setembro de 2018 vmware identity manager 3 · configurando a alta disponibilidade para o ......

Implantando o VMwareIdentity Manager na DMZSETEMBRO DE 2018VMware Identity Manager 3.3

Implantando o VMware Identity Manager na DMZ

VMware, Inc. 2

Você pode encontrar a documentação técnica mais atualizada no site da VMware, em:

https://docs.vmware.com/br/

O site da VMware também fornece as atualizações mais recentes de produtos.

Caso tenha comentários sobre esta documentação, envie seu feedback para:

[email protected]

Direitos autorais © 2017, 2018 VMware, Inc. Todos os direitos reservados. Informações sobre direitos autorais emarca registrada.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware BrasilRua Surubim, 504 4º andar CEP 04571-050Cidade MonçõesSão PauloSÃO PAULO: 04571-050BrasilTel: +55 11 55097200Fax: + 55. 11. 5509-7224www.vmware.com/br

https://docs.vmware.com/br/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

http://pubs.vmware.com/copyright-trademark.html

Conteúdo

Implantando o VMware Identity Manager na DMZ 4

1 Modelos de implantação 5

Modelo de implantação no local usando-se o AirWatch Cloud Connector 6

Modelo de implantação no local usando-se o conector do VMware Identity Manager no modo de

conexão somente de saída 9

2 Implantando o VMware Identity Manager na DMZ 14

3 Implantando o conector do VMware Identity Manager na rede corporativa 17

Implantando o VMware Identity Manager Connector 18

Configurando a alta disponibilidade para o VMware Identity Manager Connector 30

Adicionando o suporte à autenticação Kerberos à sua implantação do VMware Identity Manager

Connector 33

Configurando a autenticação de certificado para um cenário de implantação da DMZ 41

Gerenciando as configurações de administrador do conector do VMware Identity Manager 44

VMware, Inc. 3

Implantando o VMware Identity Managerna DMZ

Implantando o VMware Identity Manager na DMZ fornece informações sobre como implantar o appliancevirtual do VMware Identity Manager baseado em Linux na DMZ em vez de na rede interna. Para obterinformações sobre como implantar o VMware Identity Manager na rede interna, consulte Instalação econfiguração do VMware Identity Manager.

Público-alvoAs informações foram concebidas para administradores experientes de sistemas Windows e Linux queestão familiarizados com as tecnologias da VMware, principalmente o vCenter™, o ESX™ e o vSphere®,e com os conceitos de rede, Active Directory e bancos de dados.

O conhecimento de outras tecnologias, como RSA Adaptive Authentication, RSA SecurID e RADIUS,também é útil se você planeja implementar esses recursos.

Glossário de Publicações Técnicas VMwareAs Publicações Técnicas VMware fornecem um glossário de termos que talvez você não conheça. Paraconhecer definições de termos usados na documentação técnica da VMware, acesse http://www.vmware.com/support/pubs.

VMware, Inc. 4

http://www.vmware.com/support/pubs

Modelos de implantação 1Dois tipos principais de modelos de implantação estão disponíveis para implantação doVMware Identity Manager na DMZ, um que se integra a uma implantação do Workspace ONE UEM, eoutro que não requer o Workspace ONE UEM e usa o conector do VMware Identity Manager.

Também é possível combinar os modelos de implantação caso você precise de funcionalidade que nãotenha suporte para um dos modelos.

n Modelo de implantação usando o AirWatch Cloud Connector

Se você tiver uma implantação existente do Workspace ONE UEM, poderá integrar oVMware Identity Manager a ela rapidamente. Nesse modelo, a sincronização de usuários e gruposdesde seu diretório corporativo e sua autenticação de usuário é realizada pelo Workspace ONEUEM. Você implanta o VMware Identity Manager na DMZ.

Observe que a integração do VMware Identity Manager com recursos como os recursos publicadosdo Horizon 7 e do Citrix não é suportada neste modelo. Apenas a integração com os aplicativos daWeb e os aplicativos móveis nativos é suportada.

Consulte Modelo de implantação no local usando-se o AirWatch Cloud Connector.

n Modelo de implantação usando-se o conector do VMware Identity Manager no modo de conexãosomente de saída

Em cenários que não requerem uma implantação do Workspace ONE UEM, você pode instalar oappliance virtual do servidor do VMware Identity Manager na DMZ, e um appliance virtual deconector do VMware Identity Manager na rede corporativa. O conector conecta o servidor aosserviços locais, como o Active Directory. O conector é instalado em modo de conexão somente desaída e não exige que a porta 443 do firewall de entrada esteja aberta. Nesse modelo, asincronização do usuário e do grupo, feitas a partir do diretório corporativo e da autenticação dousuário, são realizadas pelo conector do VMware Identity Manager.

Consulte Modelo de implantação no local usando-se o conector do VMware Identity Manager nomodo de conexão somente de saída.

n Adicionando à implantação do conector do VMware Identity Manager o suporte paraautenticação Kerberos

Você pode adicionar a autenticação Kerberos para usuários internos (o que requer o modo deconexão de entrada) à sua implantação com base em conectores de modo de conexão somentede saída.

VMware, Inc. 5

Consulte Adicionando suporte de autenticação Kerberos à sua implantação.

Este capítulo inclui os seguintes tópicos:

n Modelo de implantação no local usando-se o AirWatch Cloud Connector

n Modelo de implantação no local usando-se o conector do VMware Identity Manager no modo deconexão somente de saída

Modelo de implantação no local usando-se o AirWatchCloud ConnectorSe você tiver uma implantação existente do Workspace ONE UEM, poderá integrar oVMware Identity Manager a ela. Você implanta o appliance virtual do VMware Identity Manager na DMZ.Nesse modelo, a sincronização de usuários e grupos desde seu diretório corporativo e sua autenticaçãode usuário é realizada pelo Workspace ONE UEM.

Observe que a integração do VMware Identity Manager com recursos como os recursos publicados doHorizon 7 ou do Citrix não é suportada neste modelo. Apenas a integração com os aplicativos da Web eos aplicativos móveis nativos é suportada.


VMware, Inc. 6

Figura 1‑1. Implantação com o AirWatch Cloud Connector

Servidor do VMware Identity Manager

Servidor do AirWatch

solicitar

autenticação de usuário

sincronização de usuário/grupo

resposta

HTTPS 443 (somente de saída)

Active Directory/

outros serviços de diretório

AirWatch Cloud Connector

No localDMZ Rede Corporativa

Observação Se você planejar configurar o SSO para Android, habilite a passagem SSL na porta 5262do balanceador de carga na frente do VMware Identity Manager.

Observação Se você planeja configurar a autenticação de certificado no conector incorporado, ative apassagem SSL no balanceador de carga para a porta configurada como a porta de passagem SSL daautenticação de certificado. A porta padrão é 7443.

Pré-requisitosVocê deve ter os seguintes componentes:

n Uma implantação de servidor do Workspace ONE UEM (anteriormente conhecido como AirWatch)

n Uma instância do AirWatch Cloud Connector implantada no local e integrada ao seu diretóriocorporativo

Requisitos de portaAs seguintes portas precisam estar abertas no balanceador de carga ou firewall para o servidor doVMware Identity Manager:

n 443 de entrada (HTTPS)

n 88 de entrada (TCP/UDP) - somente SSO para iOS

n 5262 de entrada (HTTPS) - somente SSO para Android


VMware, Inc. 7

n CertAuthSSLPassthroughPort de entrada (HTTPS) - somente autenticação de certificado configuradano conector integrado do VMware Identity Manager. A porta padrão é 7443.

Para os requisitos de implantação do Workspace ONE UEM, consulte a documentação do WorkspaceONE UEM.

Métodos de autenticação suportadosEsse modelo de implantação suporta os seguintes métodos de autenticação. Esses métodos sãodisponibilizados por meio do provedor Provedor de identidade integrado do VMware Identity Manager.

n Senha (AirWatch Connector)

n SSO Móvel (para iOS)

n SSO Móvel (para Android)

n Conformidade do Dispositivo (com AirWatch)

n Certificado - usa o conector integrado do VMware Identity Manager

n VMware Verify

Além disso, a SAML de entrada por meio de um provedor de identidade de terceiros também estádisponível.

Integrações de diretório suportadasVocê integra seu diretório corporativo ao do Workspace ONE UEM. Consulte a documentação doWorkspace ONE UEM para cada tipo de diretório suportado.

Recursos suportadosVocê pode integrar os seguintes tipos de recursos ao VMware Identity Manager neste modelo deimplantação:

n aplicativos Web

n Aplicativos móveis nativos

Você não pode integrar os seguintes recursos ao VMware Identity Manager neste modelo deimplantação:

n Pools de desktops e aplicativos do Horizon 7, Horizon 6 ou View

n Recursos publicados Citrix

n Aplicativos empacotados do ThinApp

n Aplicativos e desktops do VMware Horizon® Cloud Service™

Informações adicionaisn Capítulo 2Implantando o VMware Identity Manager na DMZ


VMware, Inc. 8

n "Integrando o Workspace ONE UEM ao VMware Identity Manager" no Guia para implantar oWorkspace ONE

n Documentação do Workspace ONE UEM

Modelo de implantação no local usando-se o conector doVMware Identity Manager no modo de conexão somentede saídaNesse modelo, você instala o appliance virtual do VMware Identity Manager na DMZ. Você tambéminstala um appliance virtual de conector autônomo do VMware Identity Manager no modo de conexãosomente de saída na rede corporativa. Este modelo não inclui nenhum componente do Workspace ONEUEM.

A sincronização de usuários e grupos desde seu diretório corporativo e sua autenticação de usuário érealizada pelo conector autônomo do VMware Identity Manager. O conector também pode sincronizar osrecursos, tais como os desktops e aplicativos do Horizon 7, com o serviço do VMware Identity Manager.

Observação Alguns métodos de autenticação não requerem o conector e são gerenciados diretamentepelo serviço.

Importante Use o conector autônomo em vez do conector que está integrado ao appliance doVMware Identity Manager para sincronizar usuários e grupos e para a autenticação de usuários.


VMware, Inc. 9

Figura 1‑2. Usando o conector do VMware Identity Manager no modo de saída

IntegrationBroker

Farms da Citrix

Visualizar servidores

de conexão

RSASecurID

Autenticação RSA adaptativa

ServidorRADIUS

ThinApp

solicitarrespostaServidor do VMware

Identity Manager

CanalWebsocket

HTTPS 443(somente de saída)

Active Directory/

LDAPConector do VMware

Identity Manager

No local

Serviçosopcionais

1

12

3

DMZ Rede Corporativa

Observação Se você planejar configurar o SSO para Android, habilite a passagem SSL na porta 5262do balanceador de carga na frente do VMware Identity Manager.

Observação Se você planeja configurar a autenticação de certificado no conector incorporado, ative apassagem SSL no balanceador de carga para a porta configurada como a porta de passagem SSL daautenticação de certificado. A porta padrão é 7443.

Requisitos de portaAs seguintes portas precisam estar abertas no balanceador de carga ou firewall para o servidor doVMware Identity Manager:

n 443 de entrada (HTTPS)

n 88 de entrada (TCP/UDP) - somente SSO para iOS

n 5262 de entrada (HTTPS) - somente SSO para Android

n CertAuthSSLPassthroughPort de entrada (HTTPS) - somente autenticação de certificado configuradano conector integrado. A porta padrão é 7443.

O conector do VMware Identity Manager é instalado no modo de conexão somente de saída e nãorequer a abertura da porta de entrada 443. O conector se comunica com o serviço doVMware Identity Manager por meio de um canal de comunicação baseado em Websocket.


VMware, Inc. 10

Para obter a lista completa das portas usadas, consulte Capítulo 2Implantando o VMware IdentityManager na DMZ e Capítulo 3Implantando o conector do VMware Identity Manager na rede corporativa.

Métodos de autenticação suportadosEsse modelo de implantação suporta todos os métodos de autenticação. Alguns desses métodos deautenticação não exigem o conector e são administrados diretamente pelo Provedor de identidadeintegrado.

n Senha - usa o conector

n Autenticação adaptativa RSA - usa o conector

n RSA SecurID - usa o conector

n RADIUS - usa o conector

n Certificado - usa o conector integrado

n VMware Verify - por meio do Provedor de identidade integrado

n Mobile SSO (iOS) - por meio do Provedor de identidade integrado

n Mobile SSO (Android) - por meio do Provedor de identidade integrado

n SAML de entrada por meio de provedor de identidade de terceiros

Observação Para mais informações sobre o uso do Kerberos, consulte Adicionando suporte deautenticação Kerberos à sua implantação.

Integrações de diretório suportadasVocê pode integrar os seguintes tipos de diretórios corporativos ao serviço do VMware Identity Managerneste modelo de implantação:

n Active Directory sobre LDAP

n Active Directory, Autenticação integrada do Windows

n Diretório LDAP

Se você planeja integrar um diretório LDAP, consulte as limitações em "Integrando a diretórios LDAP"em Integração de diretório com o VMware Identity Manager.

Alternativamente, você pode usar os seguintes métodos para criar usuários no serviço doVMware Identity Manager:

n Crie usuários locais diretamente no serviço do VMware Identity Manager.

n Use o provisionamento Just-in-Time para criar usuários no serviço do VMware Identity Managerdinamicamente no momento de logon, usando asserções SAML enviadas por um provedor deidentidade de terceiros.


VMware, Inc. 11

Recursos suportadosVocê pode integrar os seguintes tipos de recursos ao serviço do VMware Identity Manager neste modelode implantação:

n aplicativos Web

n Pools de desktops e aplicativos do Horizon 7, Horizon 6 ou View

n Aplicativos e áreas de trabalho do Horizon Cloud

n Recursos publicados Citrix

n Aplicativos empacotados do ThinApp

Informações adicionaisn Capítulo 2Implantando o VMware Identity Manager na DMZ e Capítulo 3Implantando o conector do

VMware Identity Manager na rede corporativa

n Diretórios

n Integração de diretório com o VMware Identity Manager

n "Usando diretórios locais" na Administração do VMware Identity Manager

n "Provisionamento de usuários Just-in Time" na Administração do VMware Identity Manager

n "Configurando a autenticação de usuário no VMware Identity Manager" na Administração do VMwareIdentity Manager

n Configurando recursos no VMware Identity Manager

Adicionando suporte de autenticação Kerberos à sua implantaçãoVocê pode adicionar a autenticação Kerberos para usuários internos, o que requer o modo de conexãode entrada, à sua implantação com base em conectores de modo de conexão somente de saída doVMware Identity Manager. Os mesmos conectores podem ser configurados para usar a autenticaçãoKerberos para usuários provenientes da rede interna e outro método de autenticação para usuários quevêm de fora. Você pode conseguir isso definindo políticas de autenticação baseadas em intervalos derede.


VMware, Inc. 12

Figura 1‑3. Adicionando a autenticação Kerberos

Servidor do VMwareIdentityManager

Balanceador de carga

Conector 1 do VMwareIdentity

Manager

Conector 2 do VMwareIdentity

Manager

No local

DMZ Rede Corporativa

443443

443

443

443

Observe que o processo para configurar a alta disponibilidade da autenticação Kerberos é diferente.

Para obter mais informações, consulte Adicionando o suporte à autenticação Kerberos à suaimplantação do VMware Identity Manager Connector.

Adicionando o método de autenticação de certificado à suaimplantaçãoPara adicionar a autenticação de certificado à sua implantação, você pode configurar a autenticação decertificado no conector que está incorporado ao serviço do VMware Identity Manager.

Consulte Configurando a autenticação de certificado para um cenário de implantação da DMZ para obterinformações.


VMware, Inc. 13

Implantando o VMware IdentityManager na DMZ 2Você pode implantar o appliance virtual do VMware Identity Manager na DMZ se não quiser implantá-lona rede corporativa. Se você implantar o appliance do VMware Identity Manager na DMZ, tambémimplantará um conector autônomo do VMware Identity Manager no modo de conexão somente de saídana rede corporativa.

Requisitos de configuração do sistema e da redeOs requisitos de configuração do sistema e da rede para a implantação do VMware Identity Manager naDMZ são semelhantes aos requisitos para a implantação do VMware Identity Manager na redecorporativa, descritos nos "Requisitos para a configuração do sistema e da rede" e "Preparando paraimplantar o VMware Identity Manager" em Instalação e configuração do VMware Identity Manager,exceto as diferenças listadas aqui.

n Você não precisa abrir uma porta de firewall de entrada para nenhum appliance na rede corporativa.

O appliance virtual do VMware Identity Manager é implantado na DMZ. O conector do VMwareIdentity Manager é implantado na rede corporativa no modo de conexão somente de saída e secomunica com o serviço através de um canal de comunicação baseado em Websocket.

n Você não precisa implantar um proxy reverso ou um balanceador de carga para permitir o acessoexterno ao VMware Identity Manager.

n Será necessário um balanceador de carga somente se você configurar a alta disponibilidade e aredundância para o appliance virtual do VMware Identity Manager.

n Se você configurar a autenticação de certificado no conector incorporado, precisará ativar apassagem SSL no balanceador de carga para a porta configurada como a porta de passagem SSLpara a autenticação de certificado. A porta padrão é 7443.

n As seguintes portas são usadas. Sua implantação pode exigir apenas um subconjunto delas.

Porta Origem Target Descrição

443 Balanceador de carga Appliance virtual do VMwareIdentity Manager

HTTPS

443 Appliance virtual do VMwareIdentity Manager

Balanceador de carga HTTPS

Necessário para validar oFQDN do balanceador decarga quando ele é definido.

VMware, Inc. 14


443 Conector Host de serviço do VMwareIdentity Manager

HTTPS

443 Conector Balanceador de carga doserviço do VMware IdentityManager

HTTPS

443 Navegadores Appliance virtual do VMwareIdentity Manager

HTTPS


TCP/UDP

Somente SSO para iOS


TCP/UDP

Somente SSO para Android


Servidor KDC híbrido nanuvem. O nome do host ékdc.<realm>. Por exemplo,kdc.op.vmwareidentity.com.

Porta UDP usada paraautenticar as atualizaçõesconfiguração deadaptadores deautenticação de SSO móveldo iOS que são salvas noserviço do KDC na nuvem.Esta porta será usadasomente se o recurso deSSO móvel do iOS do KDChíbrido for usado.

443, 80 Appliance virtual do VMwareIdentity Manager

vapp-updates.vmware.com Acesso ao servidor deupgrade da VMware


catalog.vmwareidentity.com Acesso ao catálogo nanuvem


discovery.awmdm.com Acesso à descobertaautomática do aplicativoWorkspace ONE


Porta do administrador

HTTPS


servidor SMTP Porta TCP para transmitirmensagens de saída


Servidor DNS TCP/UDP

Todos os appliances virtuaisdevem ter acesso aoservidor DNS na porta 53 epermitir o tráfego SSH deentrada na porta 22.

443, 8443 Appliance virtual do VMwareIdentity Manager

Appliance virtual do VMwareIdentity Manager

HTTP/HTTPS

Para todas as instâncias doVMware Identity Managerem um cluster e entreclusters de centros de dadosdiferentes


VMware, Inc. 15


9300 (TCP)

54328 (UDP)



Necessidades de auditoria

5701 (TCP) Appliance virtual do VMwareIdentity Manager


Cache do Hazelcast

40002 (TCP)

40003 (TCP)



Ehcache


Banco de dados A porta padrão do MicrosoftSQL é a 1433


REST API do WorkspaceONE UEM

HTTPS

Para a verificação daconformidade do dispositivoe para o método deautenticação Senha doACC, se usado.

Porta de passagem SSLpara autenticação decertificado

Navegadores Appliance virtual do VMwareIdentity Manager

HTTPS

Para a autenticação decertificado configurada noconector integrado.

Porta padrão: 7443


servidor syslog UDP

Para o servidor syslogexterno, se configurado

Implantando o appliance do VMware Identity ManagerPara obter informações sobre como implantar e configurar o appliance virtual do VMware IdentityManager, consulte "Implantando o VMware Identity Manager" e "Gerenciando os parâmetros deconfiguração do sistema do appliance" em Instalação e configuração do VMware Identity Manager.

Configurando failover e redundânciaPara obter informações sobre como configurar o failover e a redundância para o appliance virtual doVMware Identity Manager, consulte as seções a seguir em Instalação e configuração do VMware IdentityManager:

n Configurando failover e redundância em um único centro de dados

n Implantando o VMware Identity Manager em um centro de dados secundário para o failover e aredundância

Observação A seção "Usando um balanceador de carga ou um proxy reverso para habilitar o acessoexterno ao VMware Identity Manager" não se aplica em cenários em que o VMware Identity Managerestá implantado na DMZ.


VMware, Inc. 16

Implantando o conector doVMware Identity Manager narede corporativa 3Quando você implanta o appliance virtual do VMware Identity Manager na DMZ, também deve implantarum appliance de conector autônomo do VMware Identity Manager em sua rede corporativa no modo deconexão somente de saída.

O conector conecta o serviço do VMware Identity Manager a outros componentes dentro da redecorporativa, como o Active Directory e o Horizon 7.

O conector comunica-se com o serviço no modo de conexão somente de saída através de um canal decomunicação.

Observação Se você tiver uma implantação do Workspace ONE UEM e usar o AirWatch CloudConnector, o conector do VMware Identity Manager não será necessário, a menos que você precise doscasos de uso suportados pelo conector do VMware Identity Manager. Consulte Modelo de implantaçãono local usando-se o AirWatch Cloud Connector.

Requisitos de configuração do sistema e da redeConsulte Requisitos de configuração do sistema e da rede.

Implantando e configurando o conector do VMwareIdentity ManagerPara obter informações sobre como implantar e configurar o conector do VMware Identity Manager nomodo de conexão somente de saída, consulte os seguintes tópicos.n Implantando o VMware Identity Manager Connector

n Configurando a alta disponibilidade para o VMware Identity Manager Connector

n Adicionando o suporte à autenticação Kerberos à sua implantação do VMware Identity ManagerConnector

VMware, Inc. 17

Failover e redundânciaPara obter informações sobre como configurar o conector para failover e redundância, consulte osseguintes tópicos.



Este capítulo inclui os seguintes tópicos:

n Implantando o VMware Identity Manager Connector



n Configurando a autenticação de certificado para um cenário de implantação da DMZ

n Gerenciando as configurações de administrador do conector do VMware Identity Manager

Implantando o VMware Identity Manager ConnectorPara implantar o conector do VMware Identity Manager, instale o appliance virtual do conector novCenter Server, ligue-o e ative-o usando um código de ativação gerado no console doVMware Identity Manager. Você também define as configurações do appliance, tais como as senhas deconfiguração.

Após instalar e configurar o conector, você vai para o console do VMware Identity Manager paraconfigurar a conexão ao seu diretório corporativo, habilita adaptadores de autenticação no conector e porfim habilita o modo de saída para o conector.

Requisitos de configuração do sistema e da redeConsidere toda sua implantação, incluindo os recursos que você planeja integrar, quando você tomadecisões sobre o hardware, os recursos e os requisitos de rede.

Versões compatíveis do vSphere e do ESXVocê instala o appliance virtual no vCenter Server. As seguintes versões do vSphere e do ESX Serversão compatíveis:

n 5.5 e posterior

n 6.0 e posteriores

O VMware vSphere® Web Client é necessário para a implantação do arquivo OVA e acessarremotamente o appliance virtual implantado.


VMware, Inc. 18

Requisitos do appliance virtual do conector do VMware Identity ManagerCertifique-se de que você atende aos requisitos para a quantidade de servidores e os recursos alocadosa cada servidor.

Quantidade deusuários Até 1.000 1.000-10.000 10.000-25.000 25.000-50.000 50.000-100.000

Quantidade deservidores deconector

1 servidor 2 servidores combalanceamento decarga

2 servidores combalanceamento decarga



CPU (por servidor) 2 CPUs 4 CPUs 4 CPUs 4 CPUs 4 CPUs

RAM (por servidor) 6 GB 6 GB 8 GB 16 GB 16 GB

Espaço em disco(por servidor)

60 GB 60 GB 60 GB 60 GB 60 GB

Requisitos de configuração de rede

Componente Requisito mínimo

Registro DNS e endereço IP estático Os requisitos do conector são os mesmos que os requisitos para o appliance virtual doVMware Identity Manager. Consulte "Criar registros DNS e endereços IP" emInstalando e configurando o VMware Identity Manager.

Observação Se você planejar configurar a autenticação Kerberos, o nome do host doconector deverá corresponder ao domínio do Active Directory no qual o conectoringressou. Por exemplo, se o domínio do Active Directory for vendas.exemplo.com, onome do host do conector deverá ser connectorhost.vendas.exemplo.com.

Se você não puder atribuir um nome de host que corresponda à estrutura de domíniodo Active Directory, precisará configurar manualmente o conector e o Active Directory.Consulte a Base de conhecimento para obter informações.

Porta do firewall Certifique-se de que a porta 443 do firewall de saída está aberta a partir da instância doconector para a URL de seu VMware Identity Manager.

Requisitos de portaAs portas usadas na configuração do servidor do conector são descritas abaixo. A implantação podeincluir somente um subconjunto delas.


443 Appliance virtual do conector Host de serviço do VMwareIdentity Manager

HTTPS

443 Appliance virtual do conector Balanceador de carga doserviço do VMware IdentityManager

HTTPS

443, 80 Appliance virtual do conector vapp-updates.vmware.com Acesso ao servidor deatualização


VMware, Inc. 19


8443 Navegadores Appliance virtual do conector HTTPS

Porta do administrador

443 Navegadores Appliance virtual do conector HTTPS

Esta porta só é necessáriapara um conector que estásendo usado no modo deentrada.

Se a autenticação Kerberosestiver configurada noconector, essa porta seránecessária.

389, 636, 3268, 3269 Appliance virtual do conector Active Directory Os valores padrão aparecem.Essas portas sãoconfiguráveis.

5500 Appliance virtual do conector Sistema RSA SecurID O valor padrão é mostrado.Essa porta é configurável

53 Appliance virtual do conector Servidor DNS TCP/UDP

Todos os appliances virtuaisdevem ter acesso ao servidorDNS na porta 53 e permitir otráfego SSH de entrada naporta 22

88, 464, 135, 445 Appliance virtual do conector Controlador de domínio TCP/UDP

389, 443 Appliance virtual do conector View Connection Server Acesse as instâncias do ViewConnection Server para asintegrações Horizon/View.

445 Appliance virtual do conector Repositório do VMwareThinApp

Acesso ao repositório doThinApp

80, 443 Appliance virtual do conector Servidor do Integration Broker TCP

Conexão com o servidor doIntegration Broker. A opçãode porta depende do fato deum certificado estar instaladono servidor do IntegrationBroker.

514 Appliance virtual do conector servidor syslog UDP

Para o servidor syslogexterno, se configurado


VMware, Inc. 20

Diretórios com suporteVocê integra seu diretório corporativo ao VMware Identity Manager e sincroniza com o serviço osusuários e os grupos a partir do seu diretório corporativo. Você pode integrar os seguintes tipos dediretórios.

n Um ambiente Active Directory que consiste em um único domínio do Active Directory, váriosdomínios em uma única floresta do Active Directory ou vários domínios em várias florestas do ActiveDirectory.

O VMware Identity Manager suporta o Active Directory no Windows 2008, 2008 R2, 2012 e 2012 R2,com um nível funcional de Domínio e nível funcional de Floresta do Windows 2003 e posterior.

Observação Um nível funcional mais alto pode ser necessário para alguns recursos. Por exemplo,para permitir que os usuários alterem as senhas do Active Directory a partir do Workspace ONE, onível funcional do Domínio deve ser Windows 2008 ou posterior.

n Um diretório LDAP

Seu diretório deve ser acessível ao appliance virtual do conector.

Observação Você também poderá criar diretórios locais no serviço do VMware Identity Manager.

Listas de verificação de implantaçãoOs requisitos do conector são parecidos com os requisitos do appliance virtual do VMware IdentityManager. Consulte "Listas de verificação de implantação" em Instalando e configurando o VMwareIdentity Manager.

Observação Se você planejar configurar a autenticação Kerberos, o nome do host do conector deverácorresponder ao domínio do Active Directory no qual o conector ingressou. Por exemplo, se o domínio doActive Directory for vendas.exemplo.com, o nome do host do conector deverá serconnectorhost.vendas.exemplo.com.

Se você não puder atribuir um nome de host que corresponda à estrutura de domínio do Active Directory,precisará configurar manualmente o conector e o Active Directory. Consulte a Base de conhecimentopara obter informações.

Gerar código de ativação do conectorAntes de instalar o conector do VMware Identity Manager, faça login no console de administração doVMware Identity Manager e gere um código de ativação para o conector. Esse código de ativação éusado para estabelecer a comunicação entre o serviço e o conector.

Procedimentos

1 Faça login no console do VMware Identity Manager.

2 Clique na guia Gerenciamento de Identidade e Acesso.


VMware, Inc. 21

3 Clique em Configuração.

4 Na página Conectores, clique em Adicionar conector.

5 Digite um nome para oconector.

6 Clique em Gerar código de ativação.

O código de ativação é exibido na página.

7 Copie o código de ativação e salve-o.

Você precisará do código de ativação posteriormente quando implantar o conector.

Você já pode instalar o appliance virtual do conector.

Instalar e configurar o appliance virtual do conectorPara implantar o conector, instale o appliance virtual do conector no vCenter Server usando o vSphereWeb Client, ligue e ative-o usando o código de ativação gerado no console do VMware Identity Manager.

Pré-requisitos

n Baixe o arquivo do conector OVA a partir da página de produto do VMware Identity Manager noendereço my.vmware.com.

n Abra o vSphere Web Client, usando os navegadores Firefox ou Chrome. Não use o Internet Explorerpara implantar o arquivo OVA.


VMware, Inc. 22

n Identifique, para seu appliance, os registros DNS e o nome do host a serem usados.

Observação Se você planejar configurar a autenticação Kerberos, o nome do host do conectordeverá corresponder ao domínio do Active Directory no qual o conector ingressou. Por exemplo, se odomínio do Active Directory for vendas.exemplo.com, o nome do host do conector deverá serconnectorhost.vendas.exemplo.com.

Se você não puder atribuir um nome de host que corresponda à estrutura de domínio do ActiveDirectory, precisará configurar manualmente o conector e o Active Directory. Consulte a Base deconhecimento para obter informações.

Procedimentos

1 No vSphere Web Client, clique com o botão direito do mouse em qualquer objeto de inventário noqual uma máquina virtual pode ser implantada, como um host, cluster ou pasta, e selecioneImplantar Modelo OVF.

2 Siga o assistente Implantar Modelo OVF para implantar o modelo de conector do VMware IdentityManager.

a Na página Selecionar Modelo, selecione Arquivo Local, clique em Procurar para selecionar oarquivo OVA do conector baixado e clique em Avançar.

b Na página Selecionar nome e localização, insira um nome exclusivo para o appliance virtual doconector, selecione um centro de dados ou uma pasta como o local de implantação e clique emAvançar.

c Na página Selecionar um recurso, selecione o host, cluster, pool de recursos ou vApp no qualvocê deseja executar o appliance virtual do conector e clique em Avançar.

d Na página Detalhes de Revisão, confira os detalhes do modelo de conector e clique emAvançar.

e Na página Aceitar contratos de licença, leia e aceite o contrato de licença e clique em Avançar.

f Na página Selecionar armazenamento, selecione o repositório de dados ou o cluster derepositório de dados no qual armazenar os arquivos do appliance virtual e clique em Avançar.

Também selecione o formato do disco virtual para os arquivos. Para ambientes de produção,selecione um formato de Provisionamento estático. Use o formato de Provisionamentodinâmico para avaliação e teste.

g Na página Selecionar redes, selecione a rede de destino à qual você deseja conectar oappliance virtual do conector e clique em Avançar.


VMware, Inc. 23

h Na página Personalizar modelo, defina as propriedades de rede e de aplicativo.

Opção Descrição

Propriedades do aplicativo Ingressar no Programa de Aperfeiçoamento da Experiência do Cliente daVMwareEste produto participa do Programa de aperfeiçoamento da experiência docliente (“CEIP”) da VMware. Os detalhes sobre os dados recolhidos peloCEIP e os fins para os quais eles são utilizados pela VMware estãoestabelecidos no Centro de Confiança e Garantia, emhttps://www.vmware.com/br/solutions/trustvmware/ceip.html. Caso prefira nãoparticipar do CEIP da VMware para este produto, desmarque a caixa abaixo.

Você pode participar ou deixar de participar do CEIP da VMware para esteproduto a qualquer momento.

Observação Se a sua rede estiver configurada para acessar a Internet pormeio do proxy HTTP, para enviar à VMware os dados coletados pelo CEIP,você deverá ajustar as configurações de proxy no appliance virtual doconector. Você pode alterar as configurações de proxy depois de implantar oconector.

Observação O CEIP só é aplicável para instalações locais do VMwareIdentity Manager. Faça as suas escolhas ao instalar o serviço do VMwareIdentity Manager. No console de administração, você também pode participarou sair do CEIP a qualquer momento após a instalação.

Configuração do fuso horárioSelecione o fuso horário correto.

Propriedades de Rede Insira valores para DNS, Gateway Padrão, Endereço IP e Máscara de Redepara configurar o endereço IP estático para o conector. Se qualquer umdesses quatro campos de endereço, ou o Nome do Host, for deixado embranco, DHCP será usado.

Na caixa de texto Nome do Host (FQDN), insira o nome de host totalmentequalificado a ser usado para o appliance virtual do conector. Se estiver embranco, o DNS reverso será usado para procurar o nome do host.

i Na página Pronto para ser concluído, revise as seleções, faça os ajustes, se necessário, e clique

em Concluir.

Dependendo da velocidade da rede, a implantação pode levar vários minutos.

3 Quando a implantação estiver concluída e o appliance virtual do conector aparecer sob o objeto deinventário no qual você o implantou, clique com o botão direito do mouse no appliance virtual doconector e selecione Ligar/Desligar > Ligar.

O appliance virtual do conector é inicializado. Você pode ir até a guia Resumo e clicar no console doappliance virtual para ver os detalhes. Após concluída a inicialização do appliance virtual, o consoleexibirá a versão do conector e a URL para o assistente de Instalação.

4 Para executar o assistente de Configuração, aponte o navegador para a URL do conector exibida noconsole do appliance virtual, https://connectorFQDN.

5 Na página de boas-vindas, clique em Continuar.


VMware, Inc. 24

6 Crie senhas de alta segurança para as seguintes contas de administrador do appliance virtual doconector.

As senhas de alta segurança devem ter pelo menos oito caracteres e incluir letras maiúsculas eminúsculas e pelo menos um caractere numérico ou especial.

Opção Descrição

Administrador do appliance Crie a senha do administrador do appliance. O nome do usuário é admin e nãopode ser alterado. Você usa essa conta e senha para fazer login nos serviços doconector a fim de gerenciar certificados, senhas de appliance e a configuração dosyslog.

Importante A senha do usuário administrador deve ter pelo menos 6caracteres.

Conta raiz Uma senha raiz padrão da VMware foi usada para instalar o appliance doconector. Criar uma nova senha raiz.

Conta de usuário SSH Crie a senha a ser usada para o acesso remoto ao appliance do conector.

7 Clique em Continuar.

8 Na página Ativar Conector, cole o código de ativação e clique em Continuar.

O código de ativação é verificado, e a comunicação entre o serviço do VMware Identity Manager e ainstância do conector é estabelecida.

A instalação do conector foi concluída.

Próximo passo

Clique no link na página A Instalação foi Concluída para acessar o console do VMware Identity Manager.Em seguida, configure a conexão do diretório.

Configurar um diretórioDepois de implantar o appliance virtual do conector, configure um diretório no console doVMware Identity Manager. Você pode sincronizar com o serviço do VMware Identity Manager usuários egrupos a partir do diretório corporativo.

o VMware Identity Manager suporta integrar os seguintes tipos de diretórios.

n Active Directory sobre LDAP

n Active Directory, Autenticação integrada do Windows

n Diretório LDAP

Consulte Integração do diretório com o VMware Identity Manager para obter mais informações.

Observação Você também poderá criar diretórios locais no serviço do VMware Identity Manager.Consulte "Usando diretórios locais" na Administração do VMware Identity Manager para obterinformações.


VMware, Inc. 25

Procedimentos

1 Clique no link da página A configuração está completa, que é exibido depois que você tiver ativado oconector.

A guia Gerenciamento de Identidade e Acesso > Diretórios é exibida.

2 Clique em Adicionar diretório e selecione o tipo de diretório que você deseja adicionar.

3 Siga as instruções do assistente de instalação para digitar as informações de configuração dediretório, os grupos selecionados e os usuários para sincronizar, assim como os usuáriossincronizados com o serviço do VMware Identity Manager.

Consulte A integração de diretório com o VMware Identity Manager para obter informações sobrecomo configurar um diretório.

Próximo passo

Clique na guia Usuários e Grupos e verifique se os usuários foram sincronizados.

Habilitar os adaptadores de autenticação no VMware IdentityManager ConnectorHá diversos adaptadores de autenticação disponíveis para o VMware Identity Manager Connector nomodo externo, incluindo o PasswordIdpAdapter, o RSAAIdpAdapter, o SecurIDAdapter e oRadiusAuthAdapter. Configure e habilite os adaptadores que você pretende usar.

Quando você criou o diretório, o método de autenticação de senha foi automaticamente habilitado paraele. O PasswordIdpAdapter foi configurado com as informações fornecidas para o diretório.

Procedimentos

1 No console do VMware Identity Manager, clique na guia Gerenciamento de Identidade e Acesso.

2 Clique na guia Configuração e, em seguida, clique na guia Conectores.

O conector que você implantou é listado.

3 Clique no link que consta na coluna Agente de trabalho.

4 Clique na guia Adaptadores de Autenticação.

Estão listados todos os adaptadores de autenticação disponíveis para o conector.

Caso você já tenha configurado um diretório, o PasswordIdpAdapter já estará configurado ehabilitado, contendo as informações de configuração que você especificou enquanto criava odiretório.

5 Configure e habilite os adaptadores de autenticação que você deseja usar. Para isso, clique no linkrelativo a cada um deles e digite as informações de configuração. Você deve habilitar ao menos umadaptador de autenticação.

Para obter informações sobre como configurar adaptadores de autenticação específicos, consulte oGuia de Administração do VMware Identity Manager.


VMware, Inc. 26

Por exemplo:

Habilitar o modo de saída para o conectorPara habilitar o modo de conexão apenas de saída para o conector, associe-o a um Provedor deidentidade integrado.


VMware, Inc. 27

Via de regra, o provedor de identidade integrado está disponível no serviço do VMware Identity Managere fornece métodos de autenticação internos adicionais, como o VMware Verify. Para obter maisinformações sobre o Provedor de de identidade integrado, consulte o Guia de administração do VMwareIdentity Manager.

Observação O conector pode ser usado simultaneamente tanto no modo de saída quanto no modonormal. Mesmo que você habilite o modo de saída, ainda poderá configurar a autenticação Kerberospara usuários internos usando métodos e políticas de autenticação.

Procedimentos

1 Na guia Gerenciamento de Identidade e Acesso do console de administração, clique emGerenciar.

2 Clique na guia Provedores de Identidade.

3 Clique no link Integrado.

4 Insira as seguintes informações.

Opção Descrição

Usuários Selecione o diretório ou os domínios que usarão o Provedor de de identidadeintegrado.

Rede Selecione os intervalos de rede que usarão o Provedor de identidade integrado.

Conector(es) Selecione o conector que você configurou.

Observação Posteriormente, ao adicionar os conectores para altadisponibilidade, selecione e adicione todos eles aqui para associá-los aoProvedor de identidade integrado. O VMware Identity Manager distribuiautomaticamente o tráfego entre todos os conectores associados ao provedor deidentidade Integrado. Não é necessário ter um balanceador de carga.

Métodos de autenticação do conector Os métodos de implantação que você habilitou para o conector estão listados.Selecione os métodos de autenticação que você deseja usar.

O PasswordIdpAdapter, que foi automaticamente configurado e habilitadoquando você criou um diretório, é exibido nesta página como Senha (implantadona nuvem), o que denota que ele é usado com o conector em modo de saída.

Por exemplo:


VMware, Inc. 28

5 Clique em Salvar para salvar a configuração do provedor de identidade Integrado.

6 Edite as políticas para usar os métodos de autenticação que você habilitou.

a Na guia Gerenciamento de Identidade e Acesso, clique em Gerenciar.

b Clique na guia Políticas; em seguida, clique na política que você deseja editar.

c Em Regras de política, para a regra que você deseja editar, clique no link que consta na colunaMétodo de autenticação.

d Na página Editar regra da política, selecione o método de autenticação que você deseja usarpara esta regra.


VMware, Inc. 29

e Clique em OK.

f Clique em Salvar.

Para obter mais informações sobre como configurar políticas, consulte o Guia de administração doVMware Identity Manager.

Agora, o modo de saída do conector está habilitado. Quando um usuário faz login usando um dosmétodos de autenticação que você habilitou para o conector no Provedor de identidade integrado, não seexige um redirecionamento HTTP para o conector.

Configurando a alta disponibilidade para oVMware Identity Manager ConnectorVocê pode configurar o conector do VMware Identity Manager para alta disponibilidade e failoveradicionando vários appliances virtuais do conector em um cluster. Se um dos appliances virtuais setornar indisponível por qualquer motivo, outros conectores ainda estarão disponíveis.

Para criar o cluster, instale novos appliances virtuais de conector e configura-os exatamente da mesmamaneira que você configurou o primeiro conector.

Sendo assim, você associa todas as instâncias do conector ao provedor de identidade integrado. Oserviço do VMware Identity Manager distribui automaticamente o tráfego entre todos os conectoresassociados com o provedor de identidade integrado. Não é necessário ter um balanceador de carga.Caso um dos conectores fique indisponível devido a um problema na rede, o serviço não direciona otráfego para ele. Quando a conectividade é restaurada, o serviço é retomado enviando o tráfego aoconector.

Depois de configurado o cluster do conector, os métodos de autenticação que você habilitou no conectorficam altamente disponíveis. Caso uma das instâncias do conector esteja indisponível, a autenticaçãoainda estará disponível. Para a sincronização de diretório, no entanto, em caso de uma falha da instânciado conector, você precisará selecionar manualmente outra instância do conector como o conector desincronização. A sincronização de diretório pode ser ativada somente em um conector por vez.

Observação Esta seção não se aplica à alta disponibilidade da autenticação Kerberos. Consulte Adicionando o suporte à autenticação Kerberos à sua implantação do VMware Identity ManagerConnector.

Instalar instâncias de conector adicionalDepois de instalar e configurar a instância do primeiro conector, você poderá adicionar conectoresadicionais para fins de alta disponibilidade. Instale appliances virtuais de novo conector e configure-osexatamente da mesma maneira que a instância do primeiro conector.

Pré-requisitos

Você instalou e configurou a primeira instância do conector, conforme descrito em Implantando oVMware Identity Manager Connector.


VMware, Inc. 30

Procedimentos

1 Instale e configure uma nova instância do conector seguindo estas instruções.

n Gerar código de ativação do conector

n Instalar e configurar o appliance virtual do conector

2 Associe o novo conector ao WorkspaceIDP da primeira instância do conector.

a No console de administração, selecione a guia Gerenciamento de Identidade e Acesso e, emseguida, selecione a guia Provedores de Identidade.

b Na página Provedores de Identidade, localize o WorkspaceIDP da primeira instância do conectore clique no link.

c No campo Conectores, selecione o novo conector.

d Digite a senha do DN de associação e clique em Adicionar Conector.

e Clique em Salvar.

3 Se tiver ingressado em um domínio do Active Directory na primeira instância do conector, vocêprecisará ingressar também no domínio na instância do novo conector.

a Na guia Gerenciamento de Identidade e Acesso, clique em Configuração.

A instância do novo conector está listada na página Conectores.

b Clique em Ingressar no Domínio próximo ao novo conector e especifique as informações dodomínio.

Observação Para diretórios do tipo Autenticação Integrada do Windows (IWA), você deve executaras seguintes ações.

a Ingresse a instância do novo conector no domínio no qual o diretório IWA na instância original doconector ingressou.

1 Selecione a guia Gerenciamento de identidade e acesso e clique em Instalar.

A instância do novo conector está listada na página Conectores.

2 Clique em Ingressar no Domínio e especifique as informações do domínio.

b Salve a configuração do diretório IWA.

1 Selecione a guia Gerenciamento de Identidade e Acesso.

2 Na página Diretórios, clique no link do diretório IWA.

3 Clique em Salvar para salvar a configuração do diretório.


VMware, Inc. 31

4 Configure e habilite adaptadores de autenticação no novo conector.

Importante Os adaptadores de autenticação em todos os conectores do cluster devem serconfigurados de forma idêntica. Os mesmos métodos de autenticação devem ser habilitados emtodos os conectores.

a Na guia Gerenciamento de Identidade e Acesso, clique em Configuração e, em seguida,clique na guia Conectores.

b Clique no link na coluna Trabalhador do novo conector.

c Clique na guia Adaptadores de Autenticação.

Estão listados todos os adaptadores de autenticação disponíveis para o conector.

O PasswordIdpAdapter já está configurado e habilitado porque você associou o novo conectorao diretório associado ao primeiro conector.

d Configure e habilite os outros adaptadores de autenticação da mesma maneira que o primeiroconector. Certifique-se de que as informações de configuração sejam idênticas.

Para obter informações sobre como configurar adaptadores de autenticação, consulte o Guia deAdministração do VMware Identity Manager.

Próximo passo

Configurar a alta disponibilidade para autenticação

Configurar a alta disponibilidade para autenticaçãoDepois de implantar e configurar as novas instâncias do VMware Identity Manager Connector, configurea alta disponibilidade para autenticação adicionando as novas instâncias ao Provedor de identidadeintegrado e permitindo os mesmos métodos de autenticação que estão habilitados na primeira instânciado conector. O VMware Identity Manager distribui automaticamente o tráfego entre todos os conectoresassociados ao provedor de identidade interno.

Procedimentos

1 Na guia Gerenciamento de Identidade e Acesso do console de administração doVMware Identity Manager, clique em Gerenciar.


3 Clique no link Integrado.

4 No campo Conectores, selecione o novo conector na lista suspensa e clique em AdicionarConector.


VMware, Inc. 32

5 Na seção Métodos de Autenticação do Conector, habilite os mesmos métodos de autenticaçãohabilitados para o primeiro conector.

O método de autenticação Senha (implantação em nuvem) é configurado e habilitadoautomaticamente. Você deve habilitar os outros métodos de autenticação.

Importante Os adaptadores de autenticação em todos os conectores do cluster devem serconfigurados de forma idêntica. Os mesmos métodos de autenticação devem ser habilitados emtodos os conectores.

Para obter informações sobre como configurar adaptadores de autenticação específicos, consulteAdministração do VMware Identity Manager.

6 Clique em Salvar para salvar a configuração do provedor de identidade Integrado.

Ativando a sincronização de diretório em outro conector em casode falhaEm caso de uma falha na instância do conector, a autenticação é realizada automaticamente por outrainstância do conector. No entanto, para a sincronização de diretório, você precisa modificar asconfigurações de diretório no serviço do VMware Identity Manager para usar outra instância do conectorem vez da instância original. A sincronização de diretório pode ser ativada somente em um conector porvez.

Procedimentos

1 Faça login no console de administração do VMware Identity Manager.

2 Clique na guia Gerenciamento de Identidade e Acesso e, em seguida, clique em Diretórios.

3 Clique no diretório que era associado à instância original do conector.

Dica Você pode exibir essas informações na página Instalar > Conectores.

4 Na seção Sincronização e autenticação do Diretório da página do diretório, no campoSincronizar conector, selecione outra instância deste.

5 No campo Senha do DN do bind, insira a senha da conta de associação do Active Directory.

6 Clique em Salvar.

Adicionando o suporte à autenticação Kerberos à suaimplantação do VMware Identity Manager ConnectorVocê pode adicionar a autenticação Kerberos para usuários internos, que requer o modo de conexão deentrada, à sua implantação de conectores de modo de conexão de saída. Os mesmos conectores podemser configurados para usar a autenticação Kerberos para usuários provenientes da rede interna e outrométodo de autenticação para usuários que vêm da rede externa. Você pode conseguir isso definindopolíticas de autenticação baseadas em intervalos de rede.


VMware, Inc. 33

Os requisitos e as considerações incluem:

n A autenticação Kerberos poderá ser configurada independentemente do tipo de diretório que vocêconfigurar no VMware Identity Manager, no Active Directory sobre LDAP ou no Active Directory sobreAutenticação Integrada do Windows.

n O conector deve ser associado ao domínio do Active Directory.

n O nome do host do conector deve corresponder ao domínio do Active Directory no qual o conectoringressou. Por exemplo, se o domínio do Active Directory for vendas.exemplo.com, o nome do hostdo conector deverá ser connectorhost.vendas.exemplo.com.


n Cada conector no qual a autenticação Kerberos está configurada deve ter um certificado SSLconfiável. Você pode obter o certificado da sua autoridade de certificação interna. A autenticaçãoKerberos não funciona com certificados autoassinados.

Os certificados SSL confiáveis são necessários, independentemente se você ativa o Kerberos emum único conector ou em vários conectores para alta disponibilidade.

n Para configurar alta disponibilidade para autenticação Kerberos, é necessário um balanceador decarga.

Configurando e habilitando o adaptador de autenticaçãoKerberosConfigure e habilite o KerberosIdpAdapter no VMware Identity Manager Connector. Caso você tenhaimplantado um cluster para alta disponibilidade, configure e habilite o adaptador em todos os conectoresde seu cluster.

Importante Os adaptadores de autenticação em todos os conectores do cluster devem serconfigurados de forma idêntica. Todos os conectores devem ser configurados com o mesmo método deautenticação.

Para obter mais informações sobre como configurar a autenticação Kerberos, consulte o Guia deadministração do VMware Identity Manager.

Pré-requisitos

n O conector deve ser associado ao domínio do Active Directory.

n O nome do host do conector deve corresponder ao domínio do Active Directory no qual o conectoringressou. Por exemplo, se o domínio do Active Directory for vendas.exemplo.com, o nome do hostdo conector deverá ser connectorhost.vendas.exemplo.com.



VMware, Inc. 34

Procedimentos

1 No console de administração do VMware Identity Manager, clique na guia Gerenciamento deIdentidade e Acesso.

2 Clique na guia Configuração e, em seguida, clique na guia Conectores.

Todos os conectores que você tiver implantado estão listados.

3 Clique na coluna Trabalhador de um dos conectores.

4 Clique na guia Adaptadores de Autenticação.

5 Clique no link KerberosIdpAdapter para configurar e habilitar o adaptador.

Opção Descrição

Nome O nome padrão do adaptador é KerberosIdpAdapter. Você pode alterar essenome.

Atributo de UID de diretório O atributo da conta que contém o nome de usuário.

Habilitar Autenticação do Windows Selecione esta opção.

Habilitar NTLM Você não precisa selecionar essa opção a menos que a infraestrutura de seuActive Directory dependa de autenticação NTLM.

Observação Só há suporte para essa opção no VMware Identity Managerbaseado em Linux.

Habilitar redirecionamento Caso você tenha vários conectores e um cluster e planeje configurar a altadisponibilidade Kerberos usando um balanceador de carga, selecione essaopção e especifique um valor para Nome do host de redirecionamento.

Caso sua implantação tenha apenas um conector, você não precisa usar asopções Habilitar redirecionamento e Nome do host de redirecionamento.

Nome do host de redirecionamento Exige-se um valor se a opção Habilitar redirecionamento for selecionada.Digite o nome do host do próprio conector. Por exemplo, caso o nome do host doconector seja conector1.exemplo.com, digite conector1.exemplo.com na caixade texto.

Por exemplo:


VMware, Inc. 35

Para obter mais informações sobre a configuração do KerberosIdPAdapter, consulte o Guia deadministração do VMware Identity Manager.

6 Clique em Salvar.

7 Caso você tenha implantado um cluster, configure o KerberosIdPAdapter em todos os conectores deseu cluster.

Verifique se você configurou o adaptador de forma idêntica em todos os conectores, exceto para ovalor do Nome do Host de Redirecionamento, que deve ser específico para cada conector.

Próximo passo

n Verifique se cada conector no qual o KerberosIdpAdapter está ativado tem um certificado SSLconfiável. Você pode obter o certificado da sua autoridade de certificação interna. A autenticaçãoKerberos não funciona com certificados autoassinados.

Os certificados SSL confiáveis são necessários, independentemente se você ativa o Kerberos emum único conector ou em vários conectores para alta disponibilidade.

n Se for necessário, defina alta disponibilidade para a autenticação Kerberos. A autenticação Kerberosnão terá alta disponibilidade sem um balanceador de carga.

Configurando a alta disponibilidade para a autenticação KerberosPara configurar a alta disponibilidade para a autenticação Kerberos, instale um balanceador de carga emsua rede interna dentro do firewall e adicione as instâncias do VMware Identity Manager Connector a ele.

Você também deve definir determinadas configurações no balanceador de carga, estabelecer aconfiança SSL entre o balanceador de carga e as instâncias do conector e alterar a URL de autenticaçãodo conector para usar o nome do host do balanceador de carga.

Defina as configurações do balanceador de cargaVocê deve definir determinadas configurações no balanceador de carga, como configurar corretamente otempo limite do balanceador de carga e ativar as sessões fixas.

Defina essas configurações.

n Tempo limite do balanceador de carga

Para que o VMware Identity Manager Connector funcione corretamente, talvez você preciseaumentar o padrão do tempo limite de solicitação do balanceador de carga. O valor é definido emminutos. Caso a configuração do tempo-limite seja muito baixa, talvez você veja este erro.

Erro 502: O serviço está temporariamente indisponível

n Ativar sessões fixas


VMware, Inc. 36

Você deverá habilitar a configuração de sessão fixa no balanceador de carga caso sua implantaçãotenha várias instâncias do conector. Em seguida, o balanceador de carga associará a sessão de umusuário a uma instância do conector específica.

Aplicar o certificado raiz do VMware Identity Manager Connector aobalanceador de cargaQuando o VMware Identity Manager Connector é configurado atrás de um balanceador de carga, deve-se estabelecer a confiança SSL entre o balanceador de carga e o conector. O certificado raiz do conectordeve ser copiado para o balanceador de carga como um certificado raiz confiável.

O certificado do VMware Identity Manager Connector pode ser baixado a partir das páginas deadministração do conector em https://connectorFQDN:8443/cfg/ssl.

Quando o nome de domínio do conector aponta para o balanceador de carga, o certificado SSL só podeser aplicado ao balanceador de carga.

Procedimentos

1 Faça login nas páginas de administração do conector, https://connectorFQDN:8443/cfg/login, comousuário administrador.

2 Selecione Instalar Certificados SSL.

3 Na guia Certificado do Servidor, clique no link no campo Certificados da CA Raiz Autoassinadosdo Appliance.

4 Copie tudo entre e incluindo as linhas -----BEGIN CERTIFICATE----- e -----END CERTIFICATE----, ecole o certificado raiz na localização correta em cada balanceador de carga. Consulte adocumentação do balanceador de carga.


VMware, Inc. 37

Próximo passo

Copie e cole o certificado raiz do balanceador de carga no VMware Identity Manager Connector.

Aplicar o certificado raiz do balanceador de carga ao VMware IdentityManager ConnectorQuando o VMware Identity Manager Connector é configurado atrás de um balanceador de carga, deve-se estabelecer a confiança entre o balanceador de carga e o conector. Além de copiar o certificado raizdo conector para o balanceador de carga, você deverá copiar o certificado raiz do balanceador de cargapara o conector.

Procedimentos

1 Obtenha o certificado raiz do balanceador de carga.

2 Vá para as páginas de administração do VMware Identity Manager Connector emhttps://connectorFQDN:8443/cfg/login e faça login como usuário administrador.

3 Selecione a guia Instalar Certificados SSL > CAs Confiáveis.

4 Cole o texto do certificado do balanceador de carga na caixa de texto Certificado Raiz ouIntermediário.

5 Clique em Adicionar.

Alterar o nome do host IdP do conector para o nome do host do balanceadorde cargaDepois de adicionar as instâncias do VMware Identity Manager Connector ao balanceador de carga,você deverá alterar o nome do host IdP no IdP de Workspace de cada conector para o nome do host dobalanceador de carga.

Pré-requisitos

As instâncias do conector são configuradas atrás de um balanceador de carga. Verifique se a porta dobalanceador de carga é 443. Não use 8443, pois esse número de porta é a porta administrativa.


VMware, Inc. 38

Procedimentos

1 Faça login no console de administração do VMware Identity Manager.

2 Clique na guia Gerenciamento de Identidade e Acesso.


4 Na página Provedores de Identidade, clique no link do IdP de Workspace para a instância doconector.

5 Na caixa de texto Nome do Host IdP, altere o nome do host do nome de host do conector para onome do host do balanceador de carga.

Por exemplo, se o seu nome do host do conector for meuconector, e seu nome do host dobalanceador de carga for meubc, altere a URL

myconnector.mycompany.com:porta


VMware, Inc. 39

para o seguinte:

mylb.mycompany.com:porta


VMware, Inc. 40

Configurando a autenticação de certificado para umcenário de implantação da DMZHabilitar a autenticação de certificado para uma implantação local do VMware Identity Manager exige aconfiguração da passagem de SSL no balanceador de carga. Em um cenário de implantação da DMZ,em que o serviço do VMware Identity Manager está implantado na DMZ e o VMware Identity ManagerConnector está implantado na rede interna, se você não quiser permitir o acesso de entrada ao conector,poderá habilitar a autenticação de certificado no conector que está incorporado ao serviço do VMwareIdentity Manager.

Nesse cenário, use o conector integrado somente para a autenticação de certificado. Use o conectorexterno para todos os outros métodos de autenticação.

Para usar o conector integrado para autenticação de certificado, crie um novo provedor de identidade doWorkspace para o diretório, associe-o ao conector integrado e habilite o adaptador de Autenticação deCertificado no conector integrado. Em seguida, você pode configurar suas políticas para usar o métodode autenticação de certificado. As políticas também podem ser configuradas por aplicativo.

Você também precisa configurar uma porta de passagem SSL para a autenticação de certificado paraque o handshake de SSL ocorra entre o usuário final e o conector integrado. Defina a porta, carregue ocertificado SSL para ela nas páginas de Configurações do Appliance e ative a passagem SSL para aporta no balanceador de carga.

Outro tráfego continua a usar a porta 443.

Observação Este recurso não é compatível com diretórios locais. Além disso, esse recurso é aplicávelsomente para implantações locais da DMZ e não se aplica a nenhum outro cenário de instalação.

Requisitos de implantação

n No balanceador de carga na frente do appliance de serviço VMware Identity Manager, ative apassagem SSL na porta que você configurou na porta de passagem SSL para a autenticação decertificado. A porta padrão é 7443.

A porta deve estar no intervalo de 1024-65535 e não pode ser 8443, que é a porta de administração.

n Certifique-se de que a porta esteja aberta no balanceador de carga ou firewall.

Pré-requisitos

Para a porta de passagem SSL no servidor do VMware Identity Manager, obtenha um certificado SSLassinado de uma Autoridade de Certificação pública. O nome do host no certificado deve corresponderao nome do host do balanceador de carga. O certificado também deve ser confiável pelo usuário final.

Procedimentos

1 Defina a porta de passagem SSL para autenticação de certificado.

a No console de administração, clique na guia Configurações do Appliance.

b Clique em Gerenciar Configuração e insira a senha do usuário administrador.


VMware, Inc. 41

c No painel esquerdo, clique em Instalar Certificados de SSL e selecione a guia Certificado dePassagem .

d Insira as informações necessárias.

Opção Descrição

Porta Digite a porta que você deseja usar como a porta de passagem SSL para aautenticação de certificado. A porta padrão é 7443.

A porta deve estar no intervalo de 1024-65535 e não pode ser 8443, que é aporta de administração.

Observação A porta estará disponível somente se um certificado foradicionado.

Cadeia de Certificados SSL Copie e cole o certificado SSL. Inclua a cadeia de certificados inteira, naseguinte ordem:

Certificado do servidor

Certificado intermediário

Certificado raiz

Para cada certificado, copie tudo que estiver entre as linhas -----INICIARCERTIFICADO----- e -----FINALIZAR CERTIFICADO----.

O certificado deve estar no formato PEM.

Chave privada Copie e cole a chave privada.

e Clique em Adicionar.

O servidor é reiniciado.

2 Crie um provedor de identidade do Workspace.

a Clique na guia Gerenciamento de Identidade e Acesso e, em seguida, clique na guiaProvedores de Identidade.

b Clique em Adicionar provedor de identidade e selecione Criar IDP de Workspace.


VMware, Inc. 42

c Insira as informações para o novo provedor de identidade.

Opção Descrição

Nome do provedor de identidade Digite um nome para o provedor de identidade.

Usuários Selecione o diretório para o qual você deseja habilitar a autenticação decertificado.

Observação Este recurso não é compatível com diretórios locais.

Conector(es) 1 No menu suspenso Adicionar um Conector, selecione o conectorintegrado. O conector integrado tem o mesmo nome de host que oserviço.

2 Desmarque a caixa de seleção Associar ao AD.

3 Clique em Adicionar Conector.

Importante Não selecione a opção Associar ao AD.

Rede Selecione os intervalos de rede dos quais esse provedor de identidade podeser acessado.

d Clique em Adicionar.

3 Defina a porta para o conector incorporado.

a Clique na guia Gerenciamento de Identidade e Acesso e, em seguida, em Instalar.

b Na página Conectores, clique em novo provedor de identidade do Workspace criado para oconector integrado.

c Na caixa de texto Nome do host IdP, altere o valor de nome do host paranome do host:porta, em que porta é a porta personalizada que você configurou paraautenticação de certificado na etapa 1.

d Clique em Salvar.

4 Habilite o CertificateAuthAdapter no conector integrado.

a Clique em Configuração.

b Na página Conectores, localize o conector integrado.

O conector integrado tem o mesmo nome de host que o serviço.

c Na linha do conector integrado, clique no link na coluna Trabalhador.

Cada trabalhador está associado a um diretório. Se vários trabalhadores estiverem listados,clique no link do trabalhador para o diretório para o qual você deseja habilitar a autenticação decertificado.

d Clique na guia Adaptadores de Autenticação.

e Clique em CertificateAuthAdapter.

f Configure e habilite o adaptador. Consulte Administração do VMware Identity Manager para obterinformações.

g Clique em Salvar.


VMware, Inc. 43

5 Verifique se a página Provedores de Identidade exibe o método de Autenticação de Certificado.

a Clique em Gerenciar e, em seguida, na guia Provedores de Identidade.

b Verifique se a Autenticação de Certificado é exibida na coluna Métodos de Autenticação parao novo provedor de identidade que você criou.

6 Configure as políticas para usar o método de autenticação de certificado de acordo com suasnecessidades.

a Clique em Gerenciar e, em seguida, na guia Provedores de Identidade.

b Clique na política a ser editada.

c Configure as regras de política para usar o método de autenticação de certificado conformenecessário.

Consulte Administração do VMware Identity Manager para obter mais informações sobre a criaçãode políticas.

Gerenciando as configurações de administrador doconector do VMware Identity ManagerApós a conclusão da configuração inicial do conector do VMware Identity Manager, você poderá ir àspáginas de administração do conector a qualquer momento para instalar certificados, gerenciar senhas ebaixar arquivos de log.

As páginas de administração do VMware Identity Manager Connector estão disponíveis emhttps://connectorFQDN:8443/cfg/login, por exemplo, https://myconnector.example.com:8443/cfg/login.Faça login como usuário administrador do conector com a senha de administrador que você criouquando instalou o conector.

Tabela 3‑1. Configurações do Conector

Opção Descrição

Instalar Certificados SSL Nas guias nesta página, você pode instalar um certificado SSLpara o conector, baixar o certificado raiz autoassinado einstalar certificados raiz confiáveis.

Observação A guia Certificado de Passagem é usadasomente quando a autenticação de certificado é configuradano conector incorporado em um cenário de implantação doDMZ. Não é aplicável em quaisquer outros cenários. ConsulteImplantando o VMware Identity Manager no DMZ para obterinformações.

Configurar Syslog Nesta página, você poderá ativar um servidor de syslogexterno se quiser que os logs do conector sejam enviados aoservidor externo.

Alterar Senha Nessa página, você pode alterar a senha de administração doconector.


VMware, Inc. 44

Tabela 3‑1. Configurações do Conector (Continuação)

Opção Descrição

Segurança do Sistema Nesta página, você pode alterar as senhas de usuário ssh eraiz para o conector.

Localizações do Arquivo de Log Nesta página, você pode criar e baixar um pacote de arquivosde log do conector.

Usando certificados SSL para o conectorQuando o conector do VMware Identity Manager está instalado, o certificado do servidor SSLautoassinado padrão é gerado automaticamente. Você pode continuar a usar esse certificadoautoassinado na maioria dos cenários.

Com o conector implantado no modo de saída, os usuários finais não acessam o conector diretamente,de modo que instalar um certificado SSL assinado pela Autoridade de Certificação pública não énecessário. Para o acesso do administrador ao conector, você pode continuar a usar o certificadoautoassinado padrão ou usar um certificado gerado pela sua autoridade de certificação interna.

No entanto, se você ativar o KerberosIdpAdapter no conector para configurar a autenticação Kerberospara usuários internos, os usuários finais estabelecerão conexões SSL ao conector; portanto, o conectordeve ter um certificado SSL assinado. Use sua autoridade de certificação interna para gerar o certificadoSSL.

Se você configurar a alta disponibilidade para a autenticação Kerberos, será necessário um balanceadorde carga na frente das instâncias do conector. Nesse caso, o balanceador de carga, bem como todas asinstâncias do conector, devem ter certificados SSL assinados. Use sua autoridade de certificação internapara gerar os certificados SSL. Para o certificado do balanceador de carga, use o Nome de Host IdP doWorkspace, que é definido na página Configuração do IdP do Workspace, como o Nome Comum do DNda Entidade. Para cada certificado de instância do conector, use o nome de host do conector como oNome Comum do DN da Entidade. Como alternativa, você pode criar um único certificado, usando onome de host Idp do Workspace como o Nome Comum do DN da Entidade, e todos os nomes de host doconector, bem como o nome de host Idp do Workspace como Nomes Alternativos da Entidade (SANs).

Instalando um certificado SSL assinado para o conectorVocê pode instalar um certificado SSL assinado para o conector do VMware Identity Manager a partir daspáginas de administração do conector em https://FQDNconector:8443/cfg/login.

Consulte Usando certificados SSL para o conector para obter os cenários em que um certificado SSLassinado é necessário.

Pré-requisitos

Gere uma Solicitação de Assinatura de Certificado (CSR) e obtenha um certificado SSL assinado. Ocertificado deve estar no formato PEM.


VMware, Inc. 45

Procedimentos

1 Faça login nas páginas de administração do conector em https://FQDNconector:8443/cfg/login comoo usuário administrador.

2 Clique em Instalar Certificados SSL.

3 Na guia Certificado do Servidor, para o campo Certificado SSL, selecione CertificadoPersonalizado.

4 Na caixa de texto Cadeia de Certificados SSL, cole os certificados intermediários, de servidor e deraiz, nessa ordem.

Você deve incluir a cadeia de certificados inteira na ordem correta. Para cada certificado, copie tudoque estiver entre as linhas -----INICIAR CERTIFICADO----- e -----FINALIZAR CERTIFICADO----.

5 Na caixa de texto Chave Privada, cole a chave privada. Copie tudo entre ----INICIAR CHAVEPRIVADA RSA e ---FINALIZAR CHAVE PRIVADA RSA.


Exemplo: Exemplos de certificados

Exemplo de cadeia de certificados

-----INICIAR CERTIFICADO-----

jlQvt9WdR9Vpg3WQT5+C3HU17bUOwvhp/r0+

...

W53+O05j5xsxzDJfWr1lqBlFF/OkIYCPcyK1

-----FINALIZAR CERTIFICADO-----


WdR9Vpg3WQT5+C3HU17bUOwvhp/rjlQvt90+

...

O05j5xsxzDJfWr1lqBlFF/OkIYCPW53+cyK1



dR9Vpg3WQTjlQvt9W5+C3HU17bUOwvhp/r0+

...

5j5xsxzDJfWr1lqW53+O0BlFF/OkIYCPcyK1



VMware, Inc. 46

Exemplo de chave privada

-----INICIAR CHAVE PRIVADA RSA-----

jlQvtg3WQT5+C3HU17bU9WdR9VpOwvhp/r0+

...

...

...

1lqBlFFW53+O05j5xsxzDJfWr/OkIYCPcyK1

-----FINALIZAR CHAVE PRIVADA RSA-----

Baixando o certificado de autoridade de certificação raiz autoassinado doconectorSe você implantar o conector com o certificado SSL autoassinado gerado por padrão quando o conectoré instalado, instale o certificado da autoridade de certificação raiz autoassinado do conector em todos osclientes que acessam o conector. Você pode baixar o certificado da autoridade de certificação raiz doconsole de administração do VMware Identity Manager.

Procedimentos

1 Faça login nas páginas de administração do conector do VMware Identity Manager emhttps://FQDNconector:8443/cfg/login como o usuário administrador.

2 Clique em Instalar Certificados SSL.

3 Na guia Certificado do Servidor, clique no link no campo Certificados da CA Raiz Autoassinadosdo Appliance.

Os certificados são exibidos.

4 Copie o texto inteiro, incluindo as linhas -----INICIAR CERTIFICADO----- e -----FINALIZARCERTIFICADO----.

Instalando certificados de raiz confiáveis no conectorInstale os certificados raiz ou intermediários que devem ser confiáveis pelo conector do VMware IdentityManager. O conector poderá estabelecer conexões seguras com servidores cuja cadeia de certificadosinclui qualquer um desses certificados.

Os cenários nos quais você precisa instalar certificados raiz confiáveis no conector incluem o seguinte:

n Se você tiver configurado um balanceador de carga para alta disponibilidade da autenticaçãoKerberos, instale o certificado da autoridade de certificação raiz do balanceador de carga nasinstâncias do conector para estabelecer a confiança entre os conectores e o balanceador de carga.

Procedimentos


2 Clique em Instalar Certificados de SSL e selecione a guia CAs Confiáveis.


VMware, Inc. 47

3 Cole o certificado raiz ou intermediário na caixa de texto.

Inclua tudo entre e incluindo as linhas -----INICIAR CERTIFICADO----- e -----FINALIZARCERTIFICADO----.


Configurar um servidor de syslog para o conectorOs eventos a nível de aplicativo do serviço podem ser exportados para um servidor syslog externo. Oseventos do sistema operacional não são exportados.

Como a maioria das empresas não têm espaço em disco ilimitado, o appliance virtual não salva ohistórico de log completo. Se desejar salvar mais histórico ou criar uma localização centralizada para oseu histórico de log, você poderá configurar um servidor syslog externo.

Se não tiver configurado um servidor de syslog durante a configuração inicial, você poderá configurá-lomais tarde na página Configurar Syslog nas páginas de administração do appliance do conector.

Pré-requisitos

n Configure um servidor syslog externo. Você pode usar qualquer um dos servidores syslog padrãodisponíveis. Vários servidores syslog incluem capacidades avançadas de pesquisa.

n Certifique-se de que o conector possa acessar o servidor de syslog na porta 514 (UDP).

Procedimentos

1 Faça login nas páginas de administração do appliance do conector em https://FQDNconector:8443/cfg como o usuário administrador.

2 Selecione Configurar Syslog no painel à esquerda.

3 Clique em Ativar.

4 Insira o endereço IP ou o FQDN do servidor syslog no qual você deseja armazenar os logs.

5 Clique em Salvar.

Uma cópia dos logs é enviada para o servidor syslog.

Gerenciando suas senhas do conector doVMware Identity ManagerQuando configurou o VMware Identity Manager Connector, você criou senhas para o usuárioadministrador, para o usuário raiz e o sshuser. Você pode alterar essas senhas a partir das páginas doadministrador do conector.

Importante Certifique-se de criar senhas fortes. As senhas de alta segurança devem ter pelo menosoito caracteres e incluir letras maiúsculas e minúsculas e pelo menos um caractere numérico ou especial.


VMware, Inc. 48

Procedimentos


2 Clique em Alterar Senha.

3 Digite as senhas antigas e novas.

Importante A senha do usuário administrador deve ter pelo menos 6 caracteres.

4 Clique em Salvar.

5 Para alterar as senhas raiz ou sshuser, selecione Segurança do Sistema, insira as novas senhas eclique em Salvar.

Visualizando arquivos de logOs arquivos de log do VMware Identity Manager Connector podem ajudar a depurar e a solucionarproblemas. Os arquivos de log estão no diretório /opt/vmware/horizon/workspace/logs do appliancevirtual do conector.

Os seguintes arquivos de log são os mais relevantes.

Tabela 3‑2. Arquivos de log

Componente

O local do arquivo de log emum appliance virtual doconector Descrição

Logs doConfigurador

/opt/vmware/horizon/works

pace/logs/configurator.lo

g

Solicita que o configurador receba do clienteREST e da interface Web.

Logs do conector /opt/vmware/horizon/works

pace/logs/connector.log

Um registro de cada solicitação recebida dainterface Web. Cada entrada de log incluitambém a URL, o carimbo de data/hora e asexceções da solicitação. Nenhuma ação desincronização é registrada.


pace/logs/connector-dir-

sync.log

Mensagens relacionadas à sincronização dediretório.

Logs do ApacheTomcat


pace/logs/catalina.log

O registros do Apache Tomcat de mensagensque não são registradas em outros arquivosde log.

Você também pode baixar um pacote de arquivos de log nas páginas de administração do VMwareIdentity Manager Connector.

Baixar um pacote de logsNas páginas de administração do conector, você pode baixar um pacote de arquivos de log para oVMware Identity Manager Connector. Os arquivos de log podem ajudar a depurar e a solucionarproblemas.


VMware, Inc. 49

Para coletar logs de cada instância de conector no seu ambiente, efetue login nas páginas deadministração de cada instância.

Procedimentos

1 Faça login nas páginas de administração do VMware Identity Manager Connector emhttps://connectorFQDN:8443/cfg/login como usuário administrador.

2 Clique em Localizações do Arquivo de Log e em Preparar pacote de logs.

As informações são coletadas em um arquivo tar.gz para download.

3 Baixe um pacote de logs.

Definindo o nível de log do VMware Identity Manager Connector comoDEBUGVocê pode definir o nível de log como DEBUG para registrar informações adicionais que possam ajudara depurar problemas.

Procedimentos

1 Faça login no appliance virtual.

2 Altere para o diretório /usr/local/horizon/conf/.

3 Atualize o nível de log nos arquivos cfg-log4j.properties e hc-log4j.properties, que são osarquivos log4j mais comumente usados para o conector.

a Edite o arquivo.

b Nas linhas que têm o nível de log definido como INFO, substitua INFO por DEBUG.

Por exemplo, altere:

rootLogger.level=INFO

para:

rootLogger.level=DEBUG

c Salve o arquivo.

Uma reinicialização do serviço ou do sistema não é necessária.


VMware, Inc. 50

setembro de 2018 vmware identity manager 3 · configurando a alta disponibilidade para o ......

Documents