Instalar y VMware Identity Manager configurar para …...configurar el dispositivo virtual basado en Linux de VMware Identity Manager en las instalaciones. Cuando finaliza la instalación,

Instalar y configurarVMware Identity Managerpara LinuxSeptiembre de 2018VMware Identity Manager 3.3

Instalar y configurar VMware Identity Manager para Linux

VMware, Inc. 2

Puede encontrar la documentación técnica más actualizada en el sitio web de VMware:

https://docs.vmware.com/es/

El sitio web de VMware también ofrece las actualizaciones de producto más recientes.

Si tiene comentarios relacionados con esta documentación, envíelos a:

[email protected]

Copyright © 2013 – 2018 VMware, Inc. Todos los derechos reservados. Información sobre el copyright y marcacomercial.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware Spain, S.L.Calle Rafael Boti 262.ª plantaMadrid 28023Tel.: +34 914125000www.vmware.com/es

https://docs.vmware.com/es/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

http://pubs.vmware.com/copyright-trademark.html

Contenido

Acerca de la instalación y la configuración de VMware Identity Manager paraLinux 6

1 Preparar la instalación de VMware Identity Manager 7

Requisitos de configuración de la red y el sistema 9

Preparar la implementación de VMware Identity Manager 14

Crear registros de DNS y direcciones IP 15

Opciones de base de datos con VMware Identity Manager 16

Conectar al directorio empresarial 16

Listas de comprobación de implementación 16

Programa de mejora de la experiencia de cliente 19

2 Implementación de VMware Identity Manager 20

Instalación del archivo OVA de VMware Identity Manager 20

(Opcional) Agregar grupos de direcciones IP 23

Configurar las opciones de VMware Identity Manager 24

Agregar direcciones IP de la lista blanca al firewall externo 34

Configurar los valores del servidor proxy para VMware Identity Manager 35

Introducir la clave de licencia 36

3 Administrar los ajustes de configuración de VMware Identity Manager 37

Cambiar ajustes de configuración del dispositivo 38

Crear la base de datos del servicio de VMware Identity Manager 39

Configurar la base de datos de Microsoft SQL con el modo de autenticación de Windows 39

Configurar la base de datos de Microsoft SQL con el modo de autenticación local de SQL

Server 41

Confirmar que la base de datos de Microsoft SQL esté configurada correctamente 43

Configure VMware Identity Manager para usar una base de datos externa 44

Cambiar las funciones de nivel de la base de datos 45

Administrar la base de datos interna 46

Utilizar certificados SSL 46

Instalar un certificado SSL para el servicio de VMware Identity Manager 47

Instalar certificados raíz de confianza 48

Instalar un certificado de acceso directo 49

Modificar la URL del servicio VMware Identity Manager 49

Modificar la URL del conector 49

Configurar un servidor syslog 50

VMware, Inc. 3

Información del archivo de registro 51

Recopilar información de registro 51

Establecer el nivel de registro del servicio VMware Identity Manager en DEBUG 52

Administración de contraseñas de dispositivo 52

Configurar las opciones de SMTP 53

4 Configuración avanzada del dispositivo VMware Identity Manager 55

Usar un equilibrador de carga o un proxy inverso para habilitar el acceso externo a

VMware Identity Manager 55

Aplicar el certificado raíz de VMware Identity Manager al equilibrador de carga 58

Aplicar el certificado raíz del equilibrador de carga a VMware Identity Manager 59

Configurar los valores del servidor proxy para VMware Identity Manager 61

Configurar la conmutación por error y la redundancia en un centro de datos único 61

Número recomendado de nodos en el clúster de VMware Identity Manager 62

Cambiar el FQDN de VMware Identity Manager al FQDN del equilibrador de carga 63

Clonar el dispositivo virtual. 64

Asignar una nueva dirección IP a un dispositivo virtual clonado 65

Habilitar la sincronización de directorio en otra instancia de en caso de fallo 67

Eliminar un nodo de un clúster 68

Implementar VMware Identity Manager en un centro de datos secundario para la conmutación de

error y la redundancia 71

Configurar un centro de datos secundario 73

Realizar una conmutación por error en el centro de datos secundario 81

Realizar una conmutación por recuperación en el centro de datos primario 84

Ascender un centro de datos secundario a primario 85

Actualizar VMware Identity Manager con un periodo de inactividad mínimo 86

5 Instalación de dispositivos de conectores de VMware Identity Manager

adicionales 87Generación de un código de activación para el conector 88

Implementar el archivo OVA de Conector 88

Configurar las opciones de Conector 90

6 Utilizar el KDC integrado 92

Inicializar el centro de distribución de claves en el dispositivo 93

Crear entradas de DNS públicas para KDC con Kerberos integrado 94

7 Supervisar VMware Identity Manager 96

Recomendaciones de supervisión de la capacidad de carga de hardware 96

Extremos de URL de VMware Identity Manager para la supervisión 97

Mostrar información adicional en la API de comprobación de estado 104

Registro del sistema 106


VMware, Inc. 4

8 Configurar límites de frecuencia 108

Configurar límites de frecuencia en el servicio de VMware Identity Manager 108

Configurar límites de frecuencia en el conector de VMware Identity Manager 111

9 Solucionar los problemas de la instalación y la configuración 115

Los usuarios no pueden iniciar aplicaciones o se aplica un método de autenticación incorrecto en

entornos de carga equilibrada 115

Un grupo no muestra ningún miembro después de la sincronización de directorios 116


VMware, Inc. 5

Acerca de la instalación y la configuraciónde VMware Identity Manager para Linux

Instalar y configurar VMware Identity Manager para Linux proporciona información sobre cómo instalar yconfigurar el dispositivo virtual basado en Linux de VMware Identity Manager en las instalaciones.Cuando finaliza la instalación, se puede utilizar la consola de administración para autorizar a los usuariosa acceder desde varios dispositivos a las aplicaciones de la organización, incluidas las aplicaciones web,las aplicaciones y los escritorios de Horizon y los recursos publicados de Citrix. La guía también explicacómo configurar la implementación para conseguir una elevada disponibilidad.

Instalar y configurar VMware Identity Manager para Linux proporciona información sobre laimplementación del dispositivo virtual de VMware Identity Manager en la red interna. Para implementarVMware Identity Manager en DMZ, consulte Implementar VMware Identity Manager en DMZ.

Público objetivoEsta información está dirigida a los administradores de VMware Identity Manager. La información estáescrita para administradores expertos de sistemas Windows y Linux que están familiarizados contecnologías de VMware, especialmente con vCenter™, ESX™ y vSphere® con conceptos de redes, conservidores, bases de datos y procedimientos de copia de seguridad y restauración de Active Directory, ycon servidores NTP y Simple Mail Transfer Protocol (SMTP). Es útil conocer también otras tecnologíascomo VMware ThinApp® y RSA SecurID si está prevista su implementación.

VMware, Inc. 6

Preparar la instalación deVMware Identity Manager 1Las tareas de implementación y configuración de VMware Identity Manager requieren completar losrequisitos previos, implementar el archivo OVA de VMware Identity Manager y completar la configuracióndesde el asistente de configuración de VMware Identity Manager.

VMware, Inc. 7

Figura 1‑1. Diagrama de la arquitectura de VMware Identity Manager para implementacionestípicas

Portátil

PC

Portátil

PC

HTTPS (443)

HTTPS(443)

DMZ

HTTPS (443)

Zona corporativa

VDI (HTML)

VDI (PCoIP/RDP)

Dispositivo virtual de VMware Identity Manager

FQDN de VMware Identity Manager:miidentitymanager.miempresa.com

HTTPSPCoIP

Servidor de conexiónde View

ServiciosDNS/NTP

RSASecurID

Serviciosde AD/directorio

Base de datosexterna

Repositorio deThinApp

Servidorde Citrix

Proxy inverso

Usuarios de la red LAN corporativa

TCP/UDP (88)- solo iOS

AirWatchREST API

TCP/UDP (88)- solo iOS

Equilibrador de carga internomiidentitymanager.miempresa.com

Dispositivo móvil

Internet

Nota Si prevé habilitar la autenticación con certificado o smart card, utilice la configuración de pass-through de SSL en el equilibrador de carga en lugar de la configuración de terminación de SSL. Estaconfiguración asegura que la negociación handshake se realice entre el conector, un componente deVMware Identity Manager, y el cliente.

Nota Las REST API de Workspace ONE UEM pueden estar ubicadas en la nube o de forma local,según la ubicación de la implementación de Workspace ONE UEM.

Este capítulo incluye los siguientes temas:

n Requisitos de configuración de la red y el sistema

n Preparar la implementación de VMware Identity Manager


VMware, Inc. 8

n Programa de mejora de la experiencia de cliente

Requisitos de configuración de la red y el sistemaAl tomar decisiones respecto a requisitos de hardware, recursos y red, considere la implementacióncompleta, incluyendo la integración de recursos.

Versiones compatibles de vSphere y ESXSon compatibles las siguientes versiones de servidor ESX y vSphere:

n 5.5 y posteriores

n 6.0 y posteriores

Nota Se debe activar la sincronización de hora en el nivel de host de ESX mediante un servidor NTP.De lo contrario, se produce una variación horaria entre los dispositivos virtuales.

Si se implementan varios dispositivos virtuales en distintos host, se debe considerar desactivar la opciónde sincronización con el host y configurar el servidor NTP directamente en cada dispositivo virtual, paraasegurar que no haya diferencia horaria entre los dispositivos virtuales.

Requisitos de tamaño de hardwareAsegúrese de que cumple con los requisitos de cantidad de dispositivos virtuales deVMware Identity Manager y recursos asignados a cada dispositivo.

Número deusuarios Hasta 1.000 1.000-10.000 10.000-25.000 25.000-50.000 50.000-100.000

Número deservidores deVMware IdentityManager

1 servidor 3 servidores conequilibrio de carga

3 servidores conequilibrio de carga



CPU (por servidor) 2 CPU 2 CPU 4 CPU 8 CPU 8 CPU

RAM (por servidor) 6 GB 6 GB 8 GB 16 GB 32 GB

Espacio de disco(por servidor)

60 GB 100 GB 100 GB 100 GB 100 GB

Si instala conectores independientes adicionales, asegúrese de cumplir con los siguientes requisitos.


Número deservidores deconector

1 servidor 2 servidores conequilibrio de carga




CPU (por servidor) 2 CPU 4 CPU 4 CPU 4 CPU 4 CPU


VMware, Inc. 9


RAM (por servidor) 6 GB 6 GB 8 GB 16 GB 16 GB

Espacio de disco(por servidor)

60 GB 60 GB 60 GB 60 GB 60 GB

Requisitos de base de datosConfigure VMware Identity Manager con una base de datos de Microsoft SQL externa para almacenar yorganizar los datos del servidor.

Para obtener información sobre las versiones de la base de datos de Microsoft SQL y las configuracionesde Service Pack compatibles, consulte las matrices de interoperabilidad de productos VMware en https://www.vmware.com/resources/compatibility/sim/interop_matrix.php.

Los siguientes requisitos se aplican a una base de datos de SQL Server externa. Las especificacionesexactas necesarias para SQL Server dependen del tamaño y las necesidades de la implementación.


CPU 2 CPU 2 CPU 4 CPU 8 CPU 8 CPU

RAM 4 GB 4 GB 8 GB 16 GB 32 GB

Espacio en disco 50 GB 50 GB 50 GB 100 GB 100 GB

La capacidad de SQL Server AlwaysOn es una combinación de la agrupación en clústeres deconmutación por error y la creación de reflejos de base de datos junto con el envío de registros para altadisponibilidad. AlwaysOn permite que haya varias copias de lectura de la base de datos y una sola copiade lectura y escritura para las operaciones. Si el entorno de implementación tiene ancho de bandasuficiente para admitir el tráfico que se genera, la base de datos de VMware Identity Manager admitiráAlwaysOn.

Requisitos de configuración de red

Componente Requisito mínimo

Dirección IP y registro de DNS Registro de DNS y dirección IP

Puerto del firewall Compruebe que el puerto entrante 443 del firewall esté abierto para usuario fuera de lared hacia la instancia de VMware Identity Manager o al equilibrador de carga.

Proxy inverso Implemente un proxy inverso como el administrador de directivas de acceso F5 en DMZpara permitir que los usuarios accedan de forma remota y segura al portal deVMware Identity Manager.

VMware Unified Access Gateway 2.8 y las versiones posteriores son compatibles con lafunción de proxy inverso para permitir a los usuarios acceder remotamente y de formasegura al catálogo unificado de VMware Identity Manager. Unified Access Gateway sepuede implementar en la red perimetral DMZ detrás de los equilibradores de carga queactúan de frontal del dispositivo VMware Identity Manager.


VMware, Inc. 10

https://www.vmware.com/resources/compatibility/sim/interop_matrix.php

Requisitos de puertosLos puertos utilizados en la configuración del servidor se describen aquí. La implementación solo puedeincluir un subconjunto de ellos. Por ejemplo:

n Para sincronizar usuarios y grupos desde Active Directory, VMware Identity Manager se debeconectar a Active Directory.

n Para sincronizar con ThinApp, VMware Identity Manager se debe unir al dominio de Active Directoryy conectar a la unidad compartida de repositorio de ThinApp.

Puerto Protocolo Origen destino Descripción

443 HTTPS Equilibrador de carga Equipo de VMware Identity Manager

443 HTTPS VMware Identity Manager Equilibrador de carga Necesario paravalidar el FQDN delequilibrador de cargacuando se establece.

443, 8443 HTTPS/HTTP Equipo deVMware Identity Manager

Equipo de VMware Identity Manager Para todas lasinstancias deVMware IdentityManager en unclúster y en clústeresde centros de datosdiferentes.

443 HTTPS Navegadores Equipo de VMware Identity Manager

443, 80 HTTPS, HTTP Equipo deVMware Identity Manager

vapp-updates.vmware.com Acceso al servidor deactualización

443 HTTPS Equipo deVMware Identity Manager

discovery.awmdm.com Acceso para ladetección automáticade aplicaciones deWorkspace ONE

443 HTTPS Equipo deVMware Identity Manager

catalog.vmwareidentity.com Acceso al catálogode nube

8443 HTTPS Navegadores Equipo de VMware Identity Manager Puerto deadministrador

25 SMTP Equipo deVMware Identity Manager

SMTP Puerto pararedireccionamientode correo saliente

389

636

3268

3269

LDAP

LDAPS

MSFT-GC

MSFT-GC-SSL

Equipo deVMware Identity Manager

Active Directory Se muestran losvalorespredeterminados.Estos puertos sepueden configurar.

445 TCP Equipo deVMware Identity Manager

Repositorio de ThinApp de VMware Acceso al repositoriode ThinApp


VMware, Inc. 11


5500 UDP Equipo deVMware Identity Manager

Sistema RSA SecurID Se muestra el valorpredeterminado. Estepuerto se puedeconfigurar.

53 TCP/UDP Equipo deVMware Identity Manager

Servidor DNS Todos losdispositivos virtualesdeben tener accesoal servidor DNS en elpuerto 53 y permitirel tráfico SSHentrante en el puerto22.

88, 464,135, 445

TCP/UDP Equipo deVMware Identity Manager

Controlador de dominio


Equipo de VMware Identity Manager Necesidades deauditoría

54328 UDP

5701 TCP Equipo de VMwareIdentity Manager

Equipo de VMware Identity Manager Memoria caché deHazelcast

40002

40003

TCP Equipo de VMwareIdentity Manager

Equipo de VMware Identity Manager Ehcache


Base de datos El puertopredeterminado deMicrosoft SQL es el1433

443 VMware Identity Manager Horizon Server Acceso a HorizonServer

80, 443 TCP VMware Identity Manager Servidor de Integration Broker Conexión conIntegration Broker. Laopción del puertodepende de si seinstala un certificadoen el servidor delagente deintegración.

443 HTTPS VMware Identity Manager REST API de Workspace ONE UEM(AirWatch)

Para comprobar elcumplimientonormativo deldispositivo y elmétodo deautenticación decontraseña deAirWatch CloudConnector, si seutiliza.

88 UDP Unified Access Gateway Equipo de VMware Identity Manager Puerto UDP que seabre para SSO móvil


VMware, Inc. 12


5262 TCP Dispositivo móvil Android Servicio de proxy HTTPS deWorkspace ONE UEM (AirWatch)

El cliente deWorkspace ONEUEM (AirWatch)Tunnel enruta eltráfico al proxyHTTPS para losdispositivos Android.

88 UDP Dispositivo móvil iOS Equipo de VMware Identity Manager Puerto utilizado parael tráfico de Kerberosdesde dispositivosiOS hasta el servicioKDC de nubealojado.

443 HTTPS/TCP

514 UDP Equipo deVMware Identity Manager

servidor syslog UDP

Para el servidorsyslog externo, siestá configurado

88 UDP Equipo de VMwareIdentity Manager

Servidor KDC híbrido en la nube. Elnombre de host es kdc.<realm>. Porejemplo, kdc.op.vmwareidentity.com

Puerto UDP utilizadopara autenticar lasactualizaciones deconfiguración deladaptador deautenticación deSSO móvil para iOSque se guardan en elservicio KDC en lanube. Dicho puertose utiliza únicamentesi se utiliza la funciónde SSO móvil paraiOS del KDC híbrido.

Directorios compatiblesPuede integrar VMware Identity Manager con el directorio de su empresa y sincronizar usuarios y gruposde este directorio con el servicio.

n El entorno de Active Directory puede estar formado por un único dominio de Active Directory, porvarios dominios en un único bosque de Active Directory o por varios dominios en varios bosques deActive Directory.

VMware Identity Manager es compatible con Active Directory en Windows 2008, 2008 R2, 2012,2012 R2 y 2016 con las opciones de Nivel funcional del dominio y Nivel funcional de bosque deWindows 2003 y versiones posteriores.

Nota Puede que se necesite un nivel funcional mayor para algunas características. Por ejemplo,para permitir que los usuarios cambien las contraseñas de Active Directory desde Workspace ONE,el nivel funcional de dominio debe ser Windows 2008 o posterior.


VMware, Inc. 13

Navegadores web admitidos para obtener acceso a la consola deVMware Identity ManagerLa consola de VMware Identity Manager es una aplicación basada en la web que le permite administrarel arrendatario. Puede acceder a la consola de VMware Identity Manager desde las versiones másrecientes de Mozilla Firefox, Google Chrome, Safari, Microsoft Edge e Internet Explorer 11.

Nota En Internet Explorer 11, es necesario tener habilitado JavaScript y el uso de cookies para superarla autenticación de VMware Identity Manager.

Navegadores compatibles para acceder al portal Workspace ONELos siguientes navegadores permiten a los usuarios finales obtener acceso al portal de Workspace ONE.

n Mozilla Firefox (más reciente)

n Google Chrome (más reciente)

n Safari (más reciente)

n Internet Explorer 11

n Navegador Microsoft Edge

n Navegador nativo y Google Chrome en dispositivos con Android

n Safari en dispositivos con iOS

Nota En Internet Explorer 11, es necesario tener habilitado JavaScript y el uso de cookies para superarla autenticación de VMware Identity Manager.

Preparar la implementación de VMware Identity ManagerAntes de implementar VMware Identity Manager, debe preparar el entorno. Esta preparación incluye ladescarga del archivo OVA de VMware Identity Manager, la creación de los registros de DNS y laobtención de las direcciones IP.

Requisitos previos

Antes de comenzar a instalar VMware Identity Manager, complete las tareas previas requeridas.

n Para implementar el dispositivo virtual de VMware Identity Manager se necesitan uno o variosservidores ESX.

Nota Para obtener información sobre las versiones del servidor ESX y vSphere compatibles,consulte las matrices de interoperabilidad de productos de VMware enhttp://www.vmware.com/resources/compatibility/sim/interop_matrix.php.

n Se necesita VMware vSphere Client o vSphere Web Client y acceder el dispositivo virtual de formaremota para configurar la red.


VMware, Inc. 14

n Descargue el archivo OVA de VMware Identity Manager desde el sitio web de VMware.

Crear registros de DNS y direcciones IPDeben estar disponibles una entrada DNS y una dirección IP estática para el dispositivo virtual deVMware Identity Manager. Dado que cada empresa administra sus direcciones IP y registros de DNS deforma distinta, debe solicitar el registro de DNS y las direcciones de IP que se van a utilizar antes deempezar la instalación.

La configuración de la búsqueda inversa es opcional. Cuando implemente la búsqueda inversa, debedefinir un registro PTR en el servidor DNS para que el dispositivo virtual utilice la configuración de redcorrecta.

Puede utilizar la siguiente lista de ejemplos de registros de DNS cuando se ponga en contacto con eladministrador de la red. Sustituya la información de los ejemplos con la información de su entorno. Eneste ejemplo se muestran los registros de DNS directas y las direcciones IP.

Tabla 1‑1. Ejemplos de registros de DNS directas y direcciones IP

Nombre de dominio Tipo de recurso Dirección IP

miidentitymanager.empresa.com A 10.28.128.3

En este ejemplo se muestran los registros de DNS inversas y las direcciones IP.

Tabla 1‑2. Ejemplos de registros de DNS inversas y direcciones IP

Dirección IP Tipo de recurso Nombre del host

10.28.128.3 PTR miidentitymanager.empresa.com

Después de completar la configuración de DNS, compruebe que la búsqueda de DNS inversas estácorrectamente configurada. Por ejemplo, el comando host IPaddress del dispositivo virtual deberesolverse en la búsqueda del nombre de DNS.

Planificación de la autenticación KerberosSi va a configurar la autenticación Kerberos, tenga en cuenta los siguientes requisitos:

n En un escenario donde utiliza el conector integrado en VMware Identity Manager para laautenticación Kerberos, el nombre de host de VMware Identity Manager debe coincidir con eldominio de Active Directory al que está unido VMware Identity Manager. Por ejemplo, si el dominiode Active Directory es ventas.ejemplo.com, el nombre de host de VMware Identity Manager debe servidmhost.ventas.ejemplo.com.

Si no se puede asignar un nombre de host que coincida con la estructura de dominio de ActiveDirectory, deberá configurar VMware Identity Manager y Active Directory de forma manual. Consultela Base de conocimientos para obtener información.

n En un escenario donde utiliza conectores externos para la autenticación Kerberos, el nombre de hostdel conector debe coincidir con el dominio de Active Directory al que está unido el conector. Porejemplo, si el dominio de Active Directory es ventas.ejemplo.com, el nombre de host del conectordebe ser hostdeconector.ventas.ejemplo.com.


VMware, Inc. 15

Si no se puede asignar un nombre de host que coincida con la estructura de dominio de ActiveDirectory, deberá configurar el conector y Active Directory de forma manual. Consulte la Base deconocimientos para obtener información.

Utilizar un servidor DNS basado en Linux o UnixSi utiliza un servidor DNS basado en Linux o Unix y desea conectar el de VMware Identity Manager aldominio de Active Directory, compruebe que se crean los registros SRV adecuados para cadacontrolador del dominio de Active Directory.

Nota Si tiene un equilibrador de carga con una dirección IP virtual (VIP) frente a los servidores DNS,tenga en cuenta que VMware Identity Manager no admite el uso de VIP. Puede especificar variosservidores DNS separados por comas.

Opciones de base de datos con VMware Identity ManagerConfigure VMware Identity Manager con una base de datos de Microsoft SQL externa para almacenar yorganizar los datos del servidor. Una base de datos PostgreSQL interna está incrustada en el dispositivo,aunque no se recomienda usarla para implementaciones de producción.

Para utilizar una base de datos externa, el administrador de la base de datos debe preparar una base dedatos externa vacía y un esquema antes de conectar a la base de datos externa en el asistente deconfiguración. Los usuarios con licencia pueden utilizar el servidor de base de datos de Microsoft SQLpara configurar un entorno de base de datos externa de alta disponibilidad. Consulte Crear la base dedatos del servicio de VMware Identity Manager.

Conectar al directorio empresarialVMware Identity Manager utiliza la infraestructura del directorio empresarial para la administración y laautenticación del usuario. Puede integrar VMware Identity Manager con un entorno de Active Directoryformado por un único dominio de Active Directory, varios dominios en un único bosque de ActiveDirectory o varios dominios en varios bosques de Active Directory. También puede integrarVMware Identity Manager con un directorio LDAP. Para sincronizar usuarios y grupos, el dispositivovirtual de VMware Identity Manager debe conectarse al directorio.

Se debe poder acceder al directorio desde la misma red de LAN que la del dispositivo virtual deVMware Identity Manager.

Para obtener más información, consulte Integración de directorios con VMware Identity Manager.

Listas de comprobación de implementaciónLa lista de comprobación de implementación le permite recopilar la información necesaria para instalar eldispositivo virtual de VMware Identity Manager.


VMware, Inc. 16

Información sobre el nombre de dominio plenamente cualificadoTabla 1‑3. Lista de comprobación de información sobre el nombre de dominio plenamentecualificado (FQDN, Fully Qualified Domain Name)

Información para recopilar Muestra la información

FQDN del VMware Identity Manager de Nota Si va a configurar la autenticación Kerberos, tenga encuenta los siguientes requisitos:n En un escenario donde utiliza el conector integrado en

VMware Identity Manager para la autenticación Kerberos,el nombre de host de VMware Identity Manager debecoincidir con el dominio de Active Directory al que estáunido VMware Identity Manager. Por ejemplo, si el dominiode Active Directory es ventas.ejemplo.com, el nombre dehost de VMware Identity Manager debe servidmhost.ventas.ejemplo.com.

Si no se puede asignar un nombre de host que coincidacon la estructura de dominio de Active Directory, deberáconfigurar VMware Identity Manager y Active Directory deforma manual. Consulte la Base de conocimientos paraobtener información.

n En un escenario donde utiliza conectores externos para laautenticación Kerberos, el nombre de host del conectordebe coincidir con el dominio de Active Directory al queestá unido el conector. Por ejemplo, si el dominio de ActiveDirectory es ventas.ejemplo.com, el nombre de host delconector debe ser hostdeconector.ventas.ejemplo.com.

Si no se puede asignar un nombre de host que coincidacon la estructura de dominio de Active Directory, deberáconfigurar el conector y Active Directory de forma manual.Consulte la Base de conocimientos para obtenerinformación.

Información de red del dispositivo virtual del de VMware Identity ManagerTabla 1‑4. Lista de comprobación de información de red


Dirección IP Nota Debe utilizar una dirección IP estática y debe tener unPTR y un registro A definidos en el DNS.

Nombre de DNS de este dispositivo virtual

Dirección de puerta de enlace predeterminada

Prefijo o máscara de red

Información del directorioVMware Identity Manager es compatible con los entornos de Active Directory o de los directorios LDAP.


VMware, Inc. 17

Tabla 1‑5. Lista de comprobación de información sobre el controlador de dominio de ActiveDirectory


Nombre del servidor de Active Directory

Nombre del dominio de Active Directory

DN base

Para Active Directory mediante LDAP, el nombre de usuario yla contraseña de DN de enlace

Para Active Directory con autenticación integrada de Windows(IWA, Integrated Windows Authentication), el nombre deusuario y la contraseña de la cuenta con privilegios para unirequipos al dominio.

Tabla 1‑6. Lista de comprobación de información del servidor del directorio LDAP


Dirección IP o nombre del servidor del directorio LDAP

Número de puerto del servidor del directorio LDAP

DN base

Nombre de usuario DN de enlace y contraseña

Filtro de búsqueda de LDAP para objetos de grupo, objetos deusuarios de enlace y objetos de usuarios

Nombres de atributos LDAP de la pertenencia a grupos, UUIDdel objeto y nombre distintivo

certificados SSLPuede agregar un certificado SSL después de implementar el dispositivo virtualVMware Identity Manager.

Tabla 1‑7. Lista de comprobación de información sobre el certificado SSL


Certificado SSL

Clave privada


VMware, Inc. 18

Clave de licenciaTabla 1‑8. Lista de comprobación de información sobre la clave de licencia deVMware Identity Manager


Clave de licencia

Nota La información sobre la clave de licencia se introduce en la página Configuración dedispositivos > Licencia de la consola de administración después de completar la instalación.

Base de datos externaTabla 1‑9. Lista de comprobación de información sobre la base de datos externa


Nombre del host de la base de datos

Puerto

Nombre de usuario

Contraseña

Programa de mejora de la experiencia de clienteEl Programa de mejora de la experiencia de cliente (CEIP) de VMware proporciona a VMwareinformación que permite mejorar los productos y los servicios, además de solucionar problemas yaconsejarle sobre la mejor forma de implementar y utilizar nuestros productos. Como parte del CEIP,VMware recopila información técnica acerca del uso que hace la organización de los productos y losservicio de VMware de forma periódica en asociación con las claves de licencia de VMware de laorganización. Esta información no identifica a ninguna persona.

Si prefiere no participar en el CEIP de VMware para este producto, desactive la casilla cuando instaleVMware Identity Manager.

También puede unirse o abandonar el CEIP de este producto en cualquier momento después de lainstalación.

Nota Si la red está configurada para acceder a Internet a través de un proxy HTTP, para enviar losdatos recopilados mediante el CEIP a VMware deberá ajustar la configuración del proxy en VMwareIdentity Manager.


VMware, Inc. 19

Implementación deVMware Identity Manager 2Para implementar VMware Identity Manager, debe implementar la plantilla OVF mediante vSphere Cliento vSphere Web Client, encender el dispositivo virtual de VMware Identity Manager y configurar lasopciones.

Después de implementar el dispositivo virtual de VMware Identity Manager, use el asistente deconfiguración para configurar el entorno de VMware Identity Manager.

Use la información de la lista de comprobación de implementación para completar la instalación.Consulte Listas de comprobación de implementación.


n Instalación del archivo OVA de VMware Identity Manager

n (Opcional) Agregar grupos de direcciones IP

n Configurar las opciones de VMware Identity Manager

n Agregar direcciones IP de la lista blanca al firewall externo

n Configurar los valores del servidor proxy para VMware Identity Manager

n Introducir la clave de licencia

Instalación del archivo OVA de VMware Identity ManagerImplemente el archivo OVA de VMware Identity Manager mediante vSphere Web Client. Puededescargar e implementar el archivo OVA desde una ubicación local a la que pueda acceder vSphere WebClient, o bien implementarlo desde una URL web.

Nota Utilice los navegadores Firefox o Chrome para implementar el archivo OVA. No use InternetExplorer.

Requisitos previos

Revise Capítulo 1Preparar la instalación de VMware Identity Manager.

Procedimiento

1 Descargue el archivo OVA de VMware Identity Manager desde My VMware.

VMware, Inc. 20

2 Inicie sesión en vSphere Web Client.

3 Seleccione Archivo > Implementar plantilla OVF.

4 En el asistente de implementación de la plantilla OVF, especifique la información siguiente.

Página Descripción

Origen Desplácese hasta la ubicación del paquete de OVA o introduzca una URLespecífica.

Detalles de la plantilla OVF Revise los detalles del producto, incluidos los requisitos de tamaño y versión.

Acuerdo de licencia de usuario final Lea el Contrato de licencia para el usuario final y haga clic en Aceptar.

Nombre y ubicación Introduzca un nombre para el dispositivo virtual de VMware Identity Manager. Elnombre debe ser único en la carpeta de inventario y puede tener hasta 80caracteres. Los nombres distinguen entre mayúsculas y minúsculas.

Seleccione una ubicación para el dispositivo virtual.

Host / Clúster Seleccione el host o clúster en el que se ejecutará el dispositivo virtual.

Grupo de recursos Seleccione el grupo de recursos.

Almacenamiento Seleccione la ubicación de almacenamiento de los archivos del dispositivo virtual.Puede seleccionar un perfil de almacenamiento de máquina virtual.

Formato de disco Seleccione el formato de disco de los archivos. Para entornos de producción,seleccione uno de los formatos de aprovisionamiento pesado. Para evaluación ypruebas, use el formato de aprovisionamiento ligero.

En el formato de aprovisionamiento pesado, todo el espacio requerido para eldisco virtual se asigna durante la implementación. En el formato deaprovisionamiento ligero, el disco solo usa la cantidad de espacio dealmacenamiento que necesita para sus operaciones iniciales.

Asignación de redes Asigne las redes usadas en VMware Identity Manager a redes de su inventario.


VMware, Inc. 21


Propiedades n Configuración de zona horaria

Seleccione la zona horaria correcta.n Únase al Programa de mejora de la experiencia de cliente de VMware

Este producto forma parte del Programa de mejora de la experiencia decliente (CEIP) de VMware. Los detalles relacionados con los datosrecopilados mediante el CEIP, así como los fines para los que VMware losutiliza, se pueden encontrar en el Centro de seguridad y confianza en https://www.vmware.com/es/solutions/trustvmware/ceip.html. Si prefiere noparticipar en el CEIP de VMware para este producto, desactive la casilla.

También puede unirse al CEIP de este producto o abandonarlo en cualquiermomento después de la instalación.

Nota Si la red está configurada para acceder a Internet a través de un proxyHTTP, para enviar los datos recopilados mediante el CEIP a VMware deberáajustar la configuración del proxy en el dispositivo virtual deVMware Identity Manager. Consulte Configurar los valores del servidor proxypara VMware Identity Manager.

n Nombre de host (FQDN)

Introduzca el nombre de host que se usará. Si se deja en blanco, se utilizarála DNS inversa para buscar el nombre de host.

n Propiedades de redn Para configurar una dirección IP estática para VMware Identity Manager,

introduzca la información necesaria en los campos Puerta de enlacepredeterminada, DNS, Dirección IP y Máscara de red.

Nota Si tiene un equilibrador de carga con una dirección IP virtual (VIP)frente a los servidores DNS, tenga en cuenta queVMware Identity Manager no admite el uso de VIP. Puede especificarvarios servidores DNS separados por comas.

Importante Si se deja en blanco cualquiera de estos cuatro campos dedirección, incluido Nombre de host, se usará DHCP.

n Para configurar DHCP, deje en blanco los campos de dirección.

Nota Los campos Nombre del dominio y Ruta de búsqueda de dominio nose usan. Puede dejarlos en blanco.

(Opcional) Después de instalar VMware Identity Manager, pude configurar gruposde IP. Consulte (Opcional) Agregar grupos de direcciones IP.

Listo para finalizar Revise las selecciones y haga clic en Finalizar. En función de la velocidad de la red, la implementación puede tardar varios minutos. El cuadro dediálogo que se abre le mostrará el progreso de la operación.

5 Cuando se complete la implementación, en el cuadro de diálogo de progreso, haga clic en Cerrar.

6 Seleccione el dispositivo virtual de VMware Identity Manager que implementó, haga clic con el botónderecho y seleccione Energía > Encender.

Se inicializa el dispositivo virtual. Cuando se completa la inicialización, la pantalla de la consolamuestra la versión de VMware Identity Manager, la dirección IP y las direcciones URL para iniciarsesión en la consola de VMware Identity Manager y completar la configuración.


VMware, Inc. 22

Pasos siguientes

n (Opcional) Agregue grupos de IP.

n Configure las opciones de VMware Identity Manager, lo que incluye la conexión a Active Directory oal directorio LDAP y la selección de los usuarios y grupos que se sincronizarán conVMware Identity Manager.

(Opcional) Agregar grupos de direcciones IPLa configuración de la red con grupos de direcciones IP es opcional en VMware Identity Manager. Esposible agregar grupo de direcciones IP manualmente al dispositivo virtual de VMware Identity Managerdespués de que se haya instalado.

Los grupos de direcciones IP actúan como servidores DHCP para asignar direcciones IP del grupo aldispositivo virtual de VMware Identity Manager. Para utilizar grupos de direcciones IP, se deben editar laspropiedades de red del dispositivo virtual para cambiarlas a dinámicas y configurar la máscara de red, lapuerta de enlace y la configuración de DNS.

Requisitos previos

El dispositivo virtual debe estar apagado.

Procedimiento

1 En vSphere Client o vSphere Web Client, haga clic con el botón derecho en el dispositivo virtual deVMware Identity Manager y seleccione Editar configuración.

2 Seleccione la pestaña Opciones.

3 En las opciones de vApp, haga clic en Avanzado.

4 En la sección Propiedades de la derecha, haga clic en el botón Propiedades.

5 En el cuadro de diálogo de configuración avanzada de propiedades, configure las claves siguientes:

n vami.DNS.IdentityManager

n vami.netmask0.IdentityManager

n vami.gateway.IdentityManager

a Seleccione una de las claves y haga clic en Editar.

b En el cuadro de diálogo de edición de la configuración de la propiedad, junto al campo Tipo,haga clic en Editar.

c En el cuadro de diálogo de edición de tipo de propiedad, seleccione propiedad dinámica y, en elmenú desplegable, seleccione el valor adecuado de máscara de red, dirección de puerta deenlace y servidor DNS respectivamente.

d Haga clic en Aceptar y en Aceptar de nuevo.

e Repita estos pasos para configurar cada clave.

6 Encienda el dispositivo virtual.


VMware, Inc. 23

Las propiedades están configuradas para usar grupos de direcciones IP.

Pasos siguientes

Configure los parámetros de VMware Identity Manager.

Configurar las opciones de VMware Identity ManagerDespués de implementar la instancia de VMware Identity Manager, utilice el asistente de configuraciónpara establecer contraseñas y seleccionar una base de datos. En ese momento puede configurar laconexión a Active Directory o al directorio LDAP.

Asegúrese de ejecutar el Asistente de configuración utilizando el nombre de host completo. No escriba ladirección IP como nombre.

Requisitos previos

n La máquina de VMware Identity Manager está encendida.

n La base de datos externa está configurada y la información de conexión de la base de datos estádisponible. Antes de ejecutar al Asistente de configuración, compruebe que la configuración de labase de datos sea correcta. Para obtener más información, consulte Crear la base de datos delservicio de VMware Identity Manager.

n Antes de configurar el directorio, revise la Integración del directorio con VMware Identity Managerpara conocer los requisitos y las limitaciones.

n Debe tener la información de su directorio LDAP o de Active Directory.

n Cuando configura Active Directory con varios bosques y el grupo local de dominios contienemiembros de dominios de diferentes bosques, debe agregar el usuario de DN de enlace utilizado enla página Directorio de VMware Identity Manager al grupo de administradores del dominio en el quereside el grupo local de dominios. De lo contrario, estos miembros no estarán en el grupo local dedominios.

n Dispone de una lista de los atributos de usuario que desea utilizar como filtros y una lista de losgrupos y usuarios que desea agregar a VMware Identity Manager.

Los nombres de grupo se sincronizan con el directorio inmediatamente. Los miembros de un grupono se sincronizan hasta que el grupo goce de autorización para utilizar los recursos o hasta que se loagregue a una regla de directiva. Los usuarios que necesiten autenticarse antes de que seconfiguren las autorizaciones de grupo deberán agregarse directamente durante la configuracióninicial.

Procedimiento

1 Vaya a la URL de VMware Identity Manager que apareció al finalizar la instalación. Introduzca elnombre de dominio completo (FQDN). Por ejemplo, https://nombredehost.ejemplo.com.

2 Si se le solicita, acepte el certificado.

Puede actualizar el certificado después de la configuración inicial.


VMware, Inc. 24

3 En la página Comenzar, haga clic en Continuar.

4 En la página Establecer contraseñas establezca las contraseñas de las siguientes cuentas deadministrador, que se utilizan para administrar el dispositivo, y haga clic en Continuar.

Cuenta

Administrador del dispositivo Establezca la contraseña del usuario admin. Este nombre de usuario nose puede cambiar. La cuenta del usuario admin se utiliza para administrarla configuración del dispositivo.

Importante La contraseña del usuario admin debe tener 6 caracterescomo mínimo.

Raíz del dispositivo Establezca la contraseña de usuario raíz. El usuario raíz tiene todos losderechos sobre el dispositivo.

Usuario remoto Establezca la contraseña sshuser. Esta contraseña se utiliza para iniciarsesión de forma remota en el dispositivo con una conexión SSH.

5 En la página Seleccionar base de datos, seleccione la base de datos que va a utilizar.

Consulte Configure VMware Identity Manager para usar una base de datos externa

n Si utiliza una base de datos externa, seleccione Base de datos externa e introduzca el nombrede usuario, la contraseña y la información de la conexión de la base de datos externa. Paracomprobar que VMware Identity Manager puede conectarse a la base de datos, haga clic enProbar conexión.

Después de comprobar la conexión, haga clic en Continuar.

n Si utiliza la base de datos interna, haga clic en Continuar.

Nota No se recomienda usar la base de datos interna para implementaciones de producción.

La conexión a la base de datos se configurará y la base de datos se inicializará. Cuando el procesofinalice, aparecerá la página La configuración se completó.

6 Haga clic en el vínculo Inicie la sesión en la consola de administración de la página Laconfiguración se completó para iniciar sesión en la consola de VMware Identity Manager yconfigurar la conexión de Active Directory o del directorio LDAP.

7 Inicie sesión en la consola de VMware Identity Manager como usuario administrador con lacontraseña que estableció.

Ha iniciado sesión como administrador local y se mostrará la página Directorios. Antes de agregar undirectorio, asegúrese de revisar Integración de directorios con VMware Identity Manager paraconocer los requisitos y las limitaciones.

8 Haga clic en la pestaña Administración de acceso e identidad.


VMware, Inc. 25

9 Haga clic en Configurar > Atributos de usuario para seleccionar los atributos del usuario que sevan a sincronizar con el directorio.

Aparecerán los atributos predeterminados y podrá seleccionar los que sean necesarios. Si unatributo está marcado como obligatorio, solo se sincronizan al servicio los usuarios con dichoatributo. También puede agregar otros atributos.

Importante Después de crear un directorio, no podrá convertir un atributo en un atributo obligatorio.Debe elegir esa opción ahora.

Compruebe también que todas las configuraciones de la página Atributos de usuario se apliquen atodos los directorios del servicio. Cuando marque un atributo como obligatorio, tenga en cuenta elefecto que pueda causar en otros directorios. Si un atributo está marcado como obligatorio, no sesincronizan con el servicio de los usuarios sin dicho atributo.

10 Haga clic en Guardar.


12 En la página Directorios, haga clic en Agregar directorio y seleccione Agregar Active Directory enLDAP/IWA o Agregar directorio LDAP, según el tipo de directorio que está integrando.

También puede crear un directorio local en el servicio. Para obtener más información sobre cómousar los directorios locales, consulte GUID-FF1F0D8B-F68E-41CE-B2F7-733F32B82665#GUID-FF1F0D8B-F68E-41CE-B2F7-733F32B82665.


VMware, Inc. 26

13 En el caso de Active Directory, siga estos pasos.

a Introduzca un nombre para el directorio que está creando en VMware Identity Manager yseleccione el tipo de directorio, ya sea Active Directory mediante LDAP o Active Directory(Autenticación de Windows integrada).

b Proporcione la información de la conexión.

Opción Descripción

Active Directory mediante LDAP 1 En el campo Conector de sincronización, seleccione el conector quedesee utilizar para sincronizar usuarios y grupos de Active Directory conel directorio de VMware Identity Manager.

De forma predeterminada, un componente del conector estará siempredisponible con el servicio de VMware Identity Manager. Este conectoraparecerá en la lista desplegable. Si instala varios dispositivos deVMware Identity Manager para lograr una alta disponibilidad, elcomponente del conector de cada uno aparecerá en la lista.

2 En el campo Autenticación, seleccione Sí si desea utilizar ActiveDirectory para autenticar a los usuarios.

Si desea utilizar un proveedor de identidades externo para autenticar alos usuarios, haga clic en No. Después de configurar la conexión deActive Directory para sincronizar usuarios y grupos, acceda a la páginaAdministración de acceso e identidad > Administrar > Proveedoresde identidades para agregar el proveedor de identidades externo pararealizar la autenticación.

3 En el campo Atributo de búsqueda de directorios, seleccione elatributo de la cuenta que contiene el nombre de usuario.

4 Si Active Directory utiliza la búsqueda de ubicaciones de servicio de DNS,seleccione las opciones siguientes.n En la sección Ubicación del servidor, active la casilla Este

directorio admite la ubicación de servicio de DNS.n Si Active Directory requiere el cifrado STARTTLS, active la casilla

Este directorio requiere que todas las conexiones usen SSL en lasección Certificados, copie el certificado de CA raíz de ActiveDirectory y péguelo en el campo Certificado SSL.

Asegúrese de que el certificado esté en formato PEM e incluya laslíneas "BEGIN CERTIFICATE" y "END CERTIFICATE".

Nota Si Active Directory requiere STARTTLS y usted no proporcionael certificado, no podrá crear el directorio.

5 Si Active Directory no utiliza la búsqueda de ubicaciones de servicio deDNS, seleccione las opciones siguientes.n En la sección Ubicación del servidor, compruebe que la casilla Este

directorio admite la ubicación de servicio de DNS no estéseleccionada y introduzca el número de puerto y el nombre de hostdel servidor de Active Directory.

Para configurar el directorio como un catálogo global, consulte lasección Entorno de Active Directory de varios dominios y un únicobosque en "Entornos de Active Directory" en Integración dedirectorios con VMware Identity Manager.


VMware, Inc. 27


n Si Active Directory requiere acceso mediante SSL, active la casillaEste directorio requiere que todas las conexiones usen SSL en lasección Certificados, copie el certificado de CA raíz de ActiveDirectory y péguelo en el campo Certificado SSL.

Asegúrese de que el certificado esté en formato PEM e incluya laslíneas "BEGIN CERTIFICATE" y "END CERTIFICATE".

Nota Si Active Directory requiere SSL y usted no proporciona elcertificado, no podrá crear el directorio.

6 En la sección Permitir el cambio de contraseña, seleccione Habilitar elcambio de contraseña si desea permitir a los usuarios que puedanrestablecer sus contraseñas en la página de inicio de sesión deVMware Identity Manager en caso de que la contraseña caduque o si eladministrador de Active Directory restablece la contraseña del usuario.

7 En el campo DN base, introduzca el DN desde el que deben empezar lasbúsquedas en cuentas. Por ejemplo, OU=myUnit,DC=myCorp,DC=com.

8 En el campo DN de enlace, introduzca la cuenta que puede buscarusuarios. Por ejemplo, CN=binduser,OU=myUnit,DC=myCorp,DC=com.

Nota Se recomienda utilizar una cuenta de usuario de DN de enlace conuna contraseña que no caduque.

9 Después de introducir la contraseña de enlace, haga clic en Probarconexión para verificar que el directorio se puede conectar a ActiveDirectory.

Active Directory (Autenticación deWindows integrada)

1 En el campo Conector de sincronización, seleccione el conector quedesee utilizar para sincronizar usuarios y grupos de Active Directory conel directorio de VMware Identity Manager.


2 En el campo Autenticación, haga clic en Sí si desea utilizar ActiveDirectory para autenticar a los usuarios.

Si desea utilizar un proveedor de identidades externo para autenticar alos usuarios, haga clic en No. Después de configurar la conexión deActive Directory para sincronizar usuarios y grupos, acceda a la páginaAdministración de acceso e identidad > Administrar > Proveedoresde identidades para agregar el proveedor de identidades externo pararealizar la autenticación.

3 En el campo Atributo de búsqueda de directorios, seleccione elatributo de la cuenta que contiene el nombre de usuario.

4 Si Active Directory requiere el cifrado STARTTLS, active la casilla Estedirectorio requiere que todas las conexiones usen STARTTLS en lasección Certificados, copie el certificado de CA raíz de Active Directory ypéguelo en el campo Certificado SSL.

Asegúrese de que el certificado esté en formato PEM e incluya las líneas"BEGIN CERTIFICATE" y "END CERTIFICATE".

Si el directorio tiene varios dominios, agregue los certificados CA raízpara todos los dominios de uno en uno.


VMware, Inc. 28


Nota Si Active Directory requiere STARTTLS y usted no proporciona elcertificado, no podrá crear el directorio.

5 Introduzca el nombre del dominio de Active Directory al que desea unirse.Introduzca un nombre de usuario y una contraseña que tenga losderechos para unirse al dominio. Para obtener más información, consulte"Permisos necesarios para unirse a un dominio" en Integración dedirectorios con VMware Identity Manager.

6 En la sección Permitir el cambio de contraseña, seleccione Habilitar elcambio de contraseña si desea permitir a los usuarios que puedanrestablecer sus contraseñas en la página de inicio de sesión deVMware Identity Manager en caso de que la contraseña caduque o si eladministrador de Active Directory restablece la contraseña del usuario.

7 En la sección Detalles del usuario de enlace, introduzca el nombre deusuario y la contraseña del usuario de enlace que tiene permiso pararealizar consultas en usuarios y grupos para los dominios requeridos.Para el nombre de usuario, introduzca el atributo sAMAccountName, porejemplo, jperez. Si el dominio del usuario de enlace es diferente al queintrodujo en Unirse al dominio, escriba el nombre de usuario comosAMAccountName@domain, donde domain es el nombre de dominiocompleto. Por ejemplo, [email protected].

Nota Se recomienda utilizar una cuenta de usuario de enlace con unacontraseña que no caduque.

c Haga clic en Guardar y Siguiente.

Aparecerá la página con la lista de dominios.


VMware, Inc. 29

14 En el caso de las directivas de LDAP, siga estos pasos.

a Proporcione la información de la conexión.


Nombre de directorio Un nombre para el directorio que está creando en VMware Identity Manager.

Sincronización de directorio yautenticación

1 En el campo Conector de sincronización, seleccione el conector quedesee utilizar para sincronizar usuarios y grupos del directorio LDAP conel directorio de VMware Identity Manager.


No es necesario un conector diferente para un directorio LDAP. Unconector puede ser compatible con varios directorios,independientemente de si cuentan con directorios LDAP o ActiveDirectory.

2 En el campo Autenticación, seleccione Sí si desea utilizar el directorioLDAP para autenticar a los usuarios.

Si desea utilizar un proveedor de identidades externo para autenticar alos usuarios, seleccione No. Después de agregar la conexión deldirectorio para sincronizar usuarios y grupos, acceda a la páginaAdministración de acceso e identidad > Administrar > Proveedoresde identidades para agregar el proveedor de identidades externo pararealizar la autenticación.

3 En el campo Atributo de búsqueda de directorios, especifique elatributo del directorio LDAP que se utiliza para el nombre de usuario. Si elatributo no aparece en la lista, seleccione Personalizado y escriba elnombre del atributo. Por ejemplo, cn.

Ubicación del servidor Introduzca el número de puerto y el host del servidor del directorio LDAP. Enel caso del host del servidor, puede especificar el nombre del dominioplenamente cualificado o la dirección IP. Por ejemplo,myLDAPserver.example.com o 100.00.00.0.

Si cuenta con un clúster de servidores bajo un equilibrador de carga,introduzca la información de este último en su lugar.

Configuración LDAP Especifica los atributos y los filtros de búsqueda de LDAP queVMware Identity Manager puede utilizar para solicitar su directorio LDAP. Losvalores predeterminados se proporcionan según el esquema principal deLDAP.

Solicitudes LDAPn Obtener grupos: es el filtro de búsqueda para obtener los objetos de

grupo.

Por ejemplo: (objectClass=group)n Obtener usuario de enlace: es el filtro de búsqueda para obtener el

objeto de usuario de enlace, es decir, al usuario que puede enlazarse aldirectorio.

Por ejemplo: (objectClass=person)


VMware, Inc. 30


n Obtener usuario: es el filtro de búsqueda para obtener los usuarios parasincronizar.

Por ejemplo:(&(objectClass=user)(objectCategory=person))

Atributosn Afiliación: es el atributo que se utiliza en su directorio LDAP para definir

los miembros de un grupo.

Por ejemplo: membern UUID del objeto: es el atributo que se utiliza en su directorio LDAP para

definir el UUID.

Por ejemplo: entryUUIDn Nombre distintivo: es el atributo que se utiliza en su directorio LDAP

para definir el nombre distintivo de un usuario o un grupo.

Por ejemplo: entryDN

Certificados Si el directorio LDAP requiere acceso mediante SSL, seleccione la opciónEste directorio requiere que todas las conexiones usen SSL y copie ypegue el certificado CA SSL raíz del servidor del directorio LDAP. Asegúresede que el certificado esté en formato PEM e incluya las líneas "BEGINCERTIFICATE" y "END CERTIFICATE".

Detalles del usuario de enlace DN base: introduzca el DN desde el que deben empezar las búsquedas. Porejemplo, cn=users,dc=example,dc=com.

DN de enlace: introduzca el nombre del usuario que enlaza al directorioLDAP.

Nota Se recomienda utilizar una cuenta de usuario de DN de enlace con unacontraseña que no caduque.

Contraseña DN de enlace: introduzca la contraseña del usuario DN deenlace.

b Para probar la conexión al servidor del directorio LDAP, haga clic en Probar conexión.

Si no se realizó la conexión correctamente, compruebe la información que introdujo y haga loscambios necesarios.

c Haga clic en Guardar y Siguiente.

Aparece la página con la lista del dominio.

15 En un directorio LDAP, el dominio aparece en la lista y no se puede modificar.

En Active Directory mediante LDAP, los dominios aparecen en la lista y no se pueden modificar.


VMware, Inc. 31

Para Active Directory (Autenticación de Windows integrada), seleccione los dominios que deberánasociarse con esta conexión de Active Directory.

Nota Si agrega un dominio de confianza una vez creado el directorio, el servicio no detectaráautomáticamente el nuevo dominio de confianza. Para permitir que el servicio detecte el dominio, elconector deberá abandonar el dominio y, a continuación, volver a unirse a él. Una vez que elconector vuelva a unirse al dominio, el dominio de confianza aparecerá en la lista.

Haga clic en Siguiente.

16 Compruebe que los nombres de los atributos de VMware Identity Manager estén asignados a losatributos de Active Directory o LDAP correctos y realice los cambios que sean necesarios.

Importante Si integra un directorio LDAP, debe especificar una asignación para el atributo dedominio.

17 Haga clic en Siguiente.


VMware, Inc. 32

18 Seleccione los grupos que desee sincronizar desde Active Directory o desde el directorio LDAP aldirectorio de VMware Identity Manager.


Especificar los DN de grupo Para seleccionar los grupos, especifique un DN o varios y seleccione los gruposque aparecen a continuación.

a Haga clic en + y especifique el DN de grupo. Por ejemplo,CN=users,DC=example,DC=company,DC=com.

Importante Especifique los DN de grupo que aparecen a continuación delDN base que introdujo. Si un DN de grupo aparece fuera del DN base, losusuarios de dicho DN se sincronizarán, pero no podrán iniciar sesión.

b Haga clic en Buscar grupos.

La columna Grupos para sincronizar muestra el número de grupos que seencuentran en el DN.

c Para seleccionar todos los grupos en el DN, haga clic en Seleccionar todo,o bien haga clic en Seleccionar y seleccione los grupos específicos quedesea sincronizar.

Nota Si cuenta con varios grupos con el mismo nombre en su directorioLDAP, debe especificar nombres únicos para ellos enVMware Identity Manager. Puede cambiar el nombre al seleccionar el grupo.

Nota Cuando sincroniza un grupo, los usuarios que no tengan Usuarios deldominio como su grupo principal en Active Directory no se sincronizan.

Sincronizar miembros de grupoanidados

La opción Sincronizar miembros de grupo anidados se habilita de formapredeterminada. Cuando se habilita esta opción, todos los usuarios quepertenezcan al grupo que seleccione y los que pertenezcan a grupos anidadosdentro de este grupo se sincronizan. Tenga en cuenta que los grupos anidadosno se sincronizan. Solo se sincronizarán los usuarios que pertenezcan a losgrupos anidados. En el directorio de VMware Identity Manager, estos usuariosserán miembros del grupo de nivel principal que seleccionó para sincronizarse.

Si deshabilita la opción Sincronizar miembros de grupo anidados, todos losusuarios que pertenezcan directamente a ese grupo se sincronizarán en el grupoque especificó. Los usuarios que pertenezcan a grupos anidados bajo este grupono se sincronizarán. Deshabilitar esta opción resulta útil para las grandesconfiguraciones de Active Directory en las que atravesar un árbol de gruporequiera demasiado tiempo o demasiados recursos. Si deshabilita esta opción,asegúrese de que selecciona todos los grupos cuyos usuarios desee sincronizar.



VMware, Inc. 33

20 Especifique los usuarios adicionales que desea sincronizar, si es necesario.

Debido a que los miembros de grupos no se sincronizan con el directorio hasta que el grupo tengaautorización para utilizar las aplicaciones o se lo agregue a una regla de directiva de acceso,agregue todos los usuarios que necesiten autenticarse antes de que se configuren las autorizacionesde grupo.

a Haga clic en + e introduzca los DN del usuario. Por ejemplo,CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.

Importante Especifique los DN de usuario que aparecen a continuación del DN base queintrodujo. Si un DN de usuario aparece fuera del DN base, los usuarios de dicho DN sesincronizarán, pero no podrán iniciar sesión.

b (Opcional) Para excluir usuarios, cree un filtro que excluya algunos tipos de usuarios.

Debe seleccionar el atributo de usuario por el que desea filtrar, la regla de consulta y el valor.


22 Revise la página para ver cuántos usuarios y grupos se sincronizarán con el directorio así como laprogramación de la sincronización.

Para realizar cambios en los usuarios y los grupos o en la frecuencia de sincronización, haga clic enlos vínculos Editar.

23 Haga clic en Sincronizar directorio para iniciar la sincronización del directorio.

Nota Si se produce un error en la red y el nombre del host no puede resolverse de forma única con unaDNS inversa, el proceso de configuración se detendrá. Deberá resolver los problemas relacionados conla red y reiniciar el dispositivo virtual. A continuación, podrá continuar el proceso de implementación. Lanueva configuración de la red no estará disponible hasta que reinicie el dispositivo virtual.

Pasos siguientes

Para obtener más información sobre cómo configurar un equilibrador de carga o sobre la configuraciónde alta disponibilidad, consulte Capítulo 4Configuración avanzada del dispositivo VMware IdentityManager.

Agregar direcciones IP de la lista blanca al firewallexternoCuando configure VMware Identity Manager con un firewall externo, incluya en la lista blanca los rangosde dirección IP o direcciones URL para los siguientes servicios de VMware Identity Manager paraproporcionar acceso a dicho servicio.

Utilice el comando nslookup u otra herramienta de línea de comandos para consultar el Sistema denombres de dominio y obtener las direcciones IP que va a agregar a la lista blanca del firewall externo.


VMware, Inc. 34

Tabla 2‑1. Servicio Sistema de nombres de dominio Descripción

Catálogo de VMware Identity Manager catalog.vmwareidentity.com Para asegurarse de que se puedaacceder al contenido del catálogo,agregue las direcciones URL de la lista ala lista blanca.

Dicho contenido también se distribuye através de CloudFront CDN de AWS, quemantiene su propia lista de direccionesIP públicas. Consulte https://docs.aws.amazon.com/es_es/AmazonCloudFront/latest/DeveloperGuide/LocationsOfEdgeServers.html.

VMware Verify api.authy.com Si VMware Verify está configurado comoun método de autenticación, agregue lasdirecciones URL de la lista a la listablanca.

KDC híbrido kdc.op.<vmwareidentity.xxx> Cuando el KDC híbrido se configurepara la operación local de VMwareIdentity Manager, seleccione uno de lossiguientes dominios para buscar lasdirecciones URL.n vmwareidentity.can vmwareidentity.comn vmwareidentity.eun vmwareidentity.co.ukn vmwareidentity.den vmwareidentity.com.aun vmwareidentity.asia

Actualizaciones de VMware IdentityManager

vapp-updates.vmware.com Para recibir las actualizaciones deVMware Identity Manager y descargarlas revisiones de VMware UpdateManager, agregue las direcciones URLde la lista a la lista blanca.

Configurar los valores del servidor proxy paraVMware Identity ManagerEl dispositivo virtual de VMware Identity Manager accede al catálogo de aplicaciones en la nube y a otrosservicios web en Internet. Si su configuración de red proporciona acceso a Internet a través de un proxyHTTP, deberá ajustar la configuración del proxy en el dispositivo VMware Identity Manager.

Habilite su proxy para gestionar solo el tráfico de Internet. Para asegurar que el proxy esté configuradocorrectamente, establezca el parámetro de tráfico interno en la opción no-proxy dentro del dominio.

Procedimiento

1 Desde vSphere Client, inicie la sesión como usuario root en el dispositivo virtual deVMware Identity Manager.


VMware, Inc. 35

http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/LocationsOfEdgeServers.html



2 Introduzca YaST en la línea de comandos para ejecutar la utilidad YaST.

3 En el panel izquierdo, seleccione Servicios de red y, a continuación, Proxy.

4 Introduzca las URL del servidor proxy en los campos de URL del proxy HTTP y URL del proxyHTTPS.

5 Seleccione Finalizar y salga de la utilidad YaST.

6 Reinicie el servidor Tomcat en el dispositivo virtual de VMware Identity Manager para utilizar la nuevaconfiguración del proxy.

service horizon-workspace restart

El catálogo de aplicaciones en la nube y otros servicios web ya están disponibles enVMware Identity Manager.

Introducir la clave de licenciaDespués de implementar el dispositivo de VMware Identity Manager, introduzca la clave de licencia.

Procedimiento

1 Inicie sesión en la consola de VMware Identity Manager.

2 Seleccione la pestaña Configuración de dispositivos y haga clic en Licencia.

3 En la página Ajustes de licencia, introduzca la clave de licencia y haga clic en Guardar.


VMware, Inc. 36

Administrar los ajustes deconfiguración deVMware Identity Manager 3Una vez completada la configuración inicial de VMware Identity Manager, puede ir a las páginas de laconsola de VMware Identity Manager para instalar certificados, administrar contraseñas y descargar losarchivos de registro. También puede actualizar la base de datos, cambiar el FQDN de Identity Manager yconfigurar un servidor syslog externo.

Las páginas de configuración están disponibles en la pestaña Configuración del dispositivo de la consolade Identity Manager.

Nombre de la página Descripción de la configuración

Conexión de la base de datos La conexión a la base de datos, interna o externa, seencuentra habilitada. Puede cambiar el tipo de base de datos.Al seleccionar una base de datos externa, tiene que introduciruna URL, un nombre de usuario y una contraseña. Paraconfigurar una base de datos externa, consulte Crear la basede datos del servicio de VMware Identity Manager.

Instalar certificados SSL En las pestañas de esta página, puede instalar un certificadoSSL de VMware Identity Manager, descargar el certificado raízde VMware Identity Manager autofirmado e instalarcertificados raíz de confianza. Por ejemplo, si se configuraVMware Identity Manager detrás de un equilibrador de carga,puede instalar el certificado raíz de este.

Nota La pestaña Certificado de acceso directo se utilizaúnicamente cuando se configura la autenticación decertificados en el conector integrado en un escenario deimplementación de DMZ. Para obtener más información,consulte Implementar VMware Identity Manager en DMZ.

Consulte Utilizar certificados SSL.

FQDN de Identity Manager En esta página, puede ver o cambiar el FQDN deVMware Identity Manager. El FQDN deVMware Identity Manager es la URL que emplean los usuariospara obtener acceso al servicio.

Configurar registro del sistema En esta página, puede habilitar un servidor syslog externo. Losregistros de VMware Identity Manager se envían a esteservidor externo. Consulte Configurar un servidor syslog.

Cambiar contraseña Esta página permite cambiar la contraseña del usuario adminde VMware Identity Manager.

VMware, Inc. 37

Nombre de la página Descripción de la configuración

Seguridad del sistema Esta página permite cambiar la contraseña raíz del dispositivoVMware Identity Manager y la contraseña de usuario SSHusado para iniciar sesión de manera remota.

Ubicaciones de los archivos de registro Puede descargar los registros en un archivo ZIP. Consulte Información del archivo de registro.

También puede modificar la URL del conector. Consulte Modificar la URL del conector.


n Cambiar ajustes de configuración del dispositivo

n Crear la base de datos del servicio de VMware Identity Manager

n Utilizar certificados SSL

n Modificar la URL del servicio VMware Identity Manager

n Modificar la URL del conector

n Configurar un servidor syslog

n Información del archivo de registro

n Administración de contraseñas de dispositivo

n Configurar las opciones de SMTP

Cambiar ajustes de configuración del dispositivoDespués de configurar VMware Identity Manager, se puede acceder a las páginas de configuración dedispositivos para actualizar la configuración actual y supervisar la información del sistema del dispositivovirtual.

Procedimiento


2 Seleccione la pestaña Configuración de dispositivos y haga clic en Administrar configuración.

3 Inicie la sesión con la contraseña del administrador del servicio.

4 En el panel izquierdo, seleccione la página que desee ver o editar.

Pasos siguientes

Verifique que los cambios o actualizaciones realizados sean efectivos.


VMware, Inc. 38

Crear la base de datos del servicio de VMware IdentityManagerEl servicio de VMware Identity Manager requiere una base de datos de Microsoft SQL Server externapara almacenar y organizar los datos del servidor. El administrador de la base de datos debe preparar unesquema y una base de datos de Microsoft SQL Server vacía antes de instalarVMware Identity Manager.

Cuando se conecte a Microsoft SQL Server, introduzca el nombre de la instancia a la que deseaconectarse y el modo de autenticación. Puede seleccionar el modo de autenticación de Windows yespecificar el dominio/nombre de usuario o el modo de autenticación de SQL Server, y especificar lacontraseña y el nombre de usuario local.

Debe establecer conexión con la base de datos externa cuando ejecute el asistente de configuración deVMware Identity Manager. También puede acceder a Configuración de dispositivos > Configuración deldispositivo virtual > Configuración de la conexión de la base de datos para configurar la conexión con labase de datos externa.

Puede utilizar Microsoft SQL Server para configurar un entorno de base de datos de alta disponibilidad.

Una base de datos PostgreSQL interna está integrada en el dispositivo VMware Identity Manager,aunque no se recomienda usarla para implementaciones de producción.

Configurar la base de datos de Microsoft SQL con el modo deautenticación de WindowsPara utilizar una base de datos de Microsoft SQL para VMware Identity Manager, debe crear una nuevabase de datos en el servidor de Microsoft SQL. Durante la instalación, debe seleccionar un modo deautenticación para la base de datos. Si selecciona la autenticación de Windows, cuando cree la base dedatos, introduzca el nombre de usuario y el dominio. El nombre de usuario y el dominio introducido esdomain\username.

Al ejecutar los comandos de Microsoft SQL, debe crear una base de datos en el servidor de MicrosoftSQL, introducir el nombre de la base de datos, agregar las credenciales de usuario de inicio de sesión ycrear el esquema. El nombre del esquema es saas.

Nota La intercalación predeterminada distingue mayúsculas de minúsculas.

Requisitos previos

n Versión compatible del servidor de Microsoft SQL instalada como un servidor de base de datosexterna.

n Implementación de equilibrado de carga configurada.

n Autenticación de Windows seleccionada como modo de autenticación.


VMware, Inc. 39

n Derechos de administrador para crear los componentes de la base de datos y acceder a ellosutilizando Microsoft SQL Server Management Studio u otro cliente de CLI del servidor de MicrosoftSQL.

Procedimiento

1 Inicie la sesión en Microsoft SQL Server Management Studio como administrador del sistema o conuna cuenta con privilegios de administrador del sistema.

Se abrirá la ventana del editor.

2 En la barra de herramientas, haga clic en Nueva consulta.

3 Para crear la base de datos con el esquema predeterminado denominado saas, introduzca lossiguientes comandos en la ventana del editor.

/*

Values within angle brackets (< >) are example values. When replacing the example value,

remove the angle brackets. The database name is case sensitive. Make sure you enter the database

name the same in all instances.

*/

CREATE DATABASE <saasdb>

COLLATE Latin1_General_CS_AS;

ALTER DATABASE <saasdb> SET READ_COMMITTED_SNAPSHOT ON;

GO

IF NOT EXISTS

(SELECT name

FROM master.sys.server_principals

WHERE name=N'<domain\username>')

BEGIN

CREATE LOGIN [<domain\username>] FROM WINDOWS;

END

GO

USE <saasdb>;

IF EXISTS (SELECT * FROM sys.database_principals WHERE name=N'<domain\username>')

DROP USER [<domain\username>]

GO

CREATE USER [<domain\username>] FOR LOGIN [<domain\username>]

WITH DEFAULT_SCHEMA=saas;

GO

CREATE SCHEMA saas AUTHORIZATION "<domain\username>"

GRANT ALL ON DATABASE::<saasdb> TO "<domain\username>";

GO

ALTER ROLE db_owner ADD MEMBER "<domain\username>";

GO


VMware, Inc. 40

4 En la barra de herramientas, haga clic en !Ejecutar.

El servidor de base de datos de Microsoft SQL ya está preparado para conectarse a la base de datosde VMware Identity Manager.

La función de servidor que se utiliza para conceder privilegios de seguridad en todo el servidor seestablece como pública. La membresía de función de base de datos es db_owner. No establezcaninguna otra función.

Cuando se instala VMware Identity Manager para Windows, se selecciona la instancia del servidor de labase de datos a la que se conectará. Tras la instalación, la URL de JDBC y el nombre de usuario y lacontraseña que se crearon para la base de datos se configuran en la página de configuración deconexión de la base de datos en el servidor de VMware Identity Manager. Consulte Configure VMwareIdentity Manager para usar una base de datos externa

Configurar la base de datos de Microsoft SQL con el modo deautenticación local de SQL ServerPara utilizar una base de datos de Microsoft SQL para VMware Identity Manager, debe crear una nuevabase de datos en el servidor de Microsoft SQL. Durante la instalación, debe seleccionar un modo deautenticación para la base de datos. Si selecciona la autenticación de SQL Server, debe introducir unnombre de usuario local y una contraseña cuando se cree la base de datos.

Al ejecutar los comandos de Microsoft SQL, debe crear una base de datos en el servidor de MicrosoftSQL, introducir el nombre de la base de datos, agregar las credenciales de usuario de inicio de sesión ycrear el esquema. El esquema se llama saas.

Nota La intercalación de bases de datos predeterminada distingue mayúsculas de minúsculas.

Requisitos previos

n Versión compatible del servidor de Microsoft SQL instalada como un servidor de base de datosexterna.

n Implementación de equilibrado de carga configurada.

n Autenticación de SQL Server seleccionada como el modo de autenticación.

n Derechos de administrador para crear los componentes de la base de datos y acceder a ellosutilizando Microsoft SQL Server Management Studio u otro cliente de CLI del servidor de MicrosoftSQL.

Procedimiento

1 Inicie la sesión en Microsoft SQL Server Management Studio como administrador del sistema o conuna cuenta con privilegios de administrador del sistema.




VMware, Inc. 41

3 Para crear la base de datos con el esquema predeterminado denominado saas, introduzca lossiguientes comandos en la ventana del editor.

/*

Values within angle brackets (< >) are example values. When replacing the example value,

remove the angle brackets. The database name is case sensitive. Make sure you enter the database

name the same in all instances.

*/

CREATE DATABASE <saasdb>

COLLATE Latin1_General_CS_AS;

ALTER DATABASE <saasdb> SET READ_COMMITTED_SNAPSHOT ON;

GO

BEGIN

CREATE LOGIN <loginusername> WITH PASSWORD = N'<password>';

END

GO

USE <saasdb>;

IF EXISTS (SELECT * FROM sys.database_principals WHERE name=N'<loginusername>')

DROP USER [<loginusername>]

GO

CREATE USER [<loginusername>] FOR LOGIN [<loginusername>]

WITH DEFAULT_SCHEMA=saas;

GO

CREATE SCHEMA saas AUTHORIZATION <loginusername>

GRANT ALL ON DATABASE::<saasdb> TO <loginusername>;

GO

ALTER ROLE [db_owner] ADD MEMBER <loginusername>;

GO


El servidor de base de datos de Microsoft SQL ya está preparado para conectarse a la base de datosde VMware Identity Manager.

La función de servidor que se utiliza para conceder privilegios de seguridad en todo el servidor seestablece como pública. La membresía de función de base de datos es db_owner. No establezcaninguna otra función.

Cuando se instala VMware Identity Manager para Windows, se selecciona la instancia del servidor de labase de datos a la que se conectará. Tras la instalación, la URL de JDBC y el nombre de usuario y lacontraseña que se crearon para la base de datos se configuran en la página de configuración deconexión de la base de datos en el servidor de VMware Identity Manager. Consulte Configure VMwareIdentity Manager para usar una base de datos externa


VMware, Inc. 42

Confirmar que la base de datos de Microsoft SQL estéconfigurada correctamentePara confirmar que la base de datos de Microsoft SQL está configurada correctamente para que funcionecon VMware Identity Manager, se ejecuta el siguiente script de comprobación después de haberconfigurado la base de datos.

Requisitos previos

Se crea la base de datos de Microsoft SQL para el servicio de VMware Identity Manager.

Procedimiento

1 Inicie sesión en Microsoft SQL Server Management Studio con el nombre de usuario y la contraseñade inicio de sesión de <saasdb> que se crearon en el script que se utilizó para crear la base dedatos.



3 Ejecute los siguientes comandos. Edite los comandos según sea necesario.

execute as user = 'domain\username'

/* Check if user is db owner. Return true */

SELECT IS_ROLEMEMBER('db_owner') as isRoleMember

/* Make sure user is not sysadmin. Should return false */

SELECT IS_SRVROLEMEMBER('sysadmin') as isSysAdmin

/* check if saas schema exists, should be not null */

SELECT SCHEMA_ID('saas') as schemaId

/* check schema owner, should be user provided to installer */

SELECT SCHEMA_OWNER FROM INFORMATION_SCHEMA.SCHEMATA where SCHEMA_NAME='saas'

/* check if saas is user default schema, should return saas */

SELECT SCHEMA_NAME() as SchemaName

/* check db collation, should return Latin1_General_CS_AS */

SELECT DATABASEPROPERTYEX('<saasdb>', 'Collation') AS Collation

/* check if read committed snapshot is on, should return true */

SELECT is_read_committed_snapshot_on FROM sys.databases WHERE name='<saasdb>'


Si la configuración no es correcta, se muestran mensajes de error. Antes de continuar configurandoel servicio de VMware Identity Manager para utilizar la base de datos de Microsoft SQL externa,corrija los problemas que se describen en los mensajes de error.


VMware, Inc. 43

Configure VMware Identity Manager para usar una base de datosexternaDespués de crear la base de datos Microsoft SQL, si la base de datos externa creada no se configuraautomáticamente en VMware Identity Manager, configure VMware Identity Manager para utilizar la basede datos en la página Configuración de dispositivo.

Requisitos previos

n La base de datos con el esquema de saas creada en Microsoft SQL server como el servidor de basede datos externo. Para obtener información sobre las versiones específicas que son compatibles conVMware Identity Manager, consulte las matrices de interoperabilidad de productos de VMware.

Procedimiento

1 En la consola de VMware Identity Manager, haga clic en Configuración de dispositivos yseleccione Configuración del dispositivo virtual.

2 Haga clic en Administrar configuración.

3 Inicie sesión con la contraseña del administrador de VMware Identity Manager.

4 En la página Configuración de la conexión de la base de datos, seleccione Base de datos externacomo tipo de base de datos.

5 Introduzca la información sobre la conexión de la base de datos.

a Escriba la URL de JDBC del servidor de la base de datos Microsoft SQL.

Modo de autenticación Cadena de URL de JDBC

Autenticación de Windows(domain\user) jdbc:jtds:sqlserver://<hostname_or_IP_address:port#>/<saasdb>;integra

tedSecurity=true;domain=<domainname>;useNTLMv2=true

Autenticación de SQLServer (usuario local) jdbc:sqlserver://<hostname_or_IP_address:port#>;DatabaseName=<saasdb>

Nota Para habilitar SQL Server AlwaysOn, establezca MultiSubNetFailover como True en SQL.La cadena de la URL de JDBC es

jdbc:jtds:sqlserver://<hostname_or_IP_address:port#>/<saasdb>;integratedSecurity=true;domain=<d

omainname>;useNTLMv2=true;multiSubnetFailover=true

b Introduzca el nombre de usuario y la contraseña de inicio de sesión que configuró al crear labase de datos. Consulte Configurar la base de datos de Microsoft SQL con el modo deautenticación local de SQL Server

6 Haga clic en Probar conexión para verificar y guardar la información.


VMware, Inc. 44

http://www.vmware.com/resources/compatibility/sim/interop_matrix.php

Pasos siguientes

(Opcional) Cambie los privilegios de suscripción de la función de base de datos db_owner. Consulte Cambiar las funciones de nivel de la base de datos.

Cambiar las funciones de nivel de la base de datosCuando se utiliza el esquema saas para crear la base de datos de Microsoft SQL para el servicio deVMware Identity Manager, se concede la suscripción de la función de base de datos a la funcióndb_owner. Los miembros de la función de la base de datos fija db_owner pueden realizar todas lasactividades de configuración y mantenimiento en la base de datos.

Después de instalar y configurar la base de datos en el servicio de VMware Identity Manager, puederevocar el acceso a db_owner, add db_datareader y db_datawriter como funciones de base de datos.Los miembros de la función db_datareader pueden leer todos los datos de todas las tablas de usuario. Elmiembro de la función db_datawriter puede agregar, eliminar o cambiar los datos de todas las tablas deusuario.

Nota Si revoca el acceso a la función db_owner, asegúrese de que se vuelve a habilitar la funcióndb_owner antes de iniciar la actualización a una nueva versión de VMware Identity Manager.

Requisitos previos

La función del usuario para Microsoft SQL Server Management Studio como administrador del sistema ocomo cuenta de usuario con privilegios de administrador del sistema.

Procedimiento

1 En la sesión de Microsoft SQL Server Management Studio como administrador con privilegios deadministrador del sistema, conéctese a la instancia de base de datos <saasdb> paraVMware Identity Manager.

2 Revoque la función db_owner en la base de datos, introduzca el siguiente comando

Modo de autenticación Comando

Autenticación de Windows(domain\user) ALTER ROLE db_owner DROP MEMBER <domain\username>;

Autenticación de SQLServer (usuario local) ALTER ROLE db_owner DROP MEMBER <loginusername>;


VMware, Inc. 45

3 Agregue membresía de las funciones db_datawriter y db_datareader a la base de datos.

Modo de autenticación Comando

Autenticación de Windows(domain\user) ALTER ROLE db_datawriter ADD MEMBER <domain\username>;

GO

ALTER ROLE db_datareader ADD MEMBER <domain\username>;GO

Autenticación de SQLServer (usuario local) ALTER ROLE db_datawriter ADD MEMBER <loginusername>;

GOALTER ROLE db_datareader ADD MEMBER <loginusername>;GO

Administrar la base de datos internaDe forma predeterminada, la base de datos interna PostgreSQL está configurada y preparada para suuso. Tenga en cuenta que no se recomienda usar la base de datos interna para implementaciones deproducción.

Cuando se instala y se conecta VMware Identity Manager, se genera una contraseña aleatoria para elusuario de la base de datos interna durante el proceso de inicialización. Esta contraseña es única paracada implementación y se puede encontrar en el archivo /usr/local/horizon/conf/db.pwd.

Utilizar certificados SSLAl instalar el dispositivo VMware Identity Manager, se genera automáticamente un certificado de servidorSSL predeterminado. Este certificado autofirmado se puede utilizar para una comprobación general de laimplementación. VMware le recomienda enfáticamente obtener e instalar certificados SSL firmados poruna entidad de certificación (CA) pública en su entorno de producción.

Una entidad de certificación es una entidad de confianza que garantiza la identidad del certificado y desu creador. Si un certificado está firmado por una CA de confianza, los usuarios dejan de recibirmensajes en los que se les pide que verifiquen el certificado.

Los certificados de CA firmados se pueden instalar desde la página Configuración de dispositivos >Administrar configuración > Instalar certificados SSL > Certificados de servidor.

Si se implementa VMware Identity Manager con el certificado SSL autofirmado, el certificado de CA raízdebe estar disponible como CA de confianza para todos los clientes que accedan al servicio deVMware Identity Manager. Los clientes pueden incluir equipos de usuarios finales, equilibradores decarga, servidores proxy, etc. Puede descargar la CA raíz de la página Instalar certificados SSL >Certificados de servidor.


VMware, Inc. 46

Instalar un certificado SSL para el servicio deVMware Identity ManagerCuando se instala el servicio de VMware Identity Manager, se genera un certificado de servidor SSLpredeterminado. El certificado autofirmado se puede usar para hacer pruebas. Sin embargo, VMwarerecomienda enfáticamente utilizar certificados SSL firmados por una entidad de certificación (CA) públicapara su entorno de producción.

Nota Si un equilibrador de carga delante de VMware Identity Manager termina el SSL, se aplica elcertificado SSL al equilibrador de carga.

Requisitos previos

n Genere una solicitud de firma del certificado (CSR) y obtenga un certificado válido y firmado SSL deCA. El certificado debe estar en formato PEM.

n Para la parte del nombre común del DN del sujeto, utilice el nombre de dominio completo que losusuarios utilizan para acceder al servicio de VMware Identity Manager. Si el dispositivo deVMware Identity Manager está detrás de un equilibrador de carga, este es el nombre del servidor delequilibrador de carga.

n Si SSL no termina en el equilibrador de carga, el certificado SSL usado por el servicio deberá incluirnombres alternativos del sujeto (SAN) para cada nombre de dominio completo del clúster deVMware Identity Manager de modo que los nodos del clúster puedan realizar solicitudes entre sí.También incluye un SAN para el nombre de host de FQDN que los usuarios utilizan para acceder alservicio de VMware Identity Manager, además de usarlo para el nombre común, debido a quealgunos navegadores lo exigen.

Procedimiento

1 En la consola de VMware Identity Manager, haga clic en la pestaña Configuración de dispositivos.

2 Haga clic en Administrar configuración e introduzca la contraseña del usuario administrador.

3 Seleccione Instalar certificados SSL > Certificado de servidor.

4 En el campo Certificado SSL, seleccione Certificado personalizado.

5 En el cuadro de texto Cadena de certificados SSL, pegue los certificados de servidor, intermedio yraíz, en ese orden.

Debe incluir la cadena de certificados completa en el orden correcto. Para cada certificado, copietodo lo que haya entre las líneas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE----, inclusoestas líneas.

6 En el cuadro de texto Clave privada, pegue la clave privada. Copie todo entre ----BEGIN RSAPRIVATE KEY y ---END RSA PRIVATE KEY.

7 Haga clic en Agregar.


VMware, Inc. 47

Ejemplo: Ejemplos de certificados

Ejemplo de cadena de certificados

-----BEGIN CERTIFICATE-----

jlQvt9WdR9Vpg3WQT5+C3HU17bUOwvhp/r0+

...

W53+O05j5xsxzDJfWr1lqBlFF/OkIYCPcyK1

-----END CERTIFICATE-----


WdR9Vpg3WQT5+C3HU17bUOwvhp/rjlQvt90+

...

O05j5xsxzDJfWr1lqBlFF/OkIYCPW53+cyK1



dR9Vpg3WQTjlQvt9W5+C3HU17bUOwvhp/r0+

...

5j5xsxzDJfWr1lqW53+O0BlFF/OkIYCPcyK1


Ejemplo de clave privada

-----BEGIN RSA PRIVATE KEY-----

jlQvtg3WQT5+C3HU17bU9WdR9VpOwvhp/r0+

...

1lqBlFFW53+O05j5xsxzDJfWr/OkIYCPcyK1

-----END RSA PRIVATE KEY-----

Instalar certificados raíz de confianzaInstale los certificados intermedios y raíz que deban ser de confianza para el servidor deVMware Identity Manager. El servidor de VMware Identity Manager podrá establecer conexiones segurasa los servidores cuya cadena de certificados incluya alguno de estos certificados.

Si el servidor de VMware Identity Manager está configurado detrás de un equilibrador de carga y SSL setermina en el equilibrador de carga, instale el certificado raíz del equilibrador de carga.

Procedimiento


2 Haga clic en Administrar configuración e introduzca la contraseña del usuario administrador.

3 Haga clic en Instalar certificados SSL y, a continuación, seleccione la pestaña CA de confianza.


VMware, Inc. 48

4 Pegue el certificado raíz o intermedio en el cuadro de texto.

Incluya todo lo que haya entre las líneas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE----,incluso estas líneas.


Instalar un certificado de acceso directoLa pestaña Certificado de acceso directo se utiliza únicamente cuando se configura la autenticación decertificados en el conector integrado en un escenario de implementación de DMZ. No se utiliza en ningúnotro escenario. Para obtener más información, consulte Implementar VMware Identity Manager en DMZ.

Modificar la URL del servicio VMware Identity ManagerEs posible cambiar la URL del servicio VMware Identity Manager, que es la que utilizan los usuarios paraacceder al servicio. Por ejemplo, se puede cambiar la URL por la de un equilibrador de carga.

Procedimiento


2 Haga clic en la pestaña Configuración de dispositivos y, a continuación, seleccioneConfiguración del dispositivo virtual.

3 Haga clic en Administrar configuración e inicie la sesión con la contraseña de usuarioadministrador.

4 Haga clic en FQDN de Identity Manager e introduzca la nueva URL en el campo FQDN de IdentityManager.

Utilice el formato https://FQDN:port. La especificación del puerto es opcional. El puertopredeterminado es 443.

Por ejemplo, https://miservicio.ejemplo.com.


Pasos siguientes

Habilite la nueva interfaz de usuario del portal.1 Vaya a https://VMwareIdentityManagerURL/admin para acceder a la consola de administración.

2 En la consola de administración, haga clic en la flecha de la pestaña Catálogo y seleccioneConfiguración.

3 Seleccione Nueva interfaz del portal de usuario final en el panel de la izquierda y haga clic enHabilitar nueva interfaz del portal.

Modificar la URL del conectorSe puede cambiar la URL del conector cuando se actualiza el nombre de host del proveedor deidentidades en la consola de VMware Identity Manager.


VMware, Inc. 49

Procedimiento


2 Haga clic en la pestaña Administración de acceso e identidad y, a continuación, en la pestañaProveedores de identidades.

3 En la página Proveedores de identidades, seleccione el proveedor de identidades que deseeactualizar.

4 En el campo Nombre de host de IdP, introduzca el nuevo nombre de host.

Utilice el formato nombre de host:puerto. La especificación del puerto es opcional. El puertopredeterminado es 443.

Por ejemplo, vidm.ejemplo.com.


Configurar un servidor syslogLos eventos en el nivel de aplicaciones del servicio se pueden exportar a un servidor syslog externo. Loseventos del sistema operativo no se exportan.

Dado que la mayoría de las empresas no disponen de espacio en el disco ilimitado, VMware IdentityManager no guarda el historial de registro completo. Si desea guardar una cantidad de historial mayor ocrear una ubicación centralizada para su historial de registro, puede configurar un servidor syslogexterno.

Si no especifica un servidor syslog durante la configuración inicial, puede configurarlo más tarde en lapágina Configuración de dispositivos > Configuración del dispositivo virtual > Administrarconfiguración > Configurar Syslog.

Requisitos previos

n Configure un servidor syslog externo. Puede usar cualquiera de los servidores syslog estándardisponibles. Varios servidores syslog incluyen capacidades de búsqueda avanzada.

n Asegúrese de que VMware Identity Manager puede acceder al servidor syslog en el puerto 514(UDP).

Procedimiento


2 Haga clic en la pestaña Configuración de dispositivos y en Administrar configuración.

3 Seleccione Configurar Syslog en el panel izquierdo.

4 Haga clic en Habilitar.

5 Introduzca la dirección IP o el FQDN del servidor syslog donde desee almacenar los registros.


Se enviará una copia de sus registros al servidor del registro del sistema.


VMware, Inc. 50

Información del archivo de registroLos archivos de registro de VMware Identity Manager pueden resultarle de ayuda para depurar errores yresolver problemas. Los archivos de registro que se enumeran a continuación son un punto de partidacomún. En el directorio /opt/vmware/horizon/workspace/logs encontrará registros adicionales.

Tabla 3‑1. Archivos de registro

Componente Ubicación del archivo de registro Descripción

Registros delservicio de IdentityManager

/opt/vmware/horizon/workspace/logs/ho

rizon.log

Información sobre la actividad en el servicio deVMware Identity Manager, como autorizaciones, usuariosy grupos.

Registros delconfigurador

/opt/vmware/horizon/workspace/logs/co

nfigurator.log

Solicitudes que recibe el configurador del cliente REST yde la interfaz web.

Registros delconector


nnector.log

Un registro de cada solicitud recibida desde la interfazweb. Cada entrada del registro incluye también la URL, lamarca de hora y las excepciones de la solicitud. No seregistra ninguna acción de sincronización.


nnector-dir-sync.log

Mensajes relacionados con la sincronización dedirectorio.

Registros deactualización

/opt/vmware/var/log/update.log

/opt/vmware/var/log/vami

Un registro de los mensajes de salida relacionados conlas solicitudes de actualización durante una actualizaciónde VMware Identity Manager.

Los archivos del directorio /opt/vmware/var/log/vamison útiles para resolver problemas. Encontrará estosarchivos en todas las máquinas virtuales después de unaactualización.

Registros deApache Tomcat

/opt/vmware/horizon/workspace/logs/ca

talina.log

Apache Tomcat registra los mensajes que no se registranen otros archivos de registro.

n Recopilar información de registro

Durante las pruebas o la resolución de problemas, los registros pueden proporcionar informaciónsobre la actividad y el rendimiento del dispositivo virtual, así como información sobre los problemasque puedan ocurrir.

n Establecer el nivel de registro del servicio VMware Identity Manager en DEBUG

Puede establecer el nivel de registro en DEBUG para registrar información adicional que puedeayudar a depurar problemas.

Recopilar información de registroDurante las pruebas o la resolución de problemas, los registros pueden proporcionar información sobrela actividad y el rendimiento del dispositivo virtual, así como información sobre los problemas que puedanocurrir.

Recopile los registros de cada dispositivo en su entorno.


VMware, Inc. 51

Procedimiento


2 Seleccione la pestaña Configuración de dispositivos y haga clic en Administrar configuración.

3 Haga clic en Ubicaciones de los archivos de registro y en Preparar paquete de registro.

La información se recopila en un archivo tar.gz que se puede descargar.

4 Descargue el paquete preparado.

Pasos siguientes

Para recopilar todos los registros, haga esta operación con cada dispositivo.

Establecer el nivel de registro del servicio VMware IdentityManager en DEBUGPuede establecer el nivel de registro en DEBUG para registrar información adicional que puede ayudar adepurar problemas.

Procedimiento

1 Inicie sesión en el dispositivo virtual.

2 Cambie al directorio /usr/local/horizon/conf/.

3 Actualice el nivel de registro en los archivos log4j.properties cfg, log4j.properties hc ysaas log4j.properties, que son los archivos log4j más comúnmente usados para el servicio.

a Edite el archivo.

b En las líneas que tienen el nivel de registro establecido en INFO, reemplace INFO por DEBUG.

Por ejemplo, cambie:

rootLogger.level=INFO

por:

rootLogger.level=DEBUG

c Guarde el archivo.

No se requiere un reinicio del servicio o del sistema.

Administración de contraseñas de dispositivoCuando configuró el dispositivo virtual de VMware Identity Manager por primera vez, creó contraseñaspara los usuarios admin, root y sshuser. Puede cambiar las contraseñas en la pestaña Configuración dedispositivos de la consola de administración de VMware Identity Manager.

Asegúrese de crear contraseñas seguras. Las contraseñas seguras deben tener al menos ochocaracteres e incluir mayúsculas, minúsculas y al menos un dígito o un carácter especial.


VMware, Inc. 52

Procedimiento


2 Haga clic en Configuración del dispositivo virtual > Administrar configuración.

3 Para cambiar la contraseña de administrador, seleccione Cambiar contraseña. Para cambiar lascontraseñas de los usuarios root o sshuser, seleccione Seguridad del sistema.

Importante La contraseña del usuario administrador debe tener 6 caracteres como mínimo.

4 Introduzca la nueva contraseña.


Configurar las opciones de SMTPConfigure el servidor SMTP para recibir notificaciones por correo electrónico desde el servicio deVMware Identity Manager. Por ejemplo, se envían correos electrónicos de notificación cuando se creannuevos usuarios locales, cuando se restablece una contraseña o con el token de verificación dedetección automática.

Procedimiento

1 Inicie sesión en la consola de administración.

2 Haga clic en la pestaña Configuración de dispositivos y haga clic en SMTP.

3 Introduzca el nombre de host del servidor SMTP.

Por ejemplo: smtp.example.com

4 Introduzca el número de puerto del servidor SMTP.

Por ejemplo: 25

5 (Opcional) Si el servidor SMTP requiere autenticación, introduzca el nombre de usuario y lacontraseña.


7 Para personalizar la dirección del remitente en las notificaciones de correo electrónico, agregue ladirección al archivo runtime-config.properties.

a Inicie sesión en el dispositivo virtual de VMware Identity Manager.

b Edite el archivo /usr/local/horizon/conf/runtime-config.properties y añada lasiguiente propiedad:

notification.emails.support=emailaddress

Por ejemplo:

[email protected]


VMware, Inc. 53

c Guarde el archivo.

d Reinicie el dispositivo virtual.


Esto cambia la dirección del remitente de la dirección predeterminada [email protected] la dirección de personalizada.


VMware, Inc. 54

Configuración avanzada deldispositivoVMware Identity Manager 4Cuando haya completado la instalación de dispositivos virtuales de VMware Identity Manager, puede quetenga que completar otras tareas de configuración, como habilitar el acceso externo aVMware Identity Manager y configurar la redundancia.

El diagrama de la arquitectura de VMware Identity Manager demuestra cómo se puede implementar elentorno de VMware Identity Manager. Consulte una implementación típica en Capítulo 1Preparar lainstalación de VMware Identity Manager.

Este capítulo incluye los siguientes temas:n Usar un equilibrador de carga o un proxy inverso para habilitar el acceso externo a VMware Identity

Manager

n Configurar la conmutación por error y la redundancia en un centro de datos único

n Implementar VMware Identity Manager en un centro de datos secundario para la conmutación deerror y la redundancia

Usar un equilibrador de carga o un proxy inverso parahabilitar el acceso externo a VMware Identity ManagerDurante la implementación, el dispositivo virtual VMware Identity Manager se configura en el interior de lared interna. Si desea proporcionar acceso al servicio a aquellos usuarios que se conectan desde redesexteriores, debe instalar un equilibrador de carga o un proxy inverso, como Apache, nginx o F5 en la redperimetral o DMZ.

Si no usa un equilibrador de carga o un proxy inverso, no podrá ampliar en otra ocasión el número dedispositivos de VMware Identity Manager. Puede que necesite agregar más dispositivos paraproporcionar redundancia y equilibrio de carga. El diagrama siguiente muestra la arquitectura deimplementación básica que puede usar para habilitar el acceso externo.

VMware, Inc. 55

Figura 4‑1. Proxy de equilibrador de carga externo con máquina virtual

Dispositivo virtual

Usuarios internos

Usuarios externos

Cortafuegos de DMZ

Puerto 443 Puerto 443

VMware Identity Manager

Equilibrador de carga externoNombre de host: FQDN de VMware Identity ManagerDirección IP de ejemplo: 64.x.y.zPuerto: Puerto de VMware Identity ManagerDebe habilitar encabezados X-Forwarded-For.

Dispositivo virtual

Dispositivo virtual

Dispositivo virtual

Equilibrador de carga internoNombre de host: FQDN de VMware Identity ManagerDirección IP de ejemplo: 10.x.y.zPuerto: Puerto de VMware Identity ManagerDebe habilitar encabezados X-Forwarded-For.

Especifique el FQDN del de VMware Identity Manager durante laimplementaciónDurante la implementación de la máquina virtual VMware Identity Manager , proporciona el número depuerto y el FQDN de VMware Identity Manager . Estos valores deben dirigir al nombre de host al quedesea que los usuarios finales obtengan acceso.

La máquina virtual VMware Identity Manager siempre se ejecuta a través del puerto 443. Puede usar unnúmero de puerto diferente para el equilibrador de carga. Si usa un número de puerto diferente, debeespecificarlo durante la implementación.


VMware, Inc. 56

Opciones del equilibrador de carga para configurarLa configuración del equilibrador de carga incluye habilitar encabezados X-Forwarded-For, establecercorrectamente el tiempo de espera del equilibrador de carga y habilitar sesiones sticky. Además, se debeconfigurar una confianza SSL entre el equilibrador de carga y el dispositivo virtualVMware Identity Manager.

n Encabezados X-Forwarded-For

Debe habilitar encabezados X-Forwarded-For para su equilibrador de carga. Esto determina elmétodo de autenticación. Consulte la documentación proporcionada por el proveedor de suequilibrador de carga para obtener más información.

n Tiempo de espera del equilibrador de carga

Para que VMware Identity Manager funcione correctamente, es posible que necesite aumentar elvalor predeterminado correspondiente al tiempo de espera para las solicitudes del equilibrador decarga. Este valor se expresa en minutos. Si el valor del tiempo de espera es demasiado bajo, puedeque se muestre el mensaje de error 502, que indica que el servicio no se encuentra disponible enese momento.

n Habilitar sesiones sticky

Debe habilitar la configuración de las sesiones sticky en el equilibrador de carga si la implementacióntiene varios dispositivos de VMware Identity Manager. El equilibrador de carga enlazará entonces lasesión de un usuario a una instancia específica.

n Compatibilidad con WebSocket

El equilibrador de carga debe admitir WebSocket para habilitar los canales de comunicación seguraentre los conectores y los nodos de VMware Identity Manager.

n Cifrados con confidencialidad directa

Los requisitos de seguridad de transporte de la aplicación iOS de Apple se aplican a la aplicaciónWorkspace ONE en iOS. Para permitir que los usuarios utilicen la aplicación Workspace ONE eniOS, el equilibrador de carga debe tener cifrados con confidencialidad directa. Estas son los cifradosque cumplen los requisitos:

ECDHE_ECDSA_AES y ECDHE_RSA_AES en el modo GCM o CBC

tal como se especifica en el documento Seguridad de iOS de iOS 11:

"La seguridad de transporte de las app proporciona unos requisitos de conexión por omisión, demanera que las apps cumplan las buenas prácticas para conexiones seguras al utilizar las APINSURLConnection, CFURL o NSURLSession. Por omisión, la seguridad de transporte de las appslimita la selección de cifrados para incluir solo conjuntos que proporcionen la confidencialidad directa,concretamente ECDHE_ ECDSA_ AES y ECDHE_ RSA_ AES en modo GCM o CBC".


VMware, Inc. 57

Aplicar el certificado raíz de VMware Identity Manager alequilibrador de cargaCuando el dispositivo virtual VMware Identity Manager se configure detrás de un equilibrador de carga,deberá establecer la confianza de SSL entre este y VMware Identity Manager. El certificado raíz deVMware Identity Manager se debe copiar en el equilibrador de carga.

El certificado raíz de VMware Identity Manager puede descargarse desde la página Configuración dedispositivos > Administrar configuración > Instalar certificados SSL > Certificado del servidor enla consola de administración de VMware Identity Manager.

Si el FQDN de VMware Identity Manager dirige a un equilibrador de carga, el certificado SSL solo sepuede aplicar al equilibrador de carga.

Como el equilibrador de carga se comunica con el dispositivo virtual del VMware Identity Manager , debecopiar el certificado raíz de la CA de VMware Identity Manager al equilibrador de carga como certificadoraíz de confianza.

Procedimiento

1 En la consola de VMware Identity Manager, seleccione la pestaña Configuración de dispositivos, acontinuación, haga clic en Configuración del dispositivo virtual > Administrar configuración.

2 En el cuadro de diálogo que se abrirá, escriba la contraseña de usuario administrador.

3 Seleccione Instalar certificados SSL > Certificado de servidor.

4 Haga clic en el vínculo Certificados de CA raíz autofirmados del dispositivo.


VMware, Inc. 58

Se muestra el certificado.

5 Copie todo lo que hay entre las líneas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE----,incluyendo estas líneas, y pegue el certificado raíz en la ubicación correcta de cada uno de susequilibradores de carga. Consulte la documentación proporcionada por el proveedor deequilibradores de carga.

Pasos siguientes

Copie y pegue el certificado raíz del equilibrador de carga en el dispositivoVMware Identity Managerconector.

Aplicar el certificado raíz del equilibrador de carga aVMware Identity ManagerCuando el dispositivo virtual VMware Identity Manager se configure detrás de un equilibrador de carga,deberá establecer la confianza entre este y VMware Identity Manager. Además de copiar el certificadoraíz de VMware Identity Manager al equilibrador de carga, deberá copiar el certificado del equilibrador decarga a VMware Identity Manager.


VMware, Inc. 59

Procedimiento

1 Obtenga el certificado raíz del equilibrador de carga.

2 En la consola de VMware Identity Manager, seleccione la pestaña Configuración de dispositivos, acontinuación, haga clic en Configuración del dispositivo virtual > Administrar configuración.

3 En el cuadro de diálogo que se abrirá, escriba la contraseña de usuario administrador.

4 Seleccione Instalar certificados SSL > Entidades de certificación de confianza.

5 Pegue el certificado raíz del equilibrador de carga en el cuadro de texto Certificado raíz ointermedio.



VMware, Inc. 60

Configurar los valores del servidor proxy paraVMware Identity ManagerEl dispositivo virtual de VMware Identity Manager accede al catálogo de aplicaciones en la nube y a otrosservicios web en Internet. Si su configuración de red proporciona acceso a Internet a través de un proxyHTTP, deberá ajustar la configuración del proxy en el dispositivo VMware Identity Manager.

Habilite su proxy para gestionar solo el tráfico de Internet. Para asegurar que el proxy esté configuradocorrectamente, establezca el parámetro de tráfico interno en la opción no-proxy dentro del dominio.

Procedimiento

1 Desde vSphere Client, inicie la sesión como usuario root en el dispositivo virtual deVMware Identity Manager.

2 Introduzca YaST en la línea de comandos para ejecutar la utilidad YaST.

3 En el panel izquierdo, seleccione Servicios de red y, a continuación, Proxy.

4 Introduzca las URL del servidor proxy en los campos de URL del proxy HTTP y URL del proxyHTTPS.

5 Seleccione Finalizar y salga de la utilidad YaST.

6 Reinicie el servidor Tomcat en el dispositivo virtual de VMware Identity Manager para utilizar la nuevaconfiguración del proxy.


El catálogo de aplicaciones en la nube y otros servicios web ya están disponibles enVMware Identity Manager.

Configurar la conmutación por error y la redundancia enun centro de datos únicoPara obtener la conmutación por error y la redundancia, puede agregar varios dispositivos virtuales deVMware Identity Manager en un clúster. VMware Identity Manager seguirá disponible aunque uno de losdispositivos virtuales se apague por algún motivo.

Debe instalar y configurar primero un dispositivo virtual de VMware Identity Manager y, a continuación,clonarlo. Al clonar el dispositivo virtual, se crea un duplicado del mismo con la misma configuración queel original. Puede personalizar el dispositivo virtual clonado para que el nombre, la configuración de red yotras propiedades pasen a ser obligatorios.

Antes de clonar el dispositivo virtual de VMware Identity Manager, debe configurarlo detrás de unequilibrador de carga y cambiar su nombre de dominio completo (FQDN) para que coincida con el FQDNdel equilibrador de carga. Además, debe completar la configuración del directorio en el servicio deVMware Identity Manager antes de clonar el dispositivo.


VMware, Inc. 61

Tras realizar el proceso de clonación, debe asignar una nueva dirección IP al dispositivo virtual clonadoantes de encenderlo. La dirección IP del dispositivo virtual clonado debe seguir las mismas directricesque la del dispositivo virtual original. La dirección IP debe resolverse en un nombre de host válido conuna DNS directa e inversa.

Los nodos del clúster de VMware Identity Manager son copias idénticas y casi sin estado unas de otras.La sincronización con Active Directory y con los recursos configurados, como View o ThinApp, estádeshabilitada en los dispositivos virtuales clonados.

1 Número recomendado de nodos en el clúster de VMware Identity Manager

Se recomienda configurar un clúster de VMware Identity Manager con tres nodos.

2 Cambiar el FQDN de VMware Identity Manager al FQDN del equilibrador de carga

Antes de clonar el dispositivo virtual VMware Identity Manager, debe cambiar su nombre de dominioplenamente cualificado (FQDN) para que coincida con el FQDN del equilibrador de carga.

3 Clonar el dispositivo virtual.

Clone el dispositivo virtual de VMware Identity Manager para crear varios dispositivos virtuales delmismo tipo para distribuir el tráfico y reducir el periodo de inactividad potencial.

4 Asignar una nueva dirección IP a un dispositivo virtual clonado

Se debe asignar una nueva dirección IP a cada dispositivo virtual clonado antes de encenderlo. Ladirección IP se debe poder resolver en el servidor DNS. Si la dirección no está en el DNS inverso,se debe asignar también el nombre de host.

5 Habilitar la sincronización de directorio en otra instancia de en caso de fallo

En caso de un fallo de la instancia del servicio, la autenticación la gestiona automáticamente unainstancia clonada, como se configuró en el equilibrador de carga. No obstante, para lasincronización del directorio es necesario modificar la configuración del directorio en el servicioVMware Identity Manager para utilizar una instancia clonada. De la sincronización del directorio seencarga el componente de conector del servicio y solo se puede habilitar en un conector cada vez.

6 Eliminar un nodo de un clúster

Si un nodo del clúster de VMware Identity Manager no funciona correctamente y no puederecuperarse, puede eliminarlo del clúster con el comando Eliminar nodo. El comando elimina lasentradas del nodo de la base de datos de VMware Identity Manager.

Número recomendado de nodos en el clúster deVMware Identity ManagerSe recomienda configurar un clúster de VMware Identity Manager con tres nodos.

El dispositivo VMware Identity Manager incluye Elasticsearch, un motor de búsqueda y análisis.Elasticsearch tiene una limitación conocida con los clústeres de dos nodos. Consulte la documentaciónde Elasticsearch para obtener una descripción sobre la limitación de "cerebro dividido". Tenga en cuentaque no tiene que configurar Elasticsearch.


VMware, Inc. 62

https://www.elastic.co/guide/en/elasticsearch/guide/1.x/_important_configuration_changes.html#_minimum_master_nodes

https://www.elastic.co/guide/en/elasticsearch/guide/1.x/_important_configuration_changes.html#_minimum_master_nodes

Un clúster de VMware Identity Manager con dos nodos produce una función de error con algunaslimitaciones relacionadas con Elasticsearch. Si se desconecta uno de los nodos, se aplican las siguienteslimitaciones hasta que el nodo vuelve a conectarse:

n El panel de control no muestra ningún dato.

n La mayoría de los informes no está disponible.

n La información del registro de sincronización no aparece en los directorios.

n El campo de búsqueda situado en la esquina superior derecha de la consola de administración nodevuelve ningún resultado.

n La función de autocompletar no está disponible en los campos de texto.

No hay ninguna pérdida de datos durante el tiempo en el que el nodo está desconectado. La informacióndel registro de sincronización y del evento de auditoría se almacena y se mostrará cuando se restablezcael nodo.

Cambiar el FQDN de VMware Identity Manager al FQDN delequilibrador de cargaAntes de clonar el dispositivo virtual VMware Identity Manager, debe cambiar su nombre de dominioplenamente cualificado (FQDN) para que coincida con el FQDN del equilibrador de carga.

Requisitos previos

n La instancia de VMware Identity Manager se agrega a un equilibrador de carga.

n Se aplicó el certificado raíz de CA a VMware Identity Manager.

Procedimiento

1 Inicie sesión en la consola de administración de VMware Identity Manager.

2 Seleccione la pestaña Configuración de dispositivos.

3 En la página Configuración del dispositivo virtual, haga clic en Administrar configuración.

4 Introduzca su contraseña de administrador para iniciar la sesión.

5 Haga clic en Configuración de Identity Manager.

6 En el campo FQDN de Identity Manager, cambie la parte del nombre de host de la URL del nombrede host de VMware Identity Manager por el nombre de host del equilibrador de carga.

Por ejemplo, si su nombre de host de VMware Identity Manager es miservicio y el nombre de hostde su equilibrador de carga es milb, cambiaría la URL

https://myservice.example.com

por la siguiente:

https://mylb.example.com


VMware, Inc. 63


n El FQDN se cambiará por el FQDN del equilibrador de carga.

n La URL del proveedor de identidades se cambiará por la URL del equilibrador de carga.

Pasos siguientes

Clone el dispositivo virtual.

Clonar el dispositivo virtual.Clone el dispositivo virtual de VMware Identity Manager para crear varios dispositivos virtuales del mismotipo para distribuir el tráfico y reducir el periodo de inactividad potencial.

Al utilizar varios dispositivos virtuales de VMware Identity Manager se mejora la disponibilidad, se cargansolicitudes de balances al servicio y se disminuyen los tiempos de respuesta al usuario final.

Requisitos previos

n El dispositivo virtual de VMware Identity Manager debe configurarse tras un equilibrador de carga.Compruebe que el puerto del equilibrador de carga es el 443. No use el puerto 8443 ya que es elpuerto administrativo y es de uso exclusivo para cada dispositivo virtual.

n Se configura una base de datos externa como se describe en Crear la base de datos del servicio deVMware Identity Manager.

n Compruebe que completa la configuración del directorio en VMware Identity Manager.


VMware, Inc. 64

n Inicie sesión en la consola de dispositivos virtuales como usuario raíz y elimine elarchivo /etc/udev/rules.d/70-persistent-net.rules, si existe. Si no elimina este archivoantes de la clonación, la red no se configura correctamente en el dispositivo virtual clonado.

Procedimiento

1 Inicie sesión en vSphere Client o en vSphere Web Client y diríjase al dispositivo virtual deVMware Identity Manager.

2 Haga clic con el botón derecho en el dispositivo virtual y seleccione Clonar.

3 Introduzca el nombre del dispositivo virtual clonado y haga clic en Siguiente.

El nombre debe ser único dentro de la carpeta de la máquina virtual.

4 Seleccione el host o el clúster en el que desea ejecutar el dispositivo virtual clonado y haga clic enSiguiente.

5 Seleccione el grupo de recursos en el que va a ejecutar el dispositivo virtual y haga clic enSiguiente.

6 Para el formato de disco virtual, seleccione Mismo formato que el origen.

7 Seleccione la ubicación del almacén de datos donde quiera almacenar los archivos del dispositivovirtual y haga clic en Siguiente.

8 Seleccione la opción de no personalizar como la opción del sistema operativo invitado.

9 Revise las opciones y haga clic en Finalizar.

Se implementará el dispositivo virtual clonado. No puede utilizar ni editar el dispositivo virtual hasta quela clonación finalice.

Pasos siguientes

Asigne una dirección IP al dispositivo virtual clonado antes de conectarlo y agréguelo al equilibrador decarga.

Asignar una nueva dirección IP a un dispositivo virtual clonadoSe debe asignar una nueva dirección IP a cada dispositivo virtual clonado antes de encenderlo. Ladirección IP se debe poder resolver en el servidor DNS. Si la dirección no está en el DNS inverso, sedebe asignar también el nombre de host.

Procedimiento

1 En vSphere Client o vSphere Web Client, seleccione el dispositivo virtual clonado.

2 En la pestaña Resumen, en Comandos, haga clic en Editar configuración.

3 Seleccione Opciones y, en la lista de opciones de vApp, seleccione Propiedades.

4 Cambie la dirección IP en el campo Dirección IP.

5 Si la dirección IP no se encuentra en el servidor DNS inverso, agregue el nombre de host en elcuadro de texto HostName.


VMware, Inc. 65

6 Haga clic en Aceptar.

7 Encienda el dispositivo clonado y espere a que aparezca la pantalla azul de inicio de sesión en lapestaña Consola.

Importante Antes de encender el dispositivo clonado, asegúrese de que el dispositivo original estécompletamente encendido.

Pasos siguientes

n Espere unos minutos a que se cree el clúster de Elasticsearch antes de agregar el dispositivo virtualclonado al equilibrador de carga.

Elasticsearch es un motor de búsqueda y análisis que se encuentra integrado en el dispositivovirtual.

a Inicie la sesión en el dispositivo virtual clonado.

b Compruebe el clúster de Elasticsearch:

curl -XGET 'http://localhost:9200/_cluster/health?pretty=true'

Compruebe que el resultado corresponda al número de nodos.

n Agregue el dispositivo virtual clonado al equilibrador de carga y configure el equilibrador de cargapara distribuir el tráfico. Para obtener información, consulte la documentación del proveedor delequilibrador de carga.

n Si la instancia de servicio original estaba unida al dominio, deberá unirse al dominio en las instanciasdel servicio clonadas.

a Inicie sesión en la consola de VMware Identity Manager.

b Seleccione la pestaña Administración de acceso e identidad y, a continuación, haga clic enConfiguración.

El componente de conector de cada una de las instancias del servicio clonadas se indica en lapágina Conectores.

c En cada conector de la lista, haga clic en Unirse al dominio y especifique la información deldominio.

Para obtener más información sobre Active Directory, consulte Integración de directorios conVMware Identity Manager.

n En directorios de tipo Active Directory mediante autenticación de Windows integrada (IWA), debehacer lo siguiente:

a En las instancias del servicio clonadas, únase al dominio al que estaba unido el directorio de IWAen la instancia del servicio original.



VMware, Inc. 66

2 Seleccione la pestaña Administración de acceso e identidad y, a continuación, haga clicen Configuración.

El componente de conector de cada una de las instancias del servicio clonadas se indica enla página Conectores.

3 En cada conector de la lista, haga clic en Unirse al dominio y especifique la información deldominio.

b Guarde la configuración del directorio de IWA.

1 Seleccione la pestaña Administración de acceso e identidad.

2 En la página Directorios, haga clic en el enlace del directorio de IWA.

3 Haga clic en Guardar para guardar la configuración del directorio.

n Habilite los métodos de autenticación configurados para conector en cada una de las instanciasclonadas. Para obtener más información, consulte la Guía de administración deVMware Identity Manager.

El dispositivo virtual del servicio VMware Identity Manager ya es de alta disponibilidad. El tráfico sedistribuye a los dispositivos virtuales del clúster según la configuración del equilibrador de carga. Laautenticación en el servicio es de alta disponibilidad. No obstante, para la función de sincronización dedirectorio del servicio, en caso de fallo de una instancia del servicio, se deberá habilitar manualmente lasincronización de directorio en una instancia del servicio clonada. De la sincronización del directorio seencarga el componente de conector del servicio y solo se puede habilitar en un conector cada vez.Consulte Habilitar la sincronización de directorio en otra instancia de en caso de fallo.

Habilitar la sincronización de directorio en otra instancia de encaso de falloEn caso de un fallo de la instancia del servicio, la autenticación la gestiona automáticamente unainstancia clonada, como se configuró en el equilibrador de carga. No obstante, para la sincronización deldirectorio es necesario modificar la configuración del directorio en el servicio VMware Identity Managerpara utilizar una instancia clonada. De la sincronización del directorio se encarga el componente deconector del servicio y solo se puede habilitar en un conector cada vez.

Procedimiento


2 Haga clic en la pestaña Administración de acceso e identidad y, a continuación, en Directorios.

3 Haga clic en el directorio asociado al a instancia del servicio original.

Puede consultar esta información en la página Configuración > Conectores. La página indica elcomponente de conector de cada uno de los dispositivos virtuales del servicio del clúster.

4 En la sección Sincronización y autenticación de directorios de la página del directorio, en elcampo Conector de sincronización, seleccione uno de los otros conectores.


VMware, Inc. 67

5 En el campo Contraseña del DN de enlace, introduzca la contraseña de la cuenta de enlace de

Active Directory.


Eliminar un nodo de un clústerSi un nodo del clúster de VMware Identity Manager no funciona correctamente y no puede recuperarse,puede eliminarlo del clúster con el comando Eliminar nodo. El comando elimina las entradas del nodo dela base de datos de VMware Identity Manager.

Puede comprobar el estado de los nodos del clúster si consulta su estado en el panel de información dediagnósticos del sistema. Un mensaje El nodo actual se encuentra en un estado incorrectoindica que el nodo no está funcionando correctamente.

Importante Use el comando Eliminar nodo con moderación. Utilícelo solo cuando un nodo se encuentreen un estado irrecuperable y deba eliminarse por completo de la implementación deVMware Identity Manager.

Nota No puede utilizar el comando Eliminar nodo para quitar el último nodo de un clúster.

Desasociar el componente conector de los dominios, la configuración desincronización de directorios y el proveedor de identidades integradoPara poder eliminar un nodo de un clúster de VMware Identity Manager, debe asegurarse de que elcomponente conector del nodo no se encuentre unido a ningún dominio, no se utilice como un conectorde sincronización y no esté asociado al proveedor de identidades integrado.


VMware, Inc. 68

Requisitos previos

Debe iniciar sesión como administrador de arrendatarios, es decir, un administrador local en el serviciode VMware Identity Manager. Un administrador de dominios sincronizado desde el directorio empresarialno tiene los permisos necesarios.

Procedimiento


2 Haga clic en la pestaña Administración de acceso e identidad y, a continuación, enConfiguración.

Se abrirá la página Conectores.

3 Si el componente conector del nodo está unido al dominio, abandone el dominio.

a En la página Conectores, busque el componente conector del nodo que desea eliminar.

El componente conector tiene el mismo nombre que el nodo.

b Si la columna Acciones disponibles muestra un botón Dejar el dominio, haga clic en el botónpara abandonar el dominio.

4 Si el componente conector del nodo se utiliza como conector de sincronización de algún directorio,cambie la opción de configuración Conector de sincronización del directorio para usar otro conector.

a En la columna Directorio asociado de la página Conectores, consulte los directorios con los queel componente conector está asociado.

b Haga clic en un vínculo de directorio.

c En la sección Sincronización y autenticación de directorios de la página de directorios,compruebe el valor de la opción Conector de sincronización.

d Si el componente conector se utiliza como conector de sincronización, seleccione otro conectorpara la opción Conector de sincronización y haga clic en Guardar.

e Repita estos pasos para todos los directorios con los que el componente conector está asociado.

5 Si el componente conector está asociado con el proveedor de identidades integrado, puedeeliminarlo del proveedor de identidades.

a En la página Conectores, en la columna Proveedor de identidades, consulte los proveedoresde identidades con los que está asociado el componente conector.

b Si el proveedor de identidades integrado forma parte de la lista, haga clic en el vínculo.

c En la página del proveedor de identidades, en la sección Conectores, haga clic en el iconoEliminar junto al conector.

Pasos siguientes

Elimine el nodo del clúster.


VMware, Inc. 69

Eliminar el nodo del clústerDespués de desasociar el componente conector del nodo de los dominios, la configuración desincronización de directorios y el proveedor de identidades integrado, puede eliminar el nodo del clúster.

Nota No puede utilizar el comando Eliminar para quitar el último nodo de un clúster.

Requisitos previos

n Para eliminar un nodo, debe iniciar sesión como administrador de arrendatarios, es decir, unadministrador local en el servicio de VMware Identity Manager. Un administrador de dominiossincronizado desde el directorio empresarial no tiene los permisos necesarios.

n Desasoció el componente conector del nodo de los dominios, la configuración de sincronización dedirectorios y el proveedor de identidades integrado, si es necesario. Consulte Desasociar elcomponente conector de los dominios, la configuración de sincronización de directorios y elproveedor de identidades integrado.

Procedimiento

1 Desconecte la máquina virtual del nodo.

a Inicie sesión en la instancia de vCenter Server.

b Haga clic con el botón secundario en la máquina virtual del nodo y seleccione Alimentación >Apagar.

2 Elimine el nodo del equilibrador de carga.

3 En la consola de VMware Identity Manager, elimine el nodo.

a Inicie sesión en la consola de VMware Identity Manager como administrador local.

b Haga clic en la flecha hacia abajo de la pestaña Panel de información y seleccione el Panel deinformación de diagnósticos del sistema.

c Busque el nodo que desea eliminar.

El nodo mostrará el siguiente estado:

El nodo actual se encuentra en un estado incorrecto. ¿Desea eliminarlo?

d Haga clic en el vínculo Eliminar que se muestra junto al mensaje.

Se eliminará el nodo del clúster. Las entradas para el nodo se eliminarán de la base de datos deVMware Identity Manager. El nodo también se eliminará de los clústeres de Elasticsearch y Ehcacheintegrados.

Pasos siguientes

Espere de 5 a 15 minutos para que los clústeres de Elasticsearch y Ehcache integrados se estabilicenantes de utilizar otros comandos.


VMware, Inc. 70

Implementar VMware Identity Manager en un centro dedatos secundario para la conmutación de error y laredundanciaPara proporcionar funcionalidades de conmutación por error si el centro de datos deVMware Identity Manager primario no se encuentra disponible, es necesario queVMware Identity Manager se implemente en un centro de datos secundario.

Al usar un centro de datos secundario, los usuarios finales pueden iniciar sesión y usar las aplicacionescon un periodo de inactividad mínimo. Un centro de datos secundario también permite a losadministradores actualizar VMware Identity Manager a la siguiente versión con un periodo de inactividadmínimo. Consulte Actualizar VMware Identity Manager con un periodo de inactividad mínimo.

A continuación se muestra una implementación típica con un centro de datos secundario.

vIDM1vIDM2

(Clonado de vIDM1)

vIDM3(Clonado de vIDM1)

Horizon View Arquitectura Cloud Pod

Agente de escucha SQL Server AlwaysOn

Repositorio de ThinApp (DFS)

XenFarmA

XenFarmB

Pod de ViewA

Pod de View B

Pod de ViewC

Pod de ViewD

XenFarmC

XenFarmD

LB global

DC1 LB

SQL Server(Principal)

AlwaysOn




DC2 LB

SQL Server(Réplica)


VMware, Inc. 71

Siga estas instrucciones para realizar una implementación de centro de datos múltiple.

n Implementación del clúster: es necesario implementar como un clúster un grupo de tres o másdispositivos virtuales de VMware Identity Manager en un centro de datos y otro grupo de tres o másdispositivos virtuales como otro clúster en el segundo centro de datos. Consulte Configurar un centrode datos secundario para obtener más información.

n Base de datos: VMware Identity Manager usa la base de datos para almacenar información. Pararealizar una implementación de un centro de datos múltiple, es crucial la replicación de las bases dedatos entre los dos centros de datos. Consulte la documentación de la base de datos para obtenermás información sobre cómo configurar una base de datos en centros de datos múltiples. Porejemplo, con SQL Server, se recomienda la implementación de AlwaysOn. Consulte Grupos dedisponibilidad AlwaysOn (SQL Server) en el sitio web de Microsoft para obtener más información.Las funciones de VMware Identity Manager esperan una latencia muy baja entre la base de datos yel dispositivo de VMware Identity Manager. Por lo tanto, se espera que los dispositivos en un centrode datos se conecten a la base de datos del mismo centro de datos.

n No activo-Activo: VMware Identity Manager no es compatible con una implementación Activo-Activodonde se puede proporcionar usuarios desde ambos centros de datos al mismo tiempo. El centro dedatos secundario es un método de espera activa y se puede usar para proporcionar a los usuariosfinales una continuidad del trabajo. Los dispositivos de VMware Identity Manager en el centro dedatos secundario están en modo de solo lectura. Por lo tanto, después de producirse unaconmutación por error en ese centro de datos, no funcionarán la mayoría de las operaciones deadministrador, como agregar usuarios o aplicaciones o autorizar usuarios.

n Conmutación por recuperación en el primario: en la mayoría de los escenarios de error, puederealizar una conmutación por recuperación en el centro de datos primario una vez que vuelva a lanormalidad. Para obtener más información, consulte Realizar una conmutación por recuperación enel centro de datos primario.

n Ascender el secundario a primario: en caso de un error extendido del centro de datos, el centro dedatos secundario puede pasar a ser primario. Para obtener más información, consulte Ascender uncentro de datos secundario a primario.

n Nombre de dominio completo: el nombre de dominio completo para acceder aVMware Identity Manager debe ser el mismo en todos los centros de datos.

n Auditorías: VMware Identity Manager usa Elasticsearch incrustado en el dispositivo deVMware Identity Manager para realizar informes de la auditoría y para los registros de sincronizaciónde los directorios. Se deben crear clústeres de Elasticsearch independientes en cada centro dedatos. Consulte Configurar un centro de datos secundario para obtener más información.

n Active Directory: VMware Identity Manager puede conectarse a Active Directory con la API LDAP ocon la Autenticación de Windows integrada. En ambos métodos, VMware Identity Manager puedeutilizar los informes SRV de Active Directory para llegar al controlador de dominio apropiado de cadacentro de datos.


VMware, Inc. 72

https://msdn.microsoft.com/en-us/library/ff877884.aspx

https://msdn.microsoft.com/en-us/library/ff877884.aspx

n Aplicaciones de Windows: VMware Identity Manager admite acceder a las aplicaciones de Windowscon ThinApp, así como a los escritorios y las aplicaciones de Windows con las tecnologías HorizonView o Citrix. Suele ser importante enviar estos recursos desde un centro de datos cercano alusuario, también denominado Geo-Affinity. Tenga en cuenta los siguientes aspectos sobre losrecursos de Windows:

n ThinApp: VMware Identity Manager admite Windows Distributed File Systems como unrepositorio de ThinApp. Use la documentación de Windows Distributed File Systems paraconfigurar las directivas específicas de la ubicación.

n Horizon View (con Arquitectura Cloud Pod): VMware Identity Manager admite la HorizonArquitectura Cloud Pod. La Horizon Arquitectura Cloud Pod proporciona Geo-Affinity conautorizaciones globales. Consulte "Integrar las implementaciones de la Arquitectura Cloud Pod"en Configurar recursos en VMware Identity Manager para obtener más información. No sonnecesarios cambios adicionales para la implementación de un centro de datos múltiple deVMware Identity Manager.

n Horizon View (sin la Arquitectura Cloud Pod): si la Horizon Arquitectura Cloud Pod no estáhabilitada en su entorno, no puede habilitar Geo-Affinity. Después de un evento de conmutaciónpor error, puede cambiar de forma manual VMware Identity Manager para iniciar los recursos deHorizon View desde los pods de View configurados en el centro de datos secundario. Consulte Configurar el orden de conmutación por error de los recursos publicados en Citrix y Horizon Viewpara obtener más información.

n Recursos de Citrix: como con Horizon View (sin la Arquitectura Cloud Pod), no puede habilitar losrecursos de Citrix para Geo-Affinity. Después de un evento de conmutación por error, puedecambiar de forma manual VMware Identity Manager para iniciar los recursos de Citrix desdeXenFarms configurados en el centro de datos secundario. Consulte Configurar el orden deconmutación por error de los recursos publicados en Citrix y Horizon View para obtener másinformación.

Configurar un centro de datos secundarioEl centro de datos secundario se administra normalmente con un servidor vCenter distinto. Al configurarel centro de datos secundario puede configurar e implementar lo siguiente según sus necesidades.

n Los dispositivos de VMware Identity Manager en el centro de datos secundario, creados a partir deun archivo OVA importado del centro de datos primario

n Equilibrador de carga del centro de datos secundario

n Autorizaciones y recursos basados en Citrix y Horizon View duplicado

n Configuración de base de datos

n Entrada de DNS o del equilibrador de carga en los centros de datos primario y secundario paraconmutación por error


VMware, Inc. 73

RequisitosAsegúrese de cumplir estos requisitos para implementar VMware Identity Manager en un centro de datossecundario.

n Asegúrese de que el certificado de VMware Identity Manager incluya el FQDN del equilibrador decarga del centro de datos principal, así como el FQDN del equilibrador de carga del centro de datossecundario. De lo contrario, el certificado debe ser un certificado comodín.

n Los puertos 443 y 8443 deben estar abiertos entre todas las instancias de VMware Identity Manager,tanto dentro de un clúster como entre clústeres de centros de datos diferentes.

Verificar el clúster en el centro de datos principalAntes de configurar el centro de datos secundario, compruebe que el clúster en el centro de datosprincipal esté configurado correctamente. Asimismo, compruebe que los componentes integradosElasticsearch y Ehcache estén agrupados en clúster correctamente.

Elasticsearch y Ehcache están integrados en el servicio de VMware Identity Manager. Elasticsearch esun motor de búsqueda y de análisis usado para los registros de sincronización de directorios, informes yauditorías. Ehcache proporciona funciones de almacenamiento en caché.

Requisitos previos

Configure un clúster de VMware Identity Manager en el centro de datos principal.

Procedimiento

1 En la consola de VMware Identity Manager, seleccione la pestaña Panel de información > Panel deinformación de diagnósticos del sistema.

2 En el panel superior, busque la información del clúster.

3 Verifique que las instancias estén agrupadas de forma correcta mediante la comprobación de los ID

de clúster de las instancias y realice cambios si es necesario.

Todas las instancias en un clúster deben tener el mismo ID de clúster.

n Para actualizar el ID de clúster de una instancia, haga clic en el icono del lápiz situado junto alnúmero.

n Para eliminar una instancia del clúster, haga clic en Eliminar.


VMware, Inc. 74

4 Para cada instancia que aparece en el panel izquierdo, desplácese hasta la sección Componentesintegrados y compruebe que la información del clúster Elasticsearch y Ehcache sea correcta.

Por ejemplo:

Pasos siguientes

Cree un clúster en el centro de datos secundario. Cree los nodos exportando el archivo OVA del primerdispositivo virtual de VMware Identity Manager desde el clúster del centro de datos principal y usándolopara implementar los nuevos dispositivos virtuales en el centro de datos secundario.

Crear dispositivos virtuales de VMware Identity Manager en centros de datossecundariosPara configurar un clúster de VMware Identity Manager en un centro de datos secundario, debe exportarel archivo OVA del dispositivo de VMware Identity Manager original en el centro de datos primario yusarlo para implementar dispositivos en el secundario.

Requisitos previos

n El archivo OVA de VMware Identity Manager que se exportó del dispositivo VMware Identity Manageroriginal en el centro de datos principal

n Direcciones IP y registros DNS del centro de datos secundario

Procedimiento

1 En el centro de datos primario, exporte el archivo OVA del dispositivo de VMware Identity Manageroriginal.

Consulte la documentación de vSphere para obtener más información.


VMware, Inc. 75

2 En el centro de datos secundario, implemente el archivo OVA de VMware Identity Manager que seexportó para crear los nuevos nodos.

Consulte la documentación de vSphere para obtener más información. Consulte también Instalacióndel archivo OVA de VMware Identity Manager.

3 Después de encender los dispositivos de VMware Identity Manager, actualice la configuración decada uno de ellos.

Los dispositivos de VMware Identity Manager del centro de datos secundario son copias idénticas deldispositivo de VMware Identity Manager original del centro de datos principal. La sincronización conActive Directory y los recursos configurados en el centro de datos principal está deshabilitada.

Pasos siguientes

Vaya a las páginas de consola de administración y configure lo siguiente:

n Habilite la opción Unirse al dominio como se configuró en el dispositivo virtual deVMware Identity Manager original del centro de datos principal.

n En la página Adaptadores de autenticación, agregue los métodos de autenticación que estánconfigurados en el centro de datos principal.

n En la página Método de autenticación de directorio, habilite la autenticación de Windows, si estáconfigurada en el centro de datos principal.

Diríjase a la página Instalar el certificado de configuración de dispositivos para agregar certificadosfirmados por la entidad de certificación, duplicando los certificados de los dispositivos deVMware Identity Manager del centro de datos principal. Consulte Utilizar certificados SSL.

Verificar el clúster en el centro de datos secundarioDespués de crear nodos en el centro de datos secundario con el archivo OVA exportado del primario,verifique que el clúster esté configurado correctamente.

Procedimiento

1 En la consola de VMware Identity Manager, seleccione la pestaña Panel de información > Panel deinformación de diagnósticos del sistema.

2 En el panel superior, busque la información del clúster para el clúster del centro de datos secundario.


VMware, Inc. 76

3 Verifique que las instancias estén agrupadas de forma correcta mediante la comprobación de los IDde clúster de las instancias y realice cambios si es necesario.

Todas las instancias en un clúster deben tener el mismo ID de clúster.

n Para actualizar el ID de clúster de una instancia, haga clic en el icono del lápiz situado junto alnúmero.

n Para eliminar una instancia del clúster, haga clic en Eliminar.

4 Para cada instancia que aparece en el panel izquierdo, desplácese hasta la sección Componentesintegrados y compruebe que la información del clúster Elasticsearch y Ehcache sea correcta.

Por ejemplo:

Editar el archivo runtime-config.properties en el centro de datos secundarioDebe editar los archivos runtime-config.properties en los dispositivos de VMware Identity Managerdel centro de datos secundario para configurar el modo de solo lectura en estos dispositivos. Tambiénpuede cambiar la URL de JDBC en los nodos del centro de datos secundario si no utiliza tecnologíascomo SQL Server Always On.

Realice estos cambios en cada dispositivo de VMware Identity Manager en el centro de datossecundario.

Procedimiento

1 Con un cliente ssh, inicie sesión en el dispositivo VMware Identity Manager como usuario root.

2 Abra el archivo /usr/local/horizon/conf/runtime-config.properties.

3 Configure el dispositivo de VMware Identity Manager para tener acceso de solo lectura agregando lasiguiente línea:

read.only.service=true


VMware, Inc. 77

4 Además, agregue la siguiente línea al archivo:

cache.service.type=ehcache

Nota cache.service.type=ehcache es obligatorio si se establece read.only.service=true. Siread.only.service=false, entonces el valor predeterminado es cache.service.type=rds.

5 Guarde el archivo.

6 Cambie la URL de JDBC en los nodos del centro de datos secundario si no utiliza tecnologías comoSQL Server Always On.

Si desea obtener más información, consulte Configure VMware Identity Manager para usar una basede datos externa.

7 Reinicie el servicio Tomcat en el dispositivo.


Configurar el orden de conmutación por error de los recursos publicados enCitrix y Horizon ViewPara los recursos publicados en Citrix y Horizon View, debe configurar el orden de conmutación por errorde los recursos en centros de datos principales y secundarios para que los recursos apropiados esténdisponibles desde cualquier centro de datos.

El comando hznAdminTool permite crear una tabla de base de datos con el orden de conmutación porerror de los recursos de su organización por instancia de servicio. Al iniciar un recurso se sigue el ordende conmutación por error configurado. El comando hznAdminTool failoverConfiguration se ejecutaen ambos centros de datos para configurar el orden de conmutación por error.

Nota Este procedimiento no se aplica a los entornos con Horizon View Cloud Pod Architecture (CPA).

Requisitos previos

Al implementar VMware Identity Manager en varios centros de datos, también se configuran los mismosrecursos en cada uno de ellos. Cada grupo de escritorios o aplicaciones de los pods de Horizon oXenFarms de Citrix se considera como un grupo diferente en el catálogo de VMware Identity Manager.Para evitar la duplicación de los recursos del catálogo, asegúrese de habilitar No sincronizaraplicaciones duplicadas en las páginas de configuración de Horizon y Citrix en la consola deVMware Identity Manager.

Procedimiento



VMware, Inc. 78

2 Para ver una lista de las instancias de servicio, escriba:

hznAdminTool -j clusterInstances

Se mostrará una lista de instancias de servicio. El valor "id" es el identificador de la instancia deservicio. Por ejemplo:

{

"clusterInstances":[{

"version" : "3.2.0.1 Build 8223322",

"uuid" : "7451fe26-5b02-32ef-bfe6-6fe0a8710a14",

"status" : "Active",

"lastUpdated" : 1523372105701,

"hostname" : "server.example.com",

"datacenterId" : 0,

"id" : 2,

"ipaddress" : "10.143.xxx.xx"}

]}

3 Para cada instancia de servicio de la organización, configure el orden de conmutación por error delos recursos basados en Citrix y Horizon con el siguiente comando:

hznAdminTool failoverConfiguration -configType <configType> -configuration

<configuration> -serviceInstanceId <serviceInstanceId>


-configType Introduzca el tipo de recurso que se configura para la conmutación por error. Losvalores pueden ser VIEW o XENAPP.

-configuration Introduzca el orden de la conmutación por error. Para VIEW configType, escribaen una lista separada por comas los nombres de host del servidor de conexiónde Horizon principal que se enumeran en la página de configuración de HorizonView en la consola de VMware Identity Manager. Para XENAPP configType,introduzca los nombres de XenFarm en una lista separada por comas.

-serviceInstanceId Introduzca el ID de la instancia del servicio para el que se ha definido laconfiguración. Puede encontrar el ID en la lista mostrada en el paso 2, "id":

Por ejemplo:

hznAdminTool failoverConfiguration -configType VIEW -configuration

pod1vcs1.domain.com,pod2vcs1.hs.trcint.com -serviceInstanceId 1

Al introducir este comando para las instancias de VMware Identity Manager en el centro de datossecundario, invierta el orden de los servidores de conexión de Horizon. En este ejemplo, el comandosería hznAdminTool failoverConfiguration -configType VIEW -configurationpod2vcs1.hs.trcint.com, pod1vcs1.domain.com -serviceInstanceId 103.

La tabla de la base de datos de la conmutación por error de los recursos se configura para cada centrode datos.


VMware, Inc. 79

Pasos siguientes

Para ver la configuración de conmutación por error existente de cada uno de los recursos publicados deCitrix y Horizon View, ejecute el comando:

hznAdminTool failoverConfigurationList -configType <configtype>

El valor de <configtype> es VIEW o XENAPP. A continuación, se muestra un ejemplo de la salida dehznAdminTool failoverConfigurationList con <configtype> VIEW.

{"idOrganization":1,"serviceInstanceId":

52,"configType":"VIEW","configuration":"pod1vcs1.domain.com,pod2vcs1.domain.com"}{"idOrganization":

1,"serviceInstanceId":

103,"configType":"VIEW","configuration":"pod2vcs1.domain.com,pod1vcs1.domain.com"}{"idOrganization":

1,"serviceInstanceId":

154,"configType":"VIEW","configuration":"pod2vcs1.domain.com,pod1vcs1.domain.com"}

Borrar la memoria caché en el centro de datos secundarioDespués de configurar los centros de datos principal y secundario, borre las memorias caché del centrode datos secundario. Esta medida se toma en preparación para una conmutación por error. Cuando serealiza una conmutación por error al centro de datos secundario, las memorias caché del centro de datossecundario deberían estar vacías.

Use la REST API que se describe aquí para borrar las cachés. Otra forma de borrar la memoria caché esreiniciar los dispositivos virtuales.

Procedimiento

u Ejecute la siguiente REST API desde un cliente REST como Postman.

PATH: /SAAS/jersey/manager/api/removeAllCaches

Método: POST

Agregue encabezados:

Authorization: HZN <cookie_value>

Accept: application/vnd.vmware.horizon.manager.cache.removal.response+json

Content-type: application/vnd.vmware.horizon.manager.cache.removal.request+json’


VMware, Inc. 80

En la sección Body (sin procesar), agregue:

{

"cacheNames":[]

}

Nota n Debe ejecutar la API como administrador de tenant, es decir, como el administrador que se creó

en el dominio del sistema cuando se instaló VMware Identity Manager. Las cuentas de dominioque se sincronizan desde el directorio empresarial no pueden realizar esta función.

n Para obtener la cookie de HZN, inicie sesión en el servicio de VMware Identity Manager como eladministrador de tenant y, a continuación, acceda a la caché de cookies del navegador.

n Empty cacheNames indica que se quitarán todas las memorias caché.

Configurar la base de datos para la conmutación por errorEn VMware Identity Manager, la replicación de la base de datos se configura para que los datos seanconsistentes en los servidores de la base de datos dentro del centro de datos principal y el centro dedatos secundario.

Debe configurar la base de datos externa para obtener una alta disponibilidad. Configure unaarquitectura de base de datos principal y subordinada, en la que la subordinada sea una réplica exactade la principal.

Consulte la documentación de la base de datos externa.

Si usa SQL Server AlwaysOn, use el nombre del host o la dirección IP del agente de escucha SQLServer cuando configure la base de datos en cada dispositivo de VMware Identity Manager. Por ejemplo:

jdbc:jtds:sqlserver://<hostname_or_IP_address:port#>/<saasdb>;integratedSecurity=true;domain=<domainnam

e>;useNTLMv2=true;multiSubnetFailover=true

Realizar una conmutación por error en el centro de datossecundarioCuando se produce un error en el centro de datos primario, puede realizar una conmutación por error enel secundario. Para realizar este proceso, modifique el equilibrador de carga global o el informe DNSpara que se dirijan al equilibrador de carga en el centro de datos secundario.

Consulte Utilizar un registro de DNS para controlar qué centro de datos está activo.


VMware, Inc. 81

Los dispositivos de VMware Identity Manager del centro de datos secundario están en modo de sololectura. Por lo tanto, la mayoría de las operaciones del administrador, como agregar usuarios oaplicaciones o autorizar a los usuarios, no están disponibles. Consulte Actividades de VMware IdentityManager no disponibles en modo de solo lectura.

Importante Después de conmutar por error al centro de datos secundario, debe borrar todas lasmemorias caché en el centro de datos principal original. En caso de que necesite conmutar por error alcentro de datos principal original, las memorias caché de ese centro de datos deberían estar vacías.

Puede usar una REST API para limpiar la memoria caché. Ejecute la siguiente REST API desde uncliente REST como Postman:


Método: POST






{

"cacheNames":[]

}

Nota n Debe ejecutar la API como administrador de tenant, es decir, como el administrador que se creó en

el dominio del sistema cuando se instaló VMware Identity Manager. Las cuentas de dominio que sesincronizan desde el directorio empresarial no pueden realizar esta función.



Otra forma de borrar la memoria caché es reiniciar los dispositivos virtuales.

Utilizar un registro de DNS para controlar qué centro de datos está activoSi se utiliza un registro de Domain Name System (DNS) para dirigir el tráfico de los usuarios en loscentros de datos, este registro debe señalar a un equilibrador de carga del centro de datos principal encondiciones de funcionamiento normales.

Si el centro de datos principal no está disponible, el registro de DNS se debe actualizar para que señaleal equilibrador de carga del centro de datos secundario.


VMware, Inc. 82

Cuando el centro de datos principal vuelve a estar disponible, el registro de DNS se debe actualizar paraque señale al equilibrador de carga del centro de datos principal.

SSO móvil para la autenticación de iOS

Si utiliza SSO móvil para la autenticación de iOS, actualice tanto las entradas A como AAAA de DNSpara que apunten al equilibrador de carga en el centro de datos secundario. Por ejemplo:

idm.example.com. 1800 IN AAAA ::ffff:1.2.3.4

idm.example.com. 1800 IN A 1.2.3.4

Nota Si utiliza la función de KDC híbrido, este paso no es necesario.

Configurar el tiempo de vida en el registro de DNS

El valor del parámetro tiempo de vida (TTL) determina el tiempo que debe transcurrir para que seactualice la información relativa a DNS en la caché. Para que la conmutación por error se realicecorrectamente en aplicaciones y escritorios de Horizon, asegúrese de que el valor del tiempo de vida(TTL) en los registros de DNS sea reducido. Si el valor de TTL es demasiado largo, es posible que losusuarios no puedan acceder a sus aplicaciones y escritorios de Horizon inmediatamente después de laconmutación por error. Para habilitar la actualización rápida de DNS, establezca el valor de TTL de DNSen 30 segundos.

Actividades de VMware Identity Manager no disponibles en modo de sololecturaEl uso de VMware Identity Manager en modo de solo lectura está diseñado para alta disponibilidad ypara permitir a los usuarios finales acceder a los recursos. Es posible que algunas de las actividades dela consola de VMware Identity Manager y otras páginas de servicios de administración no esténdisponibles en modo de solo lectura. A continuación se proporciona una lista de actividades habitualesque no están disponibles.

Si VMware Identity Manager se ejecuta en modo de solo lectura, no se pueden realizar actividadesrelacionadas con cambios en Active Directory o en la base de datos y no funciona la sincronización conla base de datos de VMware Identity Manager.

Las funciones administrativas que necesitan escribir en la base de datos no están disponibles duranteeste tiempo. Se debe esperar a que VMware Identity Manager vuelva al modo de lectura y escritura.

Modo de solo lectura de la consola de VMware Identity Manager

A continuación se indican algunas de las limitaciones de la consola de VMware Identity Manager enmodo de solo lectura.

n Agregar, eliminar y editar usuarios y grupos en la pestaña Usuarios y grupos

n Agregar, eliminar y editar aplicaciones en la pestaña Catálogo

n Agregar, eliminar y editar autorizaciones de aplicaciones

n Cambiar la información de marca


VMware, Inc. 83

n Sincronizar el directorio para agregar, editar y eliminar usuarios y grupos

n Editar información sobre recursos, incluidos Horizon y XenApp, entre otros

n Editar la página de métodos de autenticación

Nota Los componentes del conector de los dispositivos de VMware Identity Manager del centro dedatos secundario aparecen en la consola de administración. Asegúrese de no seleccionar un conectordel centro de datos secundario como conector de sincronización.

Modo de solo lectura de las páginas Configuración del dispositivo virtual

A continuación se indican algunas de las limitaciones de las páginas Configuración del dispositivo enmodo de solo lectura.

n Comprobar la configuración de la conexión de la base de datos

n Cambiar la contraseña de administrador en la página Cambiar contraseña

Modo de solo lectura del portal de aplicaciones del usuario final

Cuando VMware Identity Manager está en modo de solo lectura, los usuarios pueden iniciar sesión ensus portales y acceder a los recursos. En modo de solo lectura no están disponibles las siguientesfunciones en el portal del usuario.

n Marcar o desmarcar un recurso como favorito

n Agregar recursos de la página Catálogo o eliminarlos de la página Marcadores

n Cambiar la contraseña desde la página del portal

Modo de solo lectura del cliente de Windows de VMware Identity Manager

Si VMware Identity Manager está en modo de solo lectura, los usuarios no pueden configurar nuevosclientes de Windows. Los clientes de Windows existentes seguirán funcionando.

Realizar una conmutación por recuperación en el centro de datosprimarioEn la mayoría de los escenarios de error, puede realizar una conmutación por recuperación en el centrode datos primario una vez que vuelva a funcionar.

Procedimiento

1 Modifique el equilibrador de carga global o el informe DNS para que se dirijan al equilibrador decarga en el centro de datos primario.

Consulte Utilizar un registro de DNS para controlar qué centro de datos está activo.

2 Limpie la caché en el centro de datos secundario.

Ejecute la siguiente REST API desde un cliente REST como Postman:



VMware, Inc. 84

Método: POST






{

"cacheNames":[]

}

Nota n Debe ejecutar la API como administrador de tenant, es decir, como el administrador que se creó

en el dominio del sistema cuando se instaló VMware Identity Manager. Las cuentas de dominioque se sincronizan desde el directorio empresarial no pueden realizar esta función.



Otra forma de borrar la memoria caché es reiniciar los dispositivos virtuales.

Ascender un centro de datos secundario a primarioEn caso de un error extendido del centro de datos, el centro de datos secundario puede pasar a serprimario.

Es necesario editar el archivo runtime-config.properties en los dispositivos deVMware Identity Manager del centro de datos secundario para establecer la configuración del modo delectura y escritura en estos dispositivos.

Realice estos cambios en cada dispositivo de VMware Identity Manager en el centro de datossecundario.

Procedimiento


2 Abra el archivo /usr/local/horizon/conf/runtime-config.properties para editarlo.

3 Cambie la línea read.only.service=true a read.only.service=false.

4 Cambie la línea cache.service.type=ehcache a cache.service.type=rds.

5 Guarde el archivo runtime-config.properties.

6 Reinicie el servicio Tomcat en el dispositivo.



VMware, Inc. 85

Actualizar VMware Identity Manager con un periodo deinactividad mínimoCon una implementación de centro de datos múltiple, se puede actualizar VMware Identity Manager a laversión siguiente con un periodo de inactividad mínimo. Use el flujo de trabajo sugerido para realizaractualizaciones graduales.

Consulte el diagrama que aparece en Implementar VMware Identity Manager en un centro de datossecundario para la conmutación de error y la redundancia mientras realiza estos pasos.

Procedimiento

1 Cambie el enrutamiento del LB global para que envíe la solicitudes al DC2 LB.

2 Detenga la replicación de la base de datos.

3 Actualice el dispositivo virtual vIDM1, a continuación el vIDM2 y, finalmente, el vIDM3.

4 Pruebe las actualizaciones usando DC1-LB.

5 Cuando esté todo correcto, cambie a LB global para enrutar las solicitudes a DC1 LB.

6 Actualice el dispositivo virtual vIDM4, a continuación el vIDM5 y, finalmente, el vIDM6.

7 Pruebe las actualizaciones usando DC2-LB.

8 Inicie la replicación de la base de datos.


VMware, Inc. 86

Instalación de dispositivos deconectores deVMware Identity Manageradicionales 5El conector es una parte del servicio VMware Identity Manager. Al instalar un dispositivo virtualVMware Identity Manager, se incluye siempre un componente de conector de manera predeterminada.

El conector realiza las funciones siguientes.

n Sincroniza los datos de usuario y grupo entre el directorio empresarial y el directorio correspondienteque creó en el servicio.

n Cuando se usa como un proveedor de identidades, autentica usuarios en el servicio.

El conector es el proveedor de identidades predeterminado.

Como ya hay un conector disponible como parte del servicio, en las implementaciones típicas no senecesita instalar un conector adicional.

Sin embargo, en algunos casos, puede que necesite un conector adicional. Por ejemplo:

n Si tiene varios directorios del tipo Active Directory (autenticación IWA), necesita un conector diferentepara cada uno de ellos.

Se puede asociar una instancia de conector a varios directorios. En el conector, se crea una particiónllamada trabajo para cada directorio. Sin embargo, no puede tener dos trabajos del tipo deautenticación IWA en la misma instancia de conector.

n Si desea administrar el acceso de los usuarios en función de si inician sesión desde una ubicacióninterna o externa.

n Si desea usar una autenticación basada en certificado pero su equilibrador de carga está configuradopara terminar SSL en el equilibrador de carga. La autenticación con certificado requiere el paso deSSL en el equilibrador de carga.

Para instalar un conector adicional, realice las tareas siguientes.n Descargue el paquete OVA del conector.

n Genere un token de activación en el servicio.

n Implemente el dispositivo virtual del conector.

n Configure las opciones del conector.

Los conectores adicionales que implemente se mostrarán en la interfaz de usuario del servicio.

VMware, Inc. 87


n Generación de un código de activación para el conector

n Implementar el archivo OVA de Conector

n Configurar las opciones de Conector

Generación de un código de activación para el conectorAntes de implementar el dispositivo virtual del conector, genere un código de activación para el nuevoconector desde el servicio de VMware Identity Manager. El código de activación del conector se usa paraestablecer la comunicación entre el servicio y el conector.

Procedimiento



3 Haga clic en Configurar.

4 En la página Conectores, haga clic en Agregar conector.

5 Introduzca un nombre para la nueva instancia del conector.

6 Haga clic en Generar código de activación.

El código de activación se muestra en el campo Código de activación del conector.

7 Copie el código de activación del conector y guárdelo.

Usará este código de activación al ejecutar el asistente de configuración de conectores.

Pasos siguientes

Instale el dispositivo virtual del conector.

Implementar el archivo OVA de ConectorPara descargar el archivo OVA de conector e implementarlo, debe utilizar VMware vSphere Client ovSphere Web Client.

Requisitos previos

n Identifique los registros de DNS y el nombre de host que utilizará para la implementación de OVA deconector.

n Si utiliza vSphere Web Client, utilice los navegadores Firefox o Chrome. No utilice Internet Explorerpara implementar el archivo OVA.

n Descargue el archivo OVA de Connector.

Procedimiento

1 En vSphere Client o vSphere Web Client, seleccione Archivo > Implementar plantilla de OVF.


VMware, Inc. 88

2 En las páginas de Implementar plantilla de OVF, introduzca la información específica de suimplementación de conector.


Origen Desplácese hasta la ubicación del paquete de OVA o introduzca una URLespecífica.

Detalles de la plantilla de OVA Compruebe que seleccionó la versión correcta.

Licencia Lea el Contrato de licencia para el usuario final y haga clic en Aceptar.

Nombre y ubicación Introduzca un nombre para el dispositivo virtual. El nombre debe ser único en lacarpeta de inventario y puede tener hasta 80 caracteres. Los nombres distinguenentre mayúsculas y minúsculas.

Seleccione una ubicación para el dispositivo virtual.

Host / Clúster Seleccione el host o el clúster en el que desea ejecutar la plantilla implementada.

Grupo de recursos Seleccione el grupo de recursos.

Almacenamiento Seleccione la ubicación en la que desea almacenar los archivos de la máquinavirtual.

Formato de disco Seleccione el formato de disco de los archivos. Para entornos de producción,seleccione un formato Thick Provision. Para evaluación y realización depruebas, seleccione un formato Thin Provision.

Asignación de redes Asigne las redes de su entorno a las redes de la plantilla de OVF.

Propiedades a En el campo Configuración de zona horaria, seleccione la zona horariacorrecta.

b La casilla de verificación Programa de mejora de la experiencia del clienteestá seleccionada de forma predeterminada. VMware recopila datosanónimos sobre su implementación con el fin de mejorar la respuesta deVMware a los requisitos del usuario. Anule la selección de la casilla si nodesea que se recopilen datos.

c En el cuadro de texto Nombre de host, introduzca el host que desea utilizar.Si se deja en blanco, se utilizará la DNS inversa para buscar el nombre dehost.

d Si desea configurar la dirección IP estática para conector, introduzca ladirección de cada una de las opciones siguientes: Puerta de enlacepredeterminada, DNS, dirección IP y Máscara de red.

Importante Si alguno de los cuatro campos de dirección, incluido Nombrede host, se deja en blanco, se utiliza DHCP.

Para configurar DHCP, deje en blanco los campos de dirección.

Listo para finalizar Revise las selecciones y haga clic en Finalizar. En función de la velocidad de la red, la implementación puede tardar varios minutos. Puede ver elprogreso en el cuadro de diálogo de progreso.

3 Cuando la implementación finalice, seleccione el dispositivo, haga clic con el botón derecho yseleccione Power > Power on.

El dispositivo se inicializará. Para ver los detalles, vaya a la pestaña consola. Cuando el dispositivose inicialice, la pantalla de la consola mostrará la versión de y las URL de inicio de sesión en elasistente de configuración para finalizar la configuración.


VMware, Inc. 89

Pasos siguientes

El asistente de configuración permite agregar el código de activación y las contraseñas administrativas.

Configurar las opciones de ConectorDespués de implementar e instalar el OVA del conector, debe ejecutar el asistente de configuración paraactivar el dispositivo y configurar las contraseñas del administrador.

Requisitos previos

n Debe tener el código de activación del nuevo conector. Consulte Generación de un código deactivación para el conector.

n Asegúrese de que el dispositivo del conector esté encendido y que dispone de la URL del conector.

n Recopile una lista de contraseñas para utilizarlas en la cuenta raíz, la cuenta sshuser y eladministrador del conector.

Procedimiento

1 Para ejecutar el asistente de configuración, introduzca la URL del conector que se mostró en lapestaña Consola tras implementar el OVA.

2 En la página principal, haga clic en Continuar.

3 Cree contraseñas seguras para las siguientes cuentas de administrador del dispositivo virtual deconector.

Las contraseñas seguras deben tener al menos ocho caracteres e incluir mayúsculas, minúsculas yal menos un dígito o un carácter especial.


Administrador del dispositivo Cree la contraseña del administrador del dispositivo. El nombre de usuario esadmin y no se puede cambiar. Debe utilizar esta cuenta y esta contraseña parainiciar sesión en los servicios del conector y administrar certificados, contraseñasdel dispositivo y la configuración del registro del sistema.

Importante La contraseña del usuario admin debe tener 6 caracteres comomínimo.

Cuenta raíz Se utilizó una contraseña raíz predeterminada de VMware para instalar eldispositivo del conector. Cree una contraseña raíz nueva.

Cuenta sshuser Cree la contraseña que va a utilizar para acceder de forma remota al dispositivodel conector.

4 Haga clic en Continuar.

5 En la página Activar Conector, pegue el código de activación y haga clic en Continuar.

El código de activación se verificará y se establecerá la comunicación entre el servicio y la instanciadel conector.

La configuración del conector se completó.


VMware, Inc. 90

Pasos siguientes

En el servicio, configure su entorno en función de sus necesidades. Por ejemplo, si agregó otro conectorporque desea sincronizar dos directorios con autenticación de Windows integrada, cree el directorio yasócielo al nuevo conector.

Configure los certificados SSL del conector. Consulte Utilizar certificados SSL.


VMware, Inc. 91

Utilizar el KDC integrado 6En la autenticación SSO móvil para iOS de dispositivos iOS administrados por VMware WorkspaceONE™ UEM, se puede utilizar el KDC integrado. Se debe iniciar manualmente el centro de distribuciónde claves (Key Distribution Center, KDC) en el dispositivo antes de habilitar el método de autenticacióndesde la consola de administración.

Nota Al integrar VMware Identity Manager con Workspace ONE UEM en un entorno de Windows, utiliceel servicio KDC alojado en la nube de VMware Identity Manager, no el KDC integrado. El uso de KDC enla nube requiere la selección de un nombre de territorio apropiado en la página del adaptador deautenticación de iOS de la consola de administración. Consulte la Guía de administración de VMwareIdentity Manager.

Antes de inicializar el KDC en VMware Identity Manager, determine el nombre de territorio del servidorKDC, si la implementación incluye subdominios y si se utilizará o no el certificado del servidor KDCpredeterminado.

TerritorioEl territorio es el nombre de una entidad administrativa que mantiene los datos de autenticación. Esimportante seleccionar un nombre descriptivo para el territorio de autenticación de Kerberos. El nombredel territorio debe formar parte de un dominio de DNS que la empresa pueda configurar.

El nombre del territorio y el nombre de dominio plenamente cualificado (FQDN) que se utilice paraacceder al servicio VMware Identity Manager son independientes. Su empresa debe controlar losdominios de DNS tanto del nombre de territorio como del FQDN. La convención consiste en que elnombre del territorio sea el mismo que el de dominio, en mayúsculas. A veces, el nombre de territorio y elde dominio son diferentes. Por ejemplo, EXAMPLE.NET puede ser un nombre de territorio yidm.example.com puede ser el nombre de dominio completo de VMware Identity Manager. En este caso,se definen las entradas de DNS tanto para el dominio ejemplo.net como para ejemplo.com.

El cliente de Kerberos utiliza el nombre de territorio para generar nombres de DNS. Por ejemplo, cuandoel nombre es example.com, el nombre de Kerberos relacionado para contactar el KDC por TCP es_kerberos._tcp.EXAMPLE.COM.

VMware, Inc. 92

Usar subdominiosEl servicio de VMware Identity Manager instalado en un entorno local puede utilizar el subdominio denombre de dominio completo de VMware Identity Manager. Si su sitio de VMware Identity Manageraccede a varios dominios DNS, configure los dominios como location1.example.com;location2.example.com; location3.example.com. El valor del subdominio es en este caso ejemplo.com,en minúsculas. Para configurar un subdominio en su entorno, consulte al equipo de su servicio deasistencia.

Utilizar certificados del servidor KDCAl inicializar KDC, se generan un certificado del servidor y un certificado raíz autofirmado. El certificadose utiliza para emitir el certificado del servidor KDC. Este certificado raíz se incluye en el perfil deldispositivo para que este pueda confiar en KDC.

Para generar el certificado KDC manualmente, utilice un certificado raíz o intermedio de la empresa.Para obtener más información sobre esta función, contacte con el equipo de su servicio de asistencia.

Descargue el certificado raíz del servidor KDC de la consola de administración deVMware Identity Manager para utilizarlo en la configuración de Workspace ONE UEM del perfil deadministración del dispositivo iOS.


n Inicializar el centro de distribución de claves en el dispositivo

n Crear entradas de DNS públicas para KDC con Kerberos integrado

Inicializar el centro de distribución de claves en eldispositivoAntes de poder utilizar el método de autenticación SSO móvil para iOS, se debe inicializar el centro dedistribución de claves (KDC) en el dispositivo VMware Identity Manager.

Para iniciar KDC, se debe asignar el nombre de host de Identity Manager a los territorios de Kerberos. Elnombre de dominio se introduce en mayúsculas. Si se están configurando varios territorios de Kerberos,para ayudar a identificar el territorio, utilice nombres descriptivos que acaben con el nombre de dominiode Identity Manager. Por ejemplo, VENTAS.MI-IDENTITYMANAGER.EJEMPLO.COM. Si se configuransubdominios, sus nombres se deben escribir en minúsculas.

Requisitos previos

VMware Identity Manager está instalado y configurado.

El nombre de territorio está identificado. Consulte Capítulo 6Utilizar el KDC integrado.

Procedimiento

1 Acceda mediante SSH al dispositivo VMware Identity Manager como usuario root.


VMware, Inc. 93

2 Inicialice KDC. Escriba /etc/init.d/vmware-kdc init --realm {REALM.COM} --subdomain{sva-name.subdomain}.

Por ejemplo, /etc/init.d/vmware-kdc init --realm MY-IDM.EXAMPLE.COM --subdomain my-idm.example.com

Si utiliza un equilibrador de carga con varios dispositivos Identity Manager, utilice el nombre delequilibrador de carga en ambos casos.

3 Reinicie el servicio VMware Identity Manager. Escriba service horizon-workspace restart.

4 Inicie el servicio KDC. Escriba service vmware-kdc restart.

Pasos siguientes

Cree las entradas de DNS públicas. Se deben aprovisionar los registros de DNS para permitir que losclientes encuentren el KDC. Consulte Crear entradas de DNS públicas para KDC con Kerberosintegrado.

Crear entradas de DNS públicas para KDC con KerberosintegradoTras inicializar KDC en VMware Identity Manager, debe crear registros de DNS públicos para permitir alos clientes de Kerberos buscar el servicio KDC cuando la función de autenticación de Kerberosintegrado esté habilitada.

El nombre de territorio de KDC se utiliza como parte del nombre de DNS para las entradas del dispositivode VMware Identity Manager que se utilizan para descubrir el servicio KDC. Se necesitan un registroSRV de DNS para cada sitio de VMware Identity Manager y dos entradas de direcciones.

Nota El valor de la entrada AAAA es una dirección IPv6 que codifica una dirección IPv4. Si el KDC noes direccionable a través de IPv6 y se utiliza una dirección IPv4, es posible que se deba especificar laentrada de AAAA en notación IPv6 estricta igual que ::ffff:175c:e147 en el servidor DNS. Puedeutilizar una herramienta de conversión de IPv4 a IPv6 como la que hay disponible en Neustar.UltraTools,para convertir la notación de la dirección IPv4 a IPv6.


VMware, Inc. 94

Ejemplo: Entradas de registro de DNS para KDCEn este registro de DNS de ejemplo, el territorio es EXAMPLE.COM; el nombre de dominio plenamentecualificado de VMware Identity Manager es idm.example.com y la dirección IP de VMware IdentityManager 1.2.3.4.

idm.example.com. 1800 IN AAAA ::ffff:1.2.3.4

idm.example.com. 1800 IN A 1.2.3.4

_kerberos._tcp.EXAMPLE.COM IN SRV 10 0 88 idm.example.com.

_kerberos._udp.EXAMPLE.COM IN SRV 10 0 88 idm.example.com.


VMware, Inc. 95

Supervisar VMware IdentityManager 7La supervisión de VMware Identity Manager es importante para garantizar que la solución WorkspaceONE funcione correctamente.

Puede utilizar herramientas de terceros, como Nagios, Splunk, Symantec Altiris, Spotlight, Ignite oMontastic. Consulte al departamento de TI de su empresa para obtener recomendaciones específicassobre herramientas de supervisión si no tiene aún una solución instalada.

Este documento ofrece recomendaciones de capacidad de carga de hardware genérico e informaciónsobre los archivos de registros y extremos de URL. No cubre explícitamente cómo configurar unasolución de supervisión.


n Recomendaciones de supervisión de la capacidad de carga de hardware

n Extremos de URL de VMware Identity Manager para la supervisión

n Registro del sistema

Recomendaciones de supervisión de la capacidad decarga de hardwareUtilice estos estándares de supervisión para garantizar el estado del servidor.

Métricas de captura

Hardware Supervisa

CPU Uso

Memoria Uso

Disco duro Espacio libre

Red Uso

Alertas y umbralesVMware recomienda analizar cada caso de uso individual para determinar los umbrales correctos paraentornos individuales.

VMware, Inc. 96

Hardware Alertas, ejemplos, umbrales

CPU Ejemplos: ejemplos de 5 minutos

Umbral: 1 hora más del 90 %, 95 durante 1 hora

Alertas: 90 % de carga es una advertencia, 95 % es crítico

Memoria Ejemplos: ejemplos de 5 minutos


Alertas: 90 % utilizado es una advertencia, 95 % de uso escrítico

Disco duro Ejemplos: ejemplos de 5 minutos


Alertas: 90 % utilizado es una advertencia, 95 % de uso escrítico

Red Ejemplos: ejemplos de 5 minutos


Alertas: 90 % de carga es una advertencia, 95 % es crítico

Estrategias para la capturan Dispositivo virtual Linux de VMware Identity Manager: en un dispositivo virtual, la infraestructura

virtual subyacente captura las métricas a través de herramientas como vSphere o vRealizeOperations.

n VMware Identity Manager en Windows: Instale un agente de supervisión que sea compatible con losservidores de Windows y pueda capturar estas métricas. Además, para los servidores virtuales, sepueden utilizar herramientas nativas para que vSphere capture las métricas relevantes.

Extremos de URL de VMware Identity Manager para lasupervisiónSupervise los extremos de URL indicados para diversos componentes de VMware Identity Manager a finde garantizar un entorno funcional. Algunos extremos también pueden utilizarse para que losequilibradores de carga se aseguren de que el servicio está activo para el tráfico.

Comprobaciones de estado para los equilibradores de carga

Componente Comprobación de estado Rendimiento previsto Notas

Servicio de VMware IdentityManager

/SAAS/API/1.0/REST/syste

m/health/heartbeat

Cadena: Aceptar

Http: 200

Frecuencia de cada 30segundos.

SSO móvil Android -Certproxy:

:5262/system/health

Http: 200 Frecuencia de cada 30segundos.

SSO móvil iOS - KDC:

TCP half-open to port 88

Conexión Frecuencia de cada 30segundos.


VMware, Inc. 97

Componente Comprobación de estado Rendimiento previsto Notas

VMware Identity ManagerConnector

/hc/API/1.0/REST/syste

m/health/allOk

Cadena: true

Http: 200


Integration Broker /IB/API/RestServiceImpl.

svc/ibhealthcheck

Cadena: All Ok

Http: 200


Integración con XenApp 7.x:

/IB/API/RestServiceImpl.

svc/hznxenapp/admin/xenf

arminfo?

computerName=&xenappvers

ion=Version7x

Cadena: ‘SiteName’

Http: 200

Frecuencia cada 5 minutos

Integración con XenApp 6.x:

/IB/API/RestServiceImpl.

svc/hznxenapp/admin/xenf

arminfo?

computerName=&xenappvers

ion=Version65orLater

Cadena: 'FarmName'

Http: 200

Frecuencia cada 5 minutos

Las comprobaciones de estado de los equilibradores de carga devuelven valores simples para unanálisis sencillo realizado por el equipo de red.

Comprobaciones de estado adicionales para supervisiónLas comprobaciones de estado que se enumeran aquí pueden ser utilizadas por soluciones desupervisión que tienen la capacidad de analizar los datos y crear paneles de control. Establezca lafrecuencia cada 5 minutos.

Estado y supervisión del servicio de VMware Identity Manager

Llamada de URL: /SAAS/jersey/manager/api/system/health

o

/SAAS/API/1.0/REST/system/health

Datos de salida brutos:

{

"AnalyticsUrl":"unknown",

"ElasticsearchServiceOk":"true",

"EhCacheClusterPeers":"unknown",

"ElasticsearchMasterNode":"unknown",

"ElasticsearchIndicesCount":"unknown",

"ElasticsearchDocsCount":"unknown",

"AuditPollInterval":"0",

"AnalyticsConnectionOk":"true",

"EncryptionServiceVerified":"unknown",

"FederationBrokerStatus":"unknown",

"ServiceReadOnlyMode":"false",

"ElasticsearchUnassignedShards":"unknown",

"AuditWorkerThreadAlive":"true",


VMware, Inc. 98

"BuildVersion":"3.3.0.0 Build xxxxxxx",

"AuditQueueSize":"0",

"DatabaseStatus":"unknown",

"HostName":"unknown",

"ElasticsearchNodesCount":"unknown",

"EncryptionStatus":"unknown",

"FederationBrokerOk":"true",

"EncryptionConnectionOk":"true",

"EncryptionServiceImpl":"unknown",

"ClusterId":"22f6e089-45df-41ab-9c8a-77f3e4589230",

"EhCacheClusterDiagnostics":"unknown",

"ElasticsearchNodesList":"unknown",

"DatabaseConnectionOk":"true",

"ElasticsearchHealth":"unknown",

"StatusDate":"2018-08-06 19:14:40 UTC",

"ClockSyncOk":"true",

"MaintenanceMode":"false",

"MessagingConnectionOk":"true",

"fipsModeEnabled":"true",

"ServiceVersion":"3.3.0",

"AuditQueueSizeThreshold":"null",

"IpAddress":"unknown",

"AuditDisabled":"false",

"AllOk":"true"

}

"AllOk" "true", "false" Comprobación de estado deconsolidación para supervisar el estadogeneral de los servicios de VMwareIdentity Manager

"MessagingConnectionOk" "true", "false" Verifica que todos los emisores y losconsumidores de mensajes se conectena RabbitMQ

"DatabaseConnectionOk" "true", "false" Comprueba la conexión con la base dedatos

"EncryptionConnectionOk" "true", "false" Comprueba que esté bien la conexióncon el servicio de cifrado y el almacénde claves principal esté correcto

"AnalyticsConnectionOk" "true", "false" Comprueba la conexión con el serviciode análisis

"FederationBrokerOk" "true", "false" Comprueba los adaptadores deautenticación integrados para garantizarque sus subsistemas estén bien

Nota La etiqueta "desconocido" en el resultado indica que la información está restringida. De formapredeterminada, la información confidencial, como direcciones IP y nombres de host, está oculta. Paramostrar esta información, consulte Mostrar información adicional en la API de comprobación de estado.

Llamada de URL: /catalog-portal/services/health


VMware, Inc. 99

Esta comprobación de estado es específica de la parte de la interfaz de usuario de VMware IdentityManager


{

"status": "UP",

"uiService": {

"status": "UP"

},

"apiService": {

"status": "UP"

},

"eucCacheEngine": {

"status": "UP"

},

"cacheEngineClient": {

"status": "UP"

},

"persistenceEngine": {

"status": "UP",

"database": "Microsoft SQL Server",

"hello": 1

},

"tenantPersistenceEngine": {

"status": "UP",

"database": "Microsoft SQL Server",

"hello": 1

},

"diskSpace": {

"status": "UP",

"total": 8460120064,

"free": 4898279424,

"threshold": 10485760

}

}

"status" "UP", "DOWN" Comprobación de estado deconsolidación para supervisar el estadogeneral de la interfaz de usuario (IU) deVMware Identity Manager

"uiServer.status" "UP", "DOWN" UP si se está ejecutando el servicio deinterfaz de usuario principal

"apiService.status" "UP", "DOWN" UP si se está ejecutando el servicio deAPI de la interfaz de usuario principal

"eucCacheEngine.status" "UP", "DOWN" UP si se ejecuta el motor de clústerHazelcast

"cacheEngineClient.status" "UP", "DOWN" UP si se está ejecutando el cliente deHazelcast para la interfaz de usuario

"persistenceEngine.status" "UP", "DOWN" UP si se está ejecutando la base dedatos (SQL) principal


VMware, Inc. 100

"tenantPersistenceEngine.status" "UP", "DOWN" UP si se está ejecutando la base dedatos (SQL) principal

"diskSpace.status" "UP", "DOWN" UP si el espacio de disco libre es mayorque el umbral configurado, 10 MB

"diskSpace.free" Bytes Espacio libre en bytes en la partición enla que se instala la UI de VMwareIdentity Manager

Supervisión y estado del conector de VMware Identity Manager

Llamada de URL: /hc/API/1.0/REST/system/health


{

"HorizonDaaSSyncConfigurationStatus": "",

"AppManagerServiceOk": "true",

"DomainJoinEnabled": "false",

"XenAppEnabled": "true",

"ViewSyncConfigurationStatus": "",

"ThinAppServiceOk": "true",

"ThinAppSyncConfigurationStatus": "unknown",

"Activated": "true",

"XenAppServiceOk": "false",

"DirectoryServiceStatus": "Connection test successful",

"BuildVersion": "2017.1.1.0 Build 5077496",

"ThinAppServiceStatus": "unknown",

"XenAppServiceStatus": "A problem was encountered Sync Integration Broker",

"HostName": "hostname.company.local",

"NumberOfWarnAlerts": "0",

"JoinedDomain": "true",

"XenAppSyncConfigurationStatus": "Sync configured (manually)",

"DirectorySyncConfigurationStatus": "Sync configured (manually)",

"NumberOfErrorAlerts": "0",

"DirectoryServiceOk": "true",

"HorizonDaaSTenantOk": "true",

"ThinAppDirectoryPath": "",

"StatusDate": "2017-06-27 10:52:59 EDT",

"ViewSyncEnabled": "false",

"ViewServiceOk": "true",

"HorizonDaaSEnabled": "false",

"AppManagerUrl": "https://workspaceurl.com/SAAS/t/qwe12312qw/",

"HorizonDaaSServiceStatus": "unknown",

"DirectoryConnection": "ldap:///ldapcall",

"ServiceVersion": "VMware-C2-2017.1.1.0 Build 5077496",

"IpAddress": "169.118.86.105",

"DomainJoinStatus": "Domain: customerdomainname",

"AllOk": "false",

"ViewServiceStatus": "unknown",

"ThinAppEnabled": "false",

"XenAppSyncSsoBroker": "integrationbrokersso:443 / integrationbrokersync:443"

}


VMware, Inc. 101

"AllOk" "true", "false" Comprobación de estado deconsolidación para supervisar el estadogeneral de los servicios de conector deVMware Identity Manager.

"ViewServiceOk" "true", "false" True si la conexión con el agente deView se realiza correctamente. Esteatributo será True si la sincronización deView está deshabilitada.

"HorizonDaaSTenantOk" "true", "false" True si la conexión con Horizon Cloud serealiza correctamente. Este atributo seráTrue si la sincronización de HorizonCloud está deshabilitada.

"DirectoryServiceOk" "true", "false" True si la conexión con el directorio serealiza correctamente. Este atributo seráTrue si la sincronización del directorioestá deshabilitada.

"XenAppServiceOk" "true", "false" True si es correcta la conexión con elservidor de Citrix. Este atributo será Truesi el servidor de Citrix está deshabilitado.

"ThinAppServiceOk" "true", "false" True si la conexión con el servicio de lasaplicaciones que aparecen en el paquetede ThinApp es correcta. Este atributoserá True si las aplicaciones enpaquetes están deshabilitadas.

"AppManagerServiceOk" "true", "false" True si se puede autenticarcorrectamente en AppManager.

"NumberOfWarnAlerts" 0 - 1000 Número de alertas de advertencia quese han activado en este conector. Estosestán disponibles en el Log desincronización del conector como"Notas". Pueden indicar que un recursose sincronizó e incluye un usuario ogrupo que no está en VMware IdentityManager. Según la configuración, estopuede ser por diseño. El contador sigueaumentando en cada sincronizaciónhasta que los alertas de error yadvertencia equivalgan a 1000, y unadministrador borre los alertas.

"NumberOfErrorAlerts" 0 - 1000 Número de alertas de error que se hanactivado en este conector. Estos estándisponibles en el Log de sincronizacióndel conector como "Error". Puedenindicar que no pudo realizar unasincronización. El contador sigueaumentando en cada sincronizaciónhasta que los alertas de error yadvertencia equivalgan a 1000, y unadministrador borre los alertas.


VMware, Inc. 102

Supervisión y estado de VMware Identity Manager Integration Broker

Llamada de URL: /IB/API/RestServiceImpl.svc/ibhealthcheck


“All Ok”

Esta comprobación de estado verifica que todo el software de Integration Broker respondacorrectamente. Devuelve una respuesta 200 con la cadena "All Ok".

Supervisión y estado de VMware Identity Manager Integration Broker con Citrix XenApp 7.x

Llamada deURL: /IB/API/RestServiceImpl.svc/hznxenapp/Admin/xenfarminfo?computername=&xenappversion=Version7x

Esto trae información de una llamada API a Citrix. La supervisión puede garantizar que los valores seancoherentes.


[{

\ “ConfigurationLoggingServiceGroupUid \ “: \ “5e2a5602 - 45a8 - 4b56 - 92e6 - 9fae5a3ff459 \ “,

\ “ConfigurationServiceGroupUid \ “: \ “620d7c6e - b7c1 - 4ee7 - b192 - d00764f477e7 \

“, \ “DelegatedAdministrationServiceGroupUid \ “: \ “0a59914d - 4b6e - 4cca - bbaa -

a095067092e3 \ “,

\ “LicenseServerName \ “: \ “xd.hs.trcint.com \ “,

\ “LicenseServerPort \ “: \ “27000 \ “,

\ “LicenseServerUri \ “: \ “https: \ / \ / xd.hs.domain.com: 8083 \ / \ “,

\ “LicensingBurnIn \ “: \ “2014.0815 \ “,

\ “LicensingBurnInDate \ “: \ “8 \ / 14 \ / 2014 5: 00: 00 PM \ “,

\ “LicensingModel \ “: \ “UserDevice \ “,

\ “MetadataMap \ “: \ “System.Collections.Generic.Dictionary `2[System.String,System.String]\“,

\“PrimaryZoneName\“:\“\”,

\“PrimaryZoneUid\“:\“00000000-0000-0000-0000-000000000000\“,

\“ProductCode\“:\“XDT\“,

\“ProductEdition\“:\“PLT\“,

\“ProductVersion\“:\“7.6\“,

\“SiteGuid\“:\“0c074098-02d2-47cf-aa87-7e3asdsad7c\“,

\“SiteName\“:\“customer\“

}]

Excepción de datos de salida brutos:

{“ExceptionType”:“System.Management.Automation.CmdletInvocationException”,“Message”:“An invalid URL

was given for the service. The value given was ‘mit-xen751.hs.trcint.com’.\u000d\u000a The reason

given was: Failed to connect to back-end server ‘mit-xen751.hs.trcint.com’ on port 80 using binding

WSHttp. The server may be off-line or may not be running the appropriate

service\u000d\u000a\u0009There was no endpoint listening at http:\/\/mit-

xen751.hs.trcint.com\/Citrix\/ConfigurationContract\/v2 that could accept the message. This is often

caused by an incorrect address or SOAP action. See InnerException, if present, for more

details.\u000d\u000a\u0009The remote name could not be resolved: ‘mit-xen751.hs.trcint.com’.

“,”StackTrace”:” at


VMware, Inc. 103

System.Management.Automation.Internal.PipelineProcessor.SynchronousExecuteEnumerate(Object input,

Hashtable errorResults, Boolean enumerate)\u000d\u000a at

System.Management.Automation.Internal.PipelineProcessor.SynchronousExecute(Array input, Hashtable

errorResults)\u000d\u000a at

System.Management.Automation.Runspaces.LocalPipeline.InvokeHelper()\u000d\u000a at

System.Management.Automation.Runspaces.LocalPipeline.InvokeThreadProc()“}

Supervisión y estado de VMware Identity Manager Integration Broker con Citrix XenApp 6.x

Llamada deURL: /IB/API/RestServiceImpl.svc/hznxenapp/Admin/xenfarminfo?computername=&xenappversion=Version65orLater

Esto trae información de una llamada API a Citrix. La supervisión puede garantizar que los valores seancoherentes.


“[{

\ “FarmName \ “: \ “NewFarm \ “,

\ “ServerVersion \ “: \ “6.5.0 \ “,

\ “AdministratorType \ “: \ “Full \ “,

\ “SessionCount \ “: \ “0 \ “,

\ “MachineName \ “: \ “XENAPPTEST \ “

}]”

Mostrar información adicional en la API de comprobación deestadoPuede controlar si aparece información confidencial, como direcciones IP y nombres de host, en elresultado de las API de comprobación de estadohttps://<VIDM_FQDN>/SAAS/jersey/manager/api/system/health yhttps://<VIDM_FQDN>/SAAS/API/1.0/REST/system/health. De forma predeterminada, el resultadode la API no incluye esta información.

La propiedad service.health.check.basic en el archivo runtime-config.properties es la quecontrola este ajuste. Cuando la propiedad se establece en true, solo se muestra información básica y lainformación confidencial se oculta. La etiqueta "desconocido" en el resultado indica que la informaciónestá restringida. Por ejemplo:

AnalyticsUrl: "unknown"

ElasticsearchServiceOk: "true"

EhCacheClusterPeers: "unknown"

ElasticsearchMasterNode: "unknown"

ElasticsearchIndicesCount "unknown"

ElasticsearchDocsCount: "unknown"

AuditPollInterval: "1000"

AnalyticsConnectionOk: "true"

...


VMware, Inc. 104

IpAddress: "unknown"

AuditDisabled: "false"

AllOk: "true"

Cuando la propiedad se establece en false, se muestra toda la información disponible. Por ejemplo:

AnalyticsUrl: "http://198.51.100.0"

ElasticsearchServiceOk: "true"

EhCacheClusterPeers: ""

ElasticsearchMasterNode: "198.51.100.1"

ElasticsearchIndicesCount: "13"

ElasticsearchDocsCount: "11173"

AuditPollInterval: "1000"

AnalyticsConnectionOk: "true"

...

IpAddress: "198.51.100.2"

AuditDisabled: "false"

AllOk: "true"

La propiedad se establece en true de manera predeterminada.

Nota Si configuró un clúster de VMware Identity Manager y le cambia la propiedad, asegúrese derealizar el cambio en todos los nodos del clúster.

Procedimiento

1 Inicie sesión en el dispositivo virtual de VMware Identity Manager como usuario raíz.

2 Edite el archivo /usr/local/horizon/conf/runtime-config.properties y establezca el valorde la propiedad service.health.check.basic en true o false.


verdadero Muestra solo información básica. La información confidencial se oculta y, en sulugar, aparece la etiqueta Desconocido.

falso Muestra toda la información disponible

3 Guarde el archivo.

4 Reinicie el servicio.


5 Si ha configurado un clúster de VMware Identity Manager, realice los cambios en cada nodo delclúster.


VMware, Inc. 105

Registro del sistemaEl inicio de sesión desde los componentes del servicio de VMware Identity Manager y el conector deVMware Identity Manager está disponible mediante syslog. El componente Integration Broker iniciasesión localmente. Los registros pueden recopilarse y revisarse en el servidor o a través de un serviciode registro central, como vRealize Log Insight o Splunk.

Registro del conector y el servicio de VMware Identity ManagerUbicaciones de registro

La mayoría de los registros del servicio y el conector se encuentran en la siguiente ubicación:

n Dispositivo virtual Linux de VMware Identity Manager: /opt/vmware/horizon/workspace/logs/

n VMware Identity Manager en Windows: \<Install_Dir>\VMware IdentityManager\opt\vmware\horizon\workspace\logs

Registro Propósito

greenbox_web.log Registro que contiene todas las interacciones de la interfaz deusuario para web y móvil

horizon.log Registro del servicio de VMware Identity Manager que incluyeadaptadores de identidad, RabbitMQ, Elasticsearch, Ehcachey otros subsistemas

connector.log Registro del conector de VMware Identity Manager para todoslos métodos de autenticación y las integraciones con Horizon yCitrix

cert-proxy.log Componente CertProxy del servicio de VMware IdentityManager para el SSO móvil Android

configurator.log Solicitudes que recibe el configurador del cliente REST y de lainterfaz web

/opt/vmware/var/log/update.log Un registro de los mensajes de salida relacionados con lassolicitudes de actualización durante una actualización deVMware Identity Manager.

/opt/vmware/var/log/vami/ Los archivos del directorio /opt/vmware/var/log/vami sonútiles para resolver problemas. Encontrará estos archivos entodas las máquinas virtuales después de una actualización.

catalina.log Registros de Apache Tomcat de los mensajes que no seregistran en otros archivos de registro

/var/log/messages Registros de iOS KDC para el SSO móvil

Configuración del servidor de syslog

Para configurar un servidor syslog, consulte Configurar un servidor syslog.


VMware, Inc. 106

Registro de Integration BrokerLos registros de Integration Broker se encuentran en la siguiente ubicación:

C:\ProgramData\VMware\HorizonIntegrationBroker

Los registros se capturan por día y contienen todas las llamadas de API de REST realizadas porIntegration Broker o a este.


VMware, Inc. 107

Configurar límites de frecuencia 8Puede establecer los límites de frecuencia en el servicio de VMware Identity Manager y el conector deVMware Identity Manager.

Este capítulo incluye los siguientes temas:n Configurar límites de frecuencia en el servicio de VMware Identity Manager

n Configurar límites de frecuencia en el conector de VMware Identity Manager

Configurar límites de frecuencia en el servicio de VMwareIdentity ManagerPuede establecer límites en la cantidad de solicitudes de inicio de sesión, inicio y WS-Fed que puedenrealizarse por minuto en el servicio de VMware Identity Manager. Cuando se alcanza el límite, sedeniegan las solicitudes posteriores. La configuración de límites de frecuencia permite evitar lasobrecarga del sistema.

Por ejemplo, si establece el límite de frecuencia de las solicitudes de inicio de sesión en 100, se aceptanlas primeras 100 solicitudes por minuto, pero se deniegan las solicitudes 101 y posteriores.

Para un clúster de VMware Identity Manager, el límite de frecuencia se aplica a cada nodo del clúster.Por ejemplo, si establece el límite de frecuencia de las solicitudes de inicio de sesión en 100 para unclúster que tiene un NodoA, NodoB y NodoC, el NodoA puede procesar 100 de dichas solicitudes porminuto, el NodoB puede procesar otras 100 solicitudes por minuto y el NodoC, otras 100 por minuto. Nose pueden establecer límites de inicio de sesión por separado en cada nodo.

Cuando se alcanza el límite y se deniegan solicitudes, los usuarios finales verán el siguiente mensaje deerror:

VMware, Inc. 108

No se establecen límites de frecuencia de forma predeterminada.

Los límites de frecuencia se establecen mediante una REST API. Utilice un cliente REST como Postmanpara realizar las llamadas al servicio de VMware Identity Manager. Los cambios se aplicarán en unosminutos.

Configurar límites de frecuenciaUtilice la API para establecer límites de frecuencia para el servicio de VMware Identity Manager.

Endpoint: https://nombre dehost/SAAS/jersey/manager/api/system/tuning/resiliency/tenant/orgResiliencyConfigurat

ion?tenantId=ID de arrendatario

Método: PUT

Descripción: establece el número máximo de solicitudes de inicio de sesión, inicio y WS-Fed permitidaspor minuto por el servicio de VMware Identity Manager.

Encabezados:

Content-type application/vnd.vmware.horizon.manager.system.tuning.resiliency.config+json;charset=UTF-8

Aceptar application/vnd.vmware.horizon.manager.system.tuning.resiliency.config+json

Autorización HZN cookie_value

Para obtener el cookie_value, inicie sesión en el servicio de VMware Identity Manager como el administradorde arrendatarios, es decir, el usuario administrador que se crea cuando se instala VMware Identity Manager porprimera vez y obtenga el valor de la cookie de HZN desde la memoria caché de cookies del navegador.


VMware, Inc. 109

Parámetros de la ruta de acceso: hostname El nombre de dominio completo del servicio o del equilibrador de carga de VMware Identity Manager.

tenantId El ID de arrendatario del servicio de VMware Identity Manager. El ID de arrendatario es el nombre de arrendatarioque aparece en la esquina superior derecha de la consola de VMware Identity Manager.

Cuerpo de la solicitud:

{

"config": {

"rateLimitingDisabled": false,

"rateLimits": {

"login": {

"requestsPerMinute": n

},

"launch": {


},

"ws-fed": {


}

}

}

}

Parámetros del cuerpo de la solicitud

requestsPerMinute de iniciode sesión

Especifique el número máximo de solicitudes de inicio de sesión permitidas por minuto.

Nota Tenga en cuenta que es posible que se necesiten varias solicitudes API para que secomplete una solicitud de inicio de sesión y cada llamada de API cuenta en los límites defrecuencia. Por ejemplo, para una autenticación de contraseña se requieren dos llamadas de API,una para representar la página de inicio de sesión y otra para enviar las credenciales.

requestsPerMinute de inicio Especifique el número máximo de solicitudes de inicio permitidas por minuto.

requestsPerMinute de ws-fed

Especifique el número máximo de solicitudes de WS-Fed permitidas por minuto. Los límites defrecuencia de WS-Fed son solo para las configuraciones de inicio de sesión activa.

Visualización de límites de frecuenciaUtilice la API para ver los límites de frecuencia que se establecen para el servicio de VMware IdentityManager.

Endpoint: https://nombre dehost/SAAS/jersey/manager/api/system/tuning/resiliency/tenant/orgResiliencyConfigurat

ion?tenantId=ID de arrendatario

Método: GET

Descripción: recupera los límites de frecuencia configurados actualmente para las solicitudes de iniciode sesión, inicio y WS-Fed para el servicio de VMware Identity Manager.

Encabezados:


VMware, Inc. 110


Para obtener el cookie_value, inicie sesión en el servicio de VMware Identity Manager como el administrador dearrendatarios, es decir, el usuario administrador que se crea cuando se instala VMware Identity Manager porprimera vez y obtenga el valor de la cookie de HZN desde la memoria caché de cookies del navegador.



Resultados de ejemplo:

{

"config": {


"rateLimits": {

"login": {

"requestsPerMinute": 100

},

"launch": {


},

"ws-fed": {


}

}

}

}

requestsPerMinute de inicio desesión

El número máximo de solicitudes de inicio de sesión permitidas por minuto.

requestsPerMinute de inicio El número máximo de solicitudes de inicio permitidas por minuto.

requestsPerMinute de ws-fed El número máximo de solicitudes de WS-Fed permitidas por minuto. Los límites defrecuencia de WS-Fed son solo para las configuraciones de inicio de sesión activa.

Configurar límites de frecuencia en el conector deVMware Identity ManagerAl igual que puede establecer límites de frecuencia en el servicio de VMware Identity Manager, puedehacer lo mismo en el conector de VMware Identity Manager.

En el caso del conector, puede establecer un límite en el número de solicitudes de inicio de sesiónpermitidas por minuto. Cuando se alcanza el límite, se deniegan las solicitudes posteriores. Laconfiguración de límites de frecuencia permite evitar la sobrecarga del sistema.

Por ejemplo, si establece el límite de frecuencia de las solicitudes de inicio de sesión en 100, se aceptanlas primeras 100 solicitudes por minuto, pero se deniegan las solicitudes 101 y posteriores.


VMware, Inc. 111

Para un clúster del conector de VMware Identity Manager, el límite se aplica a cada nodo del clúster. Porejemplo, si establece el límite de frecuencia de las solicitudes de inicio de sesión en 100 para un clústerque tiene un NodoA, NodoB y NodoC, el NodoA puede procesar 100 de dichas solicitudes por minuto, elNodoB puede procesar otras 100 solicitudes por minuto y el NodoC, otras 100 por minuto. No se puedenestablecer límites de inicio de sesión por separado en cada nodo.

Cuando se alcance el límite y se denieguen las solicitudes, los usuarios finales verán el siguientemensaje de error:

No se establecen límites de frecuencia de forma predeterminada.

Los límites de frecuencia se establecen mediante una REST API. Utilice un cliente REST como Postmanpara realizar las llamadas al servicio de VMware Identity Manager.

Los cambios se aplican después de aproximadamente una hora. Si desea que los cambios se apliqueninmediatamente, reinicie el conector.

Para reiniciar el dispositivo virtual del conector basado en Linux, inicie sesión en el dispositivo virtual yejecute el siguiente comando:


Para reiniciar el conector de Windows, ejecute el siguiente script:

install_dir\usr\local\horizon\scripts\horizonService.bat restart

Configurar límites de frecuenciaUtilice la API para establecer límites de frecuencia para el conector de VMware Identity Manager.


VMware, Inc. 112

Endpoint: https://nombre dehost/SAAS/jersey/manager/api/system/tuning/resiliency/tenant/orgResiliencyConnectorC

onfiguration?tenantId=ID de arrendatario

Método: PUT

Descripción: establece el número máximo de solicitudes de inicio de sesión permitidas por minuto por elconector de VMware Identity Manager.

Encabezados:

Content-type application/vnd.vmware.horizon.manager.system.tuning.resiliency.config+json;charset=UTF-8

Aceptar application/vnd.vmware.horizon.manager.system.tuning.resiliency.config+json


Para obtener el cookie_value, inicie sesión en el servicio de VMware Identity Manager como el administradorde arrendatarios, es decir, el usuario administrador que se crea cuando se instala VMware Identity Manager porprimera vez y obtenga el valor de la cookie de HZN desde la memoria caché de cookies del navegador.



Cuerpo de la solicitud:

{

"config": {


"rateLimits": {

"login": {


}

}

}

}

Parámetros del cuerpo de la solicitud

requestsPerMinute deinicio de sesión

Especifique el número máximo de solicitudes de inicio de sesión permitidas por minuto.

Nota Tenga en cuenta que es posible que se necesiten varias solicitudes API para que se completeuna solicitud de inicio de sesión y cada llamada de API cuenta en los límites de frecuencia. Porejemplo, para una autenticación de contraseña se requieren dos llamadas de API, una pararepresentar la página de inicio de sesión y otra para enviar las credenciales.

Visualización de límites de frecuenciaUtilice la API para ver los límites de frecuencia establecidos actualmente en el conector de VMwareIdentity Manager.


VMware, Inc. 113

Endpoint: https://nombre dehost/SAAS/jersey/manager/api/system/tuning/resiliency/tenant/orgResiliencyConnectorC

onfiguration?tenantId=ID de arrendatario

Método: GET

Descripción: recupera los límites de frecuencia configurados actualmente para las solicitudes de iniciode sesión para el conector de VMware Identity Manager.

Encabezados:


Para obtener el cookie_value, inicie sesión en el servicio de VMware Identity Manager como el administrador dearrendatarios, es decir, el usuario administrador que se crea cuando se instala VMware Identity Manager porprimera vez y obtenga el valor de la cookie de HZN desde la memoria caché de cookies del navegador.

Parámetros de la ruta de acceso: Nombre de host El nombre de dominio completo del servicio o del equilibrador de carga de VMware Identity Manager.

ID de arrendatario El ID de arrendatario del servicio de VMware Identity Manager. El ID de arrendatario es el nombre dearrendatario que aparece en la esquina superior derecha de la consola de VMware Identity Manager.

Resultados de ejemplo:

{

"config": {


"rateLimits": {

"login": {


}

}

}

}

requestsPerMinute de inicio de sesión El número máximo de solicitudes de inicio de sesión permitidas por minuto.


VMware, Inc. 114

Solucionar los problemas de lainstalación y la configuración 9Los temas sobre la solución de problemas describen soluciones a problemas potenciales que se puedeencontrar al instalar o al configurar VMware Identity Manager.

Este capítulo incluye los siguientes temas:n Los usuarios no pueden iniciar aplicaciones o se aplica un método de autenticación incorrecto en

entornos de carga equilibrada

n Un grupo no muestra ningún miembro después de la sincronización de directorios

Los usuarios no pueden iniciar aplicaciones o se aplica unmétodo de autenticación incorrecto en entornos de cargaequilibradaLos usuarios no pueden iniciar aplicaciones desde el portal Workspace ONE o se aplica un método deautenticación incorrecto en un entorno de carga equilibrada.

Problema

En un entorno de carga equilibrada, pueden producirse problemas como los siguientes:n Los usuarios no pueden iniciar aplicaciones desde el portal de Workspace ONE después de iniciar

sesión.

n Se presenta un método incorrecto para la autenticación en la actualización.

Causa

Estos problemas pueden suceder si las directivas de acceso no se determinan correctamente. Ladirección IP cliente determina qué directiva de acceso se aplica durante el inicio de sesión y durante elinicio de la aplicación. En un entorno de carga equilibrada, VMware Identity Manager usa el encabezadoX-Forwarded-For para determinar la dirección IP cliente. En algunos casos se puede producir un error.

VMware, Inc. 115

Solución

Establezca la propiedad service.numberOfLoadBalancers en el archivo runtime-config.properties de cada nodo del clúster de VMware Identity Manager. La propiedad especifica elnúmero de equilibradores de carga frente a las instancias de VMware Identity Manager.

Nota La configuración de esta propiedad es opcional.

1 Inicie sesión en el dispositivo de VMware Identity Manager.

2 Edite el archivo /usr/local/horizon/conf/runtime-config.properties y añada la siguientepropiedad:

service.numberOfLoadBalancers numberOfLBs

donde numberOfLBs es el número de equilibradores de carga frente a las instancias deVMware Identity Manager.

3 Reinicie el dispositivo del área de trabajo.


Un grupo no muestra ningún miembro después de lasincronización de directoriosLa sincronización de directorios se completa correctamente, pero no aparece ningún usuario en losgrupos sincronizados.

Problema

Después de sincronizar un directorio, de forma manual o automática según la programación de lasincronización, el proceso se completa correctamente pero no aparece ningún usuario en los grupossincronizados.

Causa

Este problema sucede cuando tiene dos o más nodos en un clúster y existe una diferencia de hora demás de 5 segundos entre los nodos.

Solución

1 Compruebe que no hay ninguna diferencia de hora entre nodos. Use el mismo servidor NTP entretodos los nodos en el clúster para sincronizar la hora.

2 Reinicie el servicio en todos los nodos.


3 (Opcional) En la consola de administración, elimine el grupo, vuelva a agregarlo en las opciones desincronización y vuelva a sincronizar el directorio.


VMware, Inc. 116

Documents

Instalar y VMware Identity Manager configurar para …...configurar el dispositivo virtual basado en Linux de VMware Identity Manager en las instalaciones. Cuando finaliza la instalación,