VMware Identity Manager 3.1.0

 

导航

  • 规划
  • 升级
  • 准备:
    • DNS配置
    • LDAP帐户
    • SQL数据库
  • OVF 3.1.0部署
  • 配置:
    • 安装向导
    • SSH – 启用根访问
    • 活动目录
      • 登录体验
    • 管理员
    • 执照
    • 证书
    • SMTP
    • Kerberos身份验证
    • 自定义外观
  • 负载均衡
  • 资源:
    • Horizo​​n View管理员 – 启用SAML身份验证
    • Identity Manager – 连接到Horizo​​n
    • Identity Manager – Horizo​​n URL
    • Identity Manager用户门​​户

规划

Identity Manager是VMware Workspace ONE的一个组件。

  • 对于Horizo​​n,Identity Manager支持SAML身份验证,基于Web的ThinApp以及Citrix和Web上的其他应用程序集成。
  • 为了实现全部功能,Identity Manager应与AirWatch配对(本文中未详细说明)。

VMware Docs中的系统和网络配置要求

VMware技术文章  多数据中心配置中的VMware Identity Manager:两个数据中心中的主动/备用数据库,每个数据中心中的三个节点,SQL AlwaysOn可用性组侦听器。

VMware博客  VMware Workspace ONE App中的新功能

  • 您现在可以对您的书签应用重新排序(仅限浏览器)
  • 现在您可以按名称或类别搜索应用程序,也可以按应用程序描述搜索应用程序
  • 请参阅VMware博文[深入了解]  有关新功能的说明,请参见VMware Identity Manager 3.0中的新增功能。

升级

从VMware 2151825从Workspace  2.7.1升级到VMware Identity Manager 3.0:直接从VMware Identity Manager 2.7.1.0升级到VMware Identity Manager 3.0时,升级将失败。要升级到3.0,您必须先升级到VMware Identity Manager 2.9.2.x.

升级可以在线或离线进行。两者都是从命令行执行的。有关 详细信息,请参阅  在VMware Docs中升级到VMware Identity Manager 3.1。请参阅  EUC CST技术说明 – 升级VMware Identity Manager内部部署虚拟设备 – 已更新! 在VMware社区。

从3.0及更高版本升级之后:

  1. 在管理控制台中,转至  目录 >  虚拟应用集合。这是3.1和更新的新功能。
  2. 阅读简介,然后单击  开始
  3. 选择一个连接器,然后单击  迁移配置
  4. 您现在可以通过目录 > 虚拟应用程序集合管理Horizo​​n连接。

有关新的Workspace ONE功能列表,请参阅发行说明

制备

DNS配置

如果您打算构建多个设备(3个或更多)并对它们进行负载平衡,请为每个设备指定一个唯一的DNS名称。负载平衡DNS名称与设备DNS名称不同。例如:

  • 设备1 = im01.corp.local
  • 设备2 = im02.corp.local
  • 设备3 = im03.corp.local
  • 负载平衡名称= identity.corp.com。这个名字在内部和外部使用。

您需要符合这些名称的SSL证书。

每个这些DNS名称都必须具有相应的反向DNS指针记录。

  1. 为虚拟设备创建DNS记录。
  2. 也创建反向指针记录。反向指针记录是必需的。

LDAP帐户

  1. 与Identity Manager同步的所有帐户都必须配置名字,姓氏和电子邮件地址。这包括绑定帐户。
  2. 为您的Identity Manager用户创建一个新的Active Directory组。该域用户组将无法正常工作。

SQL数据库

如果要构建多个Identity Manager设备并对其进行负载平衡,请使用外部数据库(例如Microsoft SQL)对其进行配置。或者,您可以关注在VMware Workspace Portal VA 2.1的Production中使用嵌入式vPostgres(2094258)

有关执行所有必需SQL配置的脚本,请参阅  在VMware Docs上配置Microsoft SQL数据库

  1. SQL Server需要SQL Server和Windows身份验证模式
  2. 在SQL Management Studio中,创建一个新查询
  3. 从VMware Docs复制SQL命令并将它们粘贴到New Query窗口中。
    1. 对于Windows身份验证,请将配置Microsoft SQL数据库的命令复制到  Windows身份验证模式
    2. 对于SQL身份验证,请使用本地SQL Server身份验证模式复制配置Microsoft SQL数据库中的命令  。
    3. 更改括号中的值。
    4. 根据部署VMware Workspace One 3.x – 数据库设置的 Rob Beekmans  ,强制性参数还是可变参数?在Identity Manager 3.0和更高版本中,除了数据库模式(而非数据库名称)必须是saas之外,您可以更改任何参数。
  4. 然后点击执行

OVF部署

  1. 下载  Identity Manager 3.1 OVA  文件。
  2. 在vSphere Web Client中,右键单击群集,然后单击部署OVF模板
  3. 选择源  页面中,浏览至identity-manager-3.1.0.0- … .ova文件,然后单击下一步

  4. 在“  选择名称和位置”页面中,输入VM的名称,然后单击“ 下一步”
  5. 在“  选择资源”页面中,选择一个群集,然后单击“  下一步”
  6. 审阅详细信息页面中,单击下一步
  7. 接受许可协议页面中,单击接受,然后单击下一步
  8. 在“ 选择存储”页面中,选择精简配置,选择一个数据存储,然后单击下一步
  9. 在“ 选择网络”页面中,选择设备的网络。点击下一步
  10. 在“ 自定义模板”页面中:
    1. 做出有关客户体验改善计划的选择。
    2. 选择一个时区。
    3. 展开网络属性
    4. DNS和网关 – 在网络属性部分,输入标准的DNS和网关信息。
    5. 根据 在VMware Docs 上安装VMware Identity Manager OVA文件,不使用域名域搜索路径字段。
    6. 主机名称 – 输入第一个设备的主机名。
      • 如果您打算构建多个设备并对其进行负载平衡,则每个设备都需要一个与负载平衡名称不匹配的唯一名称。如果您只想构建一个设备,那么设备主机名应该与用户用来访问Identity Manager的任何设备匹配。
    7. IP地址 – 输入在DNS中为主机名称配置的IP地址。此IP地址的DNS反向查找必须解析为设备主机名。
  11. 点击下一步
  12. 准备完成页面中,单击完成

安装向导

  1. 打开设备电源。
  2. 等待设备启动并完全启动。
  3. 转到https://im01.corp.local以访问Identity Manager安装向导。注意:您必须连接到DNS名称。连接到IP地址将导致数据库设置过程中出现问题。
  4. 浏览器可能会阻止您连接。
  5. 解决这个问题:
    1. 转到https://IPAddress/horizo​​n_workspace_rootca.pem。您只是暂时使用IP地址。
    2. 复制根证书并将其保存到文件。

    3. 将根证书安装到受信任的根证书颁发机构存储(当前用户或本地计算机将工作)。

    4. 关闭浏览器并重新打开它。然后再次使用DNS名称连接浏览器。它应该在没有证书错误的情况下工作。
  6. 入门页面中,点击继续
  7. 在“ 设置密码”页面中,输入三个帐户的密码,然后单击继续

  8. 在“ 选择数据库”页面中,将其更改为外部数据库。注意:如果您的地址栏有DNS名称而不是IP地址,则此页面才能正常运行。
  9. 对于SQL身份验证,请输入类似于以下内容的JDBC URL,输入Horizo​​n Horizo​​n SQL帐户的凭据,然后单击测试连接
    JDBC:SQLSERVER://mysqlserver.corp.local;数据库名=萨斯

    1. 对于Windows身份验证,请输入类似于以下内容的JDBC URL,输入Horizo​​n Horizo​​n服务帐户的凭据,然后单击测试连接
      JDBC:JTDS:SQLSERVER:// <hostname_or_IP_address:端口#> / <数据库>; integratedSecurity = TRUE;域= <域名>; useNTLMv2 =真

  10. 屏幕的顶部应该说  连接测试成功
  11. 然后点击继续

  12. 在“ 设置审阅”页面中,单击链接登录到管理控制台。

SSH – 启用根访问

这是可选的。启用root访问权限可以让您使用WinSCP使用根凭证连接到设备。说明可以在https://blogs.vmware.com/horizo​​ntech/2013/03/how-to-enable-ssh-in-horizo​​n-workspace-virtual-appliances.html找到。

  1. 粘贴到Identity Manager设备。
  2. sshuser身份登录。
  3. 运行su并输入root密码。
  4. 运行vi /etc/ssh/sshd_config
  5. 向下滚动到第40行(PermitRootLogin)。
  6. 按键盘上的< i >键切换到插入模式。
  7. 转到行尾并将no更改为yes
  8. 按< ESC >退出插入模式。
  9. 键入:x 以保存文件并退出。
  10. 运行/etc/rc.d/sshd restart

组态

  1. 管理员  用户身份登录到网页。
  2. 您应该在身份和访问管理选项卡上。
  3. 在右上角切换到设置视图。
  4. 在左侧,切换到用户属性子选项卡。
  5. 向下滚动。选中distinguishedNameuserPrincipalName旁边的框。点击保存
  6. 在右上角,切换到管理视图。
  7. 单击添加目录 >  通过LDAP / IWA添加Active Directory
  8. 将其更改为Active Directory(集成Windows身份验证)。注意:域控制器是随机选择的。你可以通过创建文件domain_krb来覆盖它设备上的属性。请参阅VMware文档中的关于域控制器选择(domain_krb.properties文件)
  9. 输入Active Directory域的DNS名称。向下滚动。
  10. 输入可将设备加入域的凭据。
  11. 输入LDAP绑定凭证。点击保存并继续
  12. 选择要同步的域,然后单击下一步
  13. 地图用户属性页面中,单击下一步
  14. 在“ 选择组”页面中,单击加号图标添加一个DN。
  15. 输入LDAP格式的基本DN,然后单击查找组
  16. 点击选择
  17. 搜索您的身份用户组并选择它。不要选择域用户。它不会工作。
  18. 点击下一步
  19. 在“ 选择用户”页面中,单击“ 下一步”
  20. Review页面中,点击Edit
  21. 选择更频繁的同步时间表,然后单击保存
  22. 点击同步目录。

  23. 您可以点击链接查看同步日志。
  24. 您也可以单击目录名称,然后单击同步日志查看日志。

  25. 同步设置可以通过点击右边的按钮来改变。

登录体验

  1. 转到  身份和访问管理>设置>首选项
  2. 在底部,Identity Manager 2.9.1和更新版本允许您选择隐藏域下拉菜单。然后选择Identity Manager将用于查找用户域的唯一标识符(通常是UPN)。
  3. 用户将被提示输入唯一标识符。

管理员

  1. 您可以将个人用户(但不是组织)提升为管理员。在管理控制台的左上角,点击用户和群组标签。
  2. 切换到用户  子选项卡。
  3. 点击一个用户名。注意:在将组分配给资源(例如Horizo​​n Pool)之前,您可能看不到用户。
  4. 向下滚动。将角色下拉列表更改为  管理员。点击  保存

执照

  1. 设备设置选项卡的左侧,单击许可证
  2. 在右侧输入许可证密钥,然后单击保存。Horizo​​n Advanced或Horizo​​n Enterprise许可证密钥将起作用。

证书

  1. 使用OpenSSL或类似的方式创建PEM格式的证书。如果您有.pfx,则可以使用OpenSSL将pkcs12转换为PEM。还可以使用OpenSSL将私钥转换为RSA格式。
  2. 在顶部,点击设备设置标签,
  3. 在左侧,单击VA配置节点。
  4. 在右侧,点击管理配置
  5. 以您的管理员帐户登录。
  6. 在左侧,点击安装证书
  7. 在右侧,删除当前显示的证书和密钥。
  8. 粘贴新的PEM证书和RSA私钥。粘贴链中的每个证书:server + intermediate + root。点击保存
  9. 单击确定重新启动设备。
  10. 重新启动后,如果关闭浏览器并重新打开它,则证书应该是有效且可信的。

SMTP

  1. 在顶部,点击  设备设置标签
  2. 在左侧,单击  SMTP节点。
  3. 在右侧输入您的邮件服务器信息,然后单击保存

Kerberos身份验证

  1. 在顶部,转至  身份和访问管理选项卡。
  2. 在右侧,切换到设置  视图。
  3. 在左侧,单击  连接器子选项卡。
  4. 单击连接器的蓝色主机名链接。
  5. 切换到Auth Adapters选项卡。您可以通过单击适配器名称在此页面启用Kerberos或其他身份验证适配器  。
  6. Kerberos允许用户单点登录到Identity Manager网页。它只适用于Windows客户端。Identity Manager FQDN必须位于Internet Explorer的本地Intranet区域中。
  7. 输入sAMAccountName作为目录UID属性
  8. 选中启用Windows身份验证旁边的复选框,然后单击保存
  9. 启用适配器后,转到身份和访问管理>设置>网络范围
  10. 点击添加网络范围
  11. 给Network Range一个名字。
  12. 输入一个内部IP范围,然后单击保存
  13. 转到身份和访问管理>管理>策略
  14. 点击默认策略(default_access_policy_set)。
  15. 点击加号图标添加策略规则。
  16. 选择您刚创建的网络范围
  17. 对于用户试图访问内容,将其设置为Web浏览器
  18. Identity Manager 2.9.1 为策略规则添加了编辑组按钮。这为不同的组提供了不同的认证方法。启用后,Identity Manager将仅向用户提供用户名,然后查找组成员身份以确定应使用哪种身份验证方法。请参阅  在VMware Docs中配置访问策略设置
  19. 选择Kerberos作为第一种身份验证方法。
  20. 选择Password作为第二种认证方法。点击确定
  21. 拖动新策略规则将其移动到顶部。然后点击保存

自定义外观

  1. 如果您转到身份和访问管理>设置>自定义品牌,请在名称和徽标选项卡上更改浏览器的标题和图标。
  2. 如果您然后切换到登录屏幕页面,您可以上传徽标,上传图像并更改颜色。
  3. 如果您转到身份和访问管理>管理>密码恢复助手,则可以配置指向密码恢复工具的链接或更改忘记密码消息。
  4. 如果向下滚动,您可以选择在认证失败时向最终用户显示详细消息
  5. 单击目录,然后单击设置
  6. 在左侧,点击用户门户品牌
  7. 更改徽标,颜色等

负载均衡

Identity Manager可以进行克隆,群集,负载平衡和全局负载平衡,如下所示。

要克隆多个Identity Manager设备并对其进行负载平衡,请参阅以下内容之一:

注意:Identity Manager 2.6及更新版本中禁用TLS 1.0。如果您的负载均衡器不支持TLS 1.2,请参阅2144805  在VMware Identity Manager 2.6中启用TLS 1.0协议

  • NetScaler MPX / SDX在10.5 build 58的后端添加了TLS 1.2。
  • NetScaler VPX在11.0版本65的后端添加了TLS 1.2。

资源

View Administrator – 启用SAML身份验证

  1. 登录到View Administrator。
  2. 在左侧的查看配置下,单击服务器。
  3. 在右侧,切换到连接服务器选项卡。
  4. 选择一个连接服务器,然后单击编辑
  5. 身份验证选项卡上,将身份验证委派更改为VMware Horizo​​n允许
  6. 点击  管理SAML身份验证器
  7. 点击  添加
  8. 标签字段中,输入描述性标签。
  9. 元数据URL字段中,输入Identity Manager FQDN。
  10. 管理URL  字段中,输入Identity Manager FQDN,然后单击确定
  11. 如果看到证书错误,请单击查看证书,然后单击接受
  12. 或者,如果服务器的身份已被验证,请单击  确定
  13. 单击  确定关闭  管理SAML身份验证器  窗口。
  14. Horizo​​n 7.2添加了Workspace ONE模式,该模式强制所有Horizo​​n Client通过Identity Manager连接,而不是直接连接到连接服务器。在可以启用Workspace ONE模式之前,必须将委派设置为  必需
  15. Horizo​​n Administrator 仪表板显示SAML身份验证器的状态。

Identity Manager – 连接到Horizo​​n View

如果您的Identity Manager是3.0或更高版本,请跳过3.0及更低版本的说明。

适用于Identity Manager 3.1和更高版本的Horizo​​n Connection说明:

  1. 在Identity Manager管理门户中,单击  目录  选项卡,然后单击  虚拟应用程序集合
  2. 介绍虚拟应用程序集合页面中,单击  开始
  3. 点击右上角的  添加虚拟应用,然后点击  Horizo​​n View On-Premises
  4. 在  Horizo​​n View On-Premises页面中,配置以下内容:
    1. 为Horizo​​n Connection命名。
    2. 选择一个Sync Connector设备。
    3. 在Pod中输入连接服务器的FQDN。
    4. 输入Horizo​​n以UPN格式查看管理员凭证。该帐户至少需要只读管理员访问Horizo​​n。
    5. 向下滚动。
    6. 注意到Add Horizo​​n Pod的链接  。这是Could Pod架构。
    7. 选中执行目录同步旁边的复选框  。
    8. 根据需要更改  同步频率
    9. 激活策略可以是自动的用户激活的用户激活意味着用户必须前往应用中心将图标添加到“ 我的应用程序”门户。
    10. 完成后点击  保存
  5. Horizo​​n连接添加后,在屏幕的右侧,单击  同步
    • 注意:无论何时在View Administrator中对池进行更改,都必须等待下一次自动同步时间,否则您可以返回到此屏幕并单击立即同步
  6. 在  计算同步操作页面中,单击  保存
  7. 点击蓝色的  刷新链接,直到同步完成。
  8. 如果转到  目录>应用程序目录,则会看到已同步的应用程序和桌面池。
  9. 跳到“ Horizo​​n Pools Catalog”部分。

Identity Manager 3.0及更早版本

适用于Identity Manager 3.0和更高版本的Horizo​​n Connection说明:

  1. 在Identity Manager管理门户中,单击“  目录”选项卡,然后单击“  应用程序目录”
  2. 单击管理桌面应用程序,然后单击  Horizo​​n View On-Premises
  3. 点击其中一个连接器。
  4. 选中启用Horizo​​n View应用程序和桌面旁边的复选框。
  5. 输入Horizo​​n连接服务器的地址(或负载平衡的FQDN)。注意:反向IP查找必须对此DNS名称有效。
  6. userPrincipalName格式输入View Administrator凭据。该帐户至少需要只读管理员访问Horizo​​n。
  7. 注意到Add Horizo​​n Pod的链接  。这是Could Pod架构。
  8. 部署类型可以是自动用户激活的用户激活意味着用户必须前往应用中心将图标添加到“ 我的应用程序”门户。
  9. 指定查看池同步频率,然后单击保存。在执行同步之前,在Horizo​​n Administrator中创建的新池不会显示在Identity Manager中。
  10. 靠近屏幕的顶部,您可能会看到红色文字。点击无效的SSL证书
  11. 在“ 证书信息”页面中,单击接受
  12. 在页面底部附近点击立即同步。注意:无论何时在View Administrator中对池进行更改,都必须等待下一次自动同步时间,否则您可以返回到此屏幕并单击立即同步
  13. 如果同步失败,请参见VMware 2091744 在Workspace Portal中同步VMware Horizo​​n View池失败,并显示以下错误:由于View Connection Server出现问题而无法完成View sync
  14. 然后点击保存并继续。注意:任何有权使用Horizo​​n Pools和Applications的组也必须与Identity Manager同步(Active Directory)。

Horizo​​n Pools Catalog

  1. 在Identity Manager管理控制台的Catalog选项卡上,您可以看到Horizo​​n View图标。只有根访问组中的池被同步。
  2. 点击一个图标并确保权利已列出。只有同步到Identity Manager的AD组才会显示。域用户不会同步到Identity Manager,因此将这些池授权给其他AD组。如果您在Horizo​​n Administrator中进行更改,则手动重新同步连接器。
  3. 如果您选中其中一个图标旁边的复选框,则可以通过单击右上角附近的类别按钮并输入类别名称将该图标置于类别中。
  4. 身份管理3.1有一个推荐类别。

  5. 如果现有类别与您的需求不符,请输入新的类别名称,然后单击添加
  6. 然后选中新类别旁边的框。
  7. 该类别然后显示在目录项旁边。

可以按故障转移顺序配置独立的Horizo​​n View Connection Server组(例如多数据中心)。请参阅在VMware文档中配置Horizo​​n View和基于Citrix的资源的故障转移顺序

Identity Manager – Horizo​​n URL

用于从Identity Manager启动Horizo​​n图标的URL可能因网络范围而异。对于内部用户,URL应指向连接服务器的负载平衡VIP。对于外部用户,URL应该指向加载平衡的统一接入网关。

  1. 在Identity Manager管理员界面中,转至身份和访问管理 > 设置 > 网络范围
  2. 您可以编辑默认范围或添加新范围。
  3. 指定IP范围的Horizo​​n URL。对于不同的IP范围,您可以拥有不同的Horizo​​n Client访问URL(例如,内部与外部)。对于外部用户,URL指向访问点或Horizo​​n Security Server。

Identity Manager用户门​​户

  1. 当用户登录到Identity Manager网页时,会显示池图标。
  2. 您可以使用Horizo​​n客户端或浏览器打开池。点击右上角的名称,然后点击  设置
  3. 在左侧,点击  偏好设置
  4. 做出选择并点击保存
  5. 要将图标标记为  书签,请点击每个应用旁边的书签图标。
  6. 或者单击应用程序图标以打开应用程序的“说明”页面,然后单击书签
  7. 然后,您可以单击书签选项卡以仅显示标记为书签的图标。
  8. 如果您启用了类别,它们会列在页面的左侧。只显示该类别中的图标。

发表评论

电子邮件地址不会被公开。 必填项已用*标注