,то первые 100 запросов на вход в минуту будут приняты, а начиная со 101, запросы будутотклоняться.

В кластере VMware Identity Manager ограничение скорости применяется для каждого узла.Например, если в качестве ограничения скорости для запросов на вход установлено значение 100для кластера с узлами NodeA, NodeB и NodeC, то каждый из этих узлов может обработать по100 запросов на вход в минуту. Нельзя установить отдельные ограничения на вход для каждогоузла.

По достижении этого ограничения запросы будут отклоняться, конечные пользователи увидятследующее сообщение об ошибке:

VMware, Inc. 87

По умолчанию ограничения скорости не устанавливаются.

Ограничения скорости можно установить с помощью REST API. Используйте клиент REST, такойкак Postman, для отправки вызовов в службу VMware Identity Manager. Изменения вступят в силучерез несколько минут.

Установка ограничений скоростиИспользуйте этот API-интерфейс, чтобы установить ограничение скорости для службыVMware Identity Manager.

Конечная точка:https://hostname/SAAS/jersey/manager/api/system/tuning/resiliency/tenant/orgResilien

cyConfiguration?tenantId=tenantId

Метод: PUT

Описание: устанавливается максимальное количество запросов на вход, запуск и запросов WS-Fed, разрешенных в минуту службой VMware Identity Manager.

Заголовки:


VMware, Inc. 88

Типсодержимого

application/vnd.vmware.horizon.manager.system.tuning.resiliency.config

+json;charset=UTF-8

Принять application/vnd.vmware.horizon.manager.system.tuning.resiliency.config+json

Авторизация HZN cookie_value

Чтобы получить cookie_value, войдите в службу VMware Identity Manager от имени администратораарендатора, то есть администратора, созданного при первой установке VMware Identity Manager, иполучите значение файла cookie HZN из кэша файлов cookie в браузере.

Параметры пути. hostname Полное имя домена подсистемы балансировки нагрузки или службы VMware Identity Manager.

tenantId Идентификатор арендатора службы VMware Identity Manager. Идентификатор арендатора — это имяарендатора, которое отображается в правом верхнем углу консоли VMware Identity Manager.

Тело запроса.

{

"config": {

"rateLimitingDisabled": false,

"rateLimits": {

"login": {

"requestsPerMinute": n

},

"launch": {


},

"ws-fed": {


}

}

}

}

Параметры тела запроса

loginrequestsPerMinute

Укажите максимальное разрешенное количество запросов на вход в минуту.

Примечание Обратите внимание, что для завершения запроса на вход может потребоватьсянесколько запросов API, и каждый вызов API засчитывается в ограничении скорости. Например,проверка подлинности с помощью пароля состоит из двух вызовов API: один — дляотображения страницы входа, а второй — для отправки учетных данных.

launchrequestsPerMinute

Укажите максимальное разрешенное количество запросов на запуск в минуту.

ws-fedrequestsPerMinute

Укажите максимальное разрешенное количество запросов WS-Fed в минуту. Ограниченияскорости WS-Fed устанавливаются только для конфигураций активного входа.

Просмотр ограничений скоростиИспользуйте этот API-интерфейс для просмотра ограничений скорости, установленных для службыVMware Identity Manager.


VMware, Inc. 89


cyConfiguration?tenantId=tenantId

Метод: GET

Описание: извлекаются ограничения скорости, которые на данный момент установлены длязапросов на вход, запуск и запросов WS-Fed для службы VMware Identity Manager.

Заголовки:





Пример выходного значения:

{

"config": {


"rateLimits": {

"login": {

"requestsPerMinute": 100

},

"launch": {


},

"ws-fed": {


}

}

}

}

login requestsPerMinute Максимальное разрешенное количество запросов на вход в минуту.

launch requestsPerMinute Максимальное разрешенное количество запросов на запуск в минуту.

ws-fed requestsPerMinute Максимальное разрешенное количество запросов WS-Fed в минуту. Ограничения скоростиWS-Fed устанавливаются только для конфигураций активного входа.


VMware, Inc. 90

Установка ограничений скорости на соединителеVMware Identity ManagerКак и в службе VMware Identity Manager, на соединителе VMware Identity Manager можноустановить ограничения скорости.

Для соединителя можно установить ограничение на количество разрешенных запросов на вход вминуту. По достижении этого ограничения последующие запросы будут отклоняться. Настройкаограничения скорости позволяет избежать перегрузки системы.

Например, если в качестве ограничения скорости для запросов на вход установить значение 100,то первые 100 запросов на вход в минуту будут приняты, а начиная со 101, запросы будутотклоняться.

В кластере соединителя VMware Identity Manager ограничение применяется к каждому узлу.Например, если в качестве ограничения скорости для запросов на вход установлено значение 100для кластера с узлами NodeA, NodeB и NodeC, то каждый из этих узлов может обработать по100 запросов на вход в минуту. Нельзя установить отдельные ограничения на вход для каждогоузла.

По достижении этого ограничения запросы будут отклоняться, конечные пользователи увидятследующее сообщение об ошибке:

По умолчанию ограничения скорости не устанавливаются.


VMware, Inc. 91

Ограничения скорости можно установить с помощью REST API. Используйте клиент REST, такойкак Postman, для отправки вызовов в службу VMware Identity Manager.

Изменения вступят в силу через один час. Перезапустите соединитель, если необходимо, чтобыизменения вступили в силу немедленно.

Чтобы перезапустить виртуальное устройство соединителя под управлением Linux, войдите навиртуальное устройство и выполните следующую команду:

service horizon-workspace restart

Чтобы перезапустить соединитель Windows, запустите следующий сценарий:

install_dir\usr\local\horizon\scripts\horizonService.bat restart

Установка ограничений скоростиИспользуйте этот API-интерфейс, чтобы установить ограничение скорости для соединителяVMware Identity Manager.


cyConnectorConfiguration?tenantId=tenantId

Метод: PUT

Описание: устанавливается максимальное количество запросов на вход, разрешенных в минутусоединителем VMware Identity Manager.

Заголовки:

Типсодержимого

application/vnd.vmware.horizon.manager.system.tuning.resiliency.config

+json;charset=UTF-8

Принять application/vnd.vmware.horizon.manager.system.tuning.resiliency.config+json





Тело запроса.

{

"config": {


"rateLimits": {

"login": {



VMware, Inc. 92

}

}

}

}

Параметры тела запроса

loginrequestsPerMinute

Укажите максимальное разрешенное количество запросов на вход в минуту.

Примечание Обратите внимание, что для завершения запроса на вход может потребоватьсянесколько запросов API, и каждый вызов API засчитывается в ограничении скорости. Например,проверка подлинности с помощью пароля состоит из двух вызовов API: один — для отображениястраницы входа, а второй — для отправки учетных данных.

Просмотр ограничений скоростиИспользуйте этот API-интерфейс для просмотра ограничений скорости, установленных внастоящее время для соединителя VMware Identity Manager.


cyConnectorConfiguration?tenantId=tenantId

Метод: GET

Описание: извлекаются ограничения скорости, которые на данный момент установлены длязапросов на вход для соединителя VMware Identity Manager.

Заголовки:





Пример выходного значения:

{

"config": {


"rateLimits": {

"login": {


}

}

}

}


VMware, Inc. 93

login requestsPerMinute Максимальное разрешенное количество запросов на вход в минуту.


VMware, Inc. 94

VMware Identity Manager Уст ановка и наст ройка Windows · Установка и настройка VMware Identity Manager для Windows 5 1. Обзор VMware

Documents