Instalar y VMware Identity Manager configurar para Linux · Cuando finaliza la instalación, se...

Instalar y configurarVMware Identity Managerpara LinuxModificado en mayo de 2018VMware Identity Manager 3.2

Instalar y configurar VMware Identity Manager para Linux

VMware, Inc. 2

Puede encontrar la documentación técnica más actualizada en el sitio web de VMware en:

https://docs.vmware.com/es/

Si tiene algún comentario sobre esta documentación, envíelo a la siguiente dirección de correo electrónico:

[email protected]

Copyright © 2013 – 2018 VMware, Inc. Todos los derechos reservados. Copyright e información de marca registrada.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware, Inc.Paseo de la Castellana 141. Planta 8.28046 Madrid.Tel.:+ 34 91 418 58 01Fax: + 34 91 418 50 55www.vmware.com/es

https://docs.vmware.com/es/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

Contenido

Acerca de la instalación y la configuración de VMware Identity Manager paraLinux 6

1 Preparar la instalación de VMware Identity Manager 7

Requisitos de configuración de la red y el sistema 9

Preparar la implementación de VMware Identity Manager 13

Crear registros de DNS y direcciones IP 14

Opciones de base de datos con VMware Identity Manager 15

Conectar al directorio empresarial 16

Listas de comprobación de implementación 16

Programa de mejora de la experiencia de cliente 19

2 Implementación de VMware Identity Manager 20

Instalación del archivo OVA de VMware Identity Manager 20

(Opcional) Agregar grupos de direcciones IP 23

Configurar las opciones de VMware Identity Manager 24

Configurar los valores del servidor proxy para VMware Identity Manager 34

Introducir la clave de licencia 35

3 Administrar las opciones de configuración del dispositivo de

VMware Identity Manager 36Cambiar ajustes de configuración del dispositivo 37

Establecer conexión con la base de datos 38

Configurar la base de datos de Microsoft SQL con el modo de autenticación de Windows 38

Configurar la base de datos de Microsoft SQL con el modo de autenticación local de SQL

Server 40

Confirmar que la base de datos de Microsoft SQL esté configurada correctamente 42

Configure VMware Identity Manager para usar una base de datos externa 43

Cambiar las funciones de nivel de la base de datos 43

Administrar la base de datos interna 44

Utilizar certificados SSL 45

Instalar un certificado SSL para el servicio de VMware Identity Manager 45

Instalar certificados raíz de confianza 47

Instalar un certificado de acceso directo 47

Modificar la URL del servicio VMware Identity Manager 47

Modificar la URL del conector 48

Configurar un servidor syslog 48

VMware, Inc. 3

Información del archivo de registro 49

Recopilar información de registro 50

Establecer el nivel de registro del servicio VMware Identity Manager en DEBUG 50

Administración de contraseñas de dispositivo 51

Configurar las opciones de SMTP 51

4 Configuración avanzada del dispositivo VMware Identity Manager 53

Usar un equilibrador de carga o un proxy inverso para habilitar el acceso externo a

VMware Identity Manager 53

Aplicar el certificado raíz de VMware Identity Manager al equilibrador de carga 56

Aplicar el certificado raíz del equilibrador de carga a VMware Identity Manager 57

Configurar los valores del servidor proxy para VMware Identity Manager 59

Configurar la conmutación por error y la redundancia en un centro de datos único 59

Número recomendado de nodos en el clúster de VMware Identity Manager 60

Cambiar el FQDN de VMware Identity Manager al FQDN del equilibrador de carga 61

Clonar el dispositivo virtual. 62

Asignar una nueva dirección IP a un dispositivo virtual clonado 63

Habilitar la sincronización de directorio en otra instancia de en caso de fallo 66

Eliminar un nodo de un clúster 67

Implementar VMware Identity Manager en un centro de datos secundario para la conmutación de

error y la redundancia 70

Configurar un centro de datos secundario 72

Realizar una conmutación por error en el centro de datos secundario 81

Realizar una conmutación por recuperación en el centro de datos primario 84

Ascender un centro de datos secundario a primario 85

Actualizar VMware Identity Manager sin tiempo de inactividad 86

5 Instalación de dispositivos de conector adicionales 87

Generación de un código de activación para el conector 88

Implementar el archivo OVA de Conector 88

Configurar las opciones de Conector 90

6 Utilizar el KDC integrado 92

Inicializar el centro de distribución de claves en el dispositivo 93

Crear entradas de DNS públicas para KDC con Kerberos integrado 94

7 Solucionar los problemas de la instalación y la configuración 96

Los usuarios no pueden iniciar aplicaciones o se aplica un método de autenticación incorrecto en

entornos de carga equilibrada 96

Un grupo no muestra ningún miembro después de la sincronización de directorios 97

Solucionar problemas de Elasticsearch 98


VMware, Inc. 4

8 Supervisar VMware Identity Manager 99Recomendaciones de supervisión de la capacidad de carga de hardware 99

Extremos de URL de VMware Identity Manager para la supervisión 100

Registro del sistema 107


VMware, Inc. 5

Acerca de la instalación y la configuraciónde VMware Identity Manager para Linux

Instalar y configurar VMware Identity Manager para Linux proporciona información sobre cómo instalar yconfigurar el dispositivo virtual basado en Linux de VMware Identity Manager en las instalaciones.Cuando finaliza la instalación, se puede utilizar la consola de administración para autorizar a los usuariosa acceder desde varios dispositivos a las aplicaciones de la organización, incluidas las aplicaciones web,las aplicaciones y los escritorios de Horizon y los recursos publicados de Citrix. La guía también explicacómo configurar la implementación para conseguir una elevada disponibilidad.

Instalar y configurar VMware Identity Manager para Linux proporciona información sobre laimplementación del dispositivo virtual de VMware Identity Manager en la red interna. Para implementarVMware Identity Manager en DMZ, consulte Implementar VMware Identity Manager en DMZ.

Público objetivoEsta información está dirigida a los administradores de VMware Identity Manager. La información estáescrita para administradores expertos de sistemas Windows y Linux que están familiarizados contecnologías de VMware, especialmente con vCenter™, ESX™ y vSphere® con conceptos de redes, conservidores, bases de datos y procedimientos de copia de seguridad y restauración de Active Directory, ycon servidores NTP y Simple Mail Transfer Protocol (SMTP). Es útil conocer también otras tecnologíascomo VMware ThinApp® y RSA SecurID si está prevista su implementación.

VMware, Inc. 6

Preparar la instalación deVMware Identity Manager 1Las tareas de implementación y configuración de VMware Identity Manager requieren completar losrequisitos previos, implementar el archivo OVA de VMware Identity Manager y completar la configuracióndesde el asistente de configuración de VMware Identity Manager.

VMware, Inc. 7

Figura 1‑1. Diagrama de la arquitectura de VMware Identity Manager para implementacionestípicas

Portátil

PC

Portátil

PC

HTTPS (443)

HTTPS(443)

DMZ

HTTPS (443)

Zona corporativa

VDI (HTML)

VDI (PCoIP/RDP)

Dispositivo virtual de VMware Identity Manager

FQDN de VMware Identity Manager:miidentitymanager.miempresa.com

HTTPSPCoIP

Servidor de conexiónde View

ServiciosDNS/NTP

RSASecurID

Serviciosde AD/directorio

Base de datosexterna

Repositorio deThinApp

Servidorde Citrix

Proxy inverso

Usuarios de la red LAN corporativa

TCP/UDP (88)- solo iOS

AirWatchREST API

TCP/UDP (88)- solo iOS

Equilibrador de carga internomiidentitymanager.miempresa.com

Dispositivo móvil

Internet

NOTA: Si prevé habilitar la autenticación con certificado o smart card, utilice la configuración de pass-through de SSL en el equilibrador de carga en lugar de la configuración de terminación de SSL. Estaconfiguración asegura que la negociación handshake se realice entre el conector, un componente deVMware Identity Manager, y el cliente.

NOTA: Las REST API de Airwatch pueden estar en la nube o en las instalaciones, según la ubicaciónde la implementación.

Este capítulo cubre los siguientes temas:

n Requisitos de configuración de la red y el sistema

n Preparar la implementación de VMware Identity Manager


VMware, Inc. 8

n Programa de mejora de la experiencia de cliente

Requisitos de configuración de la red y el sistemaAl tomar decisiones respecto a requisitos de hardware, recursos y red, considere la implementacióncompleta, incluyendo la integración de recursos.

Versiones compatibles de vSphere y ESXSon compatibles las siguientes versiones de servidor ESX y vSphere:

n 5.5 y posteriores

n 6.0 y posteriores

NOTA: Se debe activar la sincronización de hora en el nivel de host de ESX mediante un servidor NTP.De lo contrario, se produce una variación horaria entre los dispositivos virtuales.

Si se implementan varios dispositivos virtuales en distintos host, se debe considerar desactivar la opciónde sincronización con el host y configurar el servidor NTP directamente en cada dispositivo virtual, paraasegurar que no haya diferencia horaria entre los dispositivos virtuales.

Requisitos de hardwareAsegúrese de que cumple con los requisitos de cantidad de dispositivos virtuales deVMware Identity Manager y recursos asignados a cada dispositivo.

Número deusuarios Hasta 1.000 1.000-10.000 10.000-25.000 25.000-50.000 50.000-100.000

Número deservidores deVMware IdentityManager

1 servidor 3 servidores conequilibrio de carga

3 servidores conequilibrio de carga



CPU (por servidor) 2 CPU 2 CPU 4 CPU 8 CPU 8 CPU

RAM (por servidor) 6 GB 6 GB 8 GB 16 GB 32 GB

Espacio de disco(por servidor)

60 GB 100 GB 100 GB 100 GB 100 GB

Si instala dispositivos virtuales de conectores adicionales externos, asegúrese de cumplir con lossiguientes requisitos.


Número deservidores deconector

1 servidor 2 servidores conequilibrio de carga




CPU (por servidor) 2 CPU 4 CPU 4 CPU 4 CPU 4 CPU


VMware, Inc. 9


RAM (por servidor) 6 GB 6 GB 8 GB 16 GB 16 GB

Espacio de disco(por servidor)

60 GB 60 GB 60 GB 60 GB 60 GB

Requisitos de base de datosConfigure VMware Identity Manager con una base de datos externa para almacenar y organizar datosdel servidor. Existe una base de datos de PostgreSQL interna integrada en el dispositivo virtual, pero nose recomienda usarla para implementaciones de producción.

Para obtener información sobre las versiones de base de datos y las configuraciones de service packcompatibles, consulte las matrices de interoperabilidad de productos VMware en https://www.vmware.com/resources/compatibility/sim/interop_matrix.php.

Los siguientes requisitos se aplican a una base de datos de SQL Server externa.


CPU 2 CPU 2 CPU 4 CPU 8 CPU 8 CPU

RAM 4 GB 4 GB 8 GB 16 GB 32 GB

Espacio en disco 50 GB 50 GB 50 GB 100 GB 100 GB

Requisitos de configuración de red

Componente Requisito mínimo

Dirección IP y registro de DNS Registro de DNS y dirección IP

Puerto del firewall Compruebe que el puerto entrante 443 del firewall esté abierto para usuario fuera de lared hacia la instancia de VMware Identity Manager o al equilibrador de carga.

Proxy inverso Implemente un proxy inverso como el administrador de directivas de acceso F5 en DMZpara permitir que los usuarios accedan de forma remota y segura al portal deVMware Identity Manager.

Requisitos de puertosLos puertos utilizados en la configuración del servidor se describen aquí. La implementación solo puedeincluir un subconjunto de ellos. Por ejemplo:

n Para sincronizar usuarios y grupos desde Active Directory, VMware Identity Manager se debeconectar a Active Directory.

n Para sincronizar con ThinApp, VMware Identity Manager se debe unir al dominio de Active Directoryy conectar a la unidad compartida de repositorio de ThinApp.


VMware, Inc. 10

https://www.vmware.com/resources/compatibility/sim/interop_matrix.php

Puerto Protocolo Origen destino Descripción

443 HTTPS Equilibrador de carga Dispositivo virtual de VMwareIdentity Manager

443, 8443 HTTPS/HTTP

Dispositivo virtual de VMwareIdentity Manager


Para todas lasinstancias deVMware IdentityManager en unclúster y en clústeresde centros de datosdiferentes.

443 HTTPS Navegadores Dispositivo virtual de VMwareIdentity Manager

443, 80 HTTPS,HTTP


vapp-updates.vmware.com Acceso al servidor deactualización

443 HTTPS Dispositivo VMware IdentityManager

discovery.awmdm.com Acceso para ladetección automáticade aplicaciones deWorkspace ONE

443 HTTPS Dispositivo VMware IdentityManager

catalog.vmwareidentity.com Acceso al catálogode nube

8443 HTTPS Navegadores Dispositivo virtual de VMwareIdentity Manager

Puerto deadministrador

25 SMTP Dispositivo virtual de VMwareIdentity Manager

SMTP Puerto pararedireccionamientode correo saliente

389

636

3268

3269

LDAP

LDAPS

MSFT-GC

MSFT-GC-SSL


Active Directory Se muestran losvalorespredeterminados.Estos puertos sepueden configurar.

445 TCP Dispositivo virtual de VMwareIdentity Manager

Repositorio de ThinApp de VMware Acceso al repositoriode ThinApp

5500 UDP Dispositivo virtual de VMwareIdentity Manager

Sistema RSA SecurID Se muestra el valorpredeterminado. Estepuerto se puedeconfigurar.

53 TCP/UDP Dispositivo virtual de VMwareIdentity Manager

Servidor DNS Todos losdispositivos virtualesdeben tener accesoal servidor DNS en elpuerto 53 y permitirel tráfico SSHentrante en el puerto22.

88, 464,135, 445

TCP/UDP Dispositivo virtual de VMwareIdentity Manager

Controlador de dominio


VMware, Inc. 11

Puerto Protocolo Origen destino Descripción

9300–9400 TCP Dispositivo virtual de VMwareIdentity Manager


Necesidades deauditoría

54328 UDP

1433 TCP Dispositivo virtual de VMwareIdentity Manager

Base de datos El puertopredeterminado deMicrosoft SQL es el1433

443 Dispositivo virtual de VMwareIdentity Manager

Servidor de View Acceso al servidor deView

80, 443 TCP Dispositivo virtual de VMwareIdentity Manager

Servidor de Integration Broker Conexión conIntegration Broker. Laopción del puertodepende de si seinstala un certificadoen el servidor delagente deintegración.

443 HTTPS Dispositivo virtual de VMwareIdentity Manager

REST API de AirWatch Para comprobar elcumplimientonormativo deldispositivo y elmétodo deautenticación decontraseña deAirWatch CloudConnector, si seutiliza.

88 UDP Unified Access Gateway Dispositivo virtual de VMwareIdentity Manager

Puerto UDP que seabre para SSO móvil

5262 TCP Dispositivo móvil Android Servicio de proxy HTTPS deAirWatch

El cliente deAirWatch Tunnelenruta el tráfico alproxy HTTPS paralos dispositivosAndroid.

88 UDP Dispositivo móvil iOS Dispositivo virtual de VMwareIdentity Manager

Puerto utilizado parael tráfico de Kerberosdesde dispositivosiOS hasta el servicioKDC de nubealojado.

443 HTTPS/TCP

514 UDP Dispositivo virtual de VMwareIdentity Manager

servidor syslog UDP

Para el servidorsyslog externo, siestá configurado


VMware, Inc. 12

Active DirectoryVMware Identity Manager es compatible con Active Directory en Windows 2008, 2008 R2, 2012 y 2012R2, con las opciones de Nivel funcional del dominio y Nivel funcional de bosque de Windows 2003 yversiones posteriores.

NOTA: Puede que se necesite un nivel funcional mayor para algunas características. Por ejemplo, parapermitir que los usuarios cambien las contraseñas de Active Directory desde Workspace ONE, el nivelfuncional de dominio debe ser Windows 2008 o posterior.

Navegadores web admitidos para obtener acceso a la consola deadministraciónLa consola de administración de VMware Identity Manager es una aplicación basada en web que lepermite administrar su arrendatario. Puede acceder a consola de administración desde las versionesmás recientes de Mozilla Firefox, Google Chrome, Safari, Microsoft Edge e Internet Explorer 11.

NOTA: En Internet Explorer 11, es necesario tener habilitado JavaScript y el uso de cookies parasuperar la autenticación de VMware Identity Manager.

Navegadores compatibles para acceder al portal Workspace ONELos siguientes navegadores permiten a los usuarios finales obtener acceso al portal de Workspace ONE.

n Mozilla Firefox (más reciente)

n Google Chrome (más reciente)

n Safari (más reciente)

n Internet Explorer 11

n Navegador Microsoft Edge

n Navegador nativo y Google Chrome en dispositivos con Android

n Safari en dispositivos con iOS

NOTA: En Internet Explorer 11, es necesario tener habilitado JavaScript y el uso de cookies parasuperar la autenticación de VMware Identity Manager.

Preparar la implementación de VMware Identity ManagerAntes de implementar VMware Identity Manager, debe preparar el entorno. Esta preparación incluye ladescarga del archivo OVA de VMware Identity Manager, la creación de los registros de DNS y laobtención de las direcciones IP.


VMware, Inc. 13

Prerequisitos

Antes de comenzar a instalar VMware Identity Manager, complete las tareas previas requeridas.

n Para implementar el dispositivo virtual de VMware Identity Manager se necesitan uno o variosservidores ESX.

NOTA: Para obtener información sobre las versiones del servidor ESX y vSphere compatibles,consulte las matrices de interoperabilidad de productos de VMware enhttp://www.vmware.com/resources/compatibility/sim/interop_matrix.php.

n Se necesita VMware vSphere Client o vSphere Web Client y acceder el dispositivo virtual de formaremota para configurar la red.

n Descargue el archivo OVA de VMware Identity Manager desde el sitio web de VMware.

Crear registros de DNS y direcciones IPDeben estar disponibles una entrada DNS y una dirección IP estática para el dispositivo virtual deVMware Identity Manager. Dado que cada empresa administra sus direcciones IP y registros de DNS deforma distinta, debe solicitar el registro de DNS y las direcciones de IP que se van a utilizar antes deempezar la instalación.

La configuración de la búsqueda inversa es opcional. Cuando implemente la búsqueda inversa, debedefinir un registro PTR en el servidor DNS para que el dispositivo virtual utilice la configuración de redcorrecta.

Puede utilizar la siguiente lista de ejemplos de registros de DNS cuando se ponga en contacto con eladministrador de la red. Sustituya la información de los ejemplos con la información de su entorno. Eneste ejemplo se muestran los registros de DNS directas y las direcciones IP.

Tabla 1‑1. Ejemplos de registros de DNS directas y direcciones IP

Nombre de dominio Tipo de recurso Dirección IP

miidentitymanager.empresa.com A 10.28.128.3

En este ejemplo se muestran los registros de DNS inversas y las direcciones IP.

Tabla 1‑2. Ejemplos de registros de DNS inversas y direcciones IP

Dirección IP Tipo de recurso Nombre del host

10.28.128.3 PTR miidentitymanager.empresa.com

Después de completar la configuración de DNS, compruebe que la búsqueda de DNS inversas estácorrectamente configurada. Por ejemplo, el comando host IPaddress del dispositivo virtual deberesolverse en la búsqueda del nombre de DNS.


VMware, Inc. 14

Planificación de la autenticación KerberosSi va a configurar la autenticación Kerberos, tenga en cuenta los siguientes requisitos:

n En un escenario donde utiliza el conector integrado en VMware Identity Manager para laautenticación Kerberos, el nombre de host de VMware Identity Manager debe coincidir con eldominio de Active Directory al que está unido VMware Identity Manager. Por ejemplo, si el dominiode Active Directory es ventas.ejemplo.com, el nombre de host de VMware Identity Manager debe servidmhost.ventas.ejemplo.com.

Si no se puede asignar un nombre de host que coincida con la estructura de dominio de ActiveDirectory, deberá configurar VMware Identity Manager y Active Directory de forma manual. Consultela Base de conocimientos para obtener información.

n En un escenario donde utiliza conectores externos para la autenticación Kerberos, el nombre de hostdel conector debe coincidir con el dominio de Active Directory al que está unido el conector. Porejemplo, si el dominio de Active Directory es ventas.ejemplo.com, el nombre de host del conectordebe ser hostdeconector.ventas.ejemplo.com.

Si no se puede asignar un nombre de host que coincida con la estructura de dominio de ActiveDirectory, deberá configurar el conector y Active Directory de forma manual. Consulte la Base deconocimientos para obtener información.

Utilizar un servidor DNS basado en Linux o UnixSi utiliza un servidor DNS basado en Linux o Unix y desea conectar el de VMware Identity Manager aldominio de Active Directory, compruebe que se crean los registros SRV adecuados para cadacontrolador del dominio de Active Directory.

NOTA: Si tiene un equilibrador de carga con una dirección IP virtual (VIP) frente a los servidores DNS,tenga en cuenta que VMware Identity Manager no admite el uso de VIP. Puede especificar variosservidores DNS separados por comas.

Opciones de base de datos con VMware Identity ManagerConfigure VMware Identity Manager con una base de datos de Microsoft SQL externa para almacenar yorganizar los datos del servidor. Una base de datos PostgreSQL interna está incrustada en el dispositivo,aunque no se recomienda usarla para implementaciones de producción.

Para utilizar una base de datos externa, el administrador de la base de datos debe preparar una base dedatos externa vacía y un esquema antes de conectar a la base de datos externa en el asistente deconfiguración. Los usuarios con licencia pueden utilizar el servidor de base de datos de Microsoft SQLpara configurar un entorno de base de datos externa de alta disponibilidad. Consulte Establecer conexióncon la base de datos.


VMware, Inc. 15

Conectar al directorio empresarialVMware Identity Manager utiliza la infraestructura del directorio empresarial para la administración y laautenticación del usuario. Puede integrar VMware Identity Manager con un entorno de Active Directoryformado por un único dominio de Active Directory, varios dominios en un único bosque de ActiveDirectory o varios dominios en varios bosques de Active Directory. También puede integrarVMware Identity Manager con un directorio LDAP. Para sincronizar usuarios y grupos, el dispositivovirtual de VMware Identity Manager debe conectarse al directorio.

Se debe poder acceder al directorio desde la misma red de LAN que la del dispositivo virtual deVMware Identity Manager.

Para obtener más información, consulte Integración de directorios con VMware Identity Manager.

Listas de comprobación de implementaciónLa lista de comprobación de implementación le permite recopilar la información necesaria para instalar eldispositivo virtual de VMware Identity Manager.


VMware, Inc. 16

Información sobre el nombre de dominio plenamente cualificadoTabla 1‑3. Lista de comprobación de información sobre el nombre de dominio plenamentecualificado (FQDN, Fully Qualified Domain Name)

Información para recopilar Muestra la información

FQDN del VMware Identity Manager de NOTA: Si va a configurar la autenticación Kerberos, tenga encuenta los siguientes requisitos:n En un escenario donde utiliza el conector integrado en

VMware Identity Manager para la autenticación Kerberos,el nombre de host de VMware Identity Manager debecoincidir con el dominio de Active Directory al que estáunido VMware Identity Manager. Por ejemplo, si el dominiode Active Directory es ventas.ejemplo.com, el nombre dehost de VMware Identity Manager debe servidmhost.ventas.ejemplo.com.

Si no se puede asignar un nombre de host que coincidacon la estructura de dominio de Active Directory, deberáconfigurar VMware Identity Manager y Active Directory deforma manual. Consulte la Base de conocimientos paraobtener información.

n En un escenario donde utiliza conectores externos para laautenticación Kerberos, el nombre de host del conectordebe coincidir con el dominio de Active Directory al queestá unido el conector. Por ejemplo, si el dominio de ActiveDirectory es ventas.ejemplo.com, el nombre de host delconector debe ser hostdeconector.ventas.ejemplo.com.

Si no se puede asignar un nombre de host que coincidacon la estructura de dominio de Active Directory, deberáconfigurar el conector y Active Directory de forma manual.Consulte la Base de conocimientos para obtenerinformación.

Información de red del dispositivo virtual del de VMware Identity ManagerTabla 1‑4. Lista de comprobación de información de red


Dirección IP NOTA: Debe utilizar una dirección IP estática y debe tener unPTR y un registro A definidos en el DNS.

Nombre de DNS de este dispositivo virtual

Dirección de puerta de enlace predeterminada

Prefijo o máscara de red

Información del directorioVMware Identity Manager es compatible con los entornos de Active Directory o de los directorios LDAP.


VMware, Inc. 17

Tabla 1‑5. Lista de comprobación de información sobre el controlador de dominio de ActiveDirectory


Nombre del servidor de Active Directory

Nombre del dominio de Active Directory

DN base

Para Active Directory mediante LDAP, el nombre de usuario yla contraseña de DN de enlace

Para Active Directory con autenticación integrada de Windows(IWA, Integrated Windows Authentication), el nombre deusuario y la contraseña de la cuenta con privilegios para unirequipos al dominio.

Tabla 1‑6. Lista de comprobación de información del servidor del directorio LDAP


Dirección IP o nombre del servidor del directorio LDAP

Número de puerto del servidor del directorio LDAP

DN base

Nombre de usuario DN de enlace y contraseña

Filtro de búsqueda de LDAP para objetos de grupo, objetos deusuarios de enlace y objetos de usuarios

Nombres de atributos LDAP de la pertenencia a grupos, UUIDdel objeto y nombre distintivo

certificados SSLPuede agregar un certificado SSL después de implementar el dispositivo virtualVMware Identity Manager.

Tabla 1‑7. Lista de comprobación de información sobre el certificado SSL


Certificado SSL

Clave privada


VMware, Inc. 18

Clave de licenciaTabla 1‑8. Lista de comprobación de información sobre la clave de licencia deVMware Identity Manager


Clave de licencia

NOTA: La información sobre la clave de licencia se introduce en la página Configuración dedispositivos > Licencia de la consola de administración después de completar la instalación.

Base de datos externaTabla 1‑9. Lista de comprobación de información sobre la base de datos externa


Nombre del host de la base de datos

Puerto

Nombre de usuario

Contraseña

Programa de mejora de la experiencia de clienteEl Programa de mejora de la experiencia de cliente (CEIP) de VMware proporciona a VMwareinformación que permite mejorar los productos y los servicios, además de solucionar problemas yaconsejarle sobre la mejor forma de implementar y utilizar nuestros productos. Como parte del CEIP,VMware recopila información técnica acerca del uso que hace la organización de los productos y losservicio de VMware de forma periódica en asociación con las claves de licencia de VMware de laorganización. Esta información no identifica a ninguna persona.

Si prefiere no participar en el CEIP de VMware para este producto, desactive la casilla cuando instaleVMware Identity Manager.

También puede unirse o abandonar el CEIP de este producto en cualquier momento después de lainstalación.

NOTA: Si la red está configurada para acceder a Internet a través de un proxy HTTP, para enviar losdatos recopilados mediante el CEIP a VMware deberá ajustar la configuración del proxy en VMwareIdentity Manager.


VMware, Inc. 19

Implementación deVMware Identity Manager 2Para implementar VMware Identity Manager, debe implementar la plantilla OVF mediante vSphere Cliento vSphere Web Client, encender el dispositivo virtual de VMware Identity Manager y configurar lasopciones.

Después de implementar el dispositivo virtual de VMware Identity Manager, use el asistente deconfiguración para configurar el entorno de VMware Identity Manager.

Use la información de la lista de comprobación de implementación para completar la instalación.Consulte Listas de comprobación de implementación.


n Instalación del archivo OVA de VMware Identity Manager

n (Opcional) Agregar grupos de direcciones IP

n Configurar las opciones de VMware Identity Manager

n Configurar los valores del servidor proxy para VMware Identity Manager

n Introducir la clave de licencia

Instalación del archivo OVA de VMware Identity ManagerEl archivo OVA de VMware Identity Manager se implementa mediante vSphere Client o vSphere WebClient. Puede descargar e implementar el archivo OVA desde una ubicación local a la que pueda obteneracceso vSphere Client, o bien implementarlo desde una URL web.

NOTA: Si usa vSphere Web Client, use los navegadores Firefox o Chrome para implementar el archivoOVA. No use Internet Explorer.

Prerequisitos

Revise Capítulo 1 Preparar la instalación de VMware Identity Manager.

Procedimiento

1 Descargue el archivo OVA de VMware Identity Manager desde My VMware.

2 Inicie sesión en vSphere Client o vSphere Web Client.

VMware, Inc. 20

3 Seleccione Archivo > Implementar plantilla OVF.

4 En el asistente de implementación de la plantilla OVF, especifique la información siguiente.

Página Descripción

Origen Desplácese hasta la ubicación del paquete de OVA o introduzca una URLespecífica.

Detalles de la plantilla OVF Revise los detalles del producto, incluidos los requisitos de tamaño y versión.

Acuerdo de licencia de usuario final Lea el Contrato de licencia para el usuario final y haga clic en Aceptar.

Nombre y ubicación Introduzca un nombre para el dispositivo virtual de VMware Identity Manager. Elnombre debe ser único en la carpeta de inventario y puede tener hasta 80caracteres. Los nombres distinguen entre mayúsculas y minúsculas.

Seleccione una ubicación para el dispositivo virtual.

Host / Clúster Seleccione el host o clúster en el que se ejecutará el dispositivo virtual.

Grupo de recursos Seleccione el grupo de recursos.

Almacenamiento Seleccione la ubicación de almacenamiento de los archivos del dispositivo virtual.Puede seleccionar un perfil de almacenamiento de máquina virtual.

Formato de disco Seleccione el formato de disco de los archivos. Para entornos de producción,seleccione uno de los formatos de aprovisionamiento pesado. Para evaluación ypruebas, use el formato de aprovisionamiento ligero.

En el formato de aprovisionamiento pesado, todo el espacio requerido para eldisco virtual se asigna durante la implementación. En el formato deaprovisionamiento ligero, el disco solo usa la cantidad de espacio dealmacenamiento que necesita para sus operaciones iniciales.

Asignación de redes Asigne las redes usadas en VMware Identity Manager a redes de su inventario.


VMware, Inc. 21


Propiedades n Configuración de zona horaria

Seleccione la zona horaria correcta.n Únase al Programa de mejora de la experiencia de cliente de VMware

Este producto forma parte del Programa de mejora de la experiencia decliente (CEIP) de VMware. Los detalles relacionados con los datosrecopilados mediante el CEIP, así como los fines para los que VMware losutiliza, se pueden encontrar en el Centro de seguridad y confianza en https://www.vmware.com/es/solutions/trustvmware/ceip.html. Si prefiere noparticipar en el CEIP de VMware para este producto, desactive la casilla.

También puede unirse o abandonar el CEIP de este producto en cualquiermomento después de la instalación.

NOTA: Si la red está configurada para acceder a Internet a través de unproxy HTTP, para enviar los datos recopilados mediante el CEIP a VMwaredeberá ajustar la configuración del proxy en el dispositivo virtual deVMware Identity Manager. Consulte Configurar los valores del servidor proxypara VMware Identity Manager.

n Nombre de host (FQDN)

Introduzca el nombre de host que se usará. Si se deja en blanco, se utilizarála DNS inversa para buscar el nombre de host.

n Propiedades de redn Para configurar una dirección IP estática para VMware Identity Manager,

introduzca la información necesaria en los campos Puerta de enlacepredeterminada, DNS, Dirección IP y Máscara de red.

NOTA: Si tiene un equilibrador de carga con una dirección IP virtual(VIP) frente a los servidores DNS, tenga en cuenta queVMware Identity Manager no admite el uso de VIP. Puede especificarvarios servidores DNS separados por comas.

IMPORTANTE: Si se deja en blanco cualquiera de estos cuatro camposde dirección, incluido Nombre de host, se usará DHCP.

n Para configurar DHCP, deje en blanco los campos de dirección.

NOTA: Los campos Nombre del dominio y Ruta de búsqueda de dominio nose usan. Puede dejarlos en blanco.

(Opcional) Después de instalar VMware Identity Manager, pude configurar gruposde IP. Consulte (Opcional) Agregar grupos de direcciones IP.

Listo para finalizar Revise las selecciones y haga clic en Finalizar. En función de la velocidad de la red, la implementación puede tardar varios minutos. El cuadro dediálogo que se abre le mostrará el progreso de la operación.

5 Cuando se complete la implementación, en el cuadro de diálogo de progreso, haga clic en Cerrar.


VMware, Inc. 22

6 Seleccione el dispositivo virtual de VMware Identity Manager que implementó, haga clic con el botónderecho y seleccione Energía > Encender.

Se inicializará el dispositivo virtual de VMware Identity Manager. Para ver los detalles, vaya a lapestaña consola. Cuando se completa la inicialización del dispositivo virtual, la pantalla de laconsola muestra las URL, la dirección IP y la versión de VMware Identity Manager para iniciar sesiónen la interfaz web de VMware Identity Manager y completar la configuración.

Qué hacer a continuación

n (Opcional) Agregue grupos de IP.

n Configure las opciones de VMware Identity Manager, lo que incluye la conexión a Active Directory oal directorio LDAP y la selección de los usuarios y grupos que se sincronizarán conVMware Identity Manager.

(Opcional) Agregar grupos de direcciones IPLa configuración de la red con grupos de direcciones IP es opcional en VMware Identity Manager. Esposible agregar grupo de direcciones IP manualmente al dispositivo virtual de VMware Identity Managerdespués de que se haya instalado.

Los grupos de direcciones IP actúan como servidores DHCP para asignar direcciones IP del grupo aldispositivo virtual de VMware Identity Manager. Para utilizar grupos de direcciones IP, se deben editar laspropiedades de red del dispositivo virtual para cambiarlas a dinámicas y configurar la máscara de red, lapuerta de enlace y la configuración de DNS.

Prerequisitos

El dispositivo virtual debe estar apagado.

Procedimiento

1 En vSphere Client o vSphere Web Client, haga clic con el botón derecho en el dispositivo virtual deVMware Identity Manager y seleccione Editar configuración.

2 Seleccione la pestaña Opciones.

3 En las opciones de vApp, haga clic en Avanzado.

4 En la sección Propiedades de la derecha, haga clic en el botón Propiedades.

5 En el cuadro de diálogo de configuración avanzada de propiedades, configure las claves siguientes:

n vami.DNS.IdentityManager

n vami.netmask0.IdentityManager

n vami.gateway.IdentityManager

a Seleccione una de las claves y haga clic en Editar.

b En el cuadro de diálogo de edición de la configuración de la propiedad, junto al campo Tipo,haga clic en Editar.


VMware, Inc. 23

c En el cuadro de diálogo de edición de tipo de propiedad, seleccione propiedad dinámica y, en elmenú desplegable, seleccione el valor adecuado de máscara de red, dirección de puerta deenlace y servidor DNS respectivamente.

d Haga clic en Aceptar y en Aceptar de nuevo.

e Repita estos pasos para configurar cada clave.

6 Encienda el dispositivo virtual.

Las propiedades están configuradas para usar grupos de direcciones IP.


Configure los parámetros de VMware Identity Manager.

Configurar las opciones de VMware Identity ManagerDespués de implementar el OVA de VMware Identity Manager, debe utilizar el asistente de configuraciónpara establecer contraseñas y seleccionar una base de datos. En ese momento puede configurar laconexión a Active Directory o al directorio LDAP.

Asegúrese de ejecutar el Asistente de configuración utilizando el nombre de host completo. No escriba ladirección IP como nombre.

Prerequisitos

n El dispositivo virtual de VMware Identity Managerdebe estar encendido.

n Si utiliza una base de datos externa, esta debe estar configurada y la información de la base de laconexión de la base de datos externa debe estar disponible. Antes de ejecutar al Asistente deconfiguración, compruebe que la configuración de la base de datos sea correcta. Para obtener másinformación, consulte Establecer conexión con la base de datos.

n Consulte Integración de directorios con VMware Identity Manager para conocer los requisitos y laslimitaciones.

n Debe tener la información de su directorio LDAP o de Active Directory.

n Cuando configura Active Directory con varios bosques y el grupo local de dominios contienemiembros de dominios de diferentes bosques, debe agregar el usuario de DN de enlace utilizado enla página Directorio de VMware Identity Manager al grupo de administradores del dominio en el quereside el grupo local de dominios. De lo contrario, estos miembros no estarán en el grupo local dedominios.

n Debe disponer de una lista de los atributos de usuario que desea utilizar como filtros y una lista delos grupos que desea agregar a VMware Identity Manager.

Procedimiento

1 Acceda a la URL de VMware Identity Manager que se muestra en la pantalla azul en la pestañaConsola. Introduzca el nombre de dominio completo (FQDN). Por ejemplo,https://nombredehost.ejemplo.com.


VMware, Inc. 24

2 Si se le solicita, acepte el certificado.

3 En la página Comenzar, haga clic en Continuar.

4 En la página Establecer contraseñas establezca las contraseñas de las siguientes cuentas deadministrador, que se utilizan para administrar el dispositivo, y haga clic en Continuar.

Cuenta

Administrador del dispositivo Establezca la contraseña del usuario admin. Este nombre de usuario nose puede cambiar. La cuenta del usuario admin se utiliza para administrarla configuración del dispositivo.

IMPORTANTE: La contraseña del usuario admin debe tener6 caracteres como mínimo.

Raíz del dispositivo Establezca la contraseña de usuario raíz. El usuario raíz tiene todos losderechos sobre el dispositivo.

Usuario remoto Establezca la contraseña sshuser. Esta contraseña se utiliza para iniciarsesión de forma remota en el dispositivo con una conexión SSH.

5 En la página Seleccionar base de datos, seleccione la base de datos que va a utilizar.

Consulte Establecer conexión con la base de datos para obtener más información.

n Si utiliza una base de datos externa, seleccione Base de datos externa e introduzca el nombrede usuario, la contraseña y la información de la conexión de la base de datos externa. Paracomprobar que VMware Identity Manager puede conectarse a la base de datos, haga clic enProbar conexión.

Después de comprobar la conexión, haga clic en Continuar.

n Si utiliza la base de datos interna, haga clic en Continuar.

NOTA: No se recomienda usar la base de datos interna para implementaciones de producción.

La conexión a la base de datos se configurará y la base de datos se inicializará. Cuando el procesofinalice, aparecerá la página La configuración se completó.

6 Haga clic en el vínculo Inicie la sesión en la consola de administración de la página Laconfiguración se completó para iniciar sesión en la consola de administración y configurar laconexión de Active Directory o del directorio LDAP.

7 Inicie sesión en la consola de administración como usuario admin con la contraseña que estableció.

Iniciará sesión como administrador local. Se mostrará la página Directorios. Antes de agregar undirectorio, asegúrese de revisar Integración de directorios con VMware Identity Manager paraconocer los requisitos y las limitaciones.

8 Haga clic en la pestaña Administración de acceso e identidad.


VMware, Inc. 25

9 Haga clic en Configurar > Atributos de usuario para seleccionar los atributos del usuario que sevan a sincronizar con el directorio.

Aparecerán los atributos predeterminados y podrá seleccionar los que sean necesarios. Si unatributo está marcado como obligatorio, solo se sincronizan al servicio los usuarios con dichoatributo. También puede agregar otros atributos.

IMPORTANTE: Después de crear un directorio, no podrá convertir un atributo en un atributoobligatorio. Debe elegir esa opción ahora.

Compruebe también que todas las configuraciones de la página Atributos de usuario se apliquen atodos los directorios del servicio. Cuando marque un atributo como obligatorio, tenga en cuenta elefecto que pueda causar en otros directorios. Si un atributo está marcado como obligatorio, no sesincronizan con el servicio de los usuarios sin dicho atributo.

IMPORTANTE: Si va a sincronizar recursos de XenApp con VMware Identity Manager, debeconvertir distinguishedName en un atributo obligatorio.

10 Haga clic en Guardar.


12 En la página Directorios, haga clic en Agregar directorio y seleccione Agregar Active Directory enLDAP/IWA o Agregar directorio LDAP, según el tipo de directorio que está integrando.

También puede crear un directorio local en el servicio. Para obtener más información sobre cómousar los directorios locales, consulte GUID-FF1F0D8B-F68E-41CE-B2F7-733F32B82665#GUID-FF1F0D8B-F68E-41CE-B2F7-733F32B82665.


VMware, Inc. 26

13 En el caso de Active Directory, siga estos pasos.

a Introduzca un nombre para el directorio que está creando en VMware Identity Manager yseleccione el tipo de directorio, ya sea Active Directory mediante LDAP o Active Directory(Autenticación de Windows integrada).

b Proporcione la información de la conexión.

Opción Descripción

Active Directory mediante LDAP 1 En el campo Conector de sincronización, seleccione el conector quedesee utilizar para sincronizar usuarios y grupos de Active Directory conel directorio de VMware Identity Manager.

De forma predeterminada, un componente del conector estará siempredisponible con el servicio de VMware Identity Manager. Este conectoraparecerá en la lista desplegable. Si instala varios dispositivos deVMware Identity Manager para lograr una alta disponibilidad, elcomponente del conector de cada uno aparecerá en la lista.

2 En el campo Autenticación, seleccione Sí si desea utilizar ActiveDirectory para autenticar a los usuarios.

Si desea utilizar un proveedor de identidades externo para autenticar alos usuarios, haga clic en No. Después de configurar la conexión deActive Directory para sincronizar usuarios y grupos, acceda a la páginaAdministración de acceso e identidad > Administrar > Proveedoresde identidades para agregar el proveedor de identidades externo pararealizar la autenticación.

3 En el campo Atributo de búsqueda de directorios, seleccione elatributo de la cuenta que contiene el nombre de usuario.

4 Si Active Directory utiliza la búsqueda de ubicaciones de servicio de DNS,seleccione las opciones siguientes.n En la sección Ubicación del servidor, active la casilla Este

directorio admite la ubicación de servicio de DNS.

Se creará un archivo domain_krb.properties rellenadoautomáticamente con una lista de controladores de dominios cuandose cree el directorio. Consulte "Acerca de la selección del controladorde dominio (archivo domain_krb.properties)" en Integración dedirectorios con VMware Identity Manager.

n Si Active Directory requiere el cifrado STARTTLS, active la casillaEste directorio requiere que todas las conexiones usen SSL en lasección Certificados, copie el certificado de CA raíz de ActiveDirectory y péguelo en el campo Certificado SSL.

Asegúrese de que el certificado esté en formato PEM e incluya laslíneas "BEGIN CERTIFICATE" y "END CERTIFICATE".

NOTA: Si Active Directory requiere STARTTLS y usted noproporciona el certificado, no podrá crear el directorio.

5 Si Active Directory no utiliza la búsqueda de ubicaciones de servicio deDNS, seleccione las opciones siguientes.n En la sección Ubicación del servidor, compruebe que la casilla Este

directorio admite la ubicación de servicio de DNS no estéseleccionada y introduzca el número de puerto y el nombre de hostdel servidor de Active Directory.


VMware, Inc. 27


Para configurar el directorio como un catálogo global, consulte lasección Entorno de Active Directory de varios dominios y un únicobosque en "Entornos de Active Directory" en Integración dedirectorios con VMware Identity Manager.

n Si Active Directory requiere acceso mediante SSL, active la casillaEste directorio requiere que todas las conexiones usen SSL en lasección Certificados, copie el certificado de CA raíz de ActiveDirectory y péguelo en el campo Certificado SSL.

Asegúrese de que el certificado esté en formato PEM e incluya laslíneas "BEGIN CERTIFICATE" y "END CERTIFICATE".

NOTA: Si Active Directory requiere SSL y usted no proporciona elcertificado, no podrá crear el directorio.

6 En la sección Permitir el cambio de contraseña, seleccione Habilitar elcambio de contraseña si desea permitir a los usuarios que puedanrestablecer sus contraseñas en la página de inicio de sesión deVMware Identity Manager en caso de que la contraseña caduque o si eladministrador de Active Directory restablece la contraseña del usuario.

7 En el campo DN base, introduzca el DN desde el que deben empezar lasbúsquedas en cuentas. Por ejemplo, OU=myUnit,DC=myCorp,DC=com.

8 En el campo DN de enlace, introduzca la cuenta que puede buscarusuarios. Por ejemplo, CN=binduser,OU=myUnit,DC=myCorp,DC=com.

NOTA: Se recomienda utilizar una cuenta de usuario de DN de enlacecon una contraseña que no caduque.

9 Después de introducir la contraseña de enlace, haga clic en Probarconexión para verificar que el directorio se puede conectar a ActiveDirectory.

Active Directory (Autenticación deWindows integrada)

1 En el campo Conector de sincronización, seleccione el conector quedesee utilizar para sincronizar usuarios y grupos de Active Directory conel directorio de VMware Identity Manager.


2 En el campo Autenticación, haga clic en Sí si desea utilizar ActiveDirectory para autenticar a los usuarios.

Si desea utilizar un proveedor de identidades externo para autenticar alos usuarios, haga clic en No. Después de configurar la conexión deActive Directory para sincronizar usuarios y grupos, acceda a la páginaAdministración de acceso e identidad > Administrar > Proveedoresde identidades para agregar el proveedor de identidades externo pararealizar la autenticación.

3 En el campo Atributo de búsqueda de directorios, seleccione elatributo de la cuenta que contiene el nombre de usuario.

4 Si Active Directory requiere el cifrado STARTTLS, active la casilla Estedirectorio requiere que todas las conexiones usen STARTTLS en lasección Certificados, copie el certificado de CA raíz de Active Directory ypéguelo en el campo Certificado SSL.


VMware, Inc. 28


Asegúrese de que el certificado esté en formato PEM e incluya las líneas"BEGIN CERTIFICATE" y "END CERTIFICATE".

Si el directorio tiene varios dominios, agregue los certificados CA raízpara todos los dominios de uno en uno.

NOTA: Si Active Directory requiere STARTTLS y usted no proporciona elcertificado, no podrá crear el directorio.

5 Introduzca el nombre del dominio de Active Directory al que desea unirse.Introduzca un nombre de usuario y una contraseña que tenga losderechos para unirse al dominio. Para obtener más información, consulte"Permisos necesarios para unirse a un dominio" en Integración dedirectorios con VMware Identity Manager.

6 En la sección Permitir el cambio de contraseña, seleccione Habilitar elcambio de contraseña si desea permitir a los usuarios que puedanrestablecer sus contraseñas en la página de inicio de sesión deVMware Identity Manager en caso de que la contraseña caduque o si eladministrador de Active Directory restablece la contraseña del usuario.

7 En el campo UPN del usuario de enlace, introduzca el nombre principalde usuario que puede autenticarse con el dominio. Por [email protected].

NOTA: Se recomienda utilizar una cuenta de usuario de DN de enlacecon una contraseña que no caduque.

8 Introduzca la contraseña de usuario de DN de enlace.

c Haga clic en Guardar y Siguiente.

Aparecerá la página con la lista de dominios.


VMware, Inc. 29

14 En el caso de las directivas de LDAP, siga estos pasos.

a Proporcione la información de la conexión.


Nombre de directorio Un nombre para el directorio que está creando en VMware Identity Manager.

Sincronización de directorio yautenticación

1 En el campo Conector de sincronización, seleccione el conector quedesee utilizar para sincronizar usuarios y grupos del directorio LDAP conel directorio de VMware Identity Manager.


No es necesario un conector diferente para un directorio LDAP. Unconector puede ser compatible con varios directorios,independientemente de si cuentan con directorios LDAP o ActiveDirectory.

2 En el campo Autenticación, seleccione Sí si desea utilizar el directorioLDAP para autenticar a los usuarios.

Si desea utilizar un proveedor de identidades externo para autenticar alos usuarios, seleccione No. Después de agregar la conexión deldirectorio para sincronizar usuarios y grupos, acceda a la páginaAdministración de acceso e identidad > Administrar > Proveedoresde identidades para agregar el proveedor de identidades externo pararealizar la autenticación.

3 En el campo Atributo de búsqueda de directorios, especifique elatributo del directorio LDAP que se utiliza para el nombre de usuario. Si elatributo no aparece en la lista, seleccione Personalizado y escriba elnombre del atributo. Por ejemplo, cn.

Ubicación del servidor Introduzca el número de puerto y el host del servidor del directorio LDAP. Enel caso del host del servidor, puede especificar el nombre del dominioplenamente cualificado o la dirección IP. Por ejemplo,myLDAPserver.example.com o 100.00.00.0.

Si cuenta con un clúster de servidores bajo un equilibrador de carga,introduzca la información de este último en su lugar.

Configuración LDAP Especifica los atributos y los filtros de búsqueda de LDAP queVMware Identity Manager puede utilizar para solicitar su directorio LDAP. Losvalores predeterminados se proporcionan según el esquema principal deLDAP.

Solicitudes LDAPn Obtener grupos: es el filtro de búsqueda para obtener los objetos de

grupo.

Por ejemplo: (objectClass=group)n Obtener usuario de enlace: es el filtro de búsqueda para obtener el

objeto de usuario de enlace, es decir, al usuario que puede enlazarse aldirectorio.

Por ejemplo: (objectClass=person)


VMware, Inc. 30


n Obtener usuario: es el filtro de búsqueda para obtener los usuarios parasincronizar.

Por ejemplo:(&(objectClass=user)(objectCategory=person))

Atributosn Afiliación: es el atributo que se utiliza en su directorio LDAP para definir

los miembros de un grupo.

Por ejemplo: membern UUID del objeto: es el atributo que se utiliza en su directorio LDAP para

definir el UUID.

Por ejemplo: entryUUIDn Nombre distintivo: es el atributo que se utiliza en su directorio LDAP

para definir el nombre distintivo de un usuario o un grupo.

Por ejemplo: entryDN

Certificados Si el directorio LDAP requiere acceso mediante SSL, seleccione la opciónEste directorio requiere que todas las conexiones usen SSL y copie ypegue el certificado CA SSL raíz del servidor del directorio LDAP. Asegúresede que el certificado esté en formato PEM e incluya las líneas "BEGINCERTIFICATE" y "END CERTIFICATE".

Detalles del usuario de enlace DN base: introduzca el DN desde el que deben empezar las búsquedas. Porejemplo, cn=users,dc=example,dc=com

DN de enlace: introduzca el nombre del usuario que enlaza al directorioLDAP.

NOTA: Se recomienda utilizar una cuenta de usuario de DN de enlace conuna contraseña que no caduque.

Contraseña DN de enlace: introduzca la contraseña del usuario DN deenlace.

b Para probar la conexión al servidor del directorio LDAP, haga clic en Probar conexión.

Si no se realizó la conexión correctamente, compruebe la información que introdujo y haga loscambios necesarios.

c Haga clic en Guardar y Siguiente.

Aparece la página con la lista del dominio.

15 En un directorio LDAP, el dominio aparece en la lista y no se puede modificar.

En Active Directory mediante LDAP, los dominios aparecen en la lista y no se pueden modificar.


VMware, Inc. 31

Para Active Directory (Autenticación de Windows integrada), seleccione los dominios que deberánasociarse con esta conexión de Active Directory.

NOTA: Si agrega un dominio de confianza una vez creado el directorio, el servicio no detectaráautomáticamente el nuevo dominio de confianza. Para permitir que el servicio detecte el dominio, elconector deberá abandonar el dominio y, a continuación, volver a unirse a él. Una vez que elconector vuelva a unirse al dominio, el dominio de confianza aparecerá en la lista.

Haga clic en Siguiente.

16 Compruebe que los nombres de los atributos de VMware Identity Manager estén asignados a losatributos de Active Directory o LDAP correctos y realice los cambios que sean necesarios.

IMPORTANTE: Si integra un directorio LDAP, debe especificar una asignación para el atributo dedominio.

17 Haga clic en Siguiente.


VMware, Inc. 32

18 Seleccione los grupos que desee sincronizar desde Active Directory o desde el directorio LDAP aldirectorio de VMware Identity Manager.


Especificar los DN de grupo Para seleccionar los grupos, especifique un DN o varios y seleccione los gruposque aparecen a continuación.

a Haga clic en + y especifique el DN de grupo. Por ejemplo,CN=users,DC=example,DC=company,DC=com.

IMPORTANTE: Especifique los DN de grupo que aparecen a continuacióndel DN base que introdujo. Si un DN de grupo aparece fuera del DN base, losusuarios de dicho DN se sincronizarán, pero no podrán iniciar sesión.

b Haga clic en Buscar grupos.

La columna Grupos para sincronizar muestra el número de grupos que seencuentran en el DN.

c Para seleccionar todos los grupos en el DN, haga clic en Seleccionar todo,o bien haga clic en Seleccionar y seleccione los grupos específicos quedesea sincronizar.

NOTA: Si cuenta con varios grupos con el mismo nombre en su directorioLDAP, debe especificar nombres únicos para ellos enVMware Identity Manager. Puede cambiar el nombre al seleccionar el grupo.

NOTA: Cuando sincroniza un grupo, los usuarios que no tengan Usuarios deldominio como su grupo principal en Active Directory no se sincronizan.

Sincronizar miembros de grupoanidados

La opción Sincronizar miembros de grupo anidados se habilita de formapredeterminada. Cuando se habilita esta opción, todos los usuarios quepertenezcan al grupo que seleccione y los que pertenezcan a grupos anidadosdentro de este grupo se sincronizan. Tenga en cuenta que los grupos anidadosno se sincronizan. Solo se sincronizarán los usuarios que pertenezcan a losgrupos anidados. En el directorio de VMware Identity Manager, estos usuariosserán miembros del grupo de nivel principal que seleccionó para sincronizarse.

Si deshabilita la opción Sincronizar miembros de grupo anidados, todos losusuarios que pertenezcan directamente a ese grupo se sincronizarán en el grupoque especificó. Los usuarios que pertenezcan a grupos anidados bajo este grupono se sincronizarán. Deshabilitar esta opción resulta útil para las grandesconfiguraciones de Active Directory en las que atravesar un árbol de gruporequiera demasiado tiempo o demasiados recursos. Si deshabilita esta opción,asegúrese de que selecciona todos los grupos cuyos usuarios desee sincronizar.



VMware, Inc. 33

20 Especifique los usuarios adicionales que desea sincronizar, si es necesario.

a Haga clic en + e introduzca los DN del usuario. Por ejemplo,CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.

IMPORTANTE: Especifique los DN de usuario que aparecen a continuación del DN base queintrodujo. Si un DN de usuario aparece fuera del DN base, los usuarios de dicho DN sesincronizarán, pero no podrán iniciar sesión.

b (Opcional) Para excluir usuarios, cree un filtro que excluya algunos tipos de usuarios.

Debe seleccionar el atributo de usuario por el que desea filtrar, la regla de consulta y el valor.


22 Revise la página para ver cuántos usuarios y grupos se sincronizarán con el directorio así como laprogramación de la sincronización.

Para realizar cambios en los usuarios y los grupos o en la frecuencia de sincronización, haga clic enlos vínculos Editar.

23 Haga clic en Sincronizar directorio para iniciar la sincronización del directorio.

NOTA: Si se produce un error en la red y el nombre del host no puede resolverse de forma única conuna DNS inversa, el proceso de configuración se detendrá. Deberá resolver los problemas relacionadoscon la red y reiniciar el dispositivo virtual. A continuación, podrá continuar el proceso de implementación.La nueva configuración de la red no estará disponible hasta que reinicie el dispositivo virtual.


Para obtener más información sobre cómo configurar un equilibrador de carga o sobre la configuraciónde alta disponibilidad, consulte Capítulo 4 Configuración avanzada del dispositivo VMware IdentityManager.

Puede personalizar el catálogo de recursos de las aplicaciones de su organización y conceder a losusuarios acceso a estos recursos. También puede configurar otros recursos, como aplicaciones basadasen Citrix, View y ThinApp. Consulte Configurar recursos en VMware Identity Manager.

Configurar los valores del servidor proxy paraVMware Identity ManagerEl dispositivo virtual de VMware Identity Manager accede al catálogo de aplicaciones en la nube y a otrosservicios web en Internet. Si su configuración de red proporciona acceso a Internet a través de un proxyHTTP, deberá ajustar la configuración del proxy en el dispositivo VMware Identity Manager.

Habilite su proxy para gestionar solo el tráfico de Internet. Para asegurar que el proxy esté configuradocorrectamente, establezca el parámetro de tráfico interno en la opción no-proxy dentro del dominio.


VMware, Inc. 34

Procedimiento

1 Desde vSphere Client, inicie la sesión como usuario root en el dispositivo virtual deVMware Identity Manager.

2 Introduzca YaST en la línea de comandos para ejecutar la utilidad YaST.

3 En el panel izquierdo, seleccione Servicios de red y, a continuación, Proxy.

4 Introduzca las URL del servidor proxy en los campos de URL del proxy HTTP y URL del proxyHTTPS.

5 Seleccione Finalizar y salga de la utilidad YaST.

6 Reinicie el servidor Tomcat en el dispositivo virtual de VMware Identity Manager para utilizar la nuevaconfiguración del proxy.

service horizon-workspace restart

El catálogo de aplicaciones en la nube y otros servicios web ya están disponibles enVMware Identity Manager.

Introducir la clave de licenciaDespués de implementar el dispositivo de VMware Identity Manager, introduzca la clave de licencia.

Procedimiento

1 Inicie la sesión en la consola de administración de VMware Identity Manager.

2 Seleccione la pestaña Configuración de dispositivos y haga clic en Licencia.

3 En la página Ajustes de licencia, introduzca la clave de licencia y haga clic en Guardar.


VMware, Inc. 35

Administrar las opciones deconfiguración del dispositivo deVMware Identity Manager 3Una vez completada la configuración inicial del dispositivo, puede ir a las páginas de administración deeste para instalar certificados, administrar contraseñas y descargar los archivos de registro. Tambiénpuede actualizar la base de datos, cambiar el FQDN de Identity Manager y configurar un servidor syslogexterno.

Las páginas de administración están disponibles en la pestaña Configuración de dispositivos de laconsola de administración.

Nombre de la página Descripción de la configuración

Conexión de la base de datos La conexión a la base de datos, interna o externa, seencuentra habilitada. Puede cambiar el tipo de base de datos.Al seleccionar una base de datos externa, tiene que introduciruna URL, un nombre de usuario y una contraseña. Paraconfigurar una base de datos externa, consulte Establecerconexión con la base de datos.

Instalar certificados SSL En las pestañas de esta página, puede instalar un certificadoSSL de VMware Identity Manager, descargar el certificado raízde VMware Identity Manager autofirmado e instalarcertificados raíz de confianza. Por ejemplo, si se configuraVMware Identity Manager detrás de un equilibrador de carga,puede instalar el certificado raíz de este.

NOTA: La pestaña Certificado de acceso directo se utilizaúnicamente cuando se configura la autenticación decertificados en el conector integrado en un escenario deimplementación de DMZ. Para obtener más información,consulte Implementar VMware Identity Manager en DMZ.

Consulte Utilizar certificados SSL.

FQDN de Identity Manager En esta página, puede ver o cambiar el FQDN deVMware Identity Manager. El FQDN deVMware Identity Manager es la URL que emplean los usuariospara obtener acceso al servicio.

Configurar registro del sistema En esta página, puede habilitar un servidor syslog externo. Losregistros de VMware Identity Manager se envían a esteservidor externo. Consulte Configurar un servidor syslog.

Cambiar contraseña Esta página permite cambiar la contraseña del usuario adminde VMware Identity Manager.

VMware, Inc. 36

Nombre de la página Descripción de la configuración

Seguridad del sistema Esta página permite cambiar la contraseña raíz del dispositivoVMware Identity Manager y la contraseña de usuario SSHusado para iniciar sesión de manera remota.

Ubicaciones de los archivos de registro En esta página se muestra una lista de los archivos de registroy la ubicación de su directorio. Puede agrupar los archivos deregistro en un archivo comprimido en formato zip paradescargarlo. Consulte Información del archivo de registro.

También puede modificar la URL del conector. Consulte Modificar la URL del conector.


n Cambiar ajustes de configuración del dispositivo

n Establecer conexión con la base de datos

n Utilizar certificados SSL

n Modificar la URL del servicio VMware Identity Manager

n Modificar la URL del conector

n Configurar un servidor syslog

n Información del archivo de registro

n Administración de contraseñas de dispositivo

n Configurar las opciones de SMTP

Cambiar ajustes de configuración del dispositivoDespués de configurar VMware Identity Manager, se puede acceder a las páginas de configuración dedispositivos para actualizar la configuración actual y supervisar la información del sistema del dispositivovirtual.

Procedimiento

1 Inicie sesión en la consola de administración.

2 Seleccione la pestaña Configuración de dispositivos y haga clic en Administrar configuración.

3 Inicie la sesión con la contraseña del administrador del servicio.

4 En el panel izquierdo, seleccione la página que desee ver o editar.


Verifique que los cambios o actualizaciones realizados sean efectivos.


VMware, Inc. 37

Establecer conexión con la base de datosEl servicio de VMware Identity Manager requiere una base de datos de Microsoft SQL Server externapara almacenar y organizar los datos del servidor. El administrador de la base de datos debe preparar unesquema y una base de datos de Microsoft SQL Server vacía antes de instalarVMware Identity Manager.

Cuando se conecte a Microsoft SQL Server, introduzca el nombre de la instancia a la que deseaconectarse y el modo de autenticación. Puede seleccionar el modo de autenticación de Windows yespecificar el dominio/nombre de usuario o el modo de autenticación de SQL Server, y especificar lacontraseña y el nombre de usuario local.

Debe establecer conexión con la base de datos externa cuando ejecute el asistente de configuración deVMware Identity Manager. También puede acceder a Configuración de dispositivos > Configuración deldispositivo virtual > Configuración de la conexión de la base de datos para configurar la conexión con labase de datos externa.

Puede utilizar Microsoft SQL Server para configurar un entorno de base de datos de alta disponibilidad.

Una base de datos PostgreSQL interna está integrada en el dispositivo VMware Identity Manager,aunque no se recomienda usarla para implementaciones de producción.

Configurar la base de datos de Microsoft SQL con el modo deautenticación de WindowsPara utilizar una base de datos de Microsoft SQL para VMware Identity Manager, debe crear una nuevabase de datos en el servidor de Microsoft SQL. Durante la instalación, debe seleccionar un modo deautenticación para la base de datos. Si selecciona la autenticación de Windows, cuando cree la base dedatos, introduzca el nombre de usuario y el dominio. El nombre de usuario y el dominio introducido esdomain\username.

Al ejecutar los comandos de Microsoft SQL, debe crear una base de datos en el servidor de MicrosoftSQL, introducir el nombre de la base de datos, agregar las credenciales de usuario de inicio de sesión ycrear el esquema. El esquema que se ejecuta se denomina saas.

NOTA: La intercalación predeterminada distingue mayúsculas de minúsculas.

Prerequisitos

n Versión compatible del servidor de Microsoft SQL instalada como un servidor de base de datosexterna.

n Implementación de equilibrado de carga configurada.

n Autenticación de Windows seleccionada como modo de autenticación.

n Derechos de administrador para crear los componentes de la base de datos y acceder a ellosutilizando Microsoft SQL Server Management Studio u otro cliente de CLI del servidor de MicrosoftSQL.


VMware, Inc. 38

Procedimiento

1 Inicie la sesión en Microsoft SQL Server Management Studio como administrador del sistema o conuna cuenta con privilegios de administrador del sistema.

Se abrirá la ventana del editor.

2 En la barra de herramientas, haga clic en Nueva consulta.

3 Para crear la base de datos con el esquema predeterminado denominado saas, introduzca lossiguientes comandos en la ventana del editor.

/*

Values within angle brackets (< >) are example values. When replacing the example value,

remove the angle brackets.

*/

CREATE DATABASE <saasdb>

COLLATE Latin1_General_CS_AS;

ALTER DATABASE <saasdb> SET READ_COMMITTED_SNAPSHOT ON;

GO

IF NOT EXISTS

(SELECT name

FROM master.sys.server_principals

WHERE name=N'<domain\username>')

BEGIN

CREATE LOGIN [<domain\username>] FROM WINDOWS;

END

GO

USE <saasdb>;

IF EXISTS (SELECT * FROM sys.database_principals WHERE name=N'<domain\username>')

DROP USER [<domain\username>]

GO

CREATE USER [<domain\username>] FOR LOGIN [<domain\username>]

WITH DEFAULT_SCHEMA=saas;

GO

CREATE SCHEMA saas AUTHORIZATION "<domain\username>"

GRANT ALL ON DATABASE::<saasdb> TO "<domain\username>";

GO

ALTER ROLE db_owner ADD MEMBER '<domain\username>';

GO

4 En la barra de herramientas, haga clic en !Ejecutar.

El servidor de base de datos de Microsoft SQL ya está preparado para conectarse a la base de datosde VMware Identity Manager.


VMware, Inc. 39

La función de servidor que se utiliza para conceder privilegios de seguridad en todo el servidor seestablece como pública. La membresía de función de base de datos es db_owner. No establezcaninguna otra función.


Introduzca la URL de JDBC y el nombre de usuario y la contraseña que creó para la base de datos en elservidor de VMware Identity Manager. Vaya a la consola de administración de VMware Identity Managery acceda a la página Configuración de dispositivos > Configuración del dispositivo virtual > Configuraciónde la conexión de la base de datos. Consulte Configure VMware Identity Manager para usar una base dedatos externa

Configurar la base de datos de Microsoft SQL con el modo deautenticación local de SQL ServerPara utilizar una base de datos de Microsoft SQL para VMware Identity Manager, debe crear una nuevabase de datos en el servidor de Microsoft SQL. Durante la instalación, debe seleccionar un modo deautenticación para la base de datos. Si selecciona la autenticación de SQL Server, debe introducir unnombre de usuario local y una contraseña cuando se cree la base de datos.

Al ejecutar los comandos de Microsoft SQL, debe crear una base de datos en el servidor de MicrosoftSQL, introducir el nombre de la base de datos, agregar las credenciales de usuario de inicio de sesión ycrear el esquema. El esquema que se ejecuta se denomina saas.

NOTA: La intercalación de bases de datos predeterminada distingue mayúsculas de minúsculas.

Prerequisitos

n Versión compatible del servidor de Microsoft SQL instalada como un servidor de base de datosexterna.

n Implementación de equilibrado de carga configurada.

n Autenticación de SQL Server seleccionada como el modo de autenticación.

n Derechos de administrador para crear los componentes de la base de datos y acceder a ellosutilizando Microsoft SQL Server Management Studio u otro cliente de CLI del servidor de MicrosoftSQL.

Procedimiento





VMware, Inc. 40

3 Para crear la base de datos con el esquema predeterminado denominado saas, introduzca lossiguientes comandos en la ventana del editor.

/*

Values within angle brackets (< >) are example values. When replacing the example value,

remove the angle brackets.

*/

CREATE DATABASE <saasdb>

COLLATE Latin1_General_CS_AS;

ALTER DATABASE <saasdb> SET READ_COMMITTED_SNAPSHOT ON;

GO

BEGIN

CREATE LOGIN <loginusername> WITH PASSWORD = N'<password>';

END

GO

USE <saasdb>;

IF EXISTS (SELECT * FROM sys.database_principals WHERE name=N'<loginusername>')

DROP USER [<loginusername>]

GO

CREATE USER [<loginusername>] FOR LOGIN [<loginusername>]

WITH DEFAULT_SCHEMA=saas;

GO

CREATE SCHEMA saas AUTHORIZATION <loginusername>

GRANT ALL ON DATABASE::<saasdb> TO <loginusername>;

GO

ALTER ROLE [db_owner] ADD MEMBER <loginusername>;

GO


El servidor de base de datos de Microsoft SQL ya está preparado para conectarse a la base de datosde VMware Identity Manager.

La función de servidor que se utiliza para conceder privilegios de seguridad en todo el servidor seestablece como pública. La membresía de función de base de datos es db_owner. No establezcaninguna otra función.


Configure la base de datos externa en el servidor de VMware Identity Manager. Vaya a la consola deadministración de VMware Identity Manager y acceda a la página Configuración de dispositivos >Configuración del dispositivo virtual > Configuración de la conexión de la base de datos. Introduzca laURL de JDBC y el nombre de usuario y la contraseña que creó para la base de datos. Consulte Configure VMware Identity Manager para usar una base de datos externa


VMware, Inc. 41

Confirmar que la base de datos de Microsoft SQL estéconfigurada correctamentePara confirmar que la base de datos de Microsoft SQL está configurada correctamente para que funcionecon VMware Identity Manager, se ejecuta el siguiente script de comprobación después de haberconfigurado la base de datos.

Prerequisitos

Se crea la base de datos de Microsoft SQL para el servicio de VMware Identity Manager.

Procedimiento




3 Ejecute los siguientes comandos. Edite según sea necesario.

// Check if user is db owner. Return true

SELECT IS_ROLEMEMBER('db_owner’)

// Make sure user is not sysadmin. Should return false

SELECT IS_SRVROLEMEMBER('sysadmin’)

// check if saas schema exists, should be not null

SELECT SCHEMA_ID('saas’)

// check schema owner, should be user provided to installer

SELECT SCHEMA_OWNER FROM INFORMATION_SCHEMA.SCHEMATA where SCHEMA_NAME=‘saas’

// check if saas is user default schema, should return saas

SELECT SCHEMA_NAME()

// check db collation, should return Latin1_General_CS_AS

SELECT DATABASEPROPERTYEX(‘<saasdb>', 'Collation') AS Collation

// check if read committed snapshot is on, should return true

SELECT is_read_committed_snapshot_on FROM sys.databases WHERE name=‘<saasdb>'


Si la configuración no es correcta, se muestran mensajes de error. Antes de continuar configurandoel servicio de VMware Identity Manager para utilizar la base de datos de Microsoft SQL externa,corrija los problemas que se describen en los mensajes de error.


VMware, Inc. 42

Configure VMware Identity Manager para usar una base de datosexternaDespués de crear la base de datos de Microsoft SQL, configure VMware Identity Manager para utilizar labase de datos.

Prerequisitos

n La base de datos con el esquema de saas creada en Microsoft SQL server como el servidor de basede datos externo. Para obtener información sobre las versiones específicas que son compatibles conVMware Identity Manager, consulte las matrices de interoperabilidad de productos de VMware.

Procedimiento

1 En la consola de administración, haga clic en Configuración de dispositivos y seleccioneConfiguración del dispositivo virtual.

2 Haga clic en Administrar configuración.

3 Inicie sesión con la contraseña del administrador de VMware Identity Manager.

4 En la página Configuración de la conexión de la base de datos, seleccione Base de datos externacomo tipo de base de datos.

5 Introduzca la información sobre la conexión de la base de datos.

a Escriba la URL de JDBC del servidor de la base de datos Microsoft SQL.

Modo de autenticación Cadena de URL de JDBC

Autenticación de Windows(domain\user) jdbc:jtds:sqlserver://<hostname_or_IP_address:port#>/saas;integratedS

ecurity=true;domain=<domainname>;useNTLMv2=true

Autenticación de SQLServer (usuario local) jdbc:sqlserver://<hostname_or_IP_address:port#>;DatabaseName=<saasdb>

b Escriba el nombre de usuario y la contraseña con privilegios de lectura y escritura en la base dedatos.

6 Haga clic en Probar conexión para verificar y guardar la información.


(Opcional) Cambie los privilegios de suscripción de la función de base de datos db_owner. Consulte Cambiar las funciones de nivel de la base de datos.

Cambiar las funciones de nivel de la base de datosCuando se utiliza el esquema saas para crear la base de datos de Microsoft SQL para el servicio deVMware Identity Manager, se concede la suscripción de la función de base de datos a la funcióndb_owner. Los miembros de la función de la base de datos fija db_owner pueden realizar todas lasactividades de configuración y mantenimiento en la base de datos.


VMware, Inc. 43

http://www.vmware.com/resources/compatibility/sim/interop_matrix.php

Después de que se instala y configura la base de datos en el servicio de VMware Identity Manager,puede revocar el acceso a db_owner, add db_datareader y db_datawriter como las funciones de base dedatos. Los miembros de la función db_datareader pueden leer todos los datos de todas las tablas deusuario. El miembro de la función db_datawriter puede agregar, eliminar o cambiar los datos de todas lastablas de usuario.

NOTA: Si revoca el acceso a db_owner, cuando se actualiza a una nueva versión de VMware IdentityManager, antes de actualizar debe volver a conceder el privilegio db_owner antes de iniciar el proceso deactualización.

Prerequisitos

La función del usuario para Microsoft SQL Server Management Studio como administrador del sistema ocomo cuenta de usuario con privilegios de administrador del sistema.

Procedimiento

1 En la sesión de Microsoft SQL Server Management Studio como administrador con privilegios deadministrador del sistema, conéctese a la instancia de base de datos <saasdb> paraVMware Identity Manager.

2 Revoque la función db_owner en la base de datos, introduzca el siguiente comando

Modo de autenticación Comando

Autenticación de Windows(domain\user) ALTER ROLE db_owner DROP MEMBER <domain\username>;

Autenticación de SQLServer (usuario local) ALTER ROLE db_owner DROP MEMBER <loginusername>;

3 Agregue membresía de las funciones db_datawriter y db_datareader a la base de datos.

Modo de autenticación Comando

Autenticación de Windows(domain\user) ALTER ROLE db_datawriter ADD MEMBER <domain\username>;

GO

ALTER ROLE db_datareader ADD MEMBER <domain\username>;GO

Autenticación de SQLServer (usuario local) ALTER ROLE db_datawriter ADD MEMBER <loginusername>;

GOALTER ROLE db_datareader ADD MEMBER <loginusername>;GO

Administrar la base de datos internaDe forma predeterminada, la base de datos interna PostgreSQL está configurada y preparada para suuso. Tenga en cuenta que no se recomienda usar la base de datos interna para implementaciones deproducción.


VMware, Inc. 44

Cuando se instala y se conecta VMware Identity Manager, se genera una contraseña aleatoria para elusuario de la base de datos interna durante el proceso de inicialización. Esta contraseña es única paracada implementación y se puede encontrar en el archivo /usr/local/horizon/conf/db.pwd.

Si desea configurar su base de datos interna para lograr una alta disponibilidad, consulte el artículo2094258 de la Base de conocimiento.

Utilizar certificados SSLAl instalar el dispositivo VMware Identity Manager, se genera automáticamente un certificado de servidorSSL predeterminado. Este certificado autofirmado se puede utilizar para una comprobación general de laimplementación. VMware le recomienda enfáticamente obtener e instalar certificados SSL firmados poruna entidad de certificación (CA) pública en su entorno de producción.

Una entidad de certificación es una entidad de confianza que garantiza la identidad del certificado y desu creador. Si un certificado está firmado por una CA de confianza, los usuarios dejan de recibirmensajes en los que se les pide que verifiquen el certificado.

Los certificados de CA firmados se pueden instalar desde la página Configuración de dispositivos >Administrar configuración > Instalar certificados SSL > Certificados de servidor.

Si se implementa VMware Identity Manager con el certificado SSL autofirmado, el certificado de CA raízdebe estar disponible como CA de confianza para todos los clientes que accedan al servicio deVMware Identity Manager. Los clientes pueden incluir equipos de usuarios finales, equilibradores decarga, servidores proxy, etc. Puede descargar la CA raíz de la página Instalar certificados SSL >Certificados de servidor.

Instalar un certificado SSL para el servicio deVMware Identity ManagerCuando se instala el servicio de VMware Identity Manager, se genera un certificado de servidor SSLpredeterminado. El certificado autofirmado se puede usar para hacer pruebas. Sin embargo, VMwarerecomienda enfáticamente utilizar certificados SSL firmados por una entidad de certificación (CA) públicapara su entorno de producción.

NOTA: Si un equilibrador de carga delante de VMware Identity Manager termina el SSL, se aplica elcertificado SSL al equilibrador de carga.

Prerequisitos

n Genere una solicitud de firma del certificado (CSR) y obtenga un certificado válido y firmado SSL deCA. El certificado debe estar en formato PEM.

n Para la parte del nombre común del DN del sujeto, utilice el nombre de dominio completo que losusuarios utilizarán para acceder al servicio de VMware Identity Manager. Si el dispositivo deVMware Identity Manager está detrás de un equilibrador de carga, este es el nombre del servidor delequilibrador de carga.


VMware, Inc. 45

n Si SSL no se termina en el equilibrador de carga, el certificado SSL usado por el servicio debe incluirnombres alternativos del sujeto (SAN) para todos los hosts del clúster de VMware Identity Managerpara que los nodos dentro del clúster puedan realizar solicitudes entre sí. También incluye un SANpara el nombre de dominio completo que los usuarios utilizarán para acceder al servicio deVMware Identity Manager, además de usarlo para el nombre común, debido a que algunosexploradores lo exigen.

Procedimiento

1 En la consola de administración, haga clic en la pestaña Configuración de dispositivos.

2 Haga clic en Administrar configuración e introduzca la contraseña del usuario administrador.

3 Seleccione Instalar certificados SSL > Certificado de servidor.

4 En el campo Certificado SSL, seleccione Certificado personalizado.

5 En el cuadro de texto Cadena de certificados SSL, pegue los certificados de servidor, intermedio yraíz, en ese orden.

Debe incluir la cadena de certificados completa en el orden correcto. Para cada certificado, copietodo lo que haya entre las líneas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE----, inclusoestas líneas.

6 En el cuadro de texto Clave privada, pegue la clave privada. Copie todo entre ----BEGIN RSAPRIVATE KEY y ---END RSA PRIVATE KEY.

7 Haga clic en Agregar.

Ejemplo: Ejemplos de certificados

Ejemplo de cadena de certificados

-----BEGIN CERTIFICATE-----

jlQvt9WdR9Vpg3WQT5+C3HU17bUOwvhp/r0+

...

W53+O05j5xsxzDJfWr1lqBlFF/OkIYCPcyK1

-----END CERTIFICATE-----


WdR9Vpg3WQT5+C3HU17bUOwvhp/rjlQvt90+

...

O05j5xsxzDJfWr1lqBlFF/OkIYCPW53+cyK1



dR9Vpg3WQTjlQvt9W5+C3HU17bUOwvhp/r0+

...

5j5xsxzDJfWr1lqW53+O0BlFF/OkIYCPcyK1



VMware, Inc. 46

Ejemplo de clave privada

-----BEGIN RSA PRIVATE KEY-----

jlQvtg3WQT5+C3HU17bU9WdR9VpOwvhp/r0+

...

1lqBlFFW53+O05j5xsxzDJfWr/OkIYCPcyK1

-----END RSA PRIVATE KEY-----

Instalar certificados raíz de confianzaInstale los certificados intermedios y raíz que deban ser de confianza para el servidor deVMware Identity Manager. El servidor de VMware Identity Manager podrá establecer conexiones segurasa los servidores cuya cadena de certificados incluya alguno de estos certificados.

Si el servidor de VMware Identity Manager está configurado detrás de un equilibrador de carga y SSL setermina en el equilibrador de carga, instale el certificado raíz del equilibrador de carga.

Procedimiento


2 Haga clic en Administrar configuración e introduzca la contraseña del usuario administrador.

3 Haga clic en Instalar certificados SSL y, a continuación, seleccione la pestaña CA de confianza.

4 Pegue el certificado raíz o intermedio en el cuadro de texto.

Incluya todo lo que haya entre las líneas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE----,incluso estas líneas.


Instalar un certificado de acceso directoLa pestaña Certificado de acceso directo se utiliza únicamente cuando se configura la autenticación decertificados en el conector integrado en un escenario de implementación de DMZ. No se utiliza en ningúnotro escenario. Para obtener más información, consulte Implementar VMware Identity Manager en DMZ.

Modificar la URL del servicio VMware Identity ManagerEs posible cambiar la URL del servicio VMware Identity Manager, que es la que utilizan los usuarios paraacceder al servicio. Por ejemplo, se puede cambiar la URL por la de un equilibrador de carga.

Procedimiento

1 Inicie sesión en la consola de administración de VMware Identity Manager.

2 Haga clic en la pestaña Configuración de dispositivos y, a continuación, seleccioneConfiguración del dispositivo virtual.

3 Haga clic en Administrar configuración e inicie la sesión con la contraseña de usuarioadministrador.


VMware, Inc. 47

4 Haga clic en FQDN de Identity Manager e introduzca la nueva URL en el campo FQDN de IdentityManager.

Utilice el formato https://FQDN:port. La especificación del puerto es opcional. El puertopredeterminado es 443.

Por ejemplo, https://miservicio.ejemplo.com.



Habilite la nueva interfaz de usuario del portal.

1 Vaya a https://VMwareIdentityManagerURL/admin para acceder a la consola de administración.

2 En la consola de administración, haga clic en la flecha de la pestaña Catálogo y seleccioneConfiguración.

3 Seleccione Nueva interfaz del portal de usuario final en el panel de la izquierda y haga clic enHabilitar nueva interfaz del portal.

Modificar la URL del conectorPuede actualizar la URL del conector actualizando el nombre de host del proveedor de identidades en laconsola de administración.

Procedimiento


2 Haga clic en la pestaña Administración de acceso e identidad y, a continuación, en la pestañaProveedores de identidades.

3 En la página Proveedores de identidades, seleccione el proveedor de identidades que deseeactualizar.

4 En el campo Nombre de host de IdP, introduzca el nuevo nombre de host.

Utilice el formato nombre de host:puerto. La especificación del puerto es opcional. El puertopredeterminado es 443.

Por ejemplo, vidm.ejemplo.com.


Configurar un servidor syslogLos eventos en el nivel de aplicaciones del servicio se pueden exportar a un servidor syslog externo. Loseventos del sistema operativo no se exportan.

Dado que la mayoría de empresas no disponen de espacio en disco ilimitado, el dispositivo virtual noguarda el historial de registro completo. Si desea guardar una cantidad de historial mayor o crear unaubicación centralizada para su historial de registro, puede configurar un servidor syslog externo.


VMware, Inc. 48

Si no especifica un servidor syslog durante la configuración inicial, puede configurarlo más tarde en lapágina Configuración de dispositivos > Configuración del dispositivo virtual > Administrarconfiguración > Configurar Syslog.

Prerequisitos

n Configure un servidor syslog externo. Puede usar cualquiera de los servidores syslog estándardisponibles. Varios servidores syslog incluyen capacidades de búsqueda avanzada.

n Asegúrese de que VMware Identity Manager puede acceder al servidor syslog en el puerto 514(UDP).

Procedimiento


2 Haga clic en la pestaña Configuración de dispositivos y en Administrar configuración.

3 Seleccione Configurar Syslog en el panel izquierdo.

4 Haga clic en Habilitar.

5 Introduzca la dirección IP o el FQDN del servidor syslog donde desee almacenar los registros.


Se enviará una copia de sus registros al servidor del registro del sistema.

Información del archivo de registroLos archivos de registro de VMware Identity Manager pueden resultarle de ayuda para depurar errores yresolver problemas. Los archivos de registro que se enumeran a continuación son un punto de partidacomún. En el directorio /opt/vmware/horizon/workspace/logs encontrará registros adicionales.

Tabla 3‑1. Archivos de registro

Componente Ubicación del archivo de registro Descripción

Registros delservicio de IdentityManager

/opt/vmware/horizon/workspace/logs/ho

rizon.log

Información sobre la actividad en el servicio deVMware Identity Manager, como autorizaciones, usuariosy grupos.

Registros delconfigurador

/opt/vmware/horizon/workspace/logs/co

nfigurator.log

Solicitudes que recibe el configurador del cliente REST yde la interfaz web.

Registros delconector

/opt/vmware/horizon/workspace/logs/co

nnector.log

Un registro de cada solicitud recibida desde la interfazweb. Cada entrada del registro incluye también la URL, lamarca de hora y las excepciones de la solicitud. No seregistra ninguna acción de sincronización.


VMware, Inc. 49

Tabla 3‑1. Archivos de registro (Continua)

Componente Ubicación del archivo de registro Descripción

Registros deactualización

/opt/vmware/var/log/update.log

/opt/vmware/var/log/vami

Un registro de los mensajes de salida relacionados conlas solicitudes de actualización durante una actualizaciónde VMware Identity Manager.

Los archivos del directorio /opt/vmware/var/log/vamison útiles para resolver problemas. Encontrará estosarchivos en todas las máquinas virtuales después de unaactualización.

Registros deApache Tomcat

/opt/vmware/horizon/workspace/logs/ca

talina.log

Apache Tomcat registra los mensajes que no se registranen otros archivos de registro.

n Recopilar información de registro

Durante las pruebas o la resolución de problemas, los registros pueden proporcionar informaciónsobre la actividad y el rendimiento del dispositivo virtual, así como información sobre los problemasque puedan ocurrir.

n Establecer el nivel de registro del servicio VMware Identity Manager en DEBUG

Puede establecer el nivel de registro en DEBUG para registrar información adicional que puedeayudar a depurar problemas.

Recopilar información de registroDurante las pruebas o la resolución de problemas, los registros pueden proporcionar información sobrela actividad y el rendimiento del dispositivo virtual, así como información sobre los problemas que puedanocurrir.

Recopile los registros de cada dispositivo en su entorno.

Procedimiento


2 Seleccione la pestaña Configuración de dispositivos y haga clic en Administrar configuración.

3 Haga clic en Ubicaciones de los archivos de registro y en Preparar paquete de registro.

La información se recopila en un archivo tar.gz que se puede descargar.

4 Descargue el paquete preparado.


Para recopilar todos los registros, haga esta operación con cada dispositivo.

Establecer el nivel de registro del servicio VMware IdentityManager en DEBUGPuede establecer el nivel de registro en DEBUG para registrar información adicional que puede ayudar adepurar problemas.


VMware, Inc. 50

Procedimiento

1 Inicie sesión en el dispositivo virtual.

2 Cambie al directorio /usr/local/horizon/conf/.

3 Actualice el nivel de registro en los archivos log4j.properties cfg, log4j.properties hc ysaas log4j.properties, que son los archivos log4j más comúnmente usados para el servicio.

a Edite el archivo.

b En las líneas que tienen el nivel de registro establecido en INFO, reemplace INFO por DEBUG.

Por ejemplo, cambie:

rootLogger.level=INFO

por:

rootLogger.level=DEBUG

c Guarde el archivo.

No se requiere un reinicio del servicio o del sistema.

Administración de contraseñas de dispositivoCuando configuró el dispositivo virtual de VMware Identity Manager por primera vez, creó contraseñaspara los usuarios admin, root y sshuser. Puede cambiar estas contraseñas en la pestaña Configuraciónde dispositivos de la consola de administración.

Asegúrese de crear contraseñas seguras. Las contraseñas seguras deben tener al menos ochocaracteres e incluir mayúsculas, minúsculas y al menos un dígito o un carácter especial.

Procedimiento


2 Haga clic en Configuración del dispositivo virtual > Administrar configuración.

3 Para cambiar la contraseña de administrador, seleccione Cambiar contraseña. Para cambiar lascontraseñas de los usuarios root o sshuser, seleccione Seguridad del sistema.

IMPORTANTE: La contraseña del usuario administrador debe tener 6 caracteres como mínimo.

4 Introduzca la nueva contraseña.


Configurar las opciones de SMTPConfigure el servidor SMTP para recibir notificaciones por correo electrónico desde el servicio deVMware Identity Manager. Por ejemplo, se envían correos electrónicos de notificación cuando se creannuevos usuarios locales, cuando se restablece una contraseña o con el token de verificación dedetección automática.


VMware, Inc. 51

Procedimiento


2 Haga clic en la pestaña Configuración de dispositivos y haga clic en SMTP.

3 Introduzca el nombre de host del servidor SMTP.

Por ejemplo: smtp.example.com

4 Introduzca el número de puerto del servidor SMTP.

Por ejemplo: 25

5 (Opcional) Si el servidor SMTP requiere autenticación, introduzca el nombre de usuario y lacontraseña.


7 Para personalizar la dirección del remitente en las notificaciones de correo electrónico, agregue ladirección al archivo runtime-config.properties.

a Inicie sesión en el dispositivo virtual de VMware Identity Manager.

b Edite el archivo /usr/local/horizon/conf/runtime-config.properties y añada lasiguiente propiedad:

notification.emails.support=emailaddress

Por ejemplo:

[email protected]

c Guarde el archivo.

d Reinicie el dispositivo virtual.


Esto cambia la dirección del remitente de la dirección predeterminada [email protected] la dirección de personalizada.


VMware, Inc. 52

Configuración avanzada deldispositivoVMware Identity Manager 4Cuando haya completado la instalación de dispositivos virtuales de VMware Identity Manager, puede quetenga que completar otras tareas de configuración, como habilitar el acceso externo aVMware Identity Manager y configurar la redundancia.

El diagrama de la arquitectura de VMware Identity Manager demuestra cómo se puede implementar elentorno de VMware Identity Manager. Consulte una implementación típica en Capítulo 1 Preparar lainstalación de VMware Identity Manager.

Este capítulo cubre los siguientes temas:n Usar un equilibrador de carga o un proxy inverso para habilitar el acceso externo a VMware Identity

Manager

n Configurar la conmutación por error y la redundancia en un centro de datos único

n Implementar VMware Identity Manager en un centro de datos secundario para la conmutación deerror y la redundancia

Usar un equilibrador de carga o un proxy inverso parahabilitar el acceso externo a VMware Identity ManagerDurante la implementación, el dispositivo virtual VMware Identity Manager se configura en el interior de lared interna. Si desea proporcionar acceso al servicio a aquellos usuarios que se conectan desde redesexteriores, debe instalar un equilibrador de carga o un proxy inverso, como Apache, nginx o F5 en la redperimetral o DMZ.

Si no usa un equilibrador de carga o un proxy inverso, no podrá ampliar en otra ocasión el número dedispositivos de VMware Identity Manager. Puede que necesite agregar más dispositivos paraproporcionar redundancia y equilibrio de carga. El diagrama siguiente muestra la arquitectura deimplementación básica que puede usar para habilitar el acceso externo.

VMware, Inc. 53

Figura 4‑1. Proxy de equilibrador de carga externo con máquina virtual

Dispositivo virtual

Usuarios internos

Usuarios externos

Cortafuegos de DMZ

Puerto 443 Puerto 443

VMware Identity Manager

Equilibrador de carga externoNombre de host: FQDN de VMware Identity ManagerDirección IP de ejemplo: 64.x.y.zPuerto: Puerto de VMware Identity ManagerDebe habilitar encabezados X-Forwarded-For.

Dispositivo virtual

Dispositivo virtual

Dispositivo virtual

Equilibrador de carga internoNombre de host: FQDN de VMware Identity ManagerDirección IP de ejemplo: 10.x.y.zPuerto: Puerto de VMware Identity ManagerDebe habilitar encabezados X-Forwarded-For.

Especifique el FQDN del de VMware Identity Manager durante laimplementaciónDurante la implementación de la máquina virtual VMware Identity Manager , proporciona el número depuerto y el FQDN de VMware Identity Manager . Estos valores deben dirigir al nombre de host al quedesea que los usuarios finales obtengan acceso.

La máquina virtual VMware Identity Manager siempre se ejecuta a través del puerto 443. Puede usar unnúmero de puerto diferente para el equilibrador de carga. Si usa un número de puerto diferente, debeespecificarlo durante la implementación.


VMware, Inc. 54

Opciones del equilibrador de carga para configurarLa configuración del equilibrador de carga incluye habilitar encabezados X-Forwarded-For, establecercorrectamente el tiempo de espera del equilibrador de carga y habilitar sesiones sticky. Además, se debeconfigurar una confianza SSL entre el equilibrador de carga y el dispositivo virtualVMware Identity Manager.

n Encabezados X-Forwarded-For

Debe habilitar encabezados X-Forwarded-For para su equilibrador de carga. Esto determina elmétodo de autenticación. Consulte la documentación proporcionada por el proveedor de suequilibrador de carga para obtener más información.

n Tiempo de espera del equilibrador de carga

Para que VMware Identity Manager funcione correctamente, es posible que necesite aumentar elvalor predeterminado correspondiente al tiempo de espera para las solicitudes del equilibrador decarga. Este valor se expresa en minutos. Si el valor del tiempo de espera es demasiado bajo, puedeque se muestre el mensaje de error 502, que indica que el servicio no se encuentra disponible enese momento.

n Habilitar sesiones sticky

Debe habilitar la configuración de las sesiones sticky en el equilibrador de carga si la implementacióntiene varios dispositivos de VMware Identity Manager. El equilibrador de carga enlazará entonces lasesión de un usuario a una instancia específica.

n Compatibilidad con WebSocket

El equilibrador de carga debe admitir WebSocket para habilitar los canales de comunicación seguraentre los conectores y los nodos de VMware Identity Manager.

n Cifrados con confidencialidad directa

Los requisitos de seguridad de transporte de la aplicación iOS de Apple se aplican a la aplicaciónWorkspace ONE en iOS. Para permitir que los usuarios utilicen la aplicación Workspace ONE eniOS, el equilibrador de carga debe tener cifrados con confidencialidad directa. Estas son los cifradosque cumplen los requisitos:

ECDHE_ECDSA_AES y ECDHE_RSA_AES en el modo GCM o CBC

tal como se especifica en el documento Seguridad de iOS de iOS 11:

"La seguridad de transporte de las app proporciona unos requisitos de conexión por omisión, demanera que las apps cumplan las buenas prácticas para conexiones seguras al utilizar las APINSURLConnection, CFURL o NSURLSession. Por omisión, la seguridad de transporte de las appslimita la selección de cifrados para incluir solo conjuntos que proporcionen la confidencialidad directa,concretamente ECDHE_ ECDSA_ AES y ECDHE_ RSA_ AES en modo GCM o CBC".


VMware, Inc. 55

Aplicar el certificado raíz de VMware Identity Manager alequilibrador de cargaCuando el dispositivo virtual VMware Identity Manager se configure detrás de un equilibrador de carga,deberá establecer la confianza de SSL entre este y VMware Identity Manager. El certificado raíz deVMware Identity Manager se debe copiar en el equilibrador de carga.

El certificado raíz de VMware Identity Manager puede descargarse desde la página Configuración deldispositivo > Administrar la configuración > Instalar certificados SSL > Certificado de servidor enla consola administrativa.

Si el FQDN de VMware Identity Manager dirige a un equilibrador de carga, el certificado SSL solo sepuede aplicar al equilibrador de carga.

Como el equilibrador de carga se comunica con el dispositivo virtual del VMware Identity Manager , debecopiar el certificado raíz de la CA de VMware Identity Manager al equilibrador de carga como certificadoraíz de confianza.

Procedimiento

1 En la consola administrativa, seleccione la pestaña Configuración del dispositivo, a continuación,haga clic en Configuración del dispositivo virtual > Administrar la configuración.

2 En el cuadro de diálogo que se abrirá, escriba la contraseña de usuario administrador.

3 Seleccione Instalar certificados SSL > Certificado de servidor.

4 Haga clic en el vínculo Certificados de CA raíz autofirmados del dispositivo.


VMware, Inc. 56

Se muestra el certificado.

5 Copie todo lo que hay entre las líneas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE----,incluyendo estas líneas, y pegue el certificado raíz en la ubicación correcta de cada uno de susequilibradores de carga. Consulte la documentación proporcionada por el proveedor deequilibradores de carga.


Copie y pegue el certificado raíz del equilibrador de carga en el dispositivoVMware Identity Managerconector.

Aplicar el certificado raíz del equilibrador de carga aVMware Identity ManagerCuando el dispositivo virtual VMware Identity Manager se configure detrás de un equilibrador de carga,deberá establecer la confianza entre este y VMware Identity Manager. Además de copiar el certificadoraíz de VMware Identity Manager al equilibrador de carga, deberá copiar el certificado del equilibrador decarga a VMware Identity Manager.


VMware, Inc. 57

Procedimiento

1 Obtenga el certificado raíz del equilibrador de carga.

2 En la consola administrativa, seleccione la pestaña Configuración del dispositivo, a continuación,haga clic en Configuración del dispositivo virtual > Administrar la configuración.

3 En el cuadro de diálogo que se abrirá, escriba la contraseña de usuario administrador.

4 Seleccione Instalar certificados SSL > Entidades de certificación de confianza.

5 Pegue el certificado raíz del equilibrador de carga en el cuadro de texto Certificado raíz ointermedio.



VMware, Inc. 58

Configurar los valores del servidor proxy paraVMware Identity ManagerEl dispositivo virtual de VMware Identity Manager accede al catálogo de aplicaciones en la nube y a otrosservicios web en Internet. Si su configuración de red proporciona acceso a Internet a través de un proxyHTTP, deberá ajustar la configuración del proxy en el dispositivo VMware Identity Manager.

Habilite su proxy para gestionar solo el tráfico de Internet. Para asegurar que el proxy esté configuradocorrectamente, establezca el parámetro de tráfico interno en la opción no-proxy dentro del dominio.

Procedimiento

1 Desde vSphere Client, inicie la sesión como usuario root en el dispositivo virtual deVMware Identity Manager.

2 Introduzca YaST en la línea de comandos para ejecutar la utilidad YaST.

3 En el panel izquierdo, seleccione Servicios de red y, a continuación, Proxy.

4 Introduzca las URL del servidor proxy en los campos de URL del proxy HTTP y URL del proxyHTTPS.

5 Seleccione Finalizar y salga de la utilidad YaST.

6 Reinicie el servidor Tomcat en el dispositivo virtual de VMware Identity Manager para utilizar la nuevaconfiguración del proxy.


El catálogo de aplicaciones en la nube y otros servicios web ya están disponibles enVMware Identity Manager.

Configurar la conmutación por error y la redundancia enun centro de datos únicoPara obtener la conmutación por error y la redundancia, puede agregar varios dispositivos virtuales deVMware Identity Manager en un clúster. VMware Identity Manager seguirá disponible aunque uno de losdispositivos virtuales se apague por algún motivo.

Debe instalar y configurar primero un dispositivo virtual de VMware Identity Manager y, a continuación,clonarlo. Al clonar el dispositivo virtual, se crea un duplicado del mismo con la misma configuración queel original. Puede personalizar el dispositivo virtual clonado para que el nombre, la configuración de red yotras propiedades pasen a ser obligatorios.

Antes de clonar el dispositivo virtual de VMware Identity Manager, debe configurarlo detrás de unequilibrador de carga y cambiar su nombre de dominio completo (FQDN) para que coincida con el FQDNdel equilibrador de carga. Además, debe completar la configuración del directorio en el servicio deVMware Identity Manager antes de clonar el dispositivo.


VMware, Inc. 59

Tras realizar el proceso de clonación, debe asignar una nueva dirección IP al dispositivo virtual clonadoantes de encenderlo. La dirección IP del dispositivo virtual clonado debe seguir las mismas directricesque la del dispositivo virtual original. La dirección IP debe resolverse en un nombre de host válido conuna DNS directa e inversa.

Los nodos del clúster de VMware Identity Manager son copias idénticas y casi sin estado unas de otras.La sincronización con Active Directory y con los recursos configurados, como View o ThinApp, estádeshabilitada en los dispositivos virtuales clonados.

1 Número recomendado de nodos en el clúster de VMware Identity Manager

Se recomienda configurar un clúster de VMware Identity Manager con tres nodos.

2 Cambiar el FQDN de VMware Identity Manager al FQDN del equilibrador de carga

Antes de clonar el dispositivo virtual VMware Identity Manager, debe cambiar su nombre de dominioplenamente cualificado (FQDN) para que coincida con el FQDN del equilibrador de carga.

3 Clonar el dispositivo virtual.

4 Asignar una nueva dirección IP a un dispositivo virtual clonado

Se debe asignar una nueva dirección IP a cada dispositivo virtual clonado antes de encenderlo. Ladirección IP se debe poder resolver en el servidor DNS. Si la dirección no está en el DNS inverso,se debe asignar también el nombre de host.

5 Habilitar la sincronización de directorio en otra instancia de en caso de fallo

6 Eliminar un nodo de un clúster

Si un nodo del clúster de VMware Identity Manager no funciona correctamente y no puederecuperarse, puede eliminarlo del clúster con el comando Eliminar nodo. El comando elimina lasentradas del nodo de la base de datos de VMware Identity Manager.

Número recomendado de nodos en el clúster deVMware Identity ManagerSe recomienda configurar un clúster de VMware Identity Manager con tres nodos.

El dispositivo VMware Identity Manager incluye Elasticsearch, un motor de búsqueda y análisis.Elasticsearch tiene una limitación conocida con los clústeres de dos nodos. Consulte la documentaciónde Elasticsearch para obtener una descripción sobre la limitación de "cerebro dividido". Tenga en cuentaque no tiene que configurar Elasticsearch.

Un clúster de VMware Identity Manager con dos nodos produce una función de error con algunaslimitaciones relacionadas con Elasticsearch. Si se desconecta uno de los nodos, se aplican las siguienteslimitaciones hasta que el nodo vuelve a conectarse:

n El panel de control no muestra ningún dato.

n La mayoría de los informes no está disponible.

n La información del registro de sincronización no aparece en los directorios.

n El campo de búsqueda situado en la esquina superior derecha de la consola de administración nodevuelve ningún resultado.


VMware, Inc. 60

https://www.elastic.co/guide/en/elasticsearch/guide/1.x/_important_configuration_changes.html#_minimum_master_nodes

https://www.elastic.co/guide/en/elasticsearch/guide/1.x/_important_configuration_changes.html#_minimum_master_nodes

n La función de autocompletar no está disponible en los campos de texto.

No hay ninguna pérdida de datos durante el tiempo en el que el nodo está desconectado. La informacióndel registro de sincronización y del evento de auditoría se almacena y se mostrará cuando se restablezcael nodo.

Cambiar el FQDN de VMware Identity Manager al FQDN delequilibrador de cargaAntes de clonar el dispositivo virtual VMware Identity Manager, debe cambiar su nombre de dominioplenamente cualificado (FQDN) para que coincida con el FQDN del equilibrador de carga.

Prerequisitos

n El dispositivo VMware Identity Manager se agrega a un equilibrador de carga.

n Se aplicó el certificado raíz de CA a VMware Identity Manager.

Procedimiento

1 Inicie la sesión en la consola de administración de VMware Identity Manager.

2 Seleccione la pestaña Configuración de dispositivos.

3 En la página Configuración del dispositivo virtual, haga clic en Administrar configuración.

4 Introduzca su contraseña de administrador para iniciar la sesión.

5 Haga clic en Configuración de Identity Manager.

6 En el campo FQDN de Identity Manager, cambie la parte del nombre de host de la URL del nombrede host de VMware Identity Manager por el nombre de host del equilibrador de carga.

Por ejemplo, si su nombre de host de VMware Identity Manager es miservicio y el nombre de hostde su equilibrador de carga es milb, cambiaría la URL

https://myservice.mycompany.com

por la siguiente:

https://mylb.mycompany.com


VMware, Inc. 61


n El FQDN se cambiará por el FQDN del equilibrador de carga.

n La URL del proveedor de identidades se cambiará por la URL del equilibrador de carga.


Clone el dispositivo virtual.

Clonar el dispositivo virtual.Clone el dispositivo virtual de VMware Identity Manager para crear varios dispositivos virtuales del mismotipo para distribuir el tráfico y eliminar el tiempo de inactividad potencial.

Al utilizar varios dispositivos virtuales de VMware Identity Manager se mejora la disponibilidad, se cargansolicitudes de balances al servicio y se disminuyen los tiempos de respuesta al usuario final.

Prerequisitos

n El dispositivo virtual de VMware Identity Manager debe configurarse tras un equilibrador de carga.Compruebe que el puerto del equilibrador de carga es el 443. No use el puerto 8443 ya que es elpuerto administrativo y es de uso exclusivo para cada dispositivo virtual.

n Se configura una base de datos externa como se describe en Establecer conexión con la base dedatos.

n Compruebe que completa la configuración del directorio en VMware Identity Manager.


VMware, Inc. 62

n Inicie sesión en la consola de dispositivos virtuales como usuario raíz y elimine elarchivo /etc/udev/rules.d/70-persistent-net.rules, si existe. Si no elimina este archivoantes de la clonación, la red no se configura correctamente en el dispositivo virtual clonado.

Procedimiento

1 Inicie sesión en vSphere Client o en vSphere Web Client y diríjase al dispositivo virtual deVMware Identity Manager.

2 Haga clic con el botón derecho en el dispositivo virtual y seleccione Clonar.

3 Introduzca el nombre del dispositivo virtual clonado y haga clic en Siguiente.

El nombre debe ser único dentro de la carpeta de la máquina virtual.

4 Seleccione el host o el clúster en el que desea ejecutar el dispositivo virtual clonado y haga clic enSiguiente.

5 Seleccione el grupo de recursos en el que va a ejecutar el dispositivo virtual y haga clic enSiguiente.

6 Para el formato de disco virtual, seleccione Mismo formato que el origen.

7 Seleccione la ubicación del almacén de datos donde quiera almacenar los archivos del dispositivovirtual y haga clic en Siguiente.

8 Seleccione la opción de no personalizar como la opción del sistema operativo invitado.

9 Revise las opciones y haga clic en Finalizar.

Se implementará el dispositivo virtual clonado. No puede utilizar ni editar el dispositivo virtual hasta quela clonación finalice.


Asigne una dirección IP al dispositivo virtual clonado antes de conectarlo y agréguelo al equilibrador decarga.

Asignar una nueva dirección IP a un dispositivo virtual clonadoSe debe asignar una nueva dirección IP a cada dispositivo virtual clonado antes de encenderlo. Ladirección IP se debe poder resolver en el servidor DNS. Si la dirección no está en el DNS inverso, sedebe asignar también el nombre de host.

Procedimiento

1 En vSphere Client o vSphere Web Client, seleccione el dispositivo virtual clonado.

2 En la pestaña Resumen, en Comandos, haga clic en Editar configuración.

3 Seleccione Opciones y, en la lista de opciones de vApp, seleccione Propiedades.

4 Cambie la dirección IP en el campo Dirección IP.

5 Si la dirección IP no se encuentra en el servidor DNS inverso, agregue el nombre de host en elcuadro de texto HostName.


VMware, Inc. 63

6 Haga clic en Aceptar.

7 Encienda el dispositivo clonado y espere a que aparezca la pantalla azul de inicio de sesión en lapestaña Consola.

IMPORTANTE: Antes de encender el dispositivo clonado, asegúrese de que el dispositivo originalesté completamente encendido.


n Espere unos minutos a que se cree el clúster de Elasticsearch antes de agregar el dispositivo virtualclonado al equilibrador de carga.

Elasticsearch es un motor de búsqueda y análisis que se encuentra integrado en el dispositivovirtual.

a Inicie la sesión en el dispositivo virtual clonado.

b Compruebe el clúster de Elasticsearch:

curl -XGET 'http://localhost:9200/_cluster/health?pretty=true'

Compruebe que el resultado corresponda al número de nodos.

n Agregue el dispositivo virtual clonado al equilibrador de carga y configure el equilibrador de cargapara distribuir el tráfico. Para obtener información, consulte la documentación del proveedor delequilibrador de carga.

n Si se había unido a un dominio en la instancia del servicio original, deberá unirse al dominio en lasinstancias del servicio clonado.a Inicie sesión en la consola de administración de VMware Identity Manager.

b Seleccione la pestaña Administración de acceso e identidad y, a continuación, haga clic enConfiguración.

El componente de conector de cada una de las instancias del servicio clonadas se indica en lapágina Conectores.

c En cada conector de la lista, haga clic en Unirse al dominio y especifique la información deldominio.

Para obtener más información sobre Active Directory, consulte Integración de directorios conVMware Identity Manager.

n En directorios con tipo de autenticación integrada de Windows (IWA), se debe hacer lo siguiente:a En las instancias del servicio clonadas, únase al dominio al que estaba unido el directorio de IWA

en la instancia del servicio original.1 Inicie sesión en la consola de administración de VMware Identity Manager.

2 Seleccione la pestaña Administración de acceso e identidad y, a continuación, haga clicen Configuración.

El componente de conector de cada una de las instancias del servicio clonadas se indica enla página Conectores.


VMware, Inc. 64

3 En cada conector de la lista, haga clic en Unirse al dominio y especifique la información deldominio.

b Guarde la configuración del directorio de IWA.

1 Seleccione la pestaña Administración de acceso e identidad.

2 En la página Directorios, haga clic en el enlace del directorio de IWA.

3 Haga clic en Guardar para guardar la configuración del directorio.

n Si actualizó el archivo /etc/krb5.conf de forma manual en la instancia del servicio principal para,por ejemplo, resolver el error de la sincronización de View o la lentitud de este proceso, debeactualizar el archivo en la instancia clonada después de que esta se conecte al dominio. En todas lasinstancias del servicio clonado, realice las siguientes tareas:

a Edite el archivo /etc/krb5.conf y actualice la sección realms para especificar los mismosvalores de dominio a host que se utilizan en elarchivo /usr/local/horizon/conf/domain_krb.properties. No es necesario especificar elnúmero de puerto. Por ejemplo, si el archivo domain_krb.properties tiene la entrada dedominio example.com=examplehost.example.com:389, debería actualizar el archivokrb5.conf a los siguientes valores.

[realms]

GAUTO-QA.COM = {

auth_to_local = RULE:[1:$0\$1](^GAUTO-QA\.COM\\.*)s/^GAUTO-QA\.COM/GAUTO-QA/

auth_to_local = RULE:[1:$0\$1](^GAUTO-QA\.COM\\.*)s/^GAUTO-QA\.COM/GAUTO-QA/

auth_to_local = RULE:[1:$0\$1](^GAUTO2QA\.GAUTO-QA\.COM\\.*)s/^GAUTO2QA\.GAUTO-

QA\.COM/GAUTO2QA/

auth_to_local = RULE:[1:$0\$1](^GLOBEQE\.NET\\.*)s/^GLOBEQE\.NET/GLOBEQE/

auth_to_local = DEFAULT

kdc = examplehost.example.com

}

NOTA: Es posible tener varias entradas kdc, aunque no es un requisito, ya que en muchoscasos solo hay un único valor kdc. Si decide definir valores kdc adicionales, cada línea tendráuna entrada kdc que definirá un controlador de dominio.

b Reinicie el servicio del área de trabajo.


NOTA: Consulte también el artículo 2091744 de la Base de conocimientos.

n Habilite los métodos de autenticación configurados para conector en cada una de las instanciasclonadas. Para obtener más información, consulte la Guía de administración deVMware Identity Manager.


VMware, Inc. 65

https://kb.vmware.com/kb/2091744

El dispositivo virtual del servicio VMware Identity Manager ya es de alta disponibilidad. El tráfico sedistribuye a los dispositivos virtuales del clúster según la configuración del equilibrador de carga. Laautenticación en el servicio es de alta disponibilidad. No obstante, para la función de sincronización dedirectorio del servicio, en caso de fallo de una instancia del servicio, se deberá habilitar manualmente lasincronización de directorio en una instancia del servicio clonada. De la sincronización del directorio seencarga el componente de conector del servicio y solo se puede habilitar en un conector cada vez.Consulte Habilitar la sincronización de directorio en otra instancia de en caso de fallo.

Habilitar la sincronización de directorio en otra instancia de encaso de falloEn caso de un fallo de la instancia del servicio, la autenticación la gestiona automáticamente unainstancia clonada, como se configuró en el equilibrador de carga. No obstante, para la sincronización deldirectorio es necesario modificar la configuración del directorio en el servicio VMware Identity Managerpara utilizar una instancia clonada. De la sincronización del directorio se encarga el componente deconector del servicio y solo se puede habilitar en un conector cada vez.

Procedimiento


2 Haga clic en la pestaña Administración de acceso e identidad y, a continuación, en Directorios.

3 Haga clic en el directorio asociado al a instancia del servicio original.

Puede consultar esta información en la página Configuración > Conectores. La página indica elcomponente de conector de cada uno de los dispositivos virtuales del servicio del clúster.

4 En la sección Sincronización y autenticación de directorios de la página del directorio, en elcampo Conector de sincronización, seleccione uno de los otros conectores.


VMware, Inc. 66

5 En el campo Contraseña del DN de enlace, introduzca la contraseña de la cuenta de enlace de

Active Directory.


Eliminar un nodo de un clústerSi un nodo del clúster de VMware Identity Manager no funciona correctamente y no puede recuperarse,puede eliminarlo del clúster con el comando Eliminar nodo. El comando elimina las entradas del nodo dela base de datos de VMware Identity Manager.

Puede comprobar el estado de los nodos del clúster si consulta su estado en el panel de información dediagnósticos del sistema. Un mensaje El nodo actual se encuentra en un estado incorrectoindica que el nodo no está funcionando correctamente.

IMPORTANTE: Use el comando Eliminar nodo con moderación. Utilícelo solo cuando un nodo seencuentre en un estado irrecuperable y deba eliminarse por completo de la implementación deVMware Identity Manager.

NOTA: No puede utilizar el comando Eliminar nodo para quitar el último nodo de un clúster.

Desasociar el componente conector de los dominios, la configuración desincronización de directorios y el proveedor de identidades integradoPara poder eliminar un nodo de un clúster de VMware Identity Manager, debe asegurarse de que elcomponente conector del nodo no se encuentre unido a ningún dominio, no se utilice como un conectorde sincronización y no esté asociado al proveedor de identidades integrado.


VMware, Inc. 67

Prerequisitos

Debe iniciar sesión como administrador de arrendatarios, es decir, un administrador local en el serviciode VMware Identity Manager. Un administrador de dominios sincronizado desde el directorio empresarialno tiene los permisos necesarios.

Procedimiento


2 Haga clic en la pestaña Administración de acceso e identidad y, a continuación, enConfiguración.

Se abrirá la página Conectores.

3 Si el componente conector del nodo está unido al dominio, abandone el dominio.

a En la página Conectores, busque el componente conector del nodo que desea eliminar.

El componente conector tiene el mismo nombre que el nodo.

b Si la columna Acciones disponibles muestra un botón Dejar el dominio, haga clic en el botónpara abandonar el dominio.

4 Si el componente conector del nodo se utiliza como conector de sincronización de algún directorio,cambie la opción de configuración Conector de sincronización del directorio para usar otro conector.

a En la columna Directorio asociado de la página Conectores, consulte los directorios con los queel componente conector está asociado.

b Haga clic en un vínculo de directorio.

c En la sección Sincronización y autenticación de directorios de la página de directorios,compruebe el valor de la opción Conector de sincronización.

d Si el componente conector se utiliza como conector de sincronización, seleccione otro conectorpara la opción Conector de sincronización y haga clic en Guardar.

e Repita estos pasos para todos los directorios con los que el componente conector está asociado.

5 Si el componente conector está asociado con el proveedor de identidades integrado, puedeeliminarlo del proveedor de identidades.

a En la página Conectores, en la columna Proveedor de identidades, consulte los proveedoresde identidades con los que está asociado el componente conector.

b Si el proveedor de identidades integrado forma parte de la lista, haga clic en el vínculo.

c En la página del proveedor de identidades, en la sección Conectores, haga clic en el iconoEliminar junto al conector.


Elimine el nodo del clúster.


VMware, Inc. 68

Eliminar el nodo del clústerDespués de desasociar el componente conector del nodo de los dominios, la configuración desincronización de directorios y el proveedor de identidades integrado, puede eliminar el nodo del clúster.

NOTA: No puede utilizar el comando Eliminar para quitar el último nodo de un clúster.

Prerequisitos

n Para eliminar un nodo, debe iniciar sesión como administrador de arrendatarios, es decir, unadministrador local en el servicio de VMware Identity Manager. Un administrador de dominiossincronizado desde el directorio empresarial no tiene los permisos necesarios.

n Desasoció el componente conector del nodo de los dominios, la configuración de sincronización dedirectorios y el proveedor de identidades integrado, si es necesario. Consulte Desasociar elcomponente conector de los dominios, la configuración de sincronización de directorios y elproveedor de identidades integrado.

Procedimiento

1 Desconecte la máquina virtual del nodo.

a Inicie sesión en la instancia de vCenter Server.

b Haga clic con el botón secundario en la máquina virtual del nodo y seleccione Alimentación >Apagar.

2 Elimine el nodo del equilibrador de carga.

3 En la consola de administración de VMware Identity Manager, elimine el nodo.

a Inicie sesión en la consola de administración de VMware Identity Manager como administradorlocal.

b Haga clic en la flecha hacia abajo de la pestaña Panel de información y seleccione el Panel deinformación de diagnósticos del sistema.

c Busque el nodo que desea eliminar.

El nodo mostrará el siguiente estado:

El nodo actual se encuentra en un estado incorrecto. ¿Desea eliminarlo?

d Haga clic en el vínculo Eliminar que se muestra junto al mensaje.

Se eliminará el nodo del clúster. Las entradas para el nodo se eliminarán de la base de datos deVMware Identity Manager. El nodo también se eliminará de los clústeres de Elasticsearch y Ehcacheintegrados.


VMware, Inc. 69


Espere de 5 a 15 minutos para que los clústeres de Elasticsearch y Ehcache integrados se estabilicenantes de utilizar otros comandos.

Implementar VMware Identity Manager en un centro dedatos secundario para la conmutación de error y laredundanciaPara proporcionar funcionalidades de conmutación por error si el centro de datos deVMware Identity Manager primario no se encuentra disponible, es necesario queVMware Identity Manager se implemente en un centro de datos secundario.

Al usar un centro de datos secundario, los usuarios finales pueden iniciar sesión y usar las aplicacionessin tiempo de inactividad. Un centro de datos secundario también le proporciona a los administradores lacapacidad de actualizar VMware Identity Manager a la siguiente versión sin ningún tiempo de inactividad.Consulte Actualizar VMware Identity Manager sin tiempo de inactividad.

A continuación se muestra una implementación típica con un centro de datos secundario.

vIDM1vIDM2

(Clonado de vIDM1)

vIDM3(Clonado de vIDM1)

Horizon View Arquitectura Cloud Pod

Agente de escucha SQL Server AlwaysOn

Repositorio de ThinApp (DFS)

XenFarmA

XenFarmB

Pod de ViewA

Pod de View B

Pod de ViewC

Pod de ViewD

XenFarmC

XenFarmD

LB global

DC1 LB

SQL Server(Principal)

AlwaysOn




DC2 LB

SQL Server(Réplica)


VMware, Inc. 70

Siga estas instrucciones para realizar una implementación de centro de datos múltiple.

n Implementación del clúster: es necesario implementar como un clúster un grupo de tres o másdispositivos virtuales de VMware Identity Manager en un centro de datos y otro grupo de tres o másdispositivos virtuales como otro clúster en el segundo centro de datos. Consulte Configurar un centrode datos secundario para obtener más información.

n Base de datos: VMware Identity Manager usa la base de datos para almacenar información. Pararealizar una implementación de un centro de datos múltiple, es crucial la replicación de las bases dedatos entre los dos centros de datos. Consulte la documentación de la base de datos para obtenermás información sobre cómo configurar una base de datos en centros de datos múltiples. Porejemplo, con SQL Server, se recomienda la implementación de AlwaysOn. Consulte Grupos dedisponibilidad AlwaysOn (SQL Server) en el sitio web de Microsoft para obtener más información.Las funciones de VMware Identity Manager esperan una latencia muy baja entre la base de datos yel dispositivo de VMware Identity Manager. Por lo tanto, se espera que los dispositivos en un centrode datos se conecten a la base de datos del mismo centro de datos.

n No activo-Activo: VMware Identity Manager no es compatible con una implementación Activo-Activodonde se puede proporcionar usuarios desde ambos centros de datos al mismo tiempo. El centro dedatos secundario es un método de espera activa y se puede usar para proporcionar a los usuariosfinales una continuidad del trabajo. Los dispositivos de VMware Identity Manager en el centro dedatos secundario están en modo de solo lectura. Por lo tanto, después de producirse unaconmutación por error en ese centro de datos, no funcionarán la mayoría de las operaciones deadministrador, como agregar usuarios o aplicaciones o autorizar usuarios.

n Conmutación por recuperación en el primario: en la mayoría de los escenarios de error, puederealizar una conmutación por recuperación en el centro de datos primario una vez que vuelva a lanormalidad. Para obtener más información, consulte Realizar una conmutación por recuperación enel centro de datos primario.

n Ascender el secundario a primario: en caso de un error extendido del centro de datos, el centro dedatos secundario puede pasar a ser primario. Para obtener más información, consulte Ascender uncentro de datos secundario a primario.

n Nombre de dominio completo: el nombre de dominio completo para acceder aVMware Identity Manager debe ser el mismo en todos los centros de datos.

n Auditorías: VMware Identity Manager usa Elasticsearch incrustado en el dispositivo deVMware Identity Manager para realizar informes de la auditoría y para los registros de sincronizaciónde los directorios. Se deben crear clústeres de Elasticsearch independientes en cada centro dedatos. Consulte Configurar un centro de datos secundario para obtener más información.

n Active Directory: VMware Identity Manager puede conectarse a Active Directory con la API LDAP ocon la Autenticación de Windows integrada. En ambos métodos, VMware Identity Manager puedeutilizar los informes SRV de Active Directory para llegar al controlador de dominio apropiado de cadacentro de datos.


VMware, Inc. 71

https://msdn.microsoft.com/en-us/library/ff877884.aspx

https://msdn.microsoft.com/en-us/library/ff877884.aspx

n Aplicaciones de Windows: VMware Identity Manager admite acceder a las aplicaciones de Windowscon ThinApp, así como a los escritorios y las aplicaciones de Windows con las tecnologías HorizonView o Citrix. Suele ser importante enviar estos recursos desde un centro de datos cercano alusuario, también denominado Geo-Affinity. Tenga en cuenta los siguientes aspectos sobre losrecursos de Windows:

n ThinApp: VMware Identity Manager admite Windows Distributed File Systems como unrepositorio de ThinApp. Use la documentación de Windows Distributed File Systems paraconfigurar las directivas específicas de la ubicación.

n Horizon View (con Arquitectura Cloud Pod): VMware Identity Manager admite la HorizonArquitectura Cloud Pod. La Horizon Arquitectura Cloud Pod proporciona Geo-Affinity conautorizaciones globales. Consulte "Integrar las implementaciones de la Arquitectura Cloud Pod"en Configurar recursos en VMware Identity Manager para obtener más información. No sonnecesarios cambios adicionales para la implementación de un centro de datos múltiple deVMware Identity Manager.

n Horizon View (sin la Arquitectura Cloud Pod): si la Horizon Arquitectura Cloud Pod no estáhabilitada en su entorno, no puede habilitar Geo-Affinity. Después de un evento de conmutaciónpor error, puede cambiar de forma manual VMware Identity Manager para iniciar los recursos deHorizon View desde los pods de View configurados en el centro de datos secundario. Consulte Configurar el orden de conmutación por error de los recursos publicados en Citrix y Horizon Viewpara obtener más información.

n Recursos de Citrix: como con Horizon View (sin la Arquitectura Cloud Pod), no puede habilitar losrecursos de Citrix para Geo-Affinity. Después de un evento de conmutación por error, puedecambiar de forma manual VMware Identity Manager para iniciar los recursos de Citrix desdeXenFarms configurados en el centro de datos secundario. Consulte Configurar el orden deconmutación por error de los recursos publicados en Citrix y Horizon View para obtener másinformación.

Configurar un centro de datos secundarioEl centro de datos secundario se administra normalmente con un servidor vCenter distinto. Al configurarel centro de datos secundario puede configurar e implementar lo siguiente según sus necesidades.

n Los dispositivos de VMware Identity Manager en el centro de datos secundario, creados a partir deun archivo OVA importado del centro de datos primario

n Equilibrador de carga del centro de datos secundario

n Autorizaciones y recursos basados en Citrix y Horizon View duplicado

n Configuración de base de datos

n Entrada de DNS o del equilibrador de carga en los centros de datos primario y secundario paraconmutación por error


VMware, Inc. 72

RequisitosAsegúrese de cumplir estos requisitos para implementar VMware Identity Manager en un centro de datossecundario.

n Asegúrese de que el certificado de VMware Identity Manager incluya el FQDN del equilibrador decarga del centro de datos principal, así como el FQDN del equilibrador de carga del centro de datossecundario. De lo contrario, el certificado debe ser un certificado comodín.

n Los puertos 443 y 8443 deben estar abiertos entre todas las instancias de VMware Identity Manager,tanto dentro de un clúster como entre clústeres de centros de datos diferentes.

Modificar el centro de datos primario para la replicaciónAntes de configurar el centro de datos secundario, configure el primario para las replicaciones deElasticsearch y Ehcache en los clústeres.

Elasticsearch y Ehcache se incrustan en el dispositivo virtual de VMware Identity Manager. Elasticsearches un motor de búsqueda y de análisis usado para los registros de sincronización de directorios, informesy auditorías. Ehcache proporciona funciones de almacenamiento en caché.

Configure estos cambios en todos los nodos del clúster del centro de datos primario.

Prerequisitos

Puede configurar un clúster de VMware Identity Manager en el centro de datos primario.


VMware, Inc. 73

Procedimiento

1 Configure Elasticsearch para la replicación.

Realice estos cambios en cada nodo del clúster del centro de datos primario.

a Establezca la ruta de Java para el complemento de Elasticsearch.

1vi ~/bash_profile

2 Agregue las siguientes líneas al archivo:

JAVA_HOME=/usr/java/jre-vmware/

export JAVA_HOME

export PATH=$PATH:$JAVA_HOME

3 Guarde el archivo.

4 Ejecute el siguiente comando:

. ~/bash_profile

b Enumere y quite el complemento de Elasticsearch.

/opt/vmware/elasticsearch/bin/plugin -l

/opt/vmware/elasticsearch/bin/plugin -r discovery-idm

c Agregue las direcciones IP de todos los nodos del centro de datos principal.

vi /opt/vmware/elasticsearch/config/elasticsearch.yml

discovery.zen.ping.unicast.hosts: [“DirecciónIP1”,“DirecciónIP2”,“DirecciónIP3”]

d Reinicie el servicio Elasticsearch.

service elasticsearch restart

e Agregue el FQDN del equilibrador de carga del clúster del centro de datos secundario en elarchivo /usr/local/horizon/conf/runtime-config.properties.

1 Edite el archivo /usr/local/horizon/conf/runtime-config.properties.

vi /usr/local/horizon/conf/runtime-config.properties

2 Agregue esta línea al archivo:

analytics.replication.peers=https://LB_FQDN_of_second_cluster

2 Configure Ehcache para la replicación.

Realice estos cambios en cada nodo del clúster del centro de datos primario.

a vi /usr/local/horizon/conf/runtime-config.properties


VMware, Inc. 74

b Agregue el FQDN del resto de nodos del clúster. No agregue el FQDN del nodo que estáeditando. Separe los FQDN con dos puntos.

ehcache.replication.rmi.servers=nodo2FQDN:nodo3FQDN

Por ejemplo:

ehcache.replication.rmi.servers=server2.example.com:server3.example.com

3 Si va a configurar SSO móvil para la autenticación de iOS, que utiliza el KDC integrado, realice lossiguientes cambios en cada nodo del clúster del centro de datos principal.

a Abra el archivo runtime-config.properties para editarlo.

vi /usr/local/horizon/conf/runtime-config.properties

b Agregue todos los nodos del clúster, delimitándolos con dos puntos.

components.kdc.servers=nodo1FQDN:nodo2FQDN:nodo3FQDN

NOTA: Si utiliza la función de KDC híbrido, este paso no es necesario.

4 Reinicie el servicio de VMware Identity Manager en todos los nodos.


5 Compruebe que el clúster esté configurado correctamente ejecutando el siguiente comando en todoslos nodos en el primer clúster.

curl 'http://localhost:9200/_cluster/health?pretty'

El comando, que comprueba el estado de Elasticsearch, debe devolver un resultado similar alsiguiente.

{

"cluster_name" : "horizon",

"status" : "green",

"timed_out" : false,

"number_of_nodes" : 3,

"number_of_data_nodes" : 3,

"active_primary_shards" : 20,

"active_shards" : 40,

"relocating_shards" : 0,

"initializing_shards" : 0,

"unassigned_shards" : 0,

"delayed_unassigned_shards" : 0,

"number_of_pending_tasks" : 0,

"number_of_in_flight_fetch" : 0

}

Si aparecen problemas, consulte Solucionar problemas de Elasticsearch.


VMware, Inc. 75


Cree un clúster en el centro de datos secundario. Cree los nodos exportando el archivo OVA del primerdispositivo virtual de VMware Identity Manager desde el clúster del centro de datos principal y usándolopara implementar los nuevos dispositivos virtuales en el centro de datos secundario.

Crear dispositivos virtuales de VMware Identity Manager en centros de datossecundariosPara configurar un clúster de VMware Identity Manager en un centro de datos secundario, debe exportarel archivo OVA del dispositivo de VMware Identity Manager original en el centro de datos primario yusarlo para implementar dispositivos en el secundario.

Prerequisitos

n El archivo OVA de VMware Identity Manager que se exportó del dispositivo VMware Identity Manageroriginal en el centro de datos principal

n Direcciones IP y registros DNS del centro de datos secundario

Procedimiento

1 En el centro de datos primario, exporte el archivo OVA del dispositivo de VMware Identity Manageroriginal.

Consulte la documentación de vSphere para obtener más información.

2 En el centro de datos secundario, implemente el archivo OVA de VMware Identity Manager que seexportó para crear los nuevos nodos.

Consulte la documentación de vSphere para obtener más información. Consulte también Instalacióndel archivo OVA de VMware Identity Manager.

3 Después de encender los dispositivos de VMware Identity Manager, actualice la configuración decada uno de ellos.

Los dispositivos de VMware Identity Manager del centro de datos secundario son copias idénticas deldispositivo de VMware Identity Manager original del centro de datos principal. La sincronización conActive Directory y los recursos configurados en el centro de datos principal está deshabilitada.


Vaya a las páginas de consola de administración y configure lo siguiente:

n Habilite la opción Unirse al dominio como se configuró en el dispositivo virtual deVMware Identity Manager original del centro de datos principal.

n En la página Adaptadores de autenticación, agregue los métodos de autenticación que estánconfigurados en el centro de datos principal.

n En la página Método de autenticación de directorio, habilite la autenticación de Windows, si estáconfigurada en el centro de datos principal.


VMware, Inc. 76

Diríjase a la página Instalar el certificado de configuración de dispositivos para agregar certificadosfirmados por la entidad de certificación, duplicando los certificados de los dispositivos deVMware Identity Manager del centro de datos principal. Consulte Utilizar certificados SSL.

Configurar nodos en el centro de datos secundarioDespués de crear nodos en el centro de datos secundario con el archivo OVA exportado del primario,configure los nodos.

Realice estos pasos en cada nodo del centro de datos secundario.

Procedimiento

u Actualice las tablas de IP.

a En el archivo /usr/local/horizon/scripts/updateiptables.hzn, actualice las direccionesIP de todos los nodos en el centro de datos secundario.

1 vi /usr/local/horizon/scripts/updateiptables.hzn

2 Busque y reemplace la línea ALL_IPS. Especifique las direcciones IP separadas con unespacio.

ALL_IPS="DirecciónIP_Nodo1 DirecciónIP_Nodo2 DirecciónIP_Nodo3"

3 Ejecute este script para abrir los puertos.

/usr/local/horizon/scripts/updateiptables.hzn

b Configure los nodos en el centro de datos secundario para la replicación y compruebe que esténcorrectamente configurados.

Aplique las instrucciones de Modificar el centro de datos primario para la replicación a los nodosen el centro de datos secundario.

Editar el archivo runtime-config.properties en el centro de datos secundarioDebe editar los archivos runtime-config.properties en los dispositivos de VMware Identity Managerdel centro de datos secundario para configurar el modo de solo lectura en estos dispositivos. Tambiénpuede cambiar la URL de JDBC en los nodos del centro de datos secundario si no utiliza tecnologíascomo SQL Server Always On.

Realice estos cambios en cada dispositivo de VMware Identity Manager en el centro de datossecundario.

Procedimiento

1 Con un cliente ssh, inicie sesión en el dispositivo VMware Identity Manager como usuario root.

2 Abra el archivo /usr/local/horizon/conf/runtime-config.properties.

3 Configure el dispositivo de VMware Identity Manager para tener acceso de solo lectura agregando lasiguiente línea:

read.only.service=true


VMware, Inc. 77

4 Guarde el archivo.

5 Cambie la URL de JDBC en los nodos del centro de datos secundario si no utiliza tecnologías comoSQL Server Always On.

Para obtener más información, consulte Configure VMware Identity Manager para usar una base dedatos externa.

6 Reinicie el servicio Tomcat en el dispositivo.


Configurar el orden de conmutación por error de los recursos publicados enCitrix y Horizon ViewPara los recursos publicados en Citrix y Horizon View, debe configurar el orden de conmutación por errorde los recursos en centros de datos principales y secundarios para que los recursos apropiados esténdisponibles desde cualquier centro de datos.

El comando hznAdminTool permite crear una tabla de base de datos con el orden de conmutación porerror de los recursos de su organización por instancia de servicio. Al iniciar un recurso se sigue el ordende conmutación por error configurado. El comando hznAdminTool failoverConfiguration se ejecutaen ambos centros de datos para configurar el orden de conmutación por error.

NOTA: Este procedimiento no se aplica a los entornos con Horizon View Cloud Pod Architecture (CPA).

Prerequisitos

Al implementar VMware Identity Manager en varios centros de datos, también se configuran los mismosrecursos en cada uno de ellos. Cada grupo de escritorios o aplicaciones de los pods de Horizon oXenFarms de Citrix se considera como un grupo diferente en el catálogo de VMware Identity Manager.Para evitar la duplicación de los recursos en el catálogo, asegúrese de habilitar No sincronizar lasaplicaciones duplicadas en las páginas de configuración de Horizon y Citrix en la consola deadministración.

Procedimiento


2 Para ver una lista de las instancias de servicio, escriba:

hznAdminTool -j clusterInstances

Se mostrará una lista de instancias de servicio. El valor "id" es el identificador de la instancia deservicio. Por ejemplo:

{

"clusterInstances":[{

"version" : "3.2.0.1 Build 8223322",

"uuid" : "7451fe26-5b02-32ef-bfe6-6fe0a8710a14",

"status" : "Active",

"lastUpdated" : 1523372105701,

"hostname" : "server.example.com",


VMware, Inc. 78

"datacenterId" : 0,

"id" : 2,

"ipaddress" : "10.143.105.45"}

]}

3 Para cada instancia de servicio de la organización, configure el orden de conmutación por error delos recursos basados en Citrix y Horizon con el siguiente comando:

hznAdminTool failoverConfiguration -configType <configType> -configuration

<configuration> -serviceInstanceId <serviceInstanceId>


-configType Introduzca el tipo de recurso que se configura para la conmutación por error. Losvalores pueden ser VIEW o XENAPP.

-configuration Introduzca el orden de la conmutación por error. Para VIEW configType, escribaen una lista separada por comas los nombres de host del servidor de conexiónde Horizon principal que se enumeran en la página de configuración de HorizonView en la consola de administración. Para XENAPP configType, introduzca losnombres de XenFarm en una lista separada por comas.

-serviceInstanceId Introduzca el ID de la instancia del servicio para el que se ha definido laconfiguración. Puede encontrar el ID en la lista mostrada en el paso 2, "id":

Por ejemplo:

hznAdminTool failoverConfiguration -configType VIEW -configuration

pod1vcs1.domain.com,pod2vcs1.hs.trcint.com -serviceInstanceId 1

Al introducir este comando para las instancias de VMware Identity Manager en el centro de datossecundario, invierta el orden de los servidores de conexión de Horizon. En este ejemplo, el comandosería hznAdminTool failoverConfiguration -configType VIEW -configurationpod2vcs1.hs.trcint.com, pod1vcs1.domain.com -serviceInstanceId 103.

La tabla de la base de datos de la conmutación por error de los recursos se configura para cada centrode datos.


Para ver la configuración de conmutación por error existente de cada uno de los recursos publicados deCitrix y Horizon View, ejecute el comando:

hznAdminTool failoverConfigurationList -configType <configtype>

El valor de <configtype> es VIEW o XENAPP. A continuación, se muestra un ejemplo de la salida dehznAdminTool failoverConfigurationList con <configtype> VIEW.

{"idOrganization":1,"serviceInstanceId":

52,"configType":"VIEW","configuration":"pod1vcs1.domain.com,pod2vcs1.domain.com"}{"idOrganization":

1,"serviceInstanceId":

103,"configType":"VIEW","configuration":"pod2vcs1.domain.com,pod1vcs1.domain.com"}{"idOrganization":

1,"serviceInstanceId":

154,"configType":"VIEW","configuration":"pod2vcs1.domain.com,pod1vcs1.domain.com"}


VMware, Inc. 79

Borrar la memoria caché en el centro de datos secundarioDespués de configurar los centros de datos principal y secundario, borre las memorias caché del centrode datos secundario. Esta medida se toma en preparación para una conmutación por error. Cuando serealiza una conmutación por error al centro de datos secundario, las memorias caché del centro de datossecundario deberían estar vacías.

Use la REST API que se describe aquí para borrar las cachés. Otra forma de borrar la memoria caché esreiniciar los dispositivos virtuales.

Procedimiento

u Ejecute la siguiente REST API desde un cliente REST como Postman.

PATH: /SAAS/jersey/manager/api/removeAllCaches

Método: POST

Agregue encabezados:

Authorization: HZN <cookie_value>

Accept: application/vnd.vmware.horizon.manager.cache.removal.response+json

Content-type: application/vnd.vmware.horizon.manager.cache.removal.request+json’

En la sección Body (sin procesar), agregue:

{

"cacheNames":[]

}

NOTA: n Debe ejecutar la API como administrador de tenant, es decir, como el administrador que se creó

en el dominio del sistema cuando se instaló VMware Identity Manager. Las cuentas de dominioque se sincronizan desde el directorio empresarial no pueden realizar esta función.

n Para obtener la cookie de HZN, inicie sesión en el servicio de VMware Identity Manager como eladministrador de tenant y, a continuación, acceda a la caché de cookies del navegador.

n Empty cacheNames indica que se quitarán todas las memorias caché.

Configurar la base de datos para la conmutación por errorEn VMware Identity Manager, la replicación de la base de datos se configura para que los datos seanconsistentes en los servidores de la base de datos dentro del centro de datos principal y el centro dedatos secundario.

Debe configurar la base de datos externa para obtener una alta disponibilidad. Configure unaarquitectura de base de datos principal y subordinada, en la que la subordinada sea una réplica exactade la principal.

Consulte la documentación de la base de datos externa.


VMware, Inc. 80

Si usa SQL Server AlwaysOn, use el nombre del host o la dirección IP del agente de escucha SQLServer cuando configure la base de datos en cada dispositivo de VMware Identity Manager. Por ejemplo:

jdbc:sqlserver://<nombredelhost_agentedeescucha>;DatabaseName=saas

Realizar una conmutación por error en el centro de datossecundarioCuando se produce un error en el centro de datos primario, puede realizar una conmutación por error enel secundario. Para realizar este proceso, modifique el equilibrador de carga global o el informe DNSpara que se dirijan al equilibrador de carga en el centro de datos secundario.

Consulte Utilizar un registro de DNS para controlar qué centro de datos está activo.


VMware, Inc. 81

Los dispositivos de VMware Identity Manager del centro de datos secundario están en modo de sololectura. Por lo tanto, la mayoría de las operaciones del administrador, como agregar usuarios oaplicaciones o autorizar a los usuarios, no están disponibles. Consulte Actividades de VMware IdentityManager no disponibles en modo de solo lectura.

IMPORTANTE: Después de conmutar por error al centro de datos secundario, debe borrar todas lasmemorias caché en el centro de datos principal original. En caso de que necesite conmutar por error alcentro de datos principal original, las memorias caché de ese centro de datos deberían estar vacías.

Puede usar una REST API para limpiar la memoria caché. Ejecute la siguiente REST API desde uncliente REST como Postman:


Método: POST






{

"cacheNames":[]

}

NOTA: n Debe ejecutar la API como administrador de tenant, es decir, como el administrador que se creó en

el dominio del sistema cuando se instaló VMware Identity Manager. Las cuentas de dominio que sesincronizan desde el directorio empresarial no pueden realizar esta función.



Otra forma de borrar la memoria caché es reiniciar los dispositivos virtuales.

Utilizar un registro de DNS para controlar qué centro de datos está activoSi se utiliza un registro de Domain Name System (DNS) para dirigir el tráfico de los usuarios en loscentros de datos, este registro debe señalar a un equilibrador de carga del centro de datos principal encondiciones de funcionamiento normales.

Si el centro de datos principal no está disponible, el registro de DNS se debe actualizar para que señaleal equilibrador de carga del centro de datos secundario.


VMware, Inc. 82

Cuando el centro de datos principal vuelve a estar disponible, el registro de DNS se debe actualizar paraque señale al equilibrador de carga del centro de datos principal.

SSO móvil para la autenticación de iOS

Si utiliza SSO móvil para la autenticación de iOS, actualice tanto las entradas A como AAAA de DNSpara que apunten al equilibrador de carga en el centro de datos secundario. Por ejemplo:

idm.example.com. 1800 IN AAAA ::ffff:1.2.3.4

idm.example.com. 1800 IN A 1.2.3.4

NOTA: Si utiliza la función de KDC híbrido, este paso no es necesario.

Configurar el tiempo de vida en el registro de DNS

El valor del parámetro tiempo de vida (TTL) determina el tiempo que debe transcurrir para que seactualice la información relativa a DNS en la caché. Para que la conmutación por error se realicecorrectamente en aplicaciones y escritorios de Horizon, asegúrese de que el valor del tiempo de vida(TTL) en los registros de DNS sea reducido. Si el valor de TTL es demasiado largo, es posible que losusuarios no puedan acceder a sus aplicaciones y escritorios de Horizon inmediatamente después de laconmutación por error. Para habilitar la actualización rápida de DNS, establezca el valor de TTL de DNSen 30 segundos.

Actividades de VMware Identity Manager no disponibles en modo de sololecturaEl uso de VMware Identity Manager en modo de solo lectura está diseñado para alta disponibilidad ypara permitir a los usuarios finales acceder a los recursos de sus portales Mis aplicaciones. Puede quealgunas de las actividades de la consola de administración de VMware Identity Manager y otras páginasde servicios de administración no estén disponibles en modo de solo lectura. A continuación seproporciona una lista de actividades habituales que no están disponibles.

Si VMware Identity Manager se ejecuta en modo de solo lectura, no se pueden realizar actividadesrelacionadas con cambios en Active Directory o en la base de datos y no funciona la sincronización conla base de datos de VMware Identity Manager.

Las funciones administrativas que necesitan escribir en la base de datos no están disponibles duranteeste tiempo. Se debe esperar a que VMware Identity Manager vuelva al modo de lectura y escritura.

Modo de solo lectura de la consola de administración de VMware Identity Manager

A continuación se indican algunas de las limitaciones de la consola de administración en modo de sololectura.

n Agregar, eliminar y editar usuarios y grupos en la pestaña Usuarios y grupos

n Agregar, eliminar y editar aplicaciones en la pestaña Catálogo

n Agregar, eliminar y editar autorizaciones de aplicaciones

n Cambiar la información de marca


VMware, Inc. 83

n Sincronizar el directorio para agregar, editar y eliminar usuarios y grupos

n Editar información sobre recursos, incluyendo recursos de View, XenApp y de otro tipo

n Editar la página de métodos de autenticación

NOTA: Los componentes del conector de los dispositivos de VMware Identity Manager del centro dedatos secundario aparecen en la consola de administración. Asegúrese de no seleccionar un conectordel centro de datos secundario como conector de sincronización.

Modo de solo lectura de las páginas Configuración del dispositivo virtual

A continuación se indican algunas de las limitaciones de las páginas Configuración del dispositivo virtualen modo de solo lectura.

n Comprobar la configuración de la conexión de la base de datos

n Cambiar la contraseña de administrador en la página Cambiar contraseña

Modo de solo lectura del portal de aplicaciones del usuario final

Cuando VMware Identity Manager está en modo de solo lectura, los usuarios pueden iniciar la sesión ensus portales de VMware Identity Manager y acceder a sus recursos. En modo de solo lectura no estándisponibles las siguientes funciones en el portal del usuario.

n Marcar o desmarcar un recurso como favorito

n Agregar recursos en la página Catálogo o eliminarlos en la página Programa de inicio

n Cambiar la contraseña desde la página del portal de aplicaciones

Modo de solo lectura del cliente de Windows de VMware Identity Manager

Si VMware Identity Manager está en modo de solo lectura, los usuarios no pueden configurar nuevosclientes de Windows. Los clientes de Windows existentes seguirán funcionando.

Realizar una conmutación por recuperación en el centro de datosprimarioEn la mayoría de los escenarios de error, puede realizar una conmutación por recuperación en el centrode datos primario una vez que vuelva a funcionar.

Procedimiento

1 Modifique el equilibrador de carga global o el informe DNS para que se dirijan al equilibrador decarga en el centro de datos primario.

Consulte Utilizar un registro de DNS para controlar qué centro de datos está activo.

2 Limpie la caché en el centro de datos secundario.

Ejecute la siguiente REST API desde un cliente REST como Postman:



VMware, Inc. 84

Método: POST






{

"cacheNames":[]

}

NOTA: n Debe ejecutar la API como administrador de tenant, es decir, como el administrador que se creó

en el dominio del sistema cuando se instaló VMware Identity Manager. Las cuentas de dominioque se sincronizan desde el directorio empresarial no pueden realizar esta función.



Otra forma de borrar la memoria caché es reiniciar los dispositivos virtuales.

Ascender un centro de datos secundario a primarioEn caso de un error extendido del centro de datos, el centro de datos secundario puede pasar a serprimario.

Es necesario editar el archivo runtime-config.properties en los dispositivos deVMware Identity Manager del centro de datos secundario para establecer la configuración del modo delectura y escritura en estos dispositivos.

Realice estos cambios en cada dispositivo de VMware Identity Manager en el centro de datossecundario.

Procedimiento


2 Abra el archivo /usr/local/horizon/conf/runtime-config.properties para editarlo.

3 Cambie la línea read.only.service=true a read.only.service=false.

4 Guarde el archivo runtime-config.properties.

5 Reinicie el servicio Tomcat en el dispositivo.



VMware, Inc. 85

Actualizar VMware Identity Manager sin tiempo de inactividadCon una implementación de centro de datos múltiple, puede realizar una actualización deVMware Identity Manager a la versión siguiente sin tiempo de inactividad. Use el flujo de trabajo sugeridopara realizar actualizaciones graduales.

Consulte el diagrama que aparece en Implementar VMware Identity Manager en un centro de datossecundario para la conmutación de error y la redundancia mientras realiza estos pasos.

Procedimiento

1 Cambie el enrutamiento del LB global para que envíe la solicitudes al DC2 LB.

2 Detenga la replicación de la base de datos.

3 Actualice el dispositivo virtual vIDM1, a continuación el vIDM2 y, finalmente, el vIDM3.

4 Pruebe las actualizaciones usando DC1-LB.

5 Cuando esté todo correcto, cambie a LB global para enrutar las solicitudes a DC1 LB.

6 Actualice el dispositivo virtual vIDM4, a continuación el vIDM5 y, finalmente, el vIDM6.

7 Pruebe las actualizaciones usando DC2-LB.

8 Inicie la replicación de la base de datos.


VMware, Inc. 86

Instalación de dispositivos deconector adicionales 5El conector es una parte del servicio VMware Identity Manager. Al instalar un dispositivo virtualVMware Identity Manager, se incluye siempre un componente de conector de manera predeterminada.

El conector realiza las funciones siguientes.

n Sincroniza los datos de usuario y grupo entre el directorio empresarial y el directorio correspondienteque creó en el servicio.

n Cuando se usa como un proveedor de identidades, autentica usuarios en el servicio.

El conector es el proveedor de identidades predeterminado.

Como ya hay un conector disponible como parte del servicio, en las implementaciones típicas no senecesita instalar un conector adicional.

Sin embargo, en algunos casos, puede que necesite un conector adicional. Por ejemplo:

n Si tiene varios directorios del tipo Active Directory (autenticación IWA), necesita un conector diferentepara cada uno de ellos.

Se puede asociar una instancia de conector a varios directorios. En el conector, se crea una particiónllamada trabajo para cada directorio. Sin embargo, no puede tener dos trabajos del tipo deautenticación IWA en la misma instancia de conector.

n Si desea administrar el acceso de los usuarios en función de si inician sesión desde una ubicacióninterna o externa.

n Si desea usar una autenticación basada en certificado pero su equilibrador de carga está configuradopara terminar SSL en el equilibrador de carga. La autenticación con certificado requiere el paso deSSL en el equilibrador de carga.

Para instalar un conector adicional, realice las tareas siguientes.

n Descargue el paquete OVA del conector.

n Genere un token de activación en el servicio.

n Implemente el dispositivo virtual del conector.

n Configure las opciones del conector.

Los conectores adicionales que implemente se mostrarán en la interfaz de usuario del servicio.

VMware, Inc. 87


n Generación de un código de activación para el conector

n Implementar el archivo OVA de Conector

n Configurar las opciones de Conector

Generación de un código de activación para el conectorAntes de implementar el dispositivo virtual del conector, genere un código de activación para el nuevoconector desde el servicio de VMware Identity Manager. El código de activación del conector se usa paraestablecer la comunicación entre el servicio y el conector.

Procedimiento



3 Haga clic en Configurar.

4 En la página Conectores, haga clic en Agregar conector.

5 Introduzca un nombre para la nueva instancia del conector.

6 Haga clic en Generar código de activación.

El código de activación se muestra en el campo Código de activación del conector.

7 Copie el código de activación del conector y guárdelo.

Usará este código de activación al ejecutar el asistente de configuración de conectores.


Instale el dispositivo virtual del conector.

Implementar el archivo OVA de ConectorPara descargar el archivo OVA de conector e implementarlo, debe utilizar VMware vSphere Client ovSphere Web Client.

Prerequisitos

n Identifique los registros de DNS y el nombre de host que utilizará para la implementación de OVA deconector.

n Si utiliza vSphere Web Client, utilice los navegadores Firefox o Chrome. No utilice Internet Explorerpara implementar el archivo OVA.

n Descargue el archivo OVA de Connector.

Procedimiento

1 En vSphere Client o vSphere Web Client, seleccione Archivo > Implementar plantilla de OVF.


VMware, Inc. 88

2 En las páginas de Implementar plantilla de OVF, introduzca la información específica de suimplementación de conector.


Origen Desplácese hasta la ubicación del paquete de OVA o introduzca una URLespecífica.

Detalles de la plantilla de OVA Compruebe que seleccionó la versión correcta.

Licencia Lea el Contrato de licencia para el usuario final y haga clic en Aceptar.

Nombre y ubicación Introduzca un nombre para el dispositivo virtual. El nombre debe ser único en lacarpeta de inventario y puede tener hasta 80 caracteres. Los nombres distinguenentre mayúsculas y minúsculas.

Seleccione una ubicación para el dispositivo virtual.

Host / Clúster Seleccione el host o el clúster en el que desea ejecutar la plantilla implementada.

Grupo de recursos Seleccione el grupo de recursos.

Almacenamiento Seleccione la ubicación en la que desea almacenar los archivos de la máquinavirtual.

Formato de disco Seleccione el formato de disco de los archivos. Para entornos de producción,seleccione un formato Thick Provision. Para evaluación y realización depruebas, seleccione un formato Thin Provision.

Asignación de redes Asigne las redes de su entorno a las redes de la plantilla de OVF.

Propiedades a En el campo Configuración de zona horaria, seleccione la zona horariacorrecta.

b La casilla de verificación Programa de mejora de la experiencia del clienteestá seleccionada de forma predeterminada. VMware recopila datosanónimos sobre su implementación con el fin de mejorar la respuesta deVMware a los requisitos del usuario. Anule la selección de la casilla si nodesea que se recopilen datos.

c En el cuadro de texto Nombre de host, introduzca el host que desea utilizar.Si se deja en blanco, se utilizará la DNS inversa para buscar el nombre dehost.

d Si desea configurar la dirección IP estática para conector, introduzca ladirección de cada una de las opciones siguientes: Puerta de enlacepredeterminada, DNS, dirección IP y Máscara de red.

IMPORTANTE: Si alguno de los cuatro campos de dirección, incluidoNombre de host, se deja en blanco, se utiliza DHCP.

Para configurar DHCP, deje en blanco los campos de dirección.

Listo para finalizar Revise las selecciones y haga clic en Finalizar. En función de la velocidad de la red, la implementación puede tardar varios minutos. Puede ver elprogreso en el cuadro de diálogo de progreso.

3 Cuando la implementación finalice, seleccione el dispositivo, haga clic con el botón derecho yseleccione Power > Power on.

El dispositivo se inicializará. Para ver los detalles, vaya a la pestaña consola. Cuando el dispositivose inicialice, la pantalla de la consola mostrará la versión de y las URL de inicio de sesión en elasistente de configuración para finalizar la configuración.


VMware, Inc. 89


El asistente de configuración permite agregar el código de activación y las contraseñas administrativas.

Configurar las opciones de ConectorDespués de implementar e instalar el OVA del conector, debe ejecutar el asistente de configuración paraactivar el dispositivo y configurar las contraseñas del administrador.

Prerequisitos

n Debe tener el código de activación del nuevo conector. Consulte Generación de un código deactivación para el conector.

n Asegúrese de que el dispositivo del conector esté encendido y que dispone de la URL del conector.

n Recopile una lista de contraseñas para utilizarlas en la cuenta raíz, la cuenta sshuser y eladministrador del conector.

Procedimiento

1 Para ejecutar el asistente de configuración, introduzca la URL del conector que se mostró en lapestaña Consola tras implementar el OVA.

2 En la página principal, haga clic en Continuar.

3 Cree contraseñas seguras para las siguientes cuentas de administrador del dispositivo virtual deconector.

Las contraseñas seguras deben tener al menos ocho caracteres e incluir mayúsculas, minúsculas yal menos un dígito o un carácter especial.


Administrador del dispositivo Cree la contraseña del administrador del dispositivo. El nombre de usuario esadmin y no se puede cambiar. Debe utilizar esta cuenta y esta contraseña parainiciar sesión en los servicios del conector y administrar certificados, contraseñasdel dispositivo y la configuración del registro del sistema.

IMPORTANTE: La contraseña del usuario admin debe tener 6 caracteres comomínimo.

Cuenta raíz Se utilizó una contraseña raíz predeterminada de VMware para instalar eldispositivo del conector. Cree una contraseña raíz nueva.

Cuenta sshuser Cree la contraseña que va a utilizar para acceder de forma remota al dispositivodel conector.

4 Haga clic en Continuar.

5 En la página Activar Conector, pegue el código de activación y haga clic en Continuar.

El código de activación se verificará y se establecerá la comunicación entre el servicio y la instanciadel conector.

La configuración del conector se completó.


VMware, Inc. 90


En el servicio, configure su entorno en función de sus necesidades. Por ejemplo, si agregó otro conectorporque desea sincronizar dos directorios con autenticación de Windows integrada, cree el directorio yasócielo al nuevo conector.

Configure los certificados SSL del conector. Consulte Utilizar certificados SSL.


VMware, Inc. 91

Utilizar el KDC integrado 6En la autenticación SSO móvil para iOS de dispositivos iOS administrados por AirWatch, se puedeutilizar el KDC integrado. Se debe iniciar manualmente el centro de distribución de claves (KeyDistribution Center, KDC) en el dispositivo antes de habilitar el método de autenticación desde la consolade administración.

NOTA: Al integrar VMware Identity Manager con AirWatch en un entorno de Windows, utilice el servicioKDC alojado en la nube de VMware Identity Manager, no el KDC integrado. El uso de KDC en la nuberequiere la selección de un nombre de territorio apropiado en la página del adaptador de autenticación deiOS de la consola de administración. Consulte la Guía de administración de VMware Identity Manager.

Antes de inicializar el KDC en VMware Identity Manager, determine el nombre de territorio del servidorKDC, si la implementación incluye subdominios y si se utilizará o no el certificado del servidor KDCpredeterminado.

TerritorioEl territorio es el nombre de una entidad administrativa que mantiene los datos de autenticación. Esimportante seleccionar un nombre descriptivo para el territorio de autenticación de Kerberos. El nombredel territorio debe formar parte de un dominio de DNS que la empresa pueda configurar.

El nombre del territorio y el nombre de dominio plenamente cualificado (FQDN) que se utilice paraacceder al servicio VMware Identity Manager son independientes. Su empresa debe controlar losdominios de DNS tanto del nombre de territorio como del FQDN. La convención consiste en que elnombre del territorio sea el mismo que el de dominio, en mayúsculas. A veces, el nombre de territorio y elde dominio son diferentes. Por ejemplo, EXAMPLE.NET puede ser un nombre de territorio yidm.example.com puede ser el nombre de dominio completo de VMware Identity Manager. En este caso,se definen las entradas de DNS tanto para el dominio ejemplo.net como para ejemplo.com.

El cliente de Kerberos utiliza el nombre de territorio para generar nombres de DNS. Por ejemplo, cuandoel nombre es example.com, el nombre de Kerberos relacionado para contactar el KDC por TCP es_kerberos._tcp.EXAMPLE.COM.

VMware, Inc. 92

Usar subdominiosEl servicio de VMware Identity Manager instalado en un entorno local puede utilizar el subdominio denombre de dominio completo de VMware Identity Manager. Si su sitio de VMware Identity Manageraccede a varios dominios DNS, configure los dominios como location1.example.com;location2.example.com; location3.example.com. El valor del subdominio es en este caso ejemplo.com,en minúsculas. Para configurar un subdominio en su entorno, consulte al equipo de su servicio deasistencia.

Utilizar certificados del servidor KDCAl inicializar KDC, se generan un certificado del servidor y un certificado raíz autofirmado. El certificadose utiliza para emitir el certificado del servidor KDC. Este certificado raíz se incluye en el perfil deldispositivo para que este pueda confiar en KDC.

Para generar el certificado KDC manualmente, utilice un certificado raíz o intermedio de la empresa.Para obtener más información sobre esta función, contacte con el equipo de su servicio de asistencia.

Descargue el certificado raíz del servidor KDC de la consola de administración deVMware Identity Manager para utilizarlo en la configuración de AirWatch del perfil de administración deldispositivo iOS.


n Inicializar el centro de distribución de claves en el dispositivo

n Crear entradas de DNS públicas para KDC con Kerberos integrado

Inicializar el centro de distribución de claves en eldispositivoAntes de poder utilizar el método de autenticación SSO móvil para iOS, se debe inicializar el centro dedistribución de claves (KDC) en el dispositivo VMware Identity Manager.

Para iniciar KDC, se debe asignar el nombre de host de Identity Manager a los territorios de Kerberos. Elnombre de dominio se introduce en mayúsculas. Si se están configurando varios territorios de Kerberos,para ayudar a identificar el territorio, utilice nombres descriptivos que acaben con el nombre de dominiode Identity Manager. Por ejemplo, VENTAS.MI-IDENTITYMANAGER.EJEMPLO.COM. Si se configuransubdominios, sus nombres se deben escribir en minúsculas.

Prerequisitos

VMware Identity Manager está instalado y configurado.

El nombre de territorio está identificado. Consulte Capítulo 6 Utilizar el KDC integrado.

Procedimiento

1 Acceda mediante SSH al dispositivo VMware Identity Manager como usuario root.


VMware, Inc. 93

2 Inicialice KDC. Escriba /etc/init.d/vmware-kdc init --realm {REALM.COM} --subdomain{sva-name.subdomain}.

Por ejemplo, /etc/init.d/vmware-kdc init --realm MY-IDM.EXAMPLE.COM --subdomain my-idm.example.com

Si utiliza un equilibrador de carga con varios dispositivos Identity Manager, utilice el nombre delequilibrador de carga en ambos casos.

3 Reinicie el servicio VMware Identity Manager. Escriba service horizon-workspace restart.

4 Inicie el servicio KDC. Escriba service vmware-kdc restart.


Cree las entradas de DNS públicas. Se deben aprovisionar los registros de DNS para permitir que losclientes encuentren el KDC. Consulte Crear entradas de DNS públicas para KDC con Kerberosintegrado.

Crear entradas de DNS públicas para KDC con KerberosintegradoTras inicializar KDC en VMware Identity Manager, debe crear registros de DNS públicos para permitir alos clientes de Kerberos buscar el servicio KDC cuando la función de autenticación de Kerberosintegrado esté habilitada.

El nombre de territorio de KDC se utiliza como parte del nombre de DNS para las entradas del dispositivode VMware Identity Manager que se utilizan para descubrir el servicio KDC. Se necesitan un registroSRV de DNS para cada sitio de VMware Identity Manager y dos entradas de direcciones.

NOTA: El valor de la entrada AAAA es una dirección IPv6 que codifica una dirección IPv4. Si el KDC noes direccionable a través de IPv6 y se utiliza una dirección IPv4, es posible que se deba especificar laentrada de AAAA en notación IPv6 estricta igual que ::ffff:175c:e147 en el servidor DNS. Puedeutilizar una herramienta de conversión de IPv4 a IPv6 como la que hay disponible en Neustar.UltraTools,para convertir la notación de la dirección IPv4 a IPv6.


VMware, Inc. 94

Ejemplo: Entradas de registro de DNS para KDCEn este registro de DNS de ejemplo, el territorio es EXAMPLE.COM; el nombre de dominio plenamentecualificado de VMware Identity Manager es idm.example.com y la dirección IP de VMware IdentityManager 1.2.3.4.

idm.example.com. 1800 IN AAAA ::ffff:1.2.3.4

idm.example.com. 1800 IN A 1.2.3.4

_kerberos._tcp.EXAMPLE.COM IN SRV 10 0 88 idm.example.com.

_kerberos._udp.EXAMPLE.COM IN SRV 10 0 88 idm.example.com.


VMware, Inc. 95

Solucionar los problemas de lainstalación y la configuración 7Los temas sobre la solución de problemas describen soluciones a problemas potenciales que se puedeencontrar al instalar o al configurar VMware Identity Manager.

Este capítulo cubre los siguientes temas:n Los usuarios no pueden iniciar aplicaciones o se aplica un método de autenticación incorrecto en

entornos de carga equilibrada

n Un grupo no muestra ningún miembro después de la sincronización de directorios

n Solucionar problemas de Elasticsearch

Los usuarios no pueden iniciar aplicaciones o se aplica unmétodo de autenticación incorrecto en entornos de cargaequilibradaLos usuarios no pueden iniciar aplicaciones desde el portal Workspace ONE o se aplica un método deautenticación incorrecto en un entorno de carga equilibrada.

Problema

En un entorno de carga equilibrada, pueden producirse problemas como los siguientes:n Los usuarios no pueden iniciar aplicaciones desde el portal de Workspace ONE después de iniciar

sesión.

n Se presenta un método incorrecto para la autenticación en la actualización.

Origen

Estos problemas pueden suceder si las directivas de acceso no se determinan correctamente. Ladirección IP cliente determina qué directiva de acceso se aplica durante el inicio de sesión y durante elinicio de la aplicación. En un entorno de carga equilibrada, VMware Identity Manager usa el encabezadoX-Forwarded-For para determinar la dirección IP cliente. En algunos casos se puede producir un error.

VMware, Inc. 96

Solución

Establezca la propiedad service.numberOfLoadBalancers en el archivo runtime-config.properties de cada nodo del clúster de VMware Identity Manager. La propiedad especifica elnúmero de equilibradores de carga frente a las instancias de VMware Identity Manager.

NOTA: La configuración de esta propiedad es opcional.

1 Inicie sesión en el dispositivo de VMware Identity Manager.

2 Edite el archivo /usr/local/horizon/conf/runtime-config.properties y añada la siguientepropiedad:

service.numberOfLoadBalancers numberOfLBs

donde numberOfLBs es el número de equilibradores de carga frente a las instancias deVMware Identity Manager.

3 Reinicie el dispositivo del área de trabajo.


Un grupo no muestra ningún miembro después de lasincronización de directoriosLa sincronización de directorios se completa correctamente, pero no aparece ningún usuario en losgrupos sincronizados.

Problema

Después de sincronizar un directorio, de forma manual o automática según la programación de lasincronización, el proceso se completa correctamente pero no aparece ningún usuario en los grupossincronizados.

Origen

Este problema sucede cuando tiene dos o más nodos en un clúster y existe una diferencia de hora demás de 5 segundos entre los nodos.

Solución

1 Compruebe que no hay ninguna diferencia de hora entre nodos. Use el mismo servidor NTP entretodos los nodos en el clúster para sincronizar la hora.

2 Reinicie el servicio en todos los nodos.


3 (Opcional) En la consola de administración, elimine el grupo, vuelva a agregarlo en las opciones desincronización y vuelva a sincronizar el directorio.


VMware, Inc. 97

Solucionar problemas de ElasticsearchUtilice esta información para solucionar problemas de Elasticsearch en un entorno de clústeres.Elasticsearch, un motor de búsqueda y análisis usado para registros de sincronización de directorios,informes y auditorías, se encuentra incrustado en el dispositivo virtual de VMware Identity Manager.

Solucionar problemas de ElasticsearchPuede comprobar el estado de Elasticsearch utilizando el siguiente comando en el dispositivo VMwareIdentity Manager.

curl 'http://localhost:9200/_cluster/health?pretty'

El comando debe devolver un resultado similar al siguiente.

{

"cluster_name" : "horizon",

"status" : "green",

"timed_out" : false,

"number_of_nodes" : 3,

"number_of_data_nodes" : 3,

"active_primary_shards" : 20,

"active_shards" : 40,

"relocating_shards" : 0,

"initializing_shards" : 0,

"unassigned_shards" : 0,

"delayed_unassigned_shards" : 0,

"number_of_pending_tasks" : 0,

"number_of_in_flight_fetch" : 0

}

Si Elasticsearch no se inicia correctamente o su estado aparece en color rojo, siga estos pasos parasolucionar los problemas.

1 Asegúrese de que el puerto 9300 está abierto.

a Actualice la información de los nodos agregando las direcciones IP de todos los nodos del clústeren el archivo /usr/local/horizon/scripts/updateiptables.hzn:

ALL_IPS="node1IPadd node2IPadd node3IPadd"

b Ejecute el siguiente script en todos los nodos del clúster.

/usr/local/horizon/scripts/updateiptables.hzn

2 Reinicie Elasticsearch en todos los nodos del clúster.

service elasticsearch restart

3 Revise los registros para obtener más detalles.

cd /opt/vmware/elasticsearch/logs

tail -f horizon.log


VMware, Inc. 98

Supervisar VMware IdentityManager 8La supervisión de VMware Identity Manager es importante para garantizar que la solución WorkspaceONE funcione correctamente.

Puede utilizar herramientas de terceros, como Nagios, Splunk, Symantec Altiris, Spotlight, Ignite oMontastic. Consulte al departamento de TI de su empresa para obtener recomendaciones específicassobre herramientas de supervisión si no tiene aún una solución instalada.

Este documento ofrece recomendaciones de capacidad de carga de hardware genérico e informaciónsobre los archivos de registros y extremos de URL. No cubre explícitamente cómo configurar unasolución de supervisión.


n Recomendaciones de supervisión de la capacidad de carga de hardware

n Extremos de URL de VMware Identity Manager para la supervisión

n Registro del sistema

Recomendaciones de supervisión de la capacidad decarga de hardwareUtilice estos estándares de supervisión para garantizar el estado del servidor.

Métricas de captura

Hardware Supervisa

CPU Uso

Memoria Uso

Disco duro Espacio libre

Red Uso

Alertas y umbralesVMware recomienda analizar cada caso de uso individual para determinar los umbrales correctos paraentornos individuales.

VMware, Inc. 99

Hardware Alertas, ejemplos, umbrales

CPU Ejemplos: ejemplos de 5 minutos

Umbral: 1 hora más del 90 %, 95 durante 1 hora

Alertas: 90 % de carga es una advertencia, 95 % es crítico

Memoria Ejemplos: ejemplos de 5 minutos


Alertas: 90 % utilizado es una advertencia, 95 % de uso escrítico

Disco duro Ejemplos: ejemplos de 5 minutos


Alertas: 90 % utilizado es una advertencia, 95 % de uso escrítico

Red Ejemplos: ejemplos de 5 minutos


Alertas: 90 % de carga es una advertencia, 95 % es crítico

Estrategias para la capturan Dispositivo virtual Linux de VMware Identity Manager: Utilizando un dispositivo virtual, las métricas se

capturan mediante las herramientas de utilización de la infraestructura virtual subyacentes, comovSphere o vRealize Operations.

n VMware Identity Manager en Windows: Instale un agente de supervisión que sea compatible con losservidores de Windows y pueda capturar estas métricas. Además, para los servidores virtuales, sepueden utilizar herramientas nativas para que vSphere capture las métricas relevantes.

Extremos de URL de VMware Identity Manager para lasupervisiónSupervise los extremos de URL indicados para diversos componentes de VMware Identity Manager a finde garantizar un entorno funcional. Algunos extremos también pueden utilizarse para que losequilibradores de carga se aseguren de que el servicio está activo para el tráfico.

Comprobaciones de estado para los equilibradores de carga

Componente Comprobación de estado Rendimiento previsto Notas

Servicio de VMware IdentityManager

/SAAS/API/1.0/REST/syste

m/health/heartbeat

Cadena: Aceptar

Http: 200

Frecuencia de cada 30segundos.

SSO móvil Android -Certproxy:

:5262/system/health

Http: 200 Frecuencia de cada 30segundos.

SSO móvil iOS - KDC:

TCP half-open to port 88

Conexión Frecuencia de cada 30segundos.


VMware, Inc. 100

Componente Comprobación de estado Rendimiento previsto Notas

VMware Identity ManagerConnector

/hc/API/1.0/REST/syste

m/health/allOk

Cadena: true

Http: 200


Integration Broker /IB/API/RestServiceImpl.

svc/ibhealthcheck

Cadena: All Ok

Http: 200


Integración con XenApp 7.x:

/IB/API/RestServiceImpl.

svc/hznxenapp/admin/xenf

arminfo?

computerName=&xenappvers

ion=Version7x

Cadena: ‘SiteName’

Http: 200

Frecuencia cada 5 minutos

Integración con XenApp 6.x:

/IB/API/RestServiceImpl.

svc/hznxenapp/admin/xenf

arminfo?

computerName=&xenappvers

ion=Version65orLater

Cadena: 'FarmName'

Http: 200

Frecuencia cada 5 minutos

Las comprobaciones de estado de los equilibradores de carga devuelven valores simples para unanálisis sencillo realizado por el equipo de red.

Comprobaciones de estado adicionales para supervisiónLas comprobaciones de estado que se enumeran aquí pueden ser utilizadas por soluciones desupervisión que tienen la capacidad de analizar los datos y crear paneles de control. Establezca lafrecuencia cada 5 minutos.

Estado y supervisión del servicio de VMware Identity Manager

Llamada de URL: /SaaS/API/1.0/REST/System/Health

Datos de salida brutos:

{

"AnalyticsUrl": "https://aws-analytics.vmwareidentity.com",

"AuditPollInterval": "0",

"EncryptionServiceVersion": "unknown",

"AnalyticsConnectionOk": "true",

"EncryptionServiceVerified": "Master Keystore verified",

"FederationBrokerStatus": "ok",

"ServiceReadOnlyMode": "false",

"AuditWorkerThreadAlive": "true",

"BuildVersion": "2.8.0.0.7382 Build 2a459ff64bce76576hgjh789tyhgo876ruyv",

"AuditQueueSize": "1",

"DatabaseStatus": "connection successful",

"HostName": "svc1.servr.comp.local",

"EncryptionStatus": "connected",

"FederationBrokerOk": "true",

"EncryptionConnectionOk": "true",

"EncryptionServiceImpl": "Remote: Encryption Service DB",

"ClusterId": "38u76ghj7-54f2-4803-b73b-4g6587gjh8",


VMware, Inc. 101

"DatabaseConnectionOk": "true",

"StatusDate": "2017-01-16 16:28:03 UTC",

"MaintenanceMode": "false",

"MessagingConnectionOk": "true",

"ServiceVersion": "2.8.0.0",

"IpAddress": "192.168.211.31",

"AuditDisabled": "false",

"AllOk": "true"

}

"AllOk" "true", "false" Comprobación de estado deconsolidación para supervisar el estadogeneral de los servicios de VMwareIdentity Manager

"MessagingConnectionOk" "true", "false" Verifica que todos los emisores y losconsumidores de mensajes se conectena RabbitMQ

"DatabaseConnectionOk" "true", "false" Comprueba la conexión con la base dedatos

"EncryptionConnectionOk" "true", "false" Comprueba que esté bien la conexióncon el servicio de cifrado y el almacénde claves principal esté correcto

"AnalyticsConnectionOk" "true", "false" Comprueba la conexión con el serviciode análisis

"FederationBrokerOk" "true", "false" Comprueba los adaptadores deautenticación integrados para garantizarque sus subsistemas estén bien

Llamada de URL: /catalog-portal/services/health

Esta comprobación de estado es específica de la parte de la interfaz de usuario de VMware IdentityManager


{

"status": "UP",

"uiService": {

"status": "UP"

},

"apiService": {

"status": "UP"

},

"eucCacheEngine": {

"status": "UP"

},

"cacheEngineClient": {

"status": "UP"

},

"persistenceEngine": {

"status": "UP",


VMware, Inc. 102

"database": "Microsoft SQL Server",

"hello": 1

},

"tenantPersistenceEngine": {

"status": "UP",

"database": "Microsoft SQL Server",

"hello": 1

},

"diskSpace": {

"status": "UP",

"total": 8460120064,

"free": 4898279424,

"threshold": 10485760

}

}

"status" "UP", "DOWN" Comprobación de estado deconsolidación para supervisar el estadogeneral de la interfaz de usuario (IU) deVMware Identity Manager

"uiServer.status" "UP", "DOWN" UP si se está ejecutando el servicio deinterfaz de usuario principal

"apiService.status" "UP", "DOWN" UP si se está ejecutando el servicio deAPI de la interfaz de usuario principal

"eucCacheEngine.status" "UP", "DOWN" UP si se ejecuta el motor de clústerHazelcast

"cacheEngineClient.status" "UP", "DOWN" UP si se está ejecutando el cliente deHazelcast para la interfaz de usuario

"persistenceEngine.status" "UP", "DOWN" UP si se está ejecutando la base dedatos (SQL) principal

"tenantPersistenceEngine.status" "UP", "DOWN" UP si se está ejecutando la base dedatos (SQL) principal

"diskSpace.status" "UP", "DOWN" UP si el espacio de disco libre es mayorque el umbral configurado, 10 MB

"diskSpace.free" Bytes Espacio libre en bytes en la partición enla que se instala la UI de VMwareIdentity Manager

Supervisión y estado del conector de VMware Identity Manager

Llamada de URL: /hc/API/1.0/REST/system/health


{

"HorizonDaaSSyncConfigurationStatus": "",

"AppManagerServiceOk": "true",

"DomainJoinEnabled": "false",

"XenAppEnabled": "true",

"ViewSyncConfigurationStatus": "",


VMware, Inc. 103

"ThinAppServiceOk": "true",

"ThinAppSyncConfigurationStatus": "unknown",

"Activated": "true",

"XenAppServiceOk": "false",

"DirectoryServiceStatus": "Connection test successful",

"BuildVersion": "2017.1.1.0 Build 5077496",

"ThinAppServiceStatus": "unknown",

"XenAppServiceStatus": "A problem was encountered Sync Integration Broker",

"HostName": "hostname.company.local",

"NumberOfWarnAlerts": "0",

"JoinedDomain": "true",

"XenAppSyncConfigurationStatus": "Sync configured (manually)",

"DirectorySyncConfigurationStatus": "Sync configured (manually)",

"NumberOfErrorAlerts": "0",

"DirectoryServiceOk": "true",

"HorizonDaaSTenantOk": "true",

"ThinAppDirectoryPath": "",

"StatusDate": "2017-06-27 10:52:59 EDT",

"ViewSyncEnabled": "false",

"ViewServiceOk": "true",

"HorizonDaaSEnabled": "false",

"AppManagerUrl": "https://workspaceurl.com/SAAS/t/qwe12312qw/",

"HorizonDaaSServiceStatus": "unknown",

"DirectoryConnection": "ldap:///ldapcall",

"ServiceVersion": "VMware-C2-2017.1.1.0 Build 5077496",

"IpAddress": "169.118.86.105",

"DomainJoinStatus": "Domain: customerdomainname",

"AllOk": "false",

"ViewServiceStatus": "unknown",

"ThinAppEnabled": "false",

"XenAppSyncSsoBroker": "integrationbrokersso:443 / integrationbrokersync:443"

}

"AllOk" "true", "false" Comprobación de estado deconsolidación para supervisar el estadogeneral de los servicios de conector deVMware Identity Manager.

"ViewServiceOk" "true", "false" True si la conexión con el agente deView se realiza correctamente. Esteatributo será True si la sincronización deView está deshabilitada.

"HorizonDaaSTenantOk" "true", "false" True si la conexión con Horizon Cloud serealiza correctamente. Este atributo seráTrue si la sincronización de HorizonCloud está deshabilitada.

"DirectoryServiceOk" "true", "false" True si la conexión con el directorio serealiza correctamente. Este atributo seráTrue si la sincronización del directorioestá deshabilitada.

"XenAppServiceOk" "true", "false" True si es correcta la conexión con elservidor de Citrix. Este atributo será Truesi el servidor de Citrix está deshabilitado.


VMware, Inc. 104

"ThinAppServiceOk" "true", "false" True si la conexión con el servicio de lasaplicaciones que aparecen en el paquetede ThinApp es correcta. Este atributoserá True si las aplicaciones enpaquetes están deshabilitadas.

"AppManagerServiceOk" "true", "false" True si se puede autenticarcorrectamente en AppManager.

"NumberOfWarnAlerts" 0 - 1000 Número de alertas de advertencia quese han activado en este conector. Estosestán disponibles en el Log desincronización del conector como"Notas". Pueden indicar que un recursose sincronizó e incluye un usuario ogrupo que no está en VMware IdentityManager. Según la configuración, estopuede ser por diseño. El contador sigueaumentando en cada sincronizaciónhasta que los alertas de error yadvertencia equivalgan a 1000, y unadministrador borre los alertas.

"NumberOfErrorAlerts" 0 - 1000 Número de alertas de error que se hanactivado en este conector. Estos estándisponibles en el Log de sincronizacióndel conector como "Error". Puedenindicar que no pudo realizar unasincronización. El contador sigueaumentando en cada sincronizaciónhasta que los alertas de error yadvertencia equivalgan a 1000, y unadministrador borre los alertas.

Supervisión y estado de VMware Identity Manager Integration Broker

Llamada de URL: /IB/API/RestServiceImpl.svc/ibhealthcheck


“All Ok”

Esta comprobación de estado verifica que todo el software de Integration Broker respondacorrectamente. Devuelve una respuesta 200 con la cadena "All Ok".

Supervisión y estado de VMware Identity Manager Integration Broker con Citrix XenApp 7.x

Llamada deURL: /IB/API/RestServiceImpl.svc/hznxenapp/Admin/xenfarminfo?computername=&xenappversion=Version7x

Esto trae información de una llamada API a Citrix. La supervisión puede garantizar que los valores seancoherentes.


VMware, Inc. 105


[{

\ “ConfigurationLoggingServiceGroupUid \ “: \ “5e2a5602 - 45a8 - 4b56 - 92e6 - 9fae5a3ff459 \ “,

\ “ConfigurationServiceGroupUid \ “: \ “620d7c6e - b7c1 - 4ee7 - b192 - d00764f477e7 \

“, \ “DelegatedAdministrationServiceGroupUid \ “: \ “0a59914d - 4b6e - 4cca - bbaa -

a095067092e3 \ “,

\ “LicenseServerName \ “: \ “xd.hs.trcint.com \ “,

\ “LicenseServerPort \ “: \ “27000 \ “,

\ “LicenseServerUri \ “: \ “https: \ / \ / xd.hs.domain.com: 8083 \ / \ “,

\ “LicensingBurnIn \ “: \ “2014.0815 \ “,

\ “LicensingBurnInDate \ “: \ “8 \ / 14 \ / 2014 5: 00: 00 PM \ “,

\ “LicensingModel \ “: \ “UserDevice \ “,

\ “MetadataMap \ “: \ “System.Collections.Generic.Dictionary `2[System.String,System.String]\“,

\“PrimaryZoneName\“:\“\”,

\“PrimaryZoneUid\“:\“00000000-0000-0000-0000-000000000000\“,

\“ProductCode\“:\“XDT\“,

\“ProductEdition\“:\“PLT\“,

\“ProductVersion\“:\“7.6\“,

\“SiteGuid\“:\“0c074098-02d2-47cf-aa87-7e3asdsad7c\“,

\“SiteName\“:\“customer\“

}]

Excepción de datos de salida brutos:

{“ExceptionType”:“System.Management.Automation.CmdletInvocationException”,“Message”:“An invalid URL

was given for the service. The value given was ‘mit-xen751.hs.trcint.com’.\u000d\u000a The reason

given was: Failed to connect to back-end server ‘mit-xen751.hs.trcint.com’ on port 80 using binding

WSHttp. The server may be off-line or may not be running the appropriate

service\u000d\u000a\u0009There was no endpoint listening at http:\/\/mit-

xen751.hs.trcint.com\/Citrix\/ConfigurationContract\/v2 that could accept the message. This is often

caused by an incorrect address or SOAP action. See InnerException, if present, for more

details.\u000d\u000a\u0009The remote name could not be resolved: ‘mit-xen751.hs.trcint.com’.

“,”StackTrace”:” at

System.Management.Automation.Internal.PipelineProcessor.SynchronousExecuteEnumerate(Object input,

Hashtable errorResults, Boolean enumerate)\u000d\u000a at

System.Management.Automation.Internal.PipelineProcessor.SynchronousExecute(Array input, Hashtable

errorResults)\u000d\u000a at

System.Management.Automation.Runspaces.LocalPipeline.InvokeHelper()\u000d\u000a at

System.Management.Automation.Runspaces.LocalPipeline.InvokeThreadProc()“}

Supervisión y estado de VMware Identity Manager Integration Broker con Citrix XenApp 6.x

Llamada deURL: /IB/API/RestServiceImpl.svc/hznxenapp/Admin/xenfarminfo?computername=&xenappversion=Version65orLater

Esto trae información de una llamada API a Citrix. La supervisión puede garantizar que los valores seancoherentes.


VMware, Inc. 106


“[{

\ “FarmName \ “: \ “NewFarm \ “,

\ “ServerVersion \ “: \ “6.5.0 \ “,

\ “AdministratorType \ “: \ “Full \ “,

\ “SessionCount \ “: \ “0 \ “,

\ “MachineName \ “: \ “XENAPPTEST \ “

}]”

Registro del sistemaEl inicio de sesión desde los componentes del servicio de VMware Identity Manager y el conector deVMware Identity Manager está disponible mediante syslog. El componente Integration Broker iniciasesión localmente. Los registros pueden recopilarse y revisarse en el servidor o a través de un serviciode registro central, como vRealize Log Insight o Splunk.

Registro del conector y el servicio de VMware Identity ManagerUbicaciones de registro

La mayoría de los registros del servicio y el conector se encuentran en la siguiente ubicación:

n Dispositivo virtual Linux de VMware Identity Manager: /opt/vmware/horizon/workspace/logs/

n VMware Identity Manager en Windows: \<Install_Dir>\VMware IdentityManager\opt\vmware\horizon\workspace\logs

Registro Propósito

greenbox_web.log Registro que contiene todas las interacciones de la interfaz deusuario para web y móvil

horizon.log Registro del servicio de VMware Identity Manager que incluyeadaptadores de identidad, RabbitMQ, Elasticsearch, Ehcachey otros subsistemas

connector.log Registro del conector de VMware Identity Manager para todoslos métodos de autenticación y las integraciones con Horizon yCitrix

cert-proxy.log Componente CertProxy del servicio de VMware IdentityManager para el SSO móvil Android

configurator.log Solicitudes que recibe el configurador del cliente REST y de lainterfaz web

/opt/vmware/var/log/update.log Un registro de los mensajes de salida relacionados con lassolicitudes de actualización durante una actualización deVMware Identity Manager.

/opt/vmware/var/log/vami/ Los archivos del directorio /opt/vmware/var/log/vami sonútiles para resolver problemas. Encontrará estos archivos entodas las máquinas virtuales después de una actualización.


VMware, Inc. 107

Registro Propósito

catalina.log Registros de Apache Tomcat de los mensajes que no seregistran en otros archivos de registro

/var/log/messages Registros de iOS KDC para el SSO móvil

Configuración del servidor de syslog

Para configurar un servidor syslog, consulte Configurar un servidor syslog.

Registro de Integration BrokerLos registros de Integration Broker se encuentran en la siguiente ubicación:

C:\ProgramData\VMware\HorizonIntegrationBroker

Los registros se capturan por día y contienen todas las llamadas de API de REST realizadas porIntegration Broker o a este.


VMware, Inc. 108

Instalar y VMware Identity Manager configurar para Linux · Cuando finaliza la instalación, se...

Documents

Transcript of Instalar y VMware Identity Manager configurar para Linux · Cuando finaliza la instalación, se...