Instalar y configurar VMware Identity Manager para Windows ...€¦ · Administrar la contraseña...

Instalar y configurarVMware Identity Managerpara WindowsAbril de 2019VMware Identity Manager 19.03

Instalar y configurar VMware Identity Manager para Windows

VMware, Inc. 2

Puede encontrar la documentación técnica más actualizada en el sitio web de VMware:

https://docs.vmware.com/es/

El sitio web de VMware también ofrece las actualizaciones de producto más recientes.

Si tiene comentarios relacionados con esta documentación, envíelos a:

[email protected]

Copyright © 2018, 2019 VMware, Inc. Todos los derechos reservados. Información sobre el copyright y marcacomercial.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware Spain, S.L.Calle Rafael Boti 262.ª plantaMadrid 28023Tel.: +34 914125000www.vmware.com/es

https://docs.vmware.com/es/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

http://pubs.vmware.com/copyright-trademark.html

Contenido

Acerca de la instalación y la configuración de VMware Identity Manager paraWindows 5

1 Descripción general de VMware Identity Manager Services 6

2 Preparar la instalación de VMware Identity Manager para Windows 9

Requisitos de configuración de la red y el sistema 9

Crear registros de DNS y direcciones IP 15

Crear la base de datos del servicio de VMware Identity Manager 17

Listas de comprobación de implementación 24

3 Programa de mejora de la experiencia de cliente 26

4 Implementar el equipo del de VMware Identity Manager detrás de un

equilibrador de carga 27Usar un equilibrador de carga o un proxy inverso para habilitar el acceso externo a

VMware Identity Manager 27

5 Configurar el servicio de VMware Identity Manager 30

Instalar VMware Identity Manager 30

Usar el asistente de configuración para completar la instalación 34

Implementar el equipo del de VMware Identity Manager detrás de un equilibrador de carga 35

Usar un equilibrador de carga o un proxy inverso para habilitar el acceso externo a

VMware Identity Manager 35

Aplicar el certificado raíz de VMware Identity Manager al equilibrador de carga 37

Aplicar el certificado raíz del equilibrador de carga a VMware Identity Manager 39

Configurar la conmutación por error y la redundancia en un centro de datos único (Windows) 40

Agregar direcciones IP de la lista blanca al firewall externo 45

Habilitar la configuración del proxy tras la instalación 46

Introducir la clave de licencia 46

6 Administrar los ajustes de configuración de VMware Identity Manager 48

Cambiar ajustes de configuración del dispositivo 49

Utilizar certificados SSL 49

Configure VMware Identity Manager para usar una base de datos externa 52

Modificar la URL del servicio VMware Identity Manager 53

Modificar la URL del conector 54

Información del archivo de registro 54

VMware, Inc. 3

Administrar la contraseña 56

Configurar las opciones de SMTP 57

Configurar la sincronización de hora para el servicio de VMware Identity Manager (Windows) 58

7 Actualizar Java en el servidor de VMware Identity Manager 60

8 Supervisar VMware Identity Manager 61

Recomendaciones de supervisión de la capacidad de carga de hardware 61

Extremos de URL de VMware Identity Manager para la supervisión 62

Registro del sistema 71

Cambiar la memoria predeterminada asignada al servicio de VMware Identity Manager 72

9 Configurar límites de frecuencia 73

Configurar límites de frecuencia en el servicio de VMware Identity Manager 73

Configurar límites de frecuencia en el conector de VMware Identity Manager 76

10 Solucionar los problemas de la instalación y la configuración 80

Un grupo no muestra ningún miembro después de la sincronización de directorios 80

Los usuarios no pueden iniciar aplicaciones en el entorno con equilibrio de carga 81


VMware, Inc. 4

Acerca de la instalación y la configuraciónde VMware Identity Manager paraWindows

Instalar y configurar VMware Identity Manager proporciona información sobre la instalación y laconfiguración del servicio de VMware Identity Manager en servidores Windows para implementacioneslocales. Cuando finaliza la instalación, se puede utilizar la consola de VMware Identity Manager paraautorizar a los usuarios a acceder a las aplicaciones de la organización, incluidas las aplicaciones web,las aplicaciones y los escritorios de Horizon y los recursos publicados de Citrix, con un accesomultidispositivo y administrado. La guía también explica cómo configurar la implementación paraconseguir una elevada disponibilidad.

Público objetivoEsta información está dirigida a los administradores de VMware Identity Manager. La información estáescrita para administradores expertos de sistemas Windows y Linux que están familiarizados contecnologías de VMware, especialmente con vCenter™, ESX™ y vSphere® con conceptos de redes, conservidores, bases de datos y procedimientos de copia de seguridad y restauración de Active Directory, ycon servidores NTP y Simple Mail Transfer Protocol (SMTP). Es útil conocer también otras tecnologías,como RSA SecurID, si está prevista su implementación.

VMware, Inc. 5

Descripción general deVMware Identity ManagerServices 1VMware Identity Manager es el componente de administración de identidad y acceso deWorkspace ONE. Junto con Workspace ONE UEM y VMware Horizon, VMware Identity Manager puedeimplementar un catálogo de aplicaciones universal que incluye aplicaciones web, nativas y virtuales.

VMware Identity Manager también es fundamental para la implementación de Single Sign-On (SSO)móvil y del acceso condicional, que incluye la administración de dispositivos y el las comprobaciones decumplimiento normativo. VMware Identity Manager está disponible en el SaaS compartido y en losmodelos de implementación locales.

En esta guía se describe cómo implementar VMware Identity Manager para Windows en un entornolocal, incluidas las configuraciones de alta disponibilidad y del equilibrador de carga. En el capítuloPreparar la instalación de VMware Identity Manager se describen los patrones de implementaciónrecomendados y se explica cómo cambiar el tamaño de la base de datos, el conector y los servidores deVMware Identity Manager en función del tamaño de la organización.

En la imagen Modelo de implementación de VMware Identity Manager para Windows se muestra elpatrón de implementación de alto nivel de Workspace ONE. El servicio del dispositivoWorkspace ONE UEM y el servicio VMware Identity Manager se implementan en la DMZ donde losdispositivos pueden acceder a los servicios directamente. El servicio VMware Horizon se implementa enla red interna.

VMware, Inc. 6

Figura 1‑1. Modelo de implementación de VMware Identity Manager para Windows

Servidor de VMwareIdentity Manager

Servidor deAirWatch

Servicios deActive Directory/otros directorios

Servidor deHorizon

Conectores

En las instalaciones

Implementación deWorkspace ONE

DMZ

Red empresarial

En la imagen Diagrama de arquitectura de VMware Identity Manager para implementaciones típicas semuestra un diagrama detallado con la configuración del equilibrador de carga necesaria para la instanciade VMware Identity Manager agrupada en clúster.


VMware, Inc. 7

Figura 1‑2. Diagrama de arquitectura de VMware Identity Manager para implementacionestípicas

Dispositivos externosHTTP(S) 80/88/443

e iOS

Puerto 443/88Puerto 443/88/5262

Puerto 443

Puerto 443

Puerto 80

8 GBEquilibrador de carga

Identity Manager

Servidor de la base de datos de Identity Manager

EnterpriseConnector

Administradores

RSA/DNS/DC53/88/464/135/5500

LDAP 389/636/3268/3269

Puerto 80

Puerto 443

AD/LDAP

Servidor SMTP

CA empresarial

Workspace ONEIntelligenceConnector

Dispositivos internos

Firewallexterno

Equilibradorde carga

Equilibrador de carga

Firewallinterno

DMZ

Red interna

HTTP(S) 80/443

Puerto 443/88/5262

Puerto 1443

Puerto 1443

Puerto 8443

Puerto 443

4 núcleos 100 GB

40 GBDB 12 núcleos 300 GB

12 GB 6 núcleos 100 GB

8 GB 1 núcleo 50 GB

Internet


VMware, Inc. 8

Preparar la instalación deVMware Identity Manager paraWindows 2El servicio de VMware Identity Manager se puede instalar en un nuevo servidor independiente o en unclúster con tres o más nodos.

Al tomar decisiones respecto a requisitos de hardware, recursos y red, considere la implementacióncompleta, incluyendo la integración de recursos.

Este capítulo incluye los siguientes temas:

n Requisitos de configuración de la red y el sistema

n Crear registros de DNS y direcciones IP

n Crear la base de datos del servicio de VMware Identity Manager

n Listas de comprobación de implementación

Requisitos de configuración de la red y el sistemaAl tomar decisiones respecto a requisitos de hardware, recursos y red, considere la implementacióncompleta, incluyendo la integración de recursos.

Requisitos de tamaño de hardwareAsegúrese de que cumple los requisitos de hardware para las instalaciones de Windows deVMware Identity Manager.

Número deusuarios Hasta 1.000 1.000-10.000 10.000-25.000 25.000-50.000 50.000-100.000

Número deservidores deVMware IdentityManager

1 servidor 3 servidores conequilibrio de carga

3 servidores conequilibrio de carga



CPU (por servidor) 2 CPU 2 CPU 4 CPU 8 CPU 8 CPU

RAM (por servidor) 6 GB 6 GB 8 GB 16 GB 32 GB

Espacio de disco(por servidor)

60 GB 100 GB 100 GB 100 GB 100 GB

Asegúrese de cumplir los siguientes requisitos respecto al número de instancias deVMware Identity Manager Connector.

VMware, Inc. 9


Número deservidores deconector

1 servidor 2 servidores conequilibrio de carga




CPU (por servidor) 2 CPU 4 CPU 4 CPU 4 CPU 4 CPU

RAM (por servidor) 6 GB 6 GB 8 GB 16 GB 16 GB

Espacio de disco(por servidor)

60 GB 60 GB 60 GB 60 GB 60 GB

Requisitos de software para la instalación de WindowsAsegúrese de que el servidor Windows de VMware Identity Manager cumpla los siguientes requisitos desoftware.

Requisito Notas

Versiones compatibles de Windows Servern Windows Server 2008 R2n Windows Server 2012 R2n Windows Server 2016

PowerShell 4.0 o versiones posteriores Módulo de Active Directory para PowerShell (RSAT-AD-PowerShell)

JRE 1.8 instalado El instalador de VMware Identity Manager instala la versiónmás reciente si no se instaló antes de la implementación.

Si JRE tiene una versión más antigua, el instalador actualizaráautomáticamente la versión, pero no eliminará la instancia deJRE existente. Las versiones antiguas se deben desinstalarmanualmente.

Servidor RabbitMQ El instalador de VMware Identity Manager instala el servidorRabbitMQ si no se instaló antes de la implementación.

Erlang El instalador de VMware Identity Manager instala Erlang si nose instaló antes de la implementación.

Notepad++ Se recomienda el uso de Notepad++ para realizar edicionesde configuración. Notepad++ conserva los saltos de línea. Noutilice el Bloc de notas.

Requisitos de base de datosConfigure VMware Identity Manager con una base de datos de Microsoft SQL externa para almacenar yorganizar los datos del servidor.

Para obtener información sobre las versiones de la base de datos de Microsoft SQL y las configuracionesde Service Pack compatibles, consulte las matrices de interoperabilidad de productos VMware en https://www.vmware.com/resources/compatibility/sim/interop_matrix.php.


VMware, Inc. 10

https://www.vmware.com/resources/compatibility/sim/interop_matrix.php

Los siguientes requisitos se aplican a una base de datos de SQL Server externa. Las especificacionesexactas necesarias para SQL Server dependen del tamaño y las necesidades de la implementación.


CPU 2 CPU 2 CPU 4 CPU 8 CPU 8 CPU

RAM 4 GB 4 GB 8 GB 16 GB 32 GB

Espacio en disco 50 GB 50 GB 50 GB 100 GB 100 GB

La capacidad de SQL Server AlwaysOn es una combinación de la agrupación en clústeres deconmutación por error y la creación de reflejos de base de datos junto con el envío de registros para altadisponibilidad. AlwaysOn permite que haya varias copias de lectura de la base de datos y una sola copiade lectura y escritura para las operaciones. Si el entorno de implementación tiene ancho de bandasuficiente para admitir el tráfico que se genera, la base de datos de VMware Identity Manager admitiráAlwaysOn.

Requisitos de configuración de red

Componente Requisito mínimo

Dirección IP y registro de DNS Registro de DNS y dirección IP

VMware Identity Manager utiliza el nombreDeHost.nombreDeDominio onombreDeHost.nombreDeGrupoDeTrabajo durante la instalación. Estos nombresdeben establecerse para que coincidan con el nombre DNS del servidor.

Puerto del firewall Compruebe que el puerto entrante 443 del firewall esté abierto para usuario fuera de lared hacia la instancia de VMware Identity Manager o al equilibrador de carga.

Proxy inverso Implemente un proxy inverso como el administrador de directivas de acceso F5 en DMZpara permitir que los usuarios accedan de forma remota y segura al portal deVMware Identity Manager.

VMware Unified Access Gateway 2.8 y las versiones posteriores son compatibles con lafunción de proxy inverso para permitir a los usuarios acceder remotamente y de formasegura al catálogo unificado de VMware Identity Manager. Unified Access Gateway sepuede implementar en la red perimetral DMZ detrás de los equilibradores de carga queactúan de frontal del dispositivo VMware Identity Manager.

Requisitos de puertosLos puertos utilizados en la configuración del servidor se describen aquí. La implementación solo puedeincluir un subconjunto de ellos. Por ejemplo:

n Para sincronizar usuarios y grupos desde Active Directory, VMware Identity Manager se debeconectar a Active Directory.


VMware, Inc. 11

Puerto Protocolo Origen destino Descripción

443 HTTPS Equilibrador de carga Equipo de VMware Identity Manager

443 HTTPS Equipo de VMware IdentityManager

Equilibrador de carga Necesario paravalidar el FQDN delequilibrador de cargacuando se establece.

443, 8443 HTTPS/HTTP

Equipo de VMware IdentityManager

Equipo de VMware Identity Manager Para todas lasinstancias deVMware IdentityManager en unclúster y en clústeresde centros de datosdiferentes.

443 HTTPS Navegadores Equipo de VMware Identity Manager


discovery.awmdm.com Acceso para ladetección automáticade aplicaciones deWorkspace ONE


catalog.vmwareidentity.com Acceso al catálogode nube

8443 HTTPS Navegadores Equipo de VMware Identity Manager Puerto deadministrador

25 SMTP Equipo de VMware IdentityManager

SMTP Puerto pararedireccionamientode correo saliente

389

636

3268

3269

LDAP

LDAPS

MSFT-GC

MSFT-GC-SSL

Equipo de VMware IdentityManager

Active Directory Se muestran losvalorespredeterminados.Estos puertos sepueden configurar.

5500 UDP Equipo de VMware IdentityManager

Sistema RSA SecurID Se muestra el valorpredeterminado. Estepuerto se puedeconfigurar.

53 TCP/UDP Equipo de VMware IdentityManager

Servidor DNS Todos losdispositivos virtualesdeben tener accesoal servidor DNS en elpuerto 53 y permitirel tráfico SSHentrante en el puerto22.

88, 464,135, 445

TCP/UDP Equipo de VMware IdentityManager

Controlador de dominio

9300 TCP Equipo de VMware IdentityManager

Equipo de VMware Identity Manager Necesidades deauditoría

54328 UDP


VMware, Inc. 12



Equipo de VMware Identity Manager Memoria caché deHazelcast

40002

40003

TCP Equipo de VMware IdentityManager

Equipo de VMware Identity Manager Ehcache


Base de datos El puertopredeterminado deMicrosoft SQL es el1433

443 Equipo de VMware IdentityManager

Servidor de View Acceso al servidor deView

80, 443 TCP Equipo de VMware IdentityManager

Servidor de Integration Broker Conexión conIntegration Broker. Laopción del puertodepende de si seinstala un certificadoen el servidor delagente deintegración.


REST API de AirWatch Para comprobar elcumplimientonormativo deldispositivo y elmétodo deautenticación decontraseña deAirWatch CloudConnector, si seutiliza.

88 UDP Unified Access Gateway Equipo de VMware Identity Manager Puerto UDP que seabre para SSO móvil

5262 TCP Dispositivo móvil Android Servicio de proxy HTTPS deAirWatch

El cliente deAirWatch Tunnelenruta el tráfico alproxy HTTPS paralos dispositivosAndroid.

88 UDP Dispositivo móvil iOS Equipo de VMware Identity Manager Puerto utilizado parael tráfico de Kerberosdesde dispositivosiOS hasta el servicioKDC de nubealojado.

443 HTTPS/TCP


VMware, Inc. 13



servidor syslog UDP

Para el servidorsyslog externo, siestá configurado


Servidor KDC híbrido en la nube. Elnombre de host es kdc.<realm>. Porejemplo, kdc.op.vmwareidentity.com

Puerto UDP utilizadopara autenticar lasactualizaciones deconfiguración deladaptador deautenticación deSSO móvil para iOSque se guardan en elservicio KDC en lanube. Dicho puertose utiliza únicamentesi se utiliza la funciónde SSO móvil paraiOS del KDC híbrido.

Sincronización de horaSe requiere configurar la sincronización de hora en todas las instancias de VMware Identity ManagerConnector y del servicio para que una implementación de VMware Identity Manager funcionecorrectamente.

Para obtener información sobre cómo configurar la sincronización de hora para el servicio deVMware Identity Manager, consulte Configurar la sincronización de hora para el servicio de VMwareIdentity Manager (Windows).

Para obtener información sobre la configuración de la sincronización de hora paraVMware Identity Manager Connector, consulte Instalar y configurar VMware Identity Manager Connector(Windows).

Directorios compatiblesPuede integrar VMware Identity Manager con el directorio de su empresa y sincronizar usuarios y gruposde este directorio con el servicio.

n El entorno de Active Directory puede estar formado por un único dominio de Active Directory, porvarios dominios en un único bosque de Active Directory o por varios dominios en varios bosques deActive Directory.


VMware, Inc. 14

VMware Identity Manager es compatible con Active Directory en Windows 2008, 2008 R2, 2012,2012 R2 y 2016 con las opciones de Nivel funcional del dominio y Nivel funcional de bosque deWindows 2003 y versiones posteriores.

Nota Puede que se necesite un nivel funcional mayor para algunas características. Por ejemplo,para permitir que los usuarios cambien las contraseñas de Active Directory desde Workspace ONE,el nivel funcional de dominio debe ser Windows 2008 o posterior.

Navegadores web admitidos para obtener acceso a la consola deVMware Identity ManagerLa consola de VMware Identity Manager es una aplicación basada en la web que le permite administrarel arrendatario. Puede acceder a la consola de VMware Identity Manager desde las versiones másrecientes de Mozilla Firefox, Google Chrome, Safari, Microsoft Edge e Internet Explorer 11.

Nota En Internet Explorer 11, es necesario tener habilitado JavaScript y el uso de cookies para superarla autenticación de VMware Identity Manager.

Navegadores compatibles para acceder al portal Workspace ONELos siguientes navegadores permiten a los usuarios finales obtener acceso al portal de Workspace ONE.

n Mozilla Firefox (más reciente)

n Google Chrome (más reciente)

n Safari (más reciente)

n Internet Explorer 11

n Navegador Microsoft Edge

n Navegador nativo y Google Chrome en dispositivos con Android

n Safari en dispositivos con iOS

Nota En Internet Explorer 11, es necesario tener habilitado JavaScript y el uso de cookies para superarla autenticación de VMware Identity Manager.

Crear registros de DNS y direcciones IPDeben estar disponibles una entrada DNS y una dirección IP estática para el dispositivo virtual deVMware Identity Manager. Dado que cada empresa administra sus direcciones IP y registros de DNS deforma distinta, debe solicitar el registro de DNS y las direcciones de IP que se van a utilizar antes deempezar la instalación.

La configuración de la búsqueda inversa es opcional. Cuando implemente la búsqueda inversa, debedefinir un registro PTR en el servidor DNS para que el dispositivo virtual utilice la configuración de redcorrecta.


VMware, Inc. 15

Puede utilizar la siguiente lista de ejemplos de registros de DNS cuando se ponga en contacto con eladministrador de la red. Sustituya la información de los ejemplos con la información de su entorno. Eneste ejemplo se muestran los registros de DNS directas y las direcciones IP.

Tabla 2‑1. Ejemplos de registros de DNS directas y direcciones IP

Nombre de dominio Tipo de recurso Dirección IP

myidentitymanager.example.com A 10.28.128.3

En este ejemplo se muestran los registros de DNS inversas y las direcciones IP.

Tabla 2‑2. Ejemplos de registros de DNS inversas y direcciones IP

Dirección IP Tipo de recurso Nombre del host

10.28.128.3 PTR myidentitymanager.example.com

Después de completar la configuración de DNS, compruebe que la búsqueda de DNS inversas estácorrectamente configurada. Por ejemplo, el comando host IPaddress del dispositivo virtual deberesolverse en la búsqueda del nombre de DNS.

Planificación de la autenticación KerberosSi va a configurar la autenticación Kerberos, tenga en cuenta las siguientes condiciones:

En un escenario donde utiliza VMware Identity Manager Connector para la autenticación Kerberos, elnombre de host del conector debe coincidir con el dominio de Active Directory al que está unido elconector. Por ejemplo, si el dominio de Active Directory es ventas.ejemplo.com, el nombre de host delconector debe ser hostdeconector.ventas.ejemplo.com.

Si no se puede asignar un nombre de host que coincida con la estructura de dominio de Active Directory,deberá configurar el conector y Active Directory de forma manual. Consulte la Base de conocimientospara obtener información.

Utilizar un servidor DNS basado en Linux o UnixSi utiliza un servidor DNS basado en Linux o Unix y desea conectar el de VMware Identity Manager aldominio de Active Directory, compruebe que se crean los registros SRV adecuados para cadacontrolador del dominio de Active Directory.

Nota Si tiene un equilibrador de carga con una dirección IP virtual (VIP) frente a los servidores DNS,tenga en cuenta que VMware Identity Manager no admite el uso de VIP. Puede especificar variosservidores DNS separados por comas.


VMware, Inc. 16

Crear la base de datos del servicio de VMware IdentityManagerEl servicio de VMware Identity Manager requiere una base de datos de Microsoft SQL Server externapara almacenar y organizar los datos del servidor. El administrador de la base de datos debe preparar unesquema y una base de datos de Microsoft SQL Server vacía antes de instalarVMware Identity Manager.

Cuando se conecte a Microsoft SQL Server, introduzca el nombre de la instancia a la que deseaconectarse y el modo de autenticación. Puede seleccionar el modo de autenticación de Windows yespecificar el dominio/nombre de usuario o el modo de autenticación de SQL Server, y especificar lacontraseña y el nombre de usuario local.

Debe establecer conexión con la base de datos externa cuando ejecute el asistente de configuración deVMware Identity Manager. También puede acceder a Configuración de dispositivos > Configuración deldispositivo virtual > Configuración de la conexión de la base de datos para configurar la conexión con labase de datos externa.

Puede utilizar Microsoft SQL Server para configurar un entorno de base de datos de alta disponibilidad.

Requisitos previos del servidor de la base de datosAntes de configurar la base de datos de Microsoft SQL, asegúrese de que los requisitos de hardware ysoftware sean correctos para la implementación.

Para ajustar el tamaño de los servidores correctamente, lea la Guía de arquitectura recomendada deVMware Workspace ONE UEM para obtener información sobre el tamaño del hardware y otros detallestécnicos a fin de garantizar que la base de datos se puede configurar correctamente.

Requisitos de software de SQL Servern SQL Server 2012, SQL Server 2014 o SQL Server 2016 con herramientas de cliente (SQL

Management Studio, servicios de informes, servicios de integración, SQL Server Agent, Service Packmás recientes). Asegúrese de que las instancias de SQL Server sean de 64 bits (sistema operativo ySQL Server). Solo se admiten las ediciones Standard y Enterprise.

n Se necesita .NET 4.6.2 para ejecutar al instalador de la base de datos. Si no desea instalar.NET enel servidor de la base de datos, ejecute el instalador de la base de datos desde otro servidor deWorkspace ONE UEM o desde un servidor de salto donde se pueda instalar .NET.

n Asegúrese de que el servicio de Windows de SQL Server Agent se haya establecido comoAutomático o Automático (retrasado) para el tipo de inicio del servicio. Si se establece como Manual,el servicio de Windows de SQL Server Agent se deberá iniciar manualmente antes de la instalaciónde la base de datos.


VMware, Inc. 17

https://docs.vmware.com/es/VMware-Workspace-ONE-UEM/9.6/vmware-airwatch-guides-96/GUID-AW96-Architecture.html

https://docs.vmware.com/es/VMware-Workspace-ONE-UEM/9.6/vmware-airwatch-guides-96/GUID-AW96-Architecture.html

TCP/IP habilitadoUse TCP/IP para conectarse a la base de datos y deshabilitar las canalizaciones con nombre. En eladministrador de la configuración de SQL Server, desplácese hasta la página de configuración de red deSQL Server y seleccione los protocolos de MSSQLSERVER.

Configurar la base de datos de Microsoft SQL con el modo deautenticación de WindowsPara utilizar una base de datos de Microsoft SQL para VMware Identity Manager, debe crear una nuevabase de datos en el servidor de Microsoft SQL. Durante la instalación, debe seleccionar un modo deautenticación para la base de datos. Si selecciona la autenticación de Windows, cuando cree la base dedatos, introduzca el nombre de usuario y el dominio. El nombre de usuario y el dominio introducido esdomain\username.

Al ejecutar los comandos de Microsoft SQL, debe crear una base de datos en el servidor de MicrosoftSQL, introducir el nombre de la base de datos, agregar las credenciales de usuario de inicio de sesión ycrear el esquema. El nombre del esquema es saas.

Nota La intercalación predeterminada distingue mayúsculas de minúsculas.

Requisitos previos

n Versión compatible del servidor de Microsoft SQL instalada como un servidor de base de datosexterna.

n Implementación de equilibrado de carga configurada.

n Autenticación de Windows seleccionada como modo de autenticación.

n Derechos de administrador para crear los componentes de la base de datos y acceder a ellosutilizando Microsoft SQL Server Management Studio u otro cliente de CLI del servidor de MicrosoftSQL.

Procedimiento

1 Inicie la sesión en Microsoft SQL Server Management Studio como administrador del sistema o conuna cuenta con privilegios de administrador del sistema.

Se abrirá la ventana del editor.

2 En la barra de herramientas, haga clic en Nueva consulta.

3 Para crear la base de datos con el esquema predeterminado denominado saas, introduzca lossiguientes comandos en la ventana del editor.

/*

Values within angle brackets (< >) are example values. When replacing the example value,

remove the angle brackets. The database name is case sensitive. Make sure you enter the database

name the same in all instances.

*/


VMware, Inc. 18

CREATE DATABASE <saasdb>

COLLATE Latin1_General_CS_AS;

ALTER DATABASE <saasdb> SET READ_COMMITTED_SNAPSHOT ON;

GO

IF NOT EXISTS

(SELECT name

FROM master.sys.server_principals

WHERE name=N'<domain\username>')

BEGIN

CREATE LOGIN [<domain\username>] FROM WINDOWS;

END

GO

USE <saasdb>;

IF EXISTS (SELECT * FROM sys.database_principals WHERE name=N'<domain\username>')

DROP USER [<domain\username>]

GO

CREATE USER [<domain\username>] FOR LOGIN [<domain\username>]

WITH DEFAULT_SCHEMA=saas;

GO

CREATE SCHEMA saas AUTHORIZATION "<domain\username>"

GRANT ALL ON DATABASE::<saasdb> TO "<domain\username>";

GO

ALTER ROLE db_owner ADD MEMBER "<domain\username>";

GO

4 En la barra de herramientas, haga clic en !Ejecutar.

El servidor de base de datos de Microsoft SQL ya está preparado para conectarse a la base de datosde VMware Identity Manager.

La función de servidor que se utiliza para conceder privilegios de seguridad en todo el servidor seestablece como pública. La membresía de función de base de datos es db_owner. No establezcaninguna otra función.

Cuando se instala VMware Identity Manager para Windows, se selecciona la instancia del servidor de labase de datos a la que se conectará. Tras la instalación, la URL de JDBC y el nombre de usuario y lacontraseña que se crearon para la base de datos se configuran en la página de configuración deconexión de la base de datos en el servidor de VMware Identity Manager. Consulte Configure VMwareIdentity Manager para usar una base de datos externa


VMware, Inc. 19

Configurar la base de datos de Microsoft SQL con el modo deautenticación local de SQL ServerPara utilizar una base de datos de Microsoft SQL para VMware Identity Manager, debe crear una nuevabase de datos en el servidor de Microsoft SQL. Durante la instalación, debe seleccionar un modo deautenticación para la base de datos. Si selecciona la autenticación de SQL Server, debe introducir unnombre de usuario local y una contraseña cuando se cree la base de datos.

Al ejecutar los comandos de Microsoft SQL, debe crear una base de datos en el servidor de MicrosoftSQL, introducir el nombre de la base de datos, agregar las credenciales de usuario de inicio de sesión ycrear el esquema. El esquema se llama saas.

Nota La intercalación de bases de datos predeterminada distingue mayúsculas de minúsculas.

Requisitos previos

n Versión compatible del servidor de Microsoft SQL instalada como un servidor de base de datosexterna.

n Implementación de equilibrado de carga configurada.

n Autenticación de SQL Server seleccionada como el modo de autenticación.

n Derechos de administrador para crear los componentes de la base de datos y acceder a ellosutilizando Microsoft SQL Server Management Studio u otro cliente de CLI del servidor de MicrosoftSQL.

Procedimiento




3 Para crear la base de datos con el esquema predeterminado denominado saas, introduzca lossiguientes comandos en la ventana del editor.

/*

Values within angle brackets (< >) are example values. When replacing the example value,

remove the angle brackets. The database name is case sensitive. Make sure you enter the database

name the same in all instances.

*/

CREATE DATABASE <saasdb>

COLLATE Latin1_General_CS_AS;

ALTER DATABASE <saasdb> SET READ_COMMITTED_SNAPSHOT ON;

GO

BEGIN


VMware, Inc. 20

CREATE LOGIN <loginusername> WITH PASSWORD = N'<password>';

END

GO

USE <saasdb>;

IF EXISTS (SELECT * FROM sys.database_principals WHERE name=N'<loginusername>')

DROP USER [<loginusername>]

GO

CREATE USER [<loginusername>] FOR LOGIN [<loginusername>]

WITH DEFAULT_SCHEMA=saas;

GO

CREATE SCHEMA saas AUTHORIZATION <loginusername>

GRANT ALL ON DATABASE::<saasdb> TO <loginusername>;

GO

ALTER ROLE [db_owner] ADD MEMBER <loginusername>;

GO


El servidor de base de datos de Microsoft SQL ya está preparado para conectarse a la base de datosde VMware Identity Manager.

La función de servidor que se utiliza para conceder privilegios de seguridad en todo el servidor seestablece como pública. La membresía de función de base de datos es db_owner. No establezcaninguna otra función.

Cuando se instala VMware Identity Manager para Windows, se selecciona la instancia del servidor de labase de datos a la que se conectará. Tras la instalación, la URL de JDBC y el nombre de usuario y lacontraseña que se crearon para la base de datos se configuran en la página de configuración deconexión de la base de datos en el servidor de VMware Identity Manager. Consulte Configure VMwareIdentity Manager para usar una base de datos externa

Confirmar que la base de datos de Microsoft SQL estéconfigurada correctamentePara confirmar que la base de datos de Microsoft SQL está configurada correctamente para que funcionecon VMware Identity Manager, se ejecuta el siguiente script de comprobación después de haberconfigurado la base de datos.

Requisitos previos

Se crea la base de datos de Microsoft SQL para el servicio de VMware Identity Manager.


VMware, Inc. 21

Procedimiento

1 Inicie sesión en Microsoft SQL Server Management Studio con el nombre de usuario y la contraseñade inicio de sesión de <saasdb> que se crearon en el script que se utilizó para crear la base dedatos.



3 Ejecute los siguientes comandos. Edite los comandos según sea necesario.

execute as user = 'domain\username'

/* Check if user is db owner. Return true */

SELECT IS_ROLEMEMBER('db_owner') as isRoleMember

/* Make sure user is not sysadmin. Should return false */

SELECT IS_SRVROLEMEMBER('sysadmin') as isSysAdmin

/* check if saas schema exists, should be not null */

SELECT SCHEMA_ID('saas') as schemaId

/* check schema owner, should be user provided to installer */

SELECT SCHEMA_OWNER FROM INFORMATION_SCHEMA.SCHEMATA where SCHEMA_NAME='saas'

/* check if saas is user default schema, should return saas */

SELECT SCHEMA_NAME() as SchemaName

/* check db collation, should return Latin1_General_CS_AS */

SELECT DATABASEPROPERTYEX('<saasdb>', 'Collation') AS Collation

/* check if read committed snapshot is on, should return true */

SELECT is_read_committed_snapshot_on FROM sys.databases WHERE name='<saasdb>'


Si la configuración no es correcta, se muestran mensajes de error. Antes de continuar configurandoel servicio de VMware Identity Manager para utilizar la base de datos de Microsoft SQL externa,corrija los problemas que se describen en los mensajes de error.

Cambiar las funciones de nivel de la base de datosCuando se utiliza el esquema saas para crear la base de datos de Microsoft SQL para el servicio deVMware Identity Manager, se concede la suscripción de la función de base de datos a la funcióndb_owner. Los miembros de la función de la base de datos fija db_owner pueden realizar todas lasactividades de configuración y mantenimiento en la base de datos.


VMware, Inc. 22

Después de instalar y configurar la base de datos en el servicio de VMware Identity Manager, puederevocar el acceso a db_owner, add db_datareader y db_datawriter como funciones de base de datos.Los miembros de la función db_datareader pueden leer todos los datos de todas las tablas de usuario. Elmiembro de la función db_datawriter puede agregar, eliminar o cambiar los datos de todas las tablas deusuario.

Nota Si revoca el acceso a la función db_owner, asegúrese de que se vuelve a habilitar la funcióndb_owner antes de iniciar la actualización a una nueva versión de VMware Identity Manager.

Requisitos previos

La función del usuario para Microsoft SQL Server Management Studio como administrador del sistema ocomo cuenta de usuario con privilegios de administrador del sistema.

Procedimiento

1 En la sesión de Microsoft SQL Server Management Studio como administrador con privilegios deadministrador del sistema, conéctese a la instancia de base de datos <saasdb> paraVMware Identity Manager.

2 Revoque la función db_owner en la base de datos, introduzca el siguiente comando

Modo de autenticación Comando

Autenticación de Windows(domain\user) ALTER ROLE db_owner DROP MEMBER <domain\username>;

Autenticación de SQLServer (usuario local) ALTER ROLE db_owner DROP MEMBER <loginusername>;

3 Agregue membresía de las funciones db_datawriter y db_datareader a la base de datos.

Modo de autenticación Comando

Autenticación de Windows(domain\user) ALTER ROLE db_datawriter ADD MEMBER <domain\username>;

GO

ALTER ROLE db_datareader ADD MEMBER <domain\username>;GO

Autenticación de SQLServer (usuario local) ALTER ROLE db_datawriter ADD MEMBER <loginusername>;

GOALTER ROLE db_datareader ADD MEMBER <loginusername>;GO

Cambiar la configuración de crecimiento automático de la base dedatos de SQL ServerAl crear la base de datos, la configuración predeterminada para el crecimiento automático es de 1 MBpara los archivos de datos. La configuración de crecimiento automático para la base de datos de VMwareIdentity Manager debe aumentarse a 128 MB.


VMware, Inc. 23

Para ver la configuración de crecimiento automático del archivo de base de datos de vIDMDB, vaya aPropiedades de la base de datos > Archivos. La configuración se muestra en la columna Crecimientoautomático / MaxSize.

Procedimiento



3 Para cambiar la configuración de crecimiento automático, ejecute el siguiente comando.

ALTER DATABASE <saasdb>

MODIFY FILE ( NAME = N'<saasdb>', FILEGROWTH = 128MB )

GO

La configuración de crecimiento automático cambia a 128 MB.

Listas de comprobación de implementaciónLa lista de comprobación de implementación le permite recopilar la información necesaria para instalar eldispositivo virtual de VMware Identity Manager.

Información del directorioVMware Identity Manager es compatible con los entornos de Active Directory o de los directorios LDAP.

Tabla 2‑3. Lista de comprobación de información sobre el controlador de dominio de ActiveDirectory

Información para recopilar Muestra la información

Nombre del servidor de Active Directory

Nombre del dominio de Active Directory

DN base

Para Active Directory mediante LDAP, el nombre de usuario yla contraseña de DN de enlace

Para Active Directory con autenticación integrada de Windows(IWA, Integrated Windows Authentication), el nombre deusuario y la contraseña de la cuenta con privilegios para unirequipos al dominio.

Tabla 2‑4. Lista de comprobación de información del servidor del directorio LDAP


Dirección IP o nombre del servidor del directorio LDAP

Número de puerto del servidor del directorio LDAP


VMware, Inc. 24

Tabla 2‑4. Lista de comprobación de información del servidor del directorio LDAP(Continuación)


DN base

Nombre de usuario DN de enlace y contraseña

Filtro de búsqueda de LDAP para objetos de grupo, objetos deusuarios de enlace y objetos de usuarios

Nombres de atributos LDAP de la pertenencia a grupos, UUIDdel objeto y nombre distintivo

certificados SSLPuede agregar un certificado SSL después de implementar el servicio del de VMware Identity Manager.

Tabla 2‑5. Lista de comprobación de información sobre el certificado SSL


Certificado SSL

Clave privada

Clave de licenciaTabla 2‑6. Lista de comprobación de información sobre la clave de licencia deVMware Identity Manager


Clave de licencia

Nota La información sobre la clave de licencia se introduce en la página Configuración dedispositivos > Licencia de la consola de VMware Identity Manager después de completar la instalación.

Base de datos externaTabla 2‑7. Lista de comprobación de información sobre la base de datos externa


Nombre del host de la base de datos

Puerto

Nombre de usuario

Contraseña


VMware, Inc. 25

Programa de mejora de laexperiencia de cliente 3El Programa de mejora de la experiencia de cliente (CEIP) de VMware proporciona a VMwareinformación que permite mejorar los productos y los servicios, además de solucionar problemas yaconsejarle sobre la mejor forma de implementar y utilizar nuestros productos. Como parte del CEIP,VMware recopila información técnica acerca del uso que hace la organización de los productos y losservicio de VMware de forma periódica en asociación con las claves de licencia de VMware de laorganización. Esta información no identifica a ninguna persona.

Si prefiere no participar en el CEIP de VMware para este producto, desactive la casilla cuando instaleVMware Identity Manager.

También puede unirse o abandonar el CEIP de este producto en cualquier momento después de lainstalación.

VMware, Inc. 26

Implementar el equipo del deVMware Identity Manager detrásde un equilibrador de carga 4En un entorno empresarial, la configuración del equipo de VMware Identity Manager recomendadaconsiste en implementar un clúster de tres nodos del servicio de VMware Identity Manager para altadisponibilidad. Después de instalar, configurar y probar el primer nodo de IDM detrás del equilibrador decarga, se ejecuta un script en el primer nodo para crear una copia de la primera instancia. Este archivocopiado se utiliza para crear los demás nodos del clúster.

El diagrama de la arquitectura de VMware Identity Manager demuestra cómo se puede implementar elentorno de VMware Identity Manager.

Consulte Capítulo 1Descripción general de VMware Identity Manager Services.

Usar un equilibrador de carga o un proxy inverso parahabilitar el acceso externo a VMware Identity ManagerDurante la implementación, la instancia de VMware Identity Manager se configura dentro de la redinterna. Si desea proporcionar acceso al servicio a aquellos usuarios que se conectan desde redesexteriores, debe instalar un equilibrador de carga o un proxy inverso, como Apache, Nginx o F5, en la redperimetral o DMZ.

Si no usa un equilibrador de carga o un proxy inverso, posteriormente no podrá ampliar el número deinstancias de VMware Identity Manager posteriormente. Puede que necesite agregar más instancias paraproporcionar redundancia y equilibrio de carga. El diagrama siguiente muestra la arquitectura deimplementación básica que puede usar para habilitar el acceso externo.

VMware, Inc. 27

Figura 4‑1. Proxy de equilibrador de carga externo con máquinas virtuales

Equilibrador de carga externoNombre de host: FQDN de VMware Identity ManagerDirección IP de ejemplo: 64.x.y.zPuerto: Puerto de VMware Identity ManagerDebe habilitar encabezados X-Forwarded-For.

Usuarios externos

Equilibrador de carga internoNombre de host: FQDN de VMware Identity ManagerDirección IP de ejemplo: 10.x.y.zPuerto: Puerto de VMware Identity ManagerDebe habilitar encabezados X-Forwarded-For.

Usuarios internos

Puerto 443

Puerto 443

Clúster de VMwareIdentity Manager

Cortafuegos de DMZ

Especifique el FQDN del de VMware Identity Manager durante laimplementaciónDurante la implementación del equipo del de VMware Identity Manager, se proporciona el número depuerto y el FQDN de VMware Identity Manager . Estos valores deben dirigir al nombre de host al quedesea que los usuarios finales obtengan acceso.

El equipo del de VMware Identity Manager siempre se ejecuta a través del puerto 443. Puede usar unnúmero de puerto diferente para el equilibrador de carga. Si usa un número de puerto diferente, debeespecificarlo durante la implementación. No utilice 8443 como número de puerto, ya que este es elpuerto administrativo de VMware Identity Manager y es único para cada equipo del clúster.

Opciones del equilibrador de carga para configurarLa configuración del equilibrador de carga incluye habilitar encabezados X-Forwarded-For, establecercorrectamente el tiempo de espera del equilibrador de carga y habilitar sesiones sticky. Además, se debeconfigurar la confianza SSL entre el equilibrador de carga y el equipo del de VMware Identity Manager.

n Encabezados X-Forwarded-For


VMware, Inc. 28

Debe habilitar encabezados X-Forwarded-For para su equilibrador de carga. Esto determina elmétodo de autenticación. Consulte la documentación proporcionada por el proveedor de suequilibrador de carga para obtener más información.

n Tiempo de espera del equilibrador de carga

Para que VMware Identity Manager funcione correctamente, es posible que necesite aumentar elvalor predeterminado correspondiente al tiempo de espera para las solicitudes del equilibrador decarga. Este valor se expresa en minutos. Si el valor del tiempo de espera es demasiado bajo, puedeque se muestre el mensaje "Error 502: El servicio no se encuentra disponible".

n Habilitar sesiones sticky

Debe habilitar la configuración de las sesiones sticky en el equilibrador de carga si la implementacióntiene varios equipos de VMware Identity Manager. El equilibrador de carga enlazará la sesión de unusuario con una instancia específica.

n Compatibilidad con WebSocket

El equilibrador de carga debe admitir WebSocket para habilitar los canales de comunicación seguraentre los conectores y los nodos de VMware Identity Manager.

n Cifrados con confidencialidad directa

Los requisitos de seguridad de transporte de la aplicación iOS de Apple se aplican a la aplicaciónWorkspace ONE en iOS. Para permitir que los usuarios utilicen la aplicación Workspace ONE eniOS, el equilibrador de carga debe tener cifrados con confidencialidad directa. Estas son los cifradosque cumplen los requisitos:

ECDHE_ECDSA_AES y ECDHE_RSA_AES en el modo GCM o CBC

tal como se especifica en el documento Seguridad de iOS de iOS 11:

"La seguridad de transporte de las app proporciona unos requisitos de conexión por omisión, demanera que las apps cumplan las buenas prácticas para conexiones seguras al utilizar las APINSURLConnection, CFURL o NSURLSession. Por omisión, la seguridad de transporte de las appslimita la selección de cifrados para incluir solo conjuntos que proporcionen la confidencialidad directa,concretamente ECDHE_ ECDSA_ AES y ECDHE_ RSA_ AES en modo GCM o CBC".


VMware, Inc. 29

Configurar el servicio deVMware Identity Manager 5Este capítulo incluye los siguientes temas:

n Instalar VMware Identity Manager

n Usar el asistente de configuración para completar la instalación

n Implementar el equipo del de VMware Identity Manager detrás de un equilibrador de carga

n Usar un equilibrador de carga o un proxy inverso para habilitar el acceso externo a VMware IdentityManager

n Aplicar el certificado raíz de VMware Identity Manager al equilibrador de carga

n Aplicar el certificado raíz del equilibrador de carga a VMware Identity Manager

n Configurar la conmutación por error y la redundancia en un centro de datos único (Windows)

n Agregar direcciones IP de la lista blanca al firewall externo

n Habilitar la configuración del proxy tras la instalación

n Introducir la clave de licencia

Instalar VMware Identity ManagerEjecute el instalador de VMware Identity Manager en un servidor Windows que cumpla todos losrequisitos de configuración del sistema enumerados.

Requisitos previos

Consulte Requisitos de configuración de la red y el sistema.

Procedimiento

1 Descargue el instalador del SVA de VMware Identity Manager para Windows desde el sitio MyVMware en my.vmware.com.

2 Haga doble clic en el instalador de VMware Identity Manager.

Ejecute el instalador desde una cuenta con privilegios de administrador.

VMware, Inc. 30

https://my.vmware.com

3 En el cuadro de diálogo de bienvenida, haga clic en Siguiente.

El instalador comprueba los requisitos en el servidor. Si no se ha instalado el software necesario,como .NET o TLS, se le pedirá que instale el software y que reinicie el servidor. Después de reiniciar,vuelva a ejecutar el instalador de VMware Identity Manager.

4 Acepte el Contrato de licencia de usuario final (CLUF) y, a continuación, haga clic en Siguiente.

5 En el cuadro de diálogo Programa de mejora de la experiencia de cliente, la acciónpredeterminada se establece en Sí.

Este producto forma parte del Programa de mejora de la experiencia de cliente (CEIP) de VMware.La información relacionada con los datos recopilados a través del CEIP y los propósitos para los queVMware los utiliza están establecidos en el centro de seguridad y confianza en http://www.vmware.com/trustvmware/ceip.html. Si prefiere no participar en el CEIP de VMware paraeste producto, desactive la casilla.

También puede unirse al CEIP de este producto o abandonarlo en cualquier momento después de lainstalación.

Nota Si la red está configurada para acceder a Internet a través de un proxy HTTP, para enviar losdatos recopilados mediante el CEIP a VMware deberá ajustar la configuración del proxy en el equipode VMware Identity Manager.

6 Se enumerarán los requisitos previos de VMware Identity Manager. El instalador comprobará losmódulos necesarios. Se le pedirá que instale los módulos que falten.

Figura 5‑1. Confirmar la instalación de los requisitos previos

7 Seleccione el directorio en el que se instalará el servicio de VMware Identity Manager.

8 Si este nodo es la primera instancia de servicio que se instala en el clúster, haga clic en Siguiente.

Si instala instancias adicionales en el clúster, marque la casilla y desplácese hasta el archivo ZIPexportado para que la primera instancia lo importe.

9 El nombre de host y el puerto 443 se rellenan automáticamente en el cuadro de diálogo deconfiguración. Haga clic en Siguiente.


VMware, Inc. 31

http://www.vmware.com/trustvmware/ceip.html

10 En el cuadro de diálogo del servidor de la base de datos, seleccione la instancia del servidor de labase de datos de VMware Identity Manager para conectarse; además, seleccione el modo deautenticación.

Opción Descripción

Servidor de la base de datos deVMware Identity Manager

Introduzca el FQDN de la base de datos, o haga clic en Examinar paraseleccionar la URL del servidor de la base de datos en la lista. Ejemplo de FQDNde la base de datos, introduzca http://MiServidorBD.

La aplicación se conecta mediante Puede seleccionar el modo Autenticación de Windows o Autenticación deSQL Server. Para la autenticación de SQL Server, introduzca el nombre deusuario y la contraseña locales.

Nombre de la base de datos deVMware Identity Manager

Introduzca el nombre de la base de datos que creó cuando configuró la base dedatos MySQL, o busque SQL Server para seleccionar el nombre en la lista si hacambiado el nombre de la base de datos.

¿SQL AlwaysOn? Habilite SQL AlwaysOn para establecer MultiSubNetFailover como True enSQL Server y así habilitar una conmutación por error más rápida en SQL Server.

La capacidad de SQL Server AlwaysOn es una combinación de la agrupación enclústeres de conmutación por error y la creación de reflejos de base de datos o elenvío de registros. Permite que haya varias copias de lectura de la base de datosy una sola copia para las operaciones de lectura y escritura. Si la red tiene anchode banda suficiente para admitir el tráfico que se genera, la base de datos deIdentity Manager admitirá AlwaysOn.

Figura 5‑2. Configuración de la base de datos con la opción SQL AlwayOn

Haga clic en Siguiente.

El instalador comprueba que la base de datos se haya configurado correctamente. Si laconfiguración no es correcta, aparecerán mensajes de error y no se podrá continuar con lainstalación. Corrija los problemas descritos en los mensajes de error. Consulte Confirmar que la basede datos de Microsoft SQL esté configurada correctamente.

11 En el cuadro de diálogo de la cuenta de servicio de VMware Identity Manager, marque la casilla sidesea ejecutar el servicio como un usuario de dominio de Windows.

Ejecute el servicio como un usuario de dominio en los siguientes casos.

n Si tiene previsto conectarse a Active Directory (autenticación de Windows integrada).


VMware, Inc. 32

n Si tiene previsto utilizar la autenticación Kerberos.

n Si tiene previsto integrar Horizon View con VMware Identity Manager y quiere usar las opcionesRealizar sincronización de directorio o Configurar servidor de conexión 5.x.

Si no utiliza una cuenta de usuario de dominio, el servicio se ejecutará como un sistema local.

Figura 5‑3. Configuración de la cuenta de usuario de dominio

12 Haga clic en Instalar para comenzar la instalación.

13 Haga clic en Finalizar.

VMware Identity Server se inicializará y se mostrará la dirección URL de VMware Identity Managerpara iniciar sesión en la consola de VMware Identity Manager para finalizar la instalación. Parafinalizar la instalación ahora, haga clic en Sí. De lo contrario, anote la URL para iniciar sesión mástarde.

Figura 5‑4. Información sobre cómo iniciar sesión en la consola de Identity Manager


VMware, Inc. 33

Pasos siguientes

Ejecute el Asistente de configuración de VMware Identity Manager para finalizar la configuración delservicio.

Figura 5‑5. Asistente de configuración

Usar el asistente de configuración para completar lainstalaciónDespués de implementar VMware Identity Manager, utilice el Asistente de configuración para establecerla contraseña de administrador de VMware Identity Manager, aceptar el certificado autofirmado ycomprobar la URL de JDBC de la base de datos.

Asegúrese de ejecutar el Asistente de configuración utilizando el nombre de host completo. No escriba ladirección IP como nombre.

Procedimiento

1 Vaya a la URL de VMware Identity Manager que apareció al finalizar la instalación. Introduzca elnombre de dominio completo (FQDN). Por ejemplo, https://nombredehost.ejemplo.com.

2 Si se le solicita, acepte el certificado.

Durante la instalación, se implementa un certificado autofirmado. Podrá actualizarlo a un certificadofirmado después de la configuración inicial.

3 En la página Comenzar, haga clic en Continuar.

4 En la página de configuración de contraseñas, configure la contraseña del administrador deldispositivo. La contraseña del usuario administrador debe tener 6 caracteres como mínimo. Haga clicen Continuar.

La cuenta del usuario admin se utiliza para administrar la configuración del dispositivo.

5 En la página Seleccionar base de datos, se muestra la URL de JDBC de la base de datos.

La conexión a la base de datos se configurará y la base de datos se inicializará.

Se abrirá la página Se ha completado la configuración.

Pasos siguientes

Para configurar un directorio, primero debe instalar VMware Identity Manager Connector. Consulte laversión correspondiente de la guía Instalar y configurar VMware Identity Manager Connector (Windows).


VMware, Inc. 34

Implementar el equipo del de VMware Identity Managerdetrás de un equilibrador de cargaEn un entorno empresarial, la configuración del equipo de VMware Identity Manager recomendadaconsiste en implementar un clúster de tres nodos del servicio de VMware Identity Manager para altadisponibilidad. Después de instalar, configurar y probar el primer nodo de IDM detrás del equilibrador decarga, se ejecuta un script en el primer nodo para crear una copia de la primera instancia. Este archivocopiado se utiliza para crear los demás nodos del clúster.

El diagrama de la arquitectura de VMware Identity Manager demuestra cómo se puede implementar elentorno de VMware Identity Manager.

Consulte Capítulo 1Descripción general de VMware Identity Manager Services.

Usar un equilibrador de carga o un proxy inverso parahabilitar el acceso externo a VMware Identity ManagerDurante la implementación, la instancia de VMware Identity Manager se configura dentro de la redinterna. Si desea proporcionar acceso al servicio a aquellos usuarios que se conectan desde redesexteriores, debe instalar un equilibrador de carga o un proxy inverso, como Apache, Nginx o F5, en la redperimetral o DMZ.

Si no usa un equilibrador de carga o un proxy inverso, posteriormente no podrá ampliar el número deinstancias de VMware Identity Manager posteriormente. Puede que necesite agregar más instancias paraproporcionar redundancia y equilibrio de carga. El diagrama siguiente muestra la arquitectura deimplementación básica que puede usar para habilitar el acceso externo.


VMware, Inc. 35

Figura 5‑6. Proxy de equilibrador de carga externo con máquinas virtuales

Equilibrador de carga externoNombre de host: FQDN de VMware Identity ManagerDirección IP de ejemplo: 64.x.y.zPuerto: Puerto de VMware Identity ManagerDebe habilitar encabezados X-Forwarded-For.

Usuarios externos

Equilibrador de carga internoNombre de host: FQDN de VMware Identity ManagerDirección IP de ejemplo: 10.x.y.zPuerto: Puerto de VMware Identity ManagerDebe habilitar encabezados X-Forwarded-For.

Usuarios internos

Puerto 443

Puerto 443

Clúster de VMwareIdentity Manager

Cortafuegos de DMZ

Especifique el FQDN del de VMware Identity Manager durante laimplementaciónDurante la implementación del equipo del de VMware Identity Manager, se proporciona el número depuerto y el FQDN de VMware Identity Manager . Estos valores deben dirigir al nombre de host al quedesea que los usuarios finales obtengan acceso.

El equipo del de VMware Identity Manager siempre se ejecuta a través del puerto 443. Puede usar unnúmero de puerto diferente para el equilibrador de carga. Si usa un número de puerto diferente, debeespecificarlo durante la implementación. No utilice 8443 como número de puerto, ya que este es elpuerto administrativo de VMware Identity Manager y es único para cada equipo del clúster.

Opciones del equilibrador de carga para configurarLa configuración del equilibrador de carga incluye habilitar encabezados X-Forwarded-For, establecercorrectamente el tiempo de espera del equilibrador de carga y habilitar sesiones sticky. Además, se debeconfigurar la confianza SSL entre el equilibrador de carga y el equipo del de VMware Identity Manager.

n Encabezados X-Forwarded-For


VMware, Inc. 36

Debe habilitar encabezados X-Forwarded-For para su equilibrador de carga. Esto determina elmétodo de autenticación. Consulte la documentación proporcionada por el proveedor de suequilibrador de carga para obtener más información.

n Tiempo de espera del equilibrador de carga

Para que VMware Identity Manager funcione correctamente, es posible que necesite aumentar elvalor predeterminado correspondiente al tiempo de espera para las solicitudes del equilibrador decarga. Este valor se expresa en minutos. Si el valor del tiempo de espera es demasiado bajo, puedeque se muestre el mensaje "Error 502: El servicio no se encuentra disponible".

n Habilitar sesiones sticky

Debe habilitar la configuración de las sesiones sticky en el equilibrador de carga si la implementacióntiene varios equipos de VMware Identity Manager. El equilibrador de carga enlazará la sesión de unusuario con una instancia específica.

n Compatibilidad con WebSocket

El equilibrador de carga debe admitir WebSocket para habilitar los canales de comunicación seguraentre los conectores y los nodos de VMware Identity Manager.

n Cifrados con confidencialidad directa

Los requisitos de seguridad de transporte de la aplicación iOS de Apple se aplican a la aplicaciónWorkspace ONE en iOS. Para permitir que los usuarios utilicen la aplicación Workspace ONE eniOS, el equilibrador de carga debe tener cifrados con confidencialidad directa. Estas son los cifradosque cumplen los requisitos:

ECDHE_ECDSA_AES y ECDHE_RSA_AES en el modo GCM o CBC

tal como se especifica en el documento Seguridad de iOS de iOS 11:

"La seguridad de transporte de las app proporciona unos requisitos de conexión por omisión, demanera que las apps cumplan las buenas prácticas para conexiones seguras al utilizar las APINSURLConnection, CFURL o NSURLSession. Por omisión, la seguridad de transporte de las appslimita la selección de cifrados para incluir solo conjuntos que proporcionen la confidencialidad directa,concretamente ECDHE_ ECDSA_ AES y ECDHE_ RSA_ AES en modo GCM o CBC".

Aplicar el certificado raíz de VMware Identity Manager alequilibrador de cargaCuando el dispositivo virtual VMware Identity Manager se configure detrás de un equilibrador de carga,deberá establecer la confianza de SSL entre este y VMware Identity Manager. El certificado raíz deVMware Identity Manager se debe copiar en el equilibrador de carga.

El certificado raíz de VMware Identity Manager puede descargarse desde la página Configuración dedispositivos > Administrar configuración > Instalar certificados SSL > Certificado del servidor enla consola administrativa de VMware Identity Manager.

Si el FQDN de VMware Identity Manager dirige a un equilibrador de carga, el certificado SSL solo sepuede aplicar al equilibrador de carga.


VMware, Inc. 37

Como el equilibrador de carga se comunica con el dispositivo virtual de VMware Identity Manager, debecopiar el certificado raíz de la CA de VMware Identity Manager VMware Identity Manager al equilibradorde carga como certificado raíz de confianza.

Procedimiento

1 En la consola de VMware Identity Manager, seleccione la pestaña Configuración de dispositivos, acontinuación, haga clic en Configuración del dispositivo virtual > Administrar configuración.

2 En el cuadro de diálogo que se abrirá, escriba la contraseña de usuario administrador.

3 Seleccione Instalar certificados SSL > Certificado de servidor.

4 Haga clic en el vínculo Certificados de CA raíz autofirmados del dispositivo.

Se muestra el certificado.

5 Copie todo lo que hay entre las líneas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE----,incluyendo estas líneas, y pegue el certificado raíz en la ubicación correcta de cada uno de susequilibradores de carga. Consulte la documentación proporcionada por el proveedor deequilibradores de carga.


VMware, Inc. 38

Pasos siguientes

Copie y pegue el certificado raíz del equilibrador de carga en el dispositivo VMware Identity Manager.

Aplicar el certificado raíz del equilibrador de carga aVMware Identity ManagerCuando el dispositivo virtual VMware Identity Manager se configure detrás de un equilibrador de carga,deberá establecer la confianza entre este y VMware Identity Manager. Además de copiar el certificadoraíz de VMware Identity Manager al equilibrador de carga, deberá copiar el certificado del equilibrador decarga a VMware Identity Manager.

Procedimiento

1 Obtenga el certificado raíz del equilibrador de carga.

2 En la consola de VMware Identity Manager, seleccione la pestaña Configuración de dispositivos, acontinuación, haga clic en Configuración del dispositivo virtual > Administrar configuración.

3 En el cuadro de diálogo que se abrirá, escriba la contraseña de usuario administrador.

4 Seleccione Instalar certificados SSL > Entidades de certificación de confianza.

5 Pegue el certificado raíz del equilibrador de carga en el cuadro de texto Certificado raíz ointermedio.


VMware, Inc. 39

6 Haga clic en Agregar.

Configurar la conmutación por error y la redundancia enun centro de datos único (Windows)Para obtener la conmutación por error y la redundancia, puede agregar varios equipos deVMware Identity Manager en un clúster. VMware Identity Manager seguirá disponible aunque uno de losequipos se apague por algún motivo.

Instale y configure VMware Identity Manager en un servidor de Windows y, a continuación, ejecute unscript para crear un archivo ENC que sea una copia de la primera instancia de VMware Identity Managerpara Windows con la misma configuración que el original.


VMware, Inc. 40

Antes de crear una copia de la primera instancia, se debe configurar el primer nodo detrás de unequilibrador de carga y cambiar su nombre de dominio completo (FQDN) para que coincida con el FQDNde equilibrador de carga. Además, se debe completar la configuración del directorio en el servicio deVMware Identity Manager antes de crear el archivo ENC.

Ejecute el instalador de VMware Identity Manager para Windows en cada nodo e importe el archivo ENCcopiado. Puede personalizar estos nodos para cambiar el nombre, la configuración de red y otraspropiedades según sea necesario. Cada nodo tiene una dirección IP diferente. Esta dirección IP debeseguir las mismas directrices que la dirección IP del primer nodo. La dirección IP debe resolverse en unnombre de host válido con una DNS directa e inversa.

Los nodos del clúster son copias idénticas y casi sin estado unas de otras. La sincronización con ActiveDirectory y con los recursos configurados, como Horizon, está habilitada en el primer nodo, perodeshabilitada en los demás nodos del clúster.

Particiones de redNo se recomienda crear una partición de red entre los nodos de un clúster de VMware Identity Manager.Si existe una partición de red entre los nodos de servicio de VMware Identity Manager de tal modo quelos nodos no pueden comunicarse entre sí, y si todos los nodos siguen siendo accesibles desde elequilibrador de carga, al permitir que las solicitudes de inicio de sesión vayan a cualquiera de los nodosparticionados, es posible que se encuentren los siguientes problemas:

n Es posible que se muestren datos obsoletos en las solicitudes. Por ejemplo, es posible que loscambios realizados en una directiva de acceso en un nodo no se apliquen a las solicitudes de iniciode sesión que van a otro nodo si hay una partición entre los nodos.

n Es posible que se produzca un error en las llamadas de inicio de sesión que utilizan el conectorsaliente.

Cambiar el FQDN de VMware Identity Manager al FQDN delequilibrador de cargaAntes de copiar la instancia del equipo de VMware Identity Manager, debe cambiar su nombre dedominio completo (FQDN) para que coincida con el FQDN del equilibrador de carga.

Requisitos previos

n La instancia de VMware Identity Manager se agrega a un equilibrador de carga.

n Se aplicó el certificado raíz de CA a VMware Identity Manager.

Procedimiento

1 Inicie sesión en la consola de administración de VMware Identity Manager.

2 Seleccione la pestaña Configuración de dispositivos.

3 En la página Configuración del dispositivo virtual, haga clic en Administrar configuración.

4 Introduzca su contraseña de administrador para iniciar la sesión.


VMware, Inc. 41

5 Haga clic en Configuración de Identity Manager.

6 En el campo FQDN de Identity Manager, cambie la parte del nombre de host de la URL del nombrede host de VMware Identity Manager por el nombre de host del equilibrador de carga.

Por ejemplo, si su nombre de host de VMware Identity Manager es miservicio y el nombre de hostde su equilibrador de carga es milb, cambiaría la URL

https://myservice.example.com

por la siguiente:

https://mylb.example.com

7 Haga clic en Guardar.

n El FQDN se cambiará por el FQDN del equilibrador de carga.

n La URL del proveedor de identidades se cambiará por la URL del equilibrador de carga.

Pasos siguientes

Ejecute el script para generar el archivo ENC del primer nodo para VMware Identity Manager paraWindows.

Agregar nodos para crear un clúster de VMware Identity ManagerPara crear un clúster con el servicio de VMware Identity Manager después de instalar la primerainstancia de VMware Identity Manager, se copia dicha instancia para crear una imagen con la mismaconfiguración que la original.


VMware, Inc. 42

Cuando se utilizan varios servicios de VMware Identity Manager, se necesitan tres o más nodos.

Nota El componente de VMware Identity Manager incluye Elasticsearch, un motor de búsqueda yanálisis; Elasticsearch tiene una limitación conocida con clústeres de dos nodos.

Requisitos previos

La primera instancia de VMware Identity Manager implementada y probada.

El archivo de configuración del clúster creado a partir de la configuración de la primera instancia.

1 En la página Configuración de dispositivos > Configuración del dispositivo virtual de la consola deVMware Identity Manager, haga clic en Administrar configuración.

2 Haga clic en Ubicación del archivo del clúster.

3 Introduzca la contraseña que se utilizará para cifrar y descifrar el archivo del clúster.

4 Haga clic en Preparar paquete del clúster. Se creará un archivo ZIP de la instancia de VMwareIdentity Manager.

5 Descargue el archivo ZIP en una ubicación a la que tenga acceso.

Procedimiento

1 Ejecute el instalador de VMware Identity Manager para Windows en cada equipo que se vaya aconfigurar en el clúster.

Ejecute el instalador desde una cuenta con privilegios de administrador.

2 En el cuadro de diálogo de bienvenida, haga clic en Siguiente.

El instalador comprueba los requisitos en el servidor. Si no se ha instalado el software necesario,como .NET o TLS, se le pedirá que instale el software y que reinicie el servidor. Después de reiniciar,vuelva a ejecutar el instalador de VMware Identity Manager.

3 Acepte el Contrato de licencia de usuario final (CLUF) y, a continuación, haga clic en Siguiente.

4 El botón de radio Programa de mejora de la experiencia de cliente está seleccionado de manerapredeterminada. Anule la selección del botón de radio si no desea que se recopilen datos.

VMware recopila datos anónimos sobre su implementación con el fin de mejorar la respuesta deVMware a los requisitos del usuario.

5 Se enumerarán los requisitos previos de VMware Identity Manager. El instalador comprobará losmódulos necesarios. Se le pedirá que instale los módulos que falten.

6 Seleccione el directorio en el que se instalará el servicio de VMware Identity Manager.

7 En el cuadro de diálogo Configuración, marque la casilla de verificación Unirse a un clústerexistente y busque el archivo (ENC) de configuración del clúster de la primera instancia.

De forma predeterminada, el archivo se encuentra en<INSTALL_DIR>\VMwareIdentityManager\usr\local\horizon\<filename>.enc.


VMware, Inc. 43

8 Introduzca la contraseña del clúster que creó para el archivo ENC de configuración del clúster y hagaclic en Siguiente.

9 Haga clic en Instalar para comenzar la instalación.

10 Para completar la instalación, haga clic en Finalizar.

Los archivos de configuración de VMware Identity Manager se copiarán en el servidor.

Pasos siguientes

Agregue el equipo clonado al equilibrador de carga.

Eliminar un nodo de un clústerSi un nodo del clúster de VMware Identity Manager no funciona correctamente y no puede recuperarse,puede eliminarlo del clúster con el comando Eliminar nodo. El comando elimina las entradas del nodo dela base de datos de VMware Identity Manager.

Puede comprobar el estado de los nodos del clúster si consulta su estado en el panel de información dediagnósticos del sistema. Un mensaje El nodo actual se encuentra en un estado incorrectoindica que el nodo no está funcionando correctamente.

Importante Use el comando Eliminar nodo con moderación. Utilícelo solo cuando un nodo se encuentreen un estado irrecuperable y deba eliminarse por completo de la implementación deVMware Identity Manager.

Nota No puede utilizar el comando Eliminar nodo para quitar el último nodo de un clúster.

Eliminar el nodo del clústerNo puede eliminar el nodo del clúster.

Nota No puede utilizar el comando Eliminar para quitar el último nodo de un clúster.

Requisitos previos

Para eliminar un nodo, debe iniciar sesión como administrador de arrendatarios, es decir, unadministrador local en el servicio de VMware Identity Manager. Un administrador de dominiossincronizado desde el directorio empresarial no tiene los permisos necesarios.

Procedimiento

1 Desconecte la máquina virtual del nodo.

a Inicie sesión en la instancia de vCenter Server.

b Haga clic con el botón secundario en la máquina virtual del nodo y seleccione Alimentación >Apagar.

2 Elimine el nodo del equilibrador de carga.


VMware, Inc. 44

3 En la consola de VMware Identity Manager, elimine el nodo.

a Inicie sesión en la consola de VMware Identity Manager como administrador local.

b Haga clic en la flecha hacia abajo de la pestaña Panel de información y seleccione el Panel deinformación de diagnósticos del sistema.

c Busque el nodo que desea eliminar.

El nodo mostrará el siguiente estado:

El nodo actual se encuentra en un estado incorrecto. ¿Desea eliminarlo?

d Haga clic en el vínculo Eliminar que se muestra junto al mensaje.

Se eliminará el nodo del clúster. Las entradas para el nodo se eliminarán de la base de datos deVMware Identity Manager. El nodo también se eliminará de los clústeres de Elasticsearch y Ehcacheintegrados.

Pasos siguientes

Espere de 5 a 15 minutos para que los clústeres de Elasticsearch y Ehcache integrados se estabilicenantes de utilizar otros comandos.

Agregar direcciones IP de la lista blanca al firewallexternoCuando configure VMware Identity Manager con un firewall externo, incluya en la lista blanca los rangosde dirección IP o direcciones URL para los siguientes servicios de VMware Identity Manager paraproporcionar acceso a dicho servicio.

Utilice el comando nslookup u otra herramienta de línea de comandos para consultar el Sistema denombres de dominio y obtener las direcciones IP que va a agregar a la lista blanca del firewall externo.

Servicio Sistema de nombres de dominio Descripción

Catálogo de VMware Identity Manager catalog.vmwareidentity.com Para asegurarse de que se puedaacceder al contenido del catálogo,agregue las direcciones URL de la lista ala lista blanca.

Dicho contenido también se distribuye através de CloudFront CDN de AWS, quemantiene su propia lista de direccionesIP públicas. Consulte https://docs.aws.amazon.com/es_es/AmazonCloudFront/latest/DeveloperGuide/LocationsOfEdgeServers.html.

VMware Verify vmware.authy.com

api.authy.com

Si VMware Verify está configurado comoun método de autenticación, agregue lasdirecciones URL de estas listas a la listablanca.


VMware, Inc. 45

http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/LocationsOfEdgeServers.html



Servicio Sistema de nombres de dominio Descripción

KDC híbrido kdc.op.<vmwareidentity.xxx> Cuando el KDC híbrido se configurepara la operación local de VMwareIdentity Manager, seleccione uno de lossiguientes dominios para buscar lasdirecciones URL.n vmwareidentity.can vmwareidentity.comn vmwareidentity.eun vmwareidentity.co.ukn vmwareidentity.den vmwareidentity.com.aun vmwareidentity.asia

Actualizaciones de VMware IdentityManager

vapp-updates.vmware.com Para recibir las actualizaciones deVMware Identity Manager y descargarlas revisiones de VMware UpdateManager, agregue las direcciones URLde la lista a la lista blanca.

Habilitar la configuración del proxy tras la instalaciónEl equipo de VMware Identity Manager accede al catálogo de aplicaciones en la nube y a otros serviciosweb en Internet. Si la configuración de red proporciona acceso a Internet a través de un proxy HTTP,deberá ajustar la configuración del proxy en el equipo de VMware Identity Manager.

Habilite su proxy para gestionar solo el tráfico de Internet. Para garantizar que el proxy se configuracorrectamente, establezca el parámetro del tráfico interno en la opción sin proxy en el dominio.

Procedimiento

1 Inicie sesión en la consola de VMware Identity Manager y vaya a la página Configuración dedispositivos > Configuración del dispositivo virtual.

2 Haga clic en Administrar configuración y, a continuación, en Configuración de proxy.

3 Habilite el proxy.

4 En el cuadro de texto Host del proxy con puerto, introduzca el nombre del proxy y el puerto. Porejemplo, proxyhost.example.com:3128.

5 En el cuadro de texto Hosts sin proxy, introduzca los hosts sin proxy a los que se accede sin pasara través del servidor proxy.

Use una coma para separar los nombres de host en la lista.


Introducir la clave de licenciaDespués de implementar el dispositivo de VMware Identity Manager, introduzca la clave de licencia.


VMware, Inc. 46

Procedimiento

1 Inicie sesión en la consola de VMware Identity Manager.

2 Seleccione la pestaña Configuración de dispositivos y haga clic en Licencia.

3 En la página Ajustes de licencia, introduzca la clave de licencia y haga clic en Guardar.


VMware, Inc. 47

Administrar los ajustes deconfiguración deVMware Identity Manager 6Una vez completada la configuración inicial de VMware Identity Manager, puede ir a las páginas de laconsola de VMware Identity Manager para instalar certificados, administrar contraseñas y descargar losarchivos de registro. También puede actualizar la base de datos, cambiar el FQDN de Identity Manager yconfigurar un servidor syslog externo.

Las páginas de configuración están disponibles en la pestaña Configuración del dispositivo de la consolade Identity Manager.

Nombre de la página Descripción de la configuración

Conexión de la base de datos La conexión a la base de datos, interna o externa, seencuentra habilitada. Puede cambiar el tipo de base de datos.Al seleccionar una base de datos externa, tiene que introduciruna URL, un nombre de usuario y una contraseña. Paraconfigurar una base de datos externa, consulte Crear la basede datos del servicio de VMware Identity Manager.

Instalar certificados SSL En las pestañas de esta página, puede instalar un certificadoSSL de VMware Identity Manager, descargar el certificado raízde VMware Identity Manager autofirmado e instalarcertificados raíz de confianza. Por ejemplo, si se configuraVMware Identity Manager detrás de un equilibrador de carga,puede instalar el certificado raíz de este. Consulte Utilizarcertificados SSL.

FQDN de Identity Manager En esta página, puede ver o cambiar el FQDN deVMware Identity Manager. El FQDN deVMware Identity Manager es la URL que emplean los usuariospara obtener acceso al servicio.

Cambiar contraseña Esta página permite cambiar la contraseña del usuario adminde VMware Identity Manager.

Configuración de proxy (VMware Identity Manager paraWindows)

Configurar el proxy HTTPS

Ubicaciones de los archivos de registro Puede descargar los registros en un archivo ZIP. Consulte Información del archivo de registro.

Ubicación del archivo del clúster (VMware Identity Managerpara Windows)

Puede crear un archivo cifrado de la instancia de configuraciónde VMware Identity Manager. Puede descargar este archivoENC y utilizarlo para crear un clúster de nodos deVMware Identity Manager.

VMware, Inc. 48

También puede modificar la URL del conector. Consulte Modificar la URL del conector.


n Cambiar ajustes de configuración del dispositivo

n Utilizar certificados SSL

n Configure VMware Identity Manager para usar una base de datos externa

n Modificar la URL del servicio VMware Identity Manager

n Modificar la URL del conector

n Información del archivo de registro

n Administrar la contraseña

n Configurar las opciones de SMTP

n Configurar la sincronización de hora para el servicio de VMware Identity Manager (Windows)

Cambiar ajustes de configuración del dispositivoDespués de configurar VMware Identity Manager, se puede acceder a las páginas de configuración dedispositivos para actualizar la configuración actual y supervisar la información del sistema del dispositivovirtual.

Procedimiento


2 Seleccione la pestaña Configuración de dispositivos y haga clic en Administrar configuración.

3 Inicie la sesión con la contraseña del administrador del servicio.

4 En el panel izquierdo, seleccione la página que desee ver o editar.

Pasos siguientes

Verifique que los cambios o actualizaciones realizados sean efectivos.

Utilizar certificados SSLAl instalar el dispositivo VMware Identity Manager, se genera automáticamente un certificado de servidorSSL predeterminado. Este certificado autofirmado se puede utilizar para una comprobación general de laimplementación.

Una entidad de certificación es una entidad de confianza que garantiza la identidad del certificado y desu creador. Si un certificado está firmado por una CA de confianza, los usuarios dejan de recibirmensajes en los que se les pide que verifiquen el certificado.

Los certificados de CA firmados se pueden instalar desde la página Configuración de dispositivos >Administrar configuración > Instalar certificados SSL > Certificados de servidor.


VMware, Inc. 49

Si se implementa VMware Identity Manager con el certificado SSL autofirmado, el certificado de CA raízdebe estar disponible como CA de confianza para todos los clientes que accedan al servicio deVMware Identity Manager. Los clientes pueden incluir equipos de usuarios finales, equilibradores decarga, servidores proxy, etc. Puede descargar la CA raíz de la página Instalar certificados SSL >Certificados de servidor.

Al instalar VMware Identity Manager Connector, se genera automáticamente un certificado SSLautofirmado predeterminado. Puede seguir usando este certificado autofirmado en la mayoría de losescenarios. Puede instalar un certificado SSL firmado para el conector desde las páginas deadministración del conector, en https://connectorFQDN:8443/cfg/login. Consulte Usar certificadosSSL para VMware Identity Manager Connector.

Instalar un certificado SSL para el servicio deVMware Identity ManagerCuando se instala el servicio de VMware Identity Manager, se genera un certificado de servidor SSLpredeterminado. El certificado autofirmado se puede usar para hacer pruebas. Sin embargo, la prácticarecomendada es utilizar certificados SSL firmados por una entidad de certificación (CA) pública para suentorno de producción.

Nota Si un equilibrador de carga delante de VMware Identity Manager termina el SSL, se aplica elcertificado SSL al equilibrador de carga.

Requisitos previos

n Genere una solicitud de firma del certificado (CSR) y obtenga un certificado válido y firmado SSL deCA. El certificado puede ser un archivo PEM o PFX.

n Para la parte del nombre común del DN del sujeto, utilice el nombre de dominio completo que losusuarios utilizan para acceder al servicio de VMware Identity Manager. Si el dispositivo deVMware Identity Manager está detrás de un equilibrador de carga, este es el nombre del servidor delequilibrador de carga.

n Si SSL no termina en el equilibrador de carga, el certificado SSL usado por el servicio deberá incluirnombres alternativos del sujeto (SAN) para cada nombre de dominio completo del clúster deVMware Identity Manager. La inclusión de la SAN permite que los nodos del clúster se requieransolicitudes entre sí. También incluye un SAN para el nombre de host de FQDN que los usuariosutilizan para acceder al servicio de VMware Identity Manager, además de usarlo para el nombrecomún, debido a que algunos navegadores lo exigen.

Procedimiento

1 En la consola de VMware Identity Manager, haga clic en la pestaña Configuración de dispositivos.

2 Haga clic en Administrar configuración e introduzca la contraseña del usuario administrador.

3 Seleccione Instalar certificados SSL > Certificado de servidor.

4 En la pestaña Certificado SSL, seleccione Certificado personalizado.


VMware, Inc. 50

https://docs.vmware.com/es/VMware-Identity-Manager/services/identitymanager-connector-win/GUID-0AAFCDB9-3C5D-4DA7-8AC6-18166A20C480.html

https://docs.vmware.com/es/VMware-Identity-Manager/services/identitymanager-connector-win/GUID-0AAFCDB9-3C5D-4DA7-8AC6-18166A20C480.html

5 Para importar el archivo de certificado, haga clic en Seleccionar archivo y desplácese hasta elarchivo de certificado que desea importar.

Si se importa un archivo PEM, asegúrese de que el archivo incluya la cadena de certificadoscompleta en el orden correcto. Debe incluir todo lo que haya entre las líneas -----BEGINCERTIFICATE----- y -----END CERTIFICATE-----, incluso estas líneas.

6 Si se importa un archivo PEM, importe la clave privada. Haga clic en Seleccionar archivo ydesplácese hasta el archivo de clave privada. Debe incluir todo lo que haya entre ----BEGIN RSAPRIVATE KEY y ----END RSA PRIVATE KEY.

Si se importa un archivo PFX, introduzca la contraseña de PFX.


Ejemplo: Ejemplo de certificado PEM

Ejemplo de cadena de certificados

-----BEGIN CERTIFICATE-----

jlQvt9WdR9Vpg3WQT5+C3HU17bUOwvhp/r0+

...

W53+O05j5xsxzDJfWr1lqBlFF/OkIYCPcyK1

-----END CERTIFICATE-----


WdR9Vpg3WQT5+C3HU17bUOwvhp/rjlQvt90+

...

O05j5xsxzDJfWr1lqBlFF/OkIYCPW53+cyK1



dR9Vpg3WQTjlQvt9W5+C3HU17bUOwvhp/r0+

...

5j5xsxzDJfWr1lqW53+O0BlFF/OkIYCPcyK1


Ejemplo de clave privada

-----BEGIN RSA PRIVATE KEY-----

jlQvtg3WQT5+C3HU17bU9WdR9VpOwvhp/r0+

...

1lqBlFFW53+O05j5xsxzDJfWr/OkIYCPcyK1

-----END RSA PRIVATE KEY-----


VMware, Inc. 51

Instalar certificados raíz de confianzaInstale los certificados intermedios y raíz que deban ser de confianza para el servidor deVMware Identity Manager. El servidor de VMware Identity Manager podrá establecer conexiones segurasa los servidores cuya cadena de certificados incluya alguno de estos certificados.

Si el servidor de VMware Identity Manager está configurado detrás de un equilibrador de carga y SSL setermina en el equilibrador de carga, instale el certificado raíz del equilibrador de carga.

Procedimiento


2 Haga clic en Administrar configuración e introduzca la contraseña del usuario administrador.

3 Haga clic en Instalar certificados SSL y, a continuación, seleccione la pestaña CA de confianza.

4 Pegue el certificado raíz o intermedio en el cuadro de texto.

Incluya todo lo que haya entre las líneas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE----,incluso estas líneas.

5 Haga clic en Agregar.

Instalar un certificado de acceso directoPara habilitar el inicio de sesión con el método de autenticación de certificados, configure el accesodirecto a SSL en el equilibrador de carga para el puerto definido en la pestaña Instalar certificado SSL >Certificado de acceso directo en la consola de VMware Identity Manager .

Habilitar la autenticación de certificados de VMware Identity Manager en una implementación localrequiere configurar el acceso directo a SSL en el equilibrador de carga. Cargue un certificado raíz ycertificados intermedios y una clave privada en la pestaña Certificado de acceso directo. Para obtenermás información sobre cómo configurar el acceso directo a SSL con un equilibrador de carga, consulte lapublicación Implementar VMware Identity Manager.

También puede cargar un certificado para usarlo para la autenticación de dispositivos SSO de Android.Consulte la publicación Inicio de sesión único móvil de Android para VMware Workspace ONE.

Configure VMware Identity Manager para usar una basede datos externaDespués de crear la base de datos Microsoft SQL, si la base de datos externa creada no se configuraautomáticamente en VMware Identity Manager, configure VMware Identity Manager para utilizar la basede datos en la página Configuración de dispositivo.

Requisitos previos

n La base de datos con el esquema de saas creada en Microsoft SQL server como el servidor de basede datos externo. Para obtener información sobre las versiones específicas que son compatibles conVMware Identity Manager, consulte las matrices de interoperabilidad de productos de VMware.


VMware, Inc. 52

https://docs.vmware.com/es/VMware-Identity-Manager/3.3/com.vmware.vidm-dmz-deployment/GUID-8E453C0D-3E4C-403D-9CA5-CB30A08B4706.html

https://docs.vmware.com/es/VMware-Workspace-ONE/services/WS1_android_sso_config/GUID-CD5B78AF-5E13-4363-8D7A-10D44921DD87.html

http://www.vmware.com/resources/compatibility/sim/interop_matrix.php

Procedimiento

1 En la consola de VMware Identity Manager, haga clic en Configuración de dispositivos yseleccione Configuración del dispositivo virtual.

2 Haga clic en Administrar configuración.

3 Inicie sesión con la contraseña del administrador de VMware Identity Manager.

4 En la página Configuración de la conexión de la base de datos, seleccione Base de datos externacomo tipo de base de datos.

5 Introduzca la información sobre la conexión de la base de datos.

a Escriba la URL de JDBC del servidor de la base de datos Microsoft SQL.

Modo de autenticación Cadena de URL de JDBC

Autenticación de Windows(domain\user) jdbc:jtds:sqlserver://<hostname_or_IP_address:port#>/<saasdb>;integra

tedSecurity=true;domain=<domainname>;useNTLMv2=true

Autenticación de SQLServer (usuario local) jdbc:sqlserver://<hostname_or_IP_address:port#>;DatabaseName=<saasdb>

Nota Para habilitar SQL Server AlwaysOn, establezca MultiSubNetFailover como True en SQL.La cadena de la URL de JDBC es

jdbc:jtds:sqlserver://<hostname_or_IP_address:port#>/<saasdb>;integratedSecurity=true;domain=<d

omainname>;useNTLMv2=true;multiSubnetFailover=true

b Introduzca el nombre de usuario y la contraseña de inicio de sesión que configuró al crear labase de datos. Consulte Configurar la base de datos de Microsoft SQL con el modo deautenticación local de SQL Server

6 Haga clic en Probar conexión para verificar y guardar la información.

Pasos siguientes

(Opcional) Cambie los privilegios de suscripción de la función de base de datos db_owner. Consulte Cambiar las funciones de nivel de la base de datos.

Modificar la URL del servicio VMware Identity ManagerEs posible cambiar la URL del servicio VMware Identity Manager, que es la que utilizan los usuarios paraacceder al servicio. Por ejemplo, se puede cambiar la URL por la de un equilibrador de carga.

Procedimiento


2 Haga clic en la pestaña Configuración de dispositivos y, a continuación, seleccioneConfiguración del dispositivo virtual.


VMware, Inc. 53

3 Haga clic en Administrar configuración e inicie la sesión con la contraseña de usuarioadministrador.

4 Haga clic en FQDN de Identity Manager e introduzca la nueva URL en el campo FQDN de IdentityManager.

Utilice el formato https://FQDN:port. La especificación del puerto es opcional. El puertopredeterminado es 443.

Por ejemplo, https://miservicio.ejemplo.com.


Pasos siguientes

Habilite la nueva interfaz de usuario del portal.

1 Vaya a https://VMwareIdentityManagerURL/admin para acceder a la consola de administración.

2 En la consola de administración, haga clic en la flecha de la pestaña Catálogo y seleccioneConfiguración.

3 Seleccione Nueva interfaz del portal de usuario final en el panel de la izquierda y haga clic enHabilitar nueva interfaz del portal.

Modificar la URL del conectorSe puede cambiar la URL del conector cuando se actualiza el nombre de host del proveedor deidentidades en la consola de VMware Identity Manager.

Procedimiento


2 Haga clic en la pestaña Administración de acceso e identidad y, a continuación, en la pestañaProveedores de identidades.

3 En la página Proveedores de identidades, seleccione el proveedor de identidades que deseeactualizar.

4 En el campo Nombre de host de IdP, introduzca el nuevo nombre de host.

Utilice el formato nombre de host:puerto. La especificación del puerto es opcional. El puertopredeterminado es 443.

Por ejemplo, vidm.ejemplo.com.


Información del archivo de registroLos archivos de registro de VMware Identity Manager pueden resultarle de ayuda para depurar errores yresolver problemas. Los archivos de registro que se enumeran a continuación son un punto de partidacomún. Encontrará registros adicionales en el directorio de registros.


VMware, Inc. 54

Tabla 6‑1. Archivos de registro

Componente

Ubicación del archivo deregistro en Linux

Ubicación del archivo de registroen Windows Descripción

Registrosdel serviciode IdentityManager

/opt/vmware/horizon/workspa

ce/logs/horizon.log

<INSTALL_DIR>\opt\vmware\horiz

on\workspace\logs\horizon.log

Información sobre la actividad enel servicio, como lasautorizaciones, los usuarios y losgrupos.

Registrosdelconfigurador


ce/logs/configurator.log


on\workspace\logs\configurator

.log

Solicitudes que recibe elconfigurador del cliente REST y dela interfaz web.

Registrosdel conector


ce/logs/connector.log


on\workspace\logs\connector.lo

g

Un registro de cada solicitudrecibida desde la interfaz web.Cada entrada del registro incluyetambién la URL, la marca de horay las excepciones de la solicitud.No se registra ninguna acción desincronización.


ce/logs/connector-dir-

sync.log

DirectorioInstalación\IDMConne

ctor\opt\vmware\horizon\worksp

ace\logs\connector-dir-

sync.log

Mensajes relacionados con lasincronización de directorio.

Registros deApacheTomcat


ce/logs/catalina.log


on\workspace\logs\catalina.log

Apache Tomcat registra losmensajes que no se registran enotros archivos de registro.

Recopilar información de registroDurante las pruebas o la resolución de problemas, los registros pueden proporcionar información sobrela actividad y el rendimiento del dispositivo virtual, así como información sobre los problemas que puedanocurrir.

Recopile los registros de cada dispositivo en su entorno.

Procedimiento


2 Seleccione la pestaña Configuración de dispositivos y haga clic en Administrar configuración.

3 Haga clic en Ubicaciones de los archivos de registro y en Preparar paquete de registro.

La información se recopila en un archivo tar.gz que se puede descargar.

4 Descargue el paquete preparado.

Pasos siguientes

Para recopilar todos los registros, haga esta operación con cada dispositivo.


VMware, Inc. 55

Establecer el nivel de registro del servicio VMware IdentityManager en DEBUGPuede establecer el nivel de registro en DEBUG para registrar información adicional que puede ayudar adepurar problemas.

Procedimiento

1 Inicie sesión en el equipo.

2 Cambie la ruta por el directorio conf.

Para Linux, vaya a /usr/local/horizon/conf/.

Para Windows, vaya a \usr\local\horizon\conf\.

3 Actualice el nivel de registro en los archivos log4j.properties cfg, log4j.properties hc ysaas log4j.properties, que son los archivos log4j más comúnmente usados para el servicio.

a Edite el archivo.

b En las líneas que tienen el nivel de registro establecido en INFO, reemplace INFO por DEBUG.

Por ejemplo, cambie:

rootLogger.level=INFO

por:

rootLogger.level=DEBUG

c Guarde el archivo.

No se requiere un reinicio del servicio o del sistema.

Administrar la contraseñaCuando se configuró VMware Identity Manager para Windows por primera vez, se crearon contraseñaspara el usuario administrador. Puede cambiar la contraseña de administración en la pestañaConfiguración de dispositivo de la consola de Identity Manager.

Asegúrese de crear contraseñas seguras. Las contraseñas seguras deben tener al menos ochocaracteres e incluir mayúsculas, minúsculas y al menos un dígito o un carácter especial.

Nota Si no puede iniciar sesión y necesita restablecer la contraseña, use el scripthznSetAdminPassword.bat para hacerlo. Consulte Restablecer la contraseña del usuario administradorpara VMware Identity Manager para Windows.

Procedimiento

1 En la consola de VMware Identity Manage, haga clic en la pestaña Configuración de dispositivos.

2 Haga clic en Configuración del dispositivo virtual > Administrar configuración.


VMware, Inc. 56

3 Para cambiar la contraseña de administrador, seleccione Cambiar contraseña.

Importante La contraseña del usuario administrador debe tener 6 caracteres como mínimo.

4 Introduzca la nueva contraseña.


Restablecer la contraseña del usuario administrador paraVMware Identity Manager para WindowsLa contraseña del usuario administrador del servicio de VMware Identity Manager se puede cambiar enlas páginas de administración del conector en https://<FQDNnombredehost>: 8443/cfg/login. Sinembargo, si no puede iniciar sesión y necesita restablecer la contraseña, use el scripthznSetAdminPassword.bat para hacerlo.

Procedimiento

1 En el servidor Windows, abra la ventana de la línea de comandos.

2 Desplácese hasta la carpeta IDM_INSTALL_DIR>\usr\local\horizon\bin.

cd <IDM_INSTALL_DIR>\usr\local\horizon\bin

donde IDM_INSTALL_DIR es el directorio de instalación del servicio de VMware Identity Manager.

3 Ejecute el comando siguiente.

hznAdminTool.bat setSystemAdminPassword -pass newPassword

La contraseña del usuario administrador debe tener 6 caracteres como mínimo.

Configurar las opciones de SMTPConfigure el servidor SMTP para recibir notificaciones por correo electrónico desde el servicio deVMware Identity Manager. Por ejemplo, se envían correos electrónicos de notificación cuando se creannuevos usuarios locales, cuando se restablece una contraseña o con el token de verificación dedetección automática.

Procedimiento


2 Haga clic en la pestaña Configuración de dispositivos y haga clic en SMTP.

3 Introduzca el nombre de host del servidor SMTP.

Por ejemplo: smtp.example.com

4 Introduzca el número de puerto del servidor SMTP.

Por ejemplo: 25

5 (Opcional) Si el servidor SMTP requiere autenticación, introduzca el nombre de usuario y lacontraseña.


VMware, Inc. 57


7 Para personalizar la dirección del remitente en las notificaciones de correo electrónico, agregue ladirección al archivo runtime-config.properties.

a Inicie sesión en el equipo de VMware Identity Manager.

b Edite el archivo /usr/local/horizon/conf/runtime-config.properties y añada lasiguiente propiedad:

notification.emails.support=emailaddress

Por ejemplo:

[email protected]

c Guarde el archivo.

d Reinicie el equipo.

<install dir>\usr\local\horizon\scripts\horizonService.bat restart

Esto cambia la dirección del remitente de la dirección predeterminada [email protected] la dirección de personalizada.

Configurar la sincronización de hora para el servicio deVMware Identity Manager (Windows)Se requiere la configuración de la sincronización de hora en todas las instancias de conector y el serviciode VMware Identity Managerpara que una implementación de VMware Identity Manager funcionecorrectamente. Para configurar la sincronización de hora para el servicio de VMware Identity Manager,utilice la pestaña Configuración de dispositivos > Administrar configuración > Sincronización dehora en la consola de VMware Identity Manager.

Puede sincronizar el reloj del servicio de VMware Identity Manager con el host ESXi o con un servidor deprotocolo de tiempo de red (NTP). De forma predeterminada, el servicio de VMware Identity Managerestá configurado para sincronizarse con el host. Si su equipo Windows VMware Identity Manager no seestá ejecutando en un host ESXi, la opción de sincronización Hora del host no es aplicable y debeseleccionar la opción NTP o configurar la sincronización de hora directamente en el equipo Windows.

Siga estas directrices:

n Como práctica recomendada, sincronice la hora con un servidor NTP si la instancia deVMware Identity Manager puede acceder a un servidor NTP. De lo contrario, sincronice la hora con elhost ESXi y configure el host ESXi para sincronizar la hora con un servidor NTP.

Nota Si su equipo Windows VMware Identity Manager no se está ejecutando en un host ESXi,seleccione la opción NTP o configure la sincronización de hora directamente en el equipo Windows.


VMware, Inc. 58

n Si la implementación incluye instancias de conector o servicio de VMware Identity Manager endiferentes hosts, la práctica recomendada es sincronizar la hora con un servidor NTP directamente,en lugar de sincronizar con el host para garantizar que no haya un desplazamiento horario entre lasinstancias.

Requisitos previos

Si su equipo Windows de VMware Identity Manager se está ejecutando en un host ESXi y desea utilizarla opción de sincronización Hora del host, instale VMware Tools en el equipo Windows.

Procedimiento


2 Haga clic en Administrar configuración e inicie la sesión con la contraseña de usuarioadministrador.

3 Haga clic en Sincronización de hora.

4 Seleccione una opción de sincronización de hora.


NTP Sincroniza el reloj del sistema del equipo VMware Identity Manager con unservidor NTP. El servidor NTP predeterminado es time.nist.gov. Para usar otroservidor NTP, introduzca su nombre de dominio completo (FQDN) en el cuadrode texto Servidor NTP. Por ejemplo:

servidor_ntp.ejemplo.com

Hora del host Sincroniza el reloj del sistema del equipo VMware Identity Manager con el hostESXi, si corresponde. Hora del host es la opción predeterminada.



VMware, Inc. 59

Actualizar Java en el servidorde VMware Identity Manager 7VMware Identity Manager requiere Java Runtime Environment (JRE).

La versión de JRE requerida está empaquetada con el instalador de VMware Identity Manager. Cuandose actualiza VMware Identity Manager, se le pide que actualice también la versión de JRE.

Si desea actualizar JRE en el servidor de VMware Identity Manager en cualquier otro momento, sigaestos pasos para asegurarse de que el servicio de VMware Identity Managersiga funcionandocorrectamente después de la actualización de JRE.

Nota Si JRE se actualiza automáticamente, siga los pasos 3 a 4 después de la actualización.

Procedimiento

1 Detenga los servicios de proxy de certificado de VMware IDM, Elasticsearch y VMware IDM.

2 Instale la nueva versión JRE.

3 Actualice la variable de entorno JAVA_HOME para que apunte a la nueva versión de JRE.

4 Reinicie los servicios de proxy de certificado de VMware IDM, Elasticsearch y VMware IDM.

VMware, Inc. 60

Supervisar VMware IdentityManager 8La supervisión de VMware Identity Manager es importante para garantizar que la solución WorkspaceONE funcione correctamente.

Puede utilizar herramientas de terceros, como Nagios, Splunk, Symantec Altiris, Spotlight, Ignite oMontastic. Consulte al departamento de TI de su empresa para obtener recomendaciones específicassobre herramientas de supervisión si no tiene aún una solución instalada.

Este documento ofrece recomendaciones de capacidad de carga de hardware genérico e informaciónsobre los archivos de registros y extremos de URL. No cubre explícitamente cómo configurar unasolución de supervisión.

Este capítulo incluye los siguientes temas:n Recomendaciones de supervisión de la capacidad de carga de hardware

n Extremos de URL de VMware Identity Manager para la supervisión

n Registro del sistema

n Cambiar la memoria predeterminada asignada al servicio de VMware Identity Manager

Recomendaciones de supervisión de la capacidad decarga de hardwareUtilice estos estándares de supervisión para garantizar el estado del servidor.

Métricas de captura

Hardware Supervisa

CPU Uso

Memoria Uso

Disco duro Espacio libre

Red Uso

Alertas y umbralesVMware recomienda analizar cada caso de uso individual para determinar los umbrales correctos paraentornos individuales.

VMware, Inc. 61

Hardware Alertas, ejemplos, umbrales

CPU Ejemplos: ejemplos de 5 minutos

Umbral: 1 hora más del 90 %, 95 durante 1 hora

Alertas: 90 % de carga es una advertencia, 95 % es crítico

Memoria Ejemplos: ejemplos de 5 minutos


Alertas: 90 % utilizado es una advertencia, 95 % de uso escrítico

Disco duro Ejemplos: ejemplos de 5 minutos


Alertas: 90 % utilizado es una advertencia, 95 % de uso escrítico

Red Ejemplos: ejemplos de 5 minutos


Alertas: 90 % de carga es una advertencia, 95 % es crítico

Estrategias para la capturan Dispositivo virtual Linux de VMware Identity Manager: en un dispositivo virtual, la infraestructura

virtual subyacente captura las métricas a través de herramientas como vSphere o vRealizeOperations.

n VMware Identity Manager en Windows: Instale un agente de supervisión que sea compatible con losservidores de Windows y pueda capturar estas métricas. Además, para los servidores virtuales, sepueden utilizar herramientas nativas para que vSphere capture las métricas relevantes.

Extremos de URL de VMware Identity Manager para lasupervisiónSupervise los extremos de URL indicados para diversos componentes de VMware Identity Manager a finde garantizar un entorno funcional. Algunos extremos también pueden utilizarse para que losequilibradores de carga se aseguren de que el servicio está activo para el tráfico.

Comprobaciones de estado para los equilibradores de carga

Componente Comprobación de estado Rendimiento previsto Notas

Servicio de VMware IdentityManager

/SAAS/API/1.0/REST/syste

m/health/heartbeat

Cadena: Aceptar

Http: 200

Frecuencia cada 30segundos

SSO móvil Android -Certproxy:

:5262/system/health

Http: 200 Frecuencia cada 30segundos

SSO móvil iOS - KDC:

TCP half-open to port 88

Conexión Frecuencia cada 30segundos


VMware, Inc. 62

Componente Comprobación de estado Rendimiento previsto Notas

Adaptador de certificado:

:

7443/SAAS/API/1.0/REST/s

ystem/health/heartbeat

Cadena: Aceptar

Http: 200


VMware Identity ManagerConnector

/hc/API/1.0/REST/syste

m/health/allOk

Cadena: true

Http: 200


Integration Broker /IB/API/RestServiceImpl.

svc/ibhealthcheck

Cadena: All Ok

Http: 200


Integración con XenApp 7.x:

/IB/API/RestServiceImpl.

svc/hznxenapp/admin/xenf

arminfo?

computerName=&xenappvers

ion=Version7x

Cadena: ‘SiteName’

Http: 200

Frecuencia cada 5 minutos

Integración con XenApp 6.x:

/IB/API/RestServiceImpl.

svc/hznxenapp/admin/xenf

arminfo?

computerName=&xenappvers

ion=Version65orLater

Cadena: 'FarmName'

Http: 200

Frecuencia cada 5 minutos

Las comprobaciones de estado de los equilibradores de carga devuelven valores simples para unanálisis sencillo realizado por el equipo de red.

Comprobaciones de estado adicionales para supervisiónLas comprobaciones de estado que se enumeran aquí pueden ser utilizadas por soluciones desupervisión que tienen la capacidad de analizar los datos y crear paneles de control. Establezca lafrecuencia cada 5 minutos.

Estado y supervisión del servicio de VMware Identity Manager

Llamada de URL: /SAAS/jersey/manager/api/system/health

o

/SAAS/API/1.0/REST/system/health

Datos de salida brutos:

{

"AnalyticsUrl":"unknown",

"ElasticsearchServiceOk":"true",

"EhCacheClusterPeers":"unknown",

"ElasticsearchMasterNode":"unknown",

"ElasticsearchIndicesCount":"unknown",

"ElasticsearchDocsCount":"unknown",

"AuditPollInterval":"0",

"AnalyticsConnectionOk":"true",

"EncryptionServiceVerified":"unknown",


VMware, Inc. 63

"FederationBrokerStatus":"unknown",

"ServiceReadOnlyMode":"false",

"ElasticsearchUnassignedShards":"unknown",

"AuditWorkerThreadAlive":"true",

"BuildVersion":"3.3.0.0 Build xxxxxxx",

"AuditQueueSize":"0",

"DatabaseStatus":"unknown",

"HostName":"unknown",

"ElasticsearchNodesCount":"unknown",

"EncryptionStatus":"unknown",

"FederationBrokerOk":"true",

"EncryptionConnectionOk":"true",

"EncryptionServiceImpl":"unknown",

"ClusterId":"22f6e089-45df-41ab-9c8a-77f3e4589230",

"EhCacheClusterDiagnostics":"unknown",

"ElasticsearchNodesList":"unknown",

"DatabaseConnectionOk":"true",

"ElasticsearchHealth":"unknown",

"StatusDate":"2018-08-06 19:14:40 UTC",

"ClockSyncOk":"true",

"MaintenanceMode":"false",

"MessagingConnectionOk":"true",

"fipsModeEnabled":"true",

"ServiceVersion":"3.3.0",

"AuditQueueSizeThreshold":"null",

"IpAddress":"unknown",

"AuditDisabled":"false",

"AllOk":"true"

}

"AllOk" "true", "false" Comprobación de estado deconsolidación para supervisar el estadogeneral de los servicios de VMwareIdentity Manager

"MessagingConnectionOk" "true", "false" Verifica que todos los emisores y losconsumidores de mensajes se conectena RabbitMQ

"DatabaseConnectionOk" "true", "false" Comprueba la conexión con la base dedatos

"EncryptionConnectionOk" "true", "false" Comprueba que esté bien la conexióncon el servicio de cifrado y el almacénde claves principal esté correcto


VMware, Inc. 64

"AnalyticsConnectionOk" "true", "false" Comprueba la conexión con el serviciode análisis

"FederationBrokerOk" "true", "false" Comprueba los adaptadores deautenticación integrados para garantizarque sus subsistemas estén bien

Nota La etiqueta "desconocido" en el resultado indica que la información está restringida. De formapredeterminada, la información confidencial, como direcciones IP y nombres de host, está oculta. Paramostrar esta información, consulte Mostrar información adicional en la API de comprobación de estado.

Llamada de URL: /catalog-portal/services/health

Esta comprobación de estado es específica de la parte de la interfaz de usuario de VMware IdentityManager


{

"status": "UP",

"uiService": {

"status": "UP"

},

"apiService": {

"status": "UP"

},

"eucCacheEngine": {

"status": "UP"

},

"cacheEngineClient": {

"status": "UP"

},

"persistenceEngine": {

"status": "UP",

"database": "Microsoft SQL Server",

"hello": 1

},

"tenantPersistenceEngine": {

"status": "UP",

"database": "Microsoft SQL Server",

"hello": 1

},

"diskSpace": {

"status": "UP",

"total": 8460120064,

"free": 4898279424,

"threshold": 10485760

}

}


VMware, Inc. 65

"status" "UP", "DOWN" Comprobación de estado deconsolidación para supervisar el estadogeneral de la interfaz de usuario (IU) deVMware Identity Manager

"uiServer.status" "UP", "DOWN" UP si se está ejecutando el servicio deinterfaz de usuario principal

"apiService.status" "UP", "DOWN" UP si se está ejecutando el servicio deAPI de la interfaz de usuario principal

"eucCacheEngine.status" "UP", "DOWN" UP si se ejecuta el motor de clústerHazelcast

"cacheEngineClient.status" "UP", "DOWN" UP si se está ejecutando el cliente deHazelcast para la interfaz de usuario

"persistenceEngine.status" "UP", "DOWN" UP si se está ejecutando la base dedatos (SQL) principal

"tenantPersistenceEngine.status" "UP", "DOWN" UP si se está ejecutando la base dedatos (SQL) principal

"diskSpace.status" "UP", "DOWN" UP si el espacio de disco libre es mayorque el umbral configurado, 10 MB

"diskSpace.free" Bytes Espacio libre en bytes en la partición enla que se instala la UI de VMwareIdentity Manager

Supervisión y estado del conector de VMware Identity Manager

Llamada de URL: /hc/API/1.0/REST/system/health


{

"HorizonDaaSSyncConfigurationStatus": "",

"AppManagerServiceOk": "true",

"DomainJoinEnabled": "false",

"XenAppEnabled": "true",

"ViewSyncConfigurationStatus": "",

"ThinAppServiceOk": "true",

"ThinAppSyncConfigurationStatus": "unknown",

"Activated": "true",

"XenAppServiceOk": "false",

"DirectoryServiceStatus": "Connection test successful",

"BuildVersion": "2017.1.1.0 Build 5077496",

"ThinAppServiceStatus": "unknown",

"XenAppServiceStatus": "A problem was encountered Sync Integration Broker",

"HostName": "hostname.company.local",

"NumberOfWarnAlerts": "0",

"JoinedDomain": "true",

"XenAppSyncConfigurationStatus": "Sync configured (manually)",

"DirectorySyncConfigurationStatus": "Sync configured (manually)",

"NumberOfErrorAlerts": "0",

"DirectoryServiceOk": "true",

"HorizonDaaSTenantOk": "true",


VMware, Inc. 66

"ThinAppDirectoryPath": "",

"StatusDate": "2017-06-27 10:52:59 EDT",

"ViewSyncEnabled": "false",

"ViewServiceOk": "true",

"HorizonDaaSEnabled": "false",

"AppManagerUrl": "https://workspaceurl.com/SAAS/t/qwe12312qw/",

"HorizonDaaSServiceStatus": "unknown",

"DirectoryConnection": "ldap:///ldapcall",

"ServiceVersion": "VMware-C2-2017.1.1.0 Build 5077496",

"IpAddress": "169.118.86.105",

"DomainJoinStatus": "Domain: customerdomainname",

"AllOk": "false",

"ViewServiceStatus": "unknown",

"ThinAppEnabled": "false",

"XenAppSyncSsoBroker": "integrationbrokersso:443 / integrationbrokersync:443"

}

"AllOk" "true", "false" Comprobación de estado deconsolidación para supervisar el estadogeneral de los servicios de conector deVMware Identity Manager.

"ViewServiceOk" "true", "false" True si la conexión con el agente deView se realiza correctamente. Esteatributo será True si la sincronización deView está deshabilitada.

"HorizonDaaSTenantOk" "true", "false" True si la conexión con Horizon Cloud serealiza correctamente. Este atributo seráTrue si la sincronización de HorizonCloud está deshabilitada.

"DirectoryServiceOk" "true", "false" True si la conexión con el directorio serealiza correctamente. Este atributo seráTrue si la sincronización del directorioestá deshabilitada.

"XenAppServiceOk" "true", "false" True si es correcta la conexión con elservidor de Citrix. Este atributo será Truesi el servidor de Citrix está deshabilitado.

"ThinAppServiceOk" "true", "false" True si la conexión con el servicio de lasaplicaciones que aparecen en el paquetede ThinApp es correcta. Este atributoserá True si las aplicaciones enpaquetes están deshabilitadas.

"AppManagerServiceOk" "true", "false" True si se puede autenticarcorrectamente en AppManager.


VMware, Inc. 67

"NumberOfWarnAlerts" 0 - 1000 Número de alertas de advertencia quese han activado en este conector. Estosestán disponibles en el Log desincronización del conector como"Notas". Pueden indicar que un recursose sincronizó e incluye un usuario ogrupo que no está en VMware IdentityManager. Según la configuración, estopuede ser por diseño. El contador sigueaumentando en cada sincronizaciónhasta que los alertas de error yadvertencia equivalgan a 1000, y unadministrador borre los alertas.

"NumberOfErrorAlerts" 0 - 1000 Número de alertas de error que se hanactivado en este conector. Estos estándisponibles en el Log de sincronizacióndel conector como "Error". Puedenindicar que no pudo realizar unasincronización. El contador sigueaumentando en cada sincronizaciónhasta que los alertas de error yadvertencia equivalgan a 1000, y unadministrador borre los alertas.

Supervisión y estado de VMware Identity Manager Integration Broker

Llamada de URL: /IB/API/RestServiceImpl.svc/ibhealthcheck


“All Ok”

Esta comprobación de estado verifica que todo el software de Integration Broker respondacorrectamente. Devuelve una respuesta 200 con la cadena "All Ok".

Supervisión y estado de VMware Identity Manager Integration Broker con Citrix XenApp 7.x

Llamada deURL: /IB/API/RestServiceImpl.svc/hznxenapp/Admin/xenfarminfo?computername=&xenappversion=Version7x

Esto trae información de una llamada API a Citrix. La supervisión puede garantizar que los valores seancoherentes.


[{

\ “ConfigurationLoggingServiceGroupUid \ “: \ “5e2a5602 - 45a8 - 4b56 - 92e6 - 9fae5a3ff459 \ “,

\ “ConfigurationServiceGroupUid \ “: \ “620d7c6e - b7c1 - 4ee7 - b192 - d00764f477e7 \

“, \ “DelegatedAdministrationServiceGroupUid \ “: \ “0a59914d - 4b6e - 4cca - bbaa -

a095067092e3 \ “,

\ “LicenseServerName \ “: \ “xd.hs.trcint.com \ “,

\ “LicenseServerPort \ “: \ “27000 \ “,


VMware, Inc. 68

\ “LicenseServerUri \ “: \ “https: \ / \ / xd.hs.domain.com: 8083 \ / \ “,

\ “LicensingBurnIn \ “: \ “2014.0815 \ “,

\ “LicensingBurnInDate \ “: \ “8 \ / 14 \ / 2014 5: 00: 00 PM \ “,

\ “LicensingModel \ “: \ “UserDevice \ “,

\ “MetadataMap \ “: \ “System.Collections.Generic.Dictionary `2[System.String,System.String]\“,

\“PrimaryZoneName\“:\“\”,

\“PrimaryZoneUid\“:\“00000000-0000-0000-0000-000000000000\“,

\“ProductCode\“:\“XDT\“,

\“ProductEdition\“:\“PLT\“,

\“ProductVersion\“:\“7.6\“,

\“SiteGuid\“:\“0c074098-02d2-47cf-aa87-7e3asdsad7c\“,

\“SiteName\“:\“customer\“

}]

Excepción de datos de salida brutos:

{“ExceptionType”:“System.Management.Automation.CmdletInvocationException”,“Message”:“An invalid URL

was given for the service. The value given was ‘mit-xen751.hs.trcint.com’.\u000d\u000a The reason

given was: Failed to connect to back-end server ‘mit-xen751.hs.trcint.com’ on port 80 using binding

WSHttp. The server may be off-line or may not be running the appropriate

service\u000d\u000a\u0009There was no endpoint listening at http:\/\/mit-

xen751.hs.trcint.com\/Citrix\/ConfigurationContract\/v2 that could accept the message. This is often

caused by an incorrect address or SOAP action. See InnerException, if present, for more

details.\u000d\u000a\u0009The remote name could not be resolved: ‘mit-xen751.hs.trcint.com’.

“,”StackTrace”:” at

System.Management.Automation.Internal.PipelineProcessor.SynchronousExecuteEnumerate(Object input,

Hashtable errorResults, Boolean enumerate)\u000d\u000a at

System.Management.Automation.Internal.PipelineProcessor.SynchronousExecute(Array input, Hashtable

errorResults)\u000d\u000a at

System.Management.Automation.Runspaces.LocalPipeline.InvokeHelper()\u000d\u000a at

System.Management.Automation.Runspaces.LocalPipeline.InvokeThreadProc()“}

Supervisión y estado de VMware Identity Manager Integration Broker con Citrix XenApp 6.x

Llamada deURL: /IB/API/RestServiceImpl.svc/hznxenapp/Admin/xenfarminfo?computername=&xenappversion=Version65orLater

Esto trae información de una llamada API a Citrix. La supervisión puede garantizar que los valores seancoherentes.


“[{

\ “FarmName \ “: \ “NewFarm \ “,

\ “ServerVersion \ “: \ “6.5.0 \ “,

\ “AdministratorType \ “: \ “Full \ “,

\ “SessionCount \ “: \ “0 \ “,

\ “MachineName \ “: \ “XENAPPTEST \ “

}]”


VMware, Inc. 69

Mostrar información adicional en la API de comprobación deestadoPuede controlar si aparece información confidencial, como direcciones IP y nombres de host, en elresultado de las API de comprobación de estadohttps://<VIDM_FQDN>/SAAS/jersey/manager/api/system/health yhttps://<VIDM_FQDN>/SAAS/API/1.0/REST/system/health. De forma predeterminada, el resultadode la API no incluye esta información.

La propiedad service.health.check.basic en el archivo runtime-config.properties es la quecontrola este ajuste. Cuando la propiedad se establece en true, solo se muestra información básica y lainformación confidencial se oculta. La etiqueta "desconocido" en el resultado indica que la informaciónestá restringida. Por ejemplo:

AnalyticsUrl: "unknown"

ElasticsearchServiceOk: "true"

EhCacheClusterPeers: "unknown"

ElasticsearchMasterNode: "unknown"

ElasticsearchIndicesCount "unknown"

ElasticsearchDocsCount: "unknown"

AuditPollInterval: "1000"

AnalyticsConnectionOk: "true"

...

IpAddress: "unknown"

AuditDisabled: "false"

AllOk: "true"

Cuando la propiedad se establece en false, se muestra toda la información disponible. Por ejemplo:

AnalyticsUrl: "http://198.51.100.0"

ElasticsearchServiceOk: "true"

EhCacheClusterPeers: ""

ElasticsearchMasterNode: "198.51.100.1"

ElasticsearchIndicesCount: "13"

ElasticsearchDocsCount: "11173"

AuditPollInterval: "1000"

AnalyticsConnectionOk: "true"

...

IpAddress: "198.51.100.2"

AuditDisabled: "false"

AllOk: "true"

La propiedad se establece en true de manera predeterminada.

Nota Si configuró un clúster de VMware Identity Manager y le cambia la propiedad, asegúrese derealizar el cambio en todos los nodos del clúster.


VMware, Inc. 70

Procedimiento

1 Inicie sesión en el servidor de VMware Identity Manager.

2 Edite el archivo install_dir\usr\local\horizon\conf\runtime-config.properties yestablezca el valor de la propiedad service.health.check.basic en true o false.


verdadero Muestra solo información básica. La información confidencial se oculta y, en sulugar, aparece la etiqueta "desconocido".

falso Muestra toda la información disponible

3 Guarde el archivo.

4 Reinicie el servicio.

install_dir\usr\local\horizon\scripts\horizonService.bat restart

5 Si ha configurado un clúster de VMware Identity Manager, realice los cambios en cada nodo delclúster.

Registro del sistemaEl inicio de sesión desde los componentes del servicio de VMware Identity Manager y el conector deVMware Identity Manager está disponible mediante syslog. El componente Integration Broker iniciasesión localmente. Los registros pueden recopilarse y revisarse en el servidor o a través de un serviciode registro central, como vRealize Log Insight o Splunk.

Registro del conector y el servicio de VMware Identity ManagerUbicaciones de registro

La mayoría de los registros del servicio y el conector se encuentran en la siguiente ubicación:

n Dispositivo virtual Linux de VMware Identity Manager: /opt/vmware/horizon/workspace/logs/

n VMware Identity Manager en Windows: \<Install_Dir>\VMware IdentityManager\opt\vmware\horizon\workspace\logs

Registro Propósito

greenbox_web.log Registro que contiene todas las interacciones de la interfaz deusuario para web y móvil

horizon.log Registro del servicio de VMware Identity Manager que incluyeadaptadores de identidad, RabbitMQ, Elasticsearch, Ehcachey otros subsistemas

connector.log Registro del conector de VMware Identity Manager para todoslos métodos de autenticación y las integraciones con Horizon yCitrix

cert-proxy.log Componente CertProxy del servicio de VMware IdentityManager para el SSO móvil Android


VMware, Inc. 71

Registro Propósito

configurator.log Solicitudes que recibe el configurador del cliente REST y de lainterfaz web

catalina.log Registros de Apache Tomcat de los mensajes que no seregistran en otros archivos de registro

Registro de Integration BrokerLos registros de Integration Broker se encuentran en la siguiente ubicación:

C:\ProgramData\VMware\HorizonIntegrationBroker

Los registros se capturan por día y contienen todas las llamadas de API de REST realizadas porIntegration Broker o a este.

Cambiar la memoria predeterminada asignada al serviciode VMware Identity ManagerPara lograr un control preciso sobre la cantidad de memoria asignada para el servicio deVMware Identity Manager, puede cambiar la memoria asignada en Tomcat a través de la página de lasvariables de entorno de propiedades del sistema de Windows.

Cuando se instala el servicio de VMware Identity Manager, la opción predeterminada es establecer elajuste de memoria para que sea la mitad de la memoria disponible. Por lo general, no es necesariocambiar la configuración predeterminada.

Procedimiento

1 En la máquina Windows de VMware Identity Manager, abra el panel de control y desplácese hasta lapestaña Propiedades de sistemas > Avanzadas.

2 Haga clic en Variables de entorno en la parte inferior del cuadro de diálogo.

3 En la sección Variables de entorno > Variables de usuario, haga clic en Nueva.

4 En el cuadro de diálogo Nueva variable de usuario, introduzca la variable comoIDM_TOMCAT_MEM= <#>g

#g es la memoria que se va a asignar. 2G es el ajuste mínimo de memoria para asignar, pero no hayninguna cantidad máxima.

5 Reinicie el servicio. Escriba el comando de archivo por lotes, horizonService.bat restart.


VMware, Inc. 72

Configurar límites de frecuencia 9Puede establecer los límites de frecuencia en el servicio de VMware Identity Manager y el conector deVMware Identity Manager.

Este capítulo incluye los siguientes temas:n Configurar límites de frecuencia en el servicio de VMware Identity Manager

n Configurar límites de frecuencia en el conector de VMware Identity Manager

Configurar límites de frecuencia en el servicio de VMwareIdentity ManagerPuede establecer límites en la cantidad de solicitudes de inicio de sesión, inicio y WS-Fed que puedenrealizarse por minuto en el servicio de VMware Identity Manager. Cuando se alcanza el límite, sedeniegan las solicitudes posteriores. La configuración de límites de frecuencia permite evitar lasobrecarga del sistema.

Por ejemplo, si establece el límite de frecuencia de las solicitudes de inicio de sesión en 100, se aceptanlas primeras 100 solicitudes por minuto, pero se deniegan las solicitudes 101 y posteriores.

Para un clúster de VMware Identity Manager, el límite de frecuencia se aplica a cada nodo del clúster.Por ejemplo, si establece el límite de frecuencia de las solicitudes de inicio de sesión en 100 para unclúster que tiene un NodoA, NodoB y NodoC, el NodoA puede procesar 100 de dichas solicitudes porminuto, el NodoB puede procesar otras 100 solicitudes por minuto y el NodoC, otras 100 por minuto. Nose pueden establecer límites de inicio de sesión por separado en cada nodo.

Cuando se alcanza el límite y se deniegan solicitudes, los usuarios finales verán el siguiente mensaje deerror:

VMware, Inc. 73

No se establecen límites de frecuencia de forma predeterminada.

Los límites de frecuencia se establecen mediante una REST API. Utilice un cliente REST como Postmanpara realizar las llamadas al servicio de VMware Identity Manager. Los cambios se aplicarán en unosminutos.

Configurar límites de frecuenciaUtilice la API para establecer límites de frecuencia para el servicio de VMware Identity Manager.

Endpoint: https://nombre dehost/SAAS/jersey/manager/api/system/tuning/resiliency/tenant/orgResiliencyConfigurat

ion?tenantId=ID de arrendatario

Método: PUT

Descripción: establece el número máximo de solicitudes de inicio de sesión, inicio y WS-Fed permitidaspor minuto por el servicio de VMware Identity Manager.

Encabezados:

Content-type application/vnd.vmware.horizon.manager.system.tuning.resiliency.config+json;charset=UTF-8

Aceptar application/vnd.vmware.horizon.manager.system.tuning.resiliency.config+json

Autorización HZN cookie_value

Para obtener el cookie_value, inicie sesión en el servicio de VMware Identity Manager como el administradorde arrendatarios, es decir, el usuario administrador que se crea cuando se instala VMware Identity Manager porprimera vez y obtenga el valor de la cookie de HZN desde la memoria caché de cookies del navegador.


VMware, Inc. 74

Parámetros de la ruta de acceso: hostname El nombre de dominio completo del servicio o del equilibrador de carga de VMware Identity Manager.

tenantId El ID de arrendatario del servicio de VMware Identity Manager. El ID de arrendatario es el nombre de arrendatarioque aparece en la esquina superior derecha de la consola de VMware Identity Manager.

Cuerpo de la solicitud:

{

"config": {

"rateLimitingDisabled": false,

"rateLimits": {

"login": {

"requestsPerMinute": n

},

"launch": {


},

"ws-fed": {


}

}

}

}

Parámetros del cuerpo de la solicitud

requestsPerMinute de iniciode sesión

Especifique el número máximo de solicitudes de inicio de sesión permitidas por minuto.

Nota Tenga en cuenta que es posible que se necesiten varias solicitudes API para que secomplete una solicitud de inicio de sesión y cada llamada de API cuenta en los límites defrecuencia. Por ejemplo, para una autenticación de contraseña se requieren dos llamadas de API,una para representar la página de inicio de sesión y otra para enviar las credenciales.

requestsPerMinute de inicio Especifique el número máximo de solicitudes de inicio permitidas por minuto.

requestsPerMinute de ws-fed

Especifique el número máximo de solicitudes de WS-Fed permitidas por minuto. Los límites defrecuencia de WS-Fed son solo para las configuraciones de inicio de sesión activa.

Visualización de límites de frecuenciaUtilice la API para ver los límites de frecuencia que se establecen para el servicio de VMware IdentityManager.

Endpoint: https://nombre dehost/SAAS/jersey/manager/api/system/tuning/resiliency/tenant/orgResiliencyConfigurat

ion?tenantId=ID de arrendatario

Método: GET

Descripción: recupera los límites de frecuencia configurados actualmente para las solicitudes de iniciode sesión, inicio y WS-Fed para el servicio de VMware Identity Manager.

Encabezados:


VMware, Inc. 75


Para obtener el cookie_value, inicie sesión en el servicio de VMware Identity Manager como el administrador dearrendatarios, es decir, el usuario administrador que se crea cuando se instala VMware Identity Manager porprimera vez y obtenga el valor de la cookie de HZN desde la memoria caché de cookies del navegador.



Resultados de ejemplo:

{

"config": {


"rateLimits": {

"login": {

"requestsPerMinute": 100

},

"launch": {


},

"ws-fed": {


}

}

}

}

requestsPerMinute de inicio desesión

El número máximo de solicitudes de inicio de sesión permitidas por minuto.

requestsPerMinute de inicio El número máximo de solicitudes de inicio permitidas por minuto.

requestsPerMinute de ws-fed El número máximo de solicitudes de WS-Fed permitidas por minuto. Los límites defrecuencia de WS-Fed son solo para las configuraciones de inicio de sesión activa.

Configurar límites de frecuencia en el conector deVMware Identity ManagerAl igual que puede establecer límites de frecuencia en el servicio de VMware Identity Manager, puedehacer lo mismo en el conector de VMware Identity Manager.

En el caso del conector, puede establecer un límite en el número de solicitudes de inicio de sesiónpermitidas por minuto. Cuando se alcanza el límite, se deniegan las solicitudes posteriores. Laconfiguración de límites de frecuencia permite evitar la sobrecarga del sistema.

Por ejemplo, si establece el límite de frecuencia de las solicitudes de inicio de sesión en 100, se aceptanlas primeras 100 solicitudes por minuto, pero se deniegan las solicitudes 101 y posteriores.


VMware, Inc. 76

Para un clúster del conector de VMware Identity Manager, el límite se aplica a cada nodo del clúster. Porejemplo, si establece el límite de frecuencia de las solicitudes de inicio de sesión en 100 para un clústerque tiene un NodoA, NodoB y NodoC, el NodoA puede procesar 100 de dichas solicitudes por minuto, elNodoB puede procesar otras 100 solicitudes por minuto y el NodoC, otras 100 por minuto. No se puedenestablecer límites de inicio de sesión por separado en cada nodo.

Cuando se alcance el límite y se denieguen las solicitudes, los usuarios finales verán el siguientemensaje de error:

No se establecen límites de frecuencia de forma predeterminada.

Los límites de frecuencia se establecen mediante una REST API. Utilice un cliente REST como Postmanpara realizar las llamadas al servicio de VMware Identity Manager.

Los cambios se aplican después de aproximadamente una hora. Si desea que los cambios se apliqueninmediatamente, reinicie el conector.

Para reiniciar el dispositivo virtual del conector basado en Linux, inicie sesión en el dispositivo virtual yejecute el siguiente comando:

service horizon-workspace restart

Para reiniciar el conector de Windows, ejecute el siguiente script:

install_dir\usr\local\horizon\scripts\horizonService.bat restart

Configurar límites de frecuenciaUtilice la API para establecer límites de frecuencia para el conector de VMware Identity Manager.


VMware, Inc. 77

Endpoint: https://nombre dehost/SAAS/jersey/manager/api/system/tuning/resiliency/tenant/orgResiliencyConnectorC

onfiguration?tenantId=ID de arrendatario

Método: PUT

Descripción: establece el número máximo de solicitudes de inicio de sesión permitidas por minuto por elconector de VMware Identity Manager.

Encabezados:

Content-type application/vnd.vmware.horizon.manager.system.tuning.resiliency.config+json;charset=UTF-8

Aceptar application/vnd.vmware.horizon.manager.system.tuning.resiliency.config+json


Para obtener el cookie_value, inicie sesión en el servicio de VMware Identity Manager como el administradorde arrendatarios, es decir, el usuario administrador que se crea cuando se instala VMware Identity Manager porprimera vez y obtenga el valor de la cookie de HZN desde la memoria caché de cookies del navegador.



Cuerpo de la solicitud:

{

"config": {


"rateLimits": {

"login": {


}

}

}

}

Parámetros del cuerpo de la solicitud

requestsPerMinute deinicio de sesión

Especifique el número máximo de solicitudes de inicio de sesión permitidas por minuto.

Nota Tenga en cuenta que es posible que se necesiten varias solicitudes API para que se completeuna solicitud de inicio de sesión y cada llamada de API cuenta en los límites de frecuencia. Porejemplo, para una autenticación de contraseña se requieren dos llamadas de API, una pararepresentar la página de inicio de sesión y otra para enviar las credenciales.

Visualización de límites de frecuenciaUtilice la API para ver los límites de frecuencia establecidos actualmente en el conector de VMwareIdentity Manager.


VMware, Inc. 78

Endpoint: https://nombre dehost/SAAS/jersey/manager/api/system/tuning/resiliency/tenant/orgResiliencyConnectorC

onfiguration?tenantId=ID de arrendatario

Método: GET

Descripción: recupera los límites de frecuencia configurados actualmente para las solicitudes de iniciode sesión para el conector de VMware Identity Manager.

Encabezados:


Para obtener el cookie_value, inicie sesión en el servicio de VMware Identity Manager como el administrador dearrendatarios, es decir, el usuario administrador que se crea cuando se instala VMware Identity Manager porprimera vez y obtenga el valor de la cookie de HZN desde la memoria caché de cookies del navegador.

Parámetros de la ruta de acceso: Nombre de host El nombre de dominio completo del servicio o del equilibrador de carga de VMware Identity Manager.

ID de arrendatario El ID de arrendatario del servicio de VMware Identity Manager. El ID de arrendatario es el nombre dearrendatario que aparece en la esquina superior derecha de la consola de VMware Identity Manager.

Resultados de ejemplo:

{

"config": {


"rateLimits": {

"login": {


}

}

}

}

requestsPerMinute de inicio de sesión El número máximo de solicitudes de inicio de sesión permitidas por minuto.


VMware, Inc. 79

Solucionar los problemas de lainstalación y la configuración 10Los temas sobre la solución de problemas describen soluciones a problemas potenciales que se puedeencontrar al instalar o al configurar VMware Identity Manager.


n Un grupo no muestra ningún miembro después de la sincronización de directorios

n Los usuarios no pueden iniciar aplicaciones en el entorno con equilibrio de carga

Un grupo no muestra ningún miembro después de lasincronización de directoriosLa sincronización de directorios se completa correctamente, pero no aparece ningún usuario en losgrupos sincronizados.

Problema

Después de sincronizar un directorio, de forma manual o automática según la programación de lasincronización, el proceso se completa correctamente pero no aparece ningún usuario en los grupossincronizados.

Causa

Este problema sucede cuando tiene dos o más nodos en un clúster y existe una diferencia de hora demás de 5 segundos entre los nodos.

Solución

1 Compruebe que no hay ninguna diferencia de hora entre nodos. Use el mismo servidor NTP entretodos los nodos en el clúster para sincronizar la hora.

Por ejemplo, escribahttps://community.spiceworks.com/how_to/5765-configure-windows-server-to-query-

an-external-ntp-server.

2 Reinicie el servicio en todos los nodos.

<install dir>\usr\local\horizon\scripts\horizonService.bat restart

3 (Opcional) En la consola de VMware Identity Manager, elimine el grupo, vuelva a agregarlo en laconfiguración de sincronización y vuelva a sincronizar el directorio.

VMware, Inc. 80

Los usuarios no pueden iniciar aplicaciones en el entornocon equilibrio de cargaLos usuarios no pueden iniciar aplicaciones desde la aplicación o el portal de Workspace ONE en unaimplementación de VMware Identity Manager con equilibrio de carga.

Problema

Los usuarios no pueden iniciar aplicaciones desde la aplicación o el portal de Workspace ONE si ladirección IP del cliente se determina de forma incorrecta. Este problema puede ocurrir en lasimplementaciones de VMware Identity Manager con equilibrio de carga si el encabezado X-Forwarded-For (XFF) contiene direcciones IP incorrectas.

Compruebe el informe de inicio de eventos de auditoría en el panel de control para comprobar que ladirección IP del cliente se resuelve correctamente. Si no se resuelve correctamente, siga esteprocedimiento para solucionar el problema.

Solución

Para solucionar el problema, obtenga primero la lista de direcciones IP que aparecen en el encabezadoXFF mediante la REST API clientipresolutioninfo y compruebe la respuesta. Si devuelve ladirección IP del equilibrador de carga o del nodo de servicio de VMware Identity Manager, establezca lapropiedad service.ipsToIgnoreInXffHeader en el archivo runtime-config.properties para filtrarlas direcciones IP no deseadas.

Para obtener la lista de direcciones IP en el encabezado XFF, utilice un cliente REST como Postmanpara ejecutar la siguiente REST API cuando haya iniciado sesión en el servicio deVMware Identity Manager como administrador del arrendatario:

Método: GET

Ruta de acceso: /clientipresolutioninfo

Autorización: HZN valor_cookie

Nota Para obtener el valor de la cookie de HZN, inicie sesión en el servicio de VMware Identity Managercomo administrador del arrendatario y, a continuación, acceda a la memoria caché de cookies delnavegador.

Tipo de medio de respuesta:application/vnd.vmware.horizon.manager.clientipresolutionconfig+json

Respuesta JSON de muestra:

{

“xffHeaderIpList":["10.112.68.252”], // the IPs part of XFF header

"numberOfLoadBalancers”:0, // number of load balancers configured in runtime-config.properties

"configuredIpToIgnoreList":"10.112.68.255”, // the list of ips or subnets to ignore as configured in

runtime-config.properties


VMware, Inc. 81

"clientIpDetermined":"10.112.68.252”, // the client IP determined to be used finally for login/access

policy

"_links":{}

}

A partir de la salida, determine las direcciones IP que no sean necesarias y, a continuación, edite elarchivo runtime-config.properties para filtrarlas.

1 Inicie sesión en el servidor de VMware Identity Manager.

2 Edite el archivo DIR_INSTALACIÓN\usr\local\horizon\conf\runtime-config.properties yañada la siguiente propiedad:

service.ipsToIgnoreInXffHeader IP_omitidas

donde IP_omitidas es una lista separada por comas de direcciones IP para omitir en elencabezado XFF.

3 Reinicie el servicio de VMware IDM.


VMware, Inc. 82

Instalar y configurar VMware Identity Manager para Windows ...€¦ · Administrar la contraseña...

Documents

Transcript of Instalar y configurar VMware Identity Manager para Windows ...€¦ · Administrar la contraseña...