Einrichten eines Unternehmensverbunds mit dem VMware Cloud Services-Handbuch - VMware Cloud services
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Einrichten eines Unternehmensverbunds mit dem VMware Cloud Services-Handbuch VMware Cloud services
Einrichten eines Unternehmensverbunds mit dem VMware Cloud Services-Handbuch
Die aktuellste technische Dokumentation finden Sie auf der VMware-Website unter:
https://docs.vmware.com/de/
VMware, Inc. VMware Global, Inc.
3401 Hillview Ave. Zweigniederlassung Deutschland
Palo Alto, CA 94304 Willy-Brandt-Platz 2
www.vmware.com 81829 München
Germany
Tel.: +49 (0) 89 3706 17 000
Fax: +49 (0) 89 3706 17 333
www.vmware.com/de
©
Copyright 2021 VMware, Inc. Alle Rechte vorbehalten. Urheberrechts- und Markenhinweise.
VMware, Inc. 2Inhalt
1 Was ist ein Unternehmensverbund und wie funktioniert er? 4
Starten der Einrichtung des Self-Service-Verbunds 5
Verwalten der speziellen Verbundorganisation 6
2 Vor der Einrichtung der Self-Service-Verbunds 9
3 Unternehmensverbund – Häufig gestellte Fragen 11
4 Überblick über die Schritte im Self-Service-Verbund-Workflow 18
Schritt 1: Domänen überprüfen 21
Schritt 2: Workspace ONE Access Connector installieren 22
Schritt 3: Gruppen und Benutzer synchronisieren 26
Schritt 4: Identitätsanbieter konfigurieren 29
Schritt 5: Einrichtung abschließen 32
Schritt 6: VMware-ID-Konto verknüpfen 34
5 Behebung von Verbundfehlern 35
Inanspruchnahme des Kundendienstes 37
6 Ändern der Einrichtung des Unternehmensverbunds 39
Ändern synchronisierter Gruppen und Benutzer 40
Ändern der Verzeichniseinstellungen 43
Hinzufügen neuer Domänen für Unternehmensverbund 45
7 Identitäts-Governance und -Administration 47
Aktivieren erweiterter Identitäts- und Governance-Verwaltungsfunktionen für Verbunddomänen
47
VMware, Inc. 3Was ist ein
Unternehmensverbund und wie
funktioniert er?
1
Benutzer von VMware Cloud services mit einer Verbunddomäne verwenden ihre
Unternehmensanmeldedaten, um sich unternehmensübergreifend bei der Cloud Services Console
anzumelden. Das Einrichten eines Unternehmensverbunds für Ihre Unternehmensdomäne ist ein
Self-Service-Prozess, der mehrere Schritte, Benutzer und Rollen umfasst. Nach erfolgreichem
Abschluss der Einrichtung wird der Unternehmensverbund für alle Benutzer Ihrer
Unternehmensdomäne verfügbar und organisationsübergreifend auf alle Dienste angewendet.
Wenn der Unternehmensverbund für eine Unternehmensdomäne festgelegt ist, ändert sich die
Benutzeranmeldung bei VMware Cloud services. Wenn ein Benutzer aus der Verbunddomäne auf
einen Dienst zugreift und sich in der Cloud Services Console als Benutzer identifiziert, wird er zum
Anmeldebildschirm des Identitätsanbieters für sein Unternehmen umgeleitet.
Synchronisieren & Authentifizieren
A AD
Kunde
Workspace ONE Access
Lokaler Connector
HTTPS/443
Identitätsbroker
Browserumleitung zur Anmeldeseite
des Identitätsanbieters
1 2
Benutzer-ID HTTPS/443 console.cloud.vmware.com HTTPS/443
E-Mail/Benutzer@Domäne/UPN Workspace ONE Access-
Mandant für Kunden
Externer Identitätsanbieter
des Kunden
Benutzer Okta
SAML authentifiziert sich PingIdentity
3 Microsoft ADFS
HTTPS/443 OneLogin
Azure Active Directory
A Benutzer- und Gruppensynchronisierung in konfigurierten Intervallen
1 Benutzeridentifikation mit E-Mail, Benutzername@Domäne oder UPN
2 Benutzer wird zur Anmeldeseite des Identifizierungsanbieters umgeleitet
3 Benutzer authentifiziert sich mit Unternehmensanmeldedaten
Eine lokale Instanz von Workspace ONE Access Connector synchronisiert die kundendefinierten
Gruppen und Benutzer aus dem Active Directory-Verzeichnis des Kunden mit einer dedizierten
Instanz eines Workspace ONE Access-Dienstmandanten, der für den Kunden erstellt wurde. Der
Mandant fungiert als Identitätsbroker für den Identitätsanbieter des Kunden. Der Connector
verwendet eine ausgehende sichere Verbindung zum Mandanten. Benutzer authentifizieren sich
direkt beim Identitätsanbieter des Kunden. Nur synchronisierte Gruppen und Benutzer können
sich mit ihren Unternehmensanmeldedaten bei VMware Cloud services anmelden.
VMware, Inc. 4Einrichten eines Unternehmensverbunds mit dem VMware Cloud Services-Handbuch Was umfasst die Einrichtung eines Self-Service-Verbunds? Wenn ein Organisationsbesitzer den Self-Service-Verbund-Workflow für seine Unternehmensdomäne initiiert, indem er einen oder mehrere Unternehmensadministratoren einlädt, wird eine spezielle Verbundorganisation für die Einrichtung verfügbar. Alle am Self- Service-Verbundprozess Beteiligten erhalten eine E-Mail-Benachrichtigung mit einem Link für den Zugriff auf diese spezielle Verbundorganisation. Der Zweck dieser Organisation ist das Einrichten des Unternehmensverbunds für die Unternehmensdomäne und das Ändern der anfänglichen Einrichtung. Der Self-Service-Verbund-Workflow kann nicht in einem Arbeitsschritt abgeschlossen werden. Er umfasst mehrere Schritte, die als Workflow in der speziellen Verbundorganisation verfügbar sind. Dieses Kapitel enthält die folgenden Themen: n Starten der Einrichtung des Self-Service-Verbunds n Verwalten der speziellen Verbundorganisation Starten der Einrichtung des Self-Service-Verbunds Als Organisationsbesitzer einer Domäne ohne Verbund starten Sie die Einrichtung des Self- Service-Verbunds, indem Sie einen oder mehrere Unternehmensadministratoren angeben, die die Einrichtung abschließen. Der Workflow „Self-Service-Verbund“ kann einfach und unkompliziert gestartet werden. Öffnen Sie die Einstellungsseite Ihrer Organisation, indem Sie in der Menüleiste der Cloud Services Console auf Ihren Benutzernamen klicken und Organisation anzeigen auswählen. Öffnen Sie anschließend die Registerkarte Unternehmensverbund. VMware, Inc. 5
Einrichten eines Unternehmensverbunds mit dem VMware Cloud Services-Handbuch Nach dem Klicken auf Einrichten müssen Sie lediglich einen Unternehmensadministrator angeben, der zum Abschließen der Verbundeinrichtung Ihres Unternehmens eingeladen wird. Der von Ihnen angegebene Unternehmensadministrator erhält eine E-Mail mit einem Link. Nach dem Klicken auf den Link und der Anmeldung bei VMware Cloud Services erhält der Unternehmensadministrator Zugriff auf die angegebene Verbundorganisation, die den Workflow „Self-Service-Verbund“ enthält. Erfahren Sie mehr über Verwalten der speziellen Verbundorganisation. Hinweis Der Organisationsbesitzer, der den Workflow „Self-Service-Verbund“ gestartet hat, kann auf die angegebene Verbundorganisation zugreifen. Er kann aber erst auf den Workflow „Verbund“ zugreifen, wenn er sich selbst die Zugriffsrolle Unternehmensadministrator gewährt. Verwalten der speziellen Verbundorganisation Wenn ein Organisationsbesitzer die Einrichtung des Self-Service-Verbunds für seine Unternehmensdomäne initiiert, indem er einen oder mehrere Unternehmensadministratoren einlädt, wird die Verbundorganisation erstellt und steht dem Organisationsbesitzer, der den Verbund gestartet hat, und allen Unternehmensadministratoren zur Verfügung, die zum Abschließen der Einrichtung eingeladen wurden. VMware, Inc. 6
Einrichten eines Unternehmensverbunds mit dem VMware Cloud Services-Handbuch
Zweck dieser speziellen Verbundorganisation ist es, den Workflow zur Ersteinrichtung des
Verbunds für Ihre Unternehmensdomäne zur Verfügung zu stellen. Nach Abschluss der
Ersteinrichtung können Unternehmensadministratoren auf die Verbundorganisation zugreifen,
um die Verbundeinrichtung zu ändern.
Wichtig Löschen Sie die spezielle Verbundorganisation nicht und fügen Sie ihr keine Dienste
hinzu. Sie bietet einen begrenzten Funktionssatz in Bezug auf die Verbundeinrichtung für Ihre
Unternehmensdomänen. Nur Unternehmensadministratoren und Organisationsmitglieder, die für
die Verbundeinrichtung verantwortlich sind, sollten Zugriff auf die Verbundorganisation erhalten.
Anfordern von Zugriff auf die spezielle Verbundorganisation
Der Zugriff wird vom Organisationsbesitzer oder einem Unternehmensadministrator gewährt.
Hierbei handelt es sich um die Rollen, die für die Einrichtung eines Unternehmensverbunds für
Ihre Domäne verantwortlich sind.
Als Organisationsbesitzer einer Domäne, die derzeit einem Verbund angehört, können Sie sich an
den Organisationsbesitzer der Verbundorganisation wenden und eine Zugriffsrolle innerhalb der
Organisation anfordern. Gehen Sie wie folgt vor, um die Kontaktperson in Ihrem Unternehmen zu
ermitteln:
1 Klicken Sie im Menü der Cloud Services Console auf Ihren Benutzernamen und wählen Sie
Organisation anzeigen aus.
2 Klicken Sie auf der Seite Organisationseinstellungen auf die Registerkarte
Unternehmensverbund.
Auf der Seite Unternehmensverbund werden Statusinformationen für die Verbundeinrichtung
Ihrer Unternehmensdomäne angezeigt. Während der Bearbeitung können Sie die E-Mail des
Organisationsbesitzers in Ihrem Unternehmen anzeigen, der den Self-Service-Workflow initiiert
hat.
Zugreifen auf die spezielle Verbundorganisation
Wenn Sie bereits über die Zugriffsrolle „Organisationsbesitzer“ oder Unternehmensadministrator
in der Verbundorganisation verfügen, können Sie von Ihrer aktiven Organisation zur
Verbundorganisation wechseln, indem Sie in der Hauptmenüleiste neben Ihrem Benutzernamen
auf den nach unten weisenden Pfeil klicken. Alternativ können Sie zur Registerkarte Organisation
> Unternehmensverbund navigieren und auf die Schaltfläche Starten klicken.
Um die Verbundorganisation von anderen Organisationen in Ihrem Unternehmen zu
unterscheiden, weist der Anzeigename der Organisation im Menü der Cloud Services Console ein
Schildsymbol vor dem Namen Ihres Unternehmens und das Wort „Verbund“ hinter dem Namen
auf. Siehe folgendes Beispiel.
VMware, Inc. 7Einrichten eines Unternehmensverbunds mit dem VMware Cloud Services-Handbuch Wer kann als Unternehmensadministrator fungieren? Jeder Systemadministrator, der zum zentralen Sicherheitsteam Ihres Unternehmen gehört und die Verzeichnisdienste und Identitätsanbieter verwaltet, kann als Unternehmensadministrator eingeladen werden. An der Einrichtung eines Unternehmensverbunds können Vertreter verschiedener Sicherheitsteams beteiligt sein. Als Person, der das Einrichten des Unternehmensverbunds für Ihre Unternehmensdomäne übertragen wurde, führt der Unternehmensadministrator die Konfigurations- und Validierungsschritte des Self-Service- Prozesses für die Einrichtung aus. Der designierte Unternehmensadministrator kann auch andere Administratoren einladen, die ihn bei der Einrichtung unterstützen. Organisationsbesitzer, die bei ihrem Unternehmen Systemadministratorrollen innehaben und sich gut mit dem Unternehmensverzeichnisdienst und der Identitätsanbieterkonfiguration auskennen, können für die Verbundeinrichtung als Unternehmensadministratoren fungieren. An der Einrichtung beteiligte Unternehmensadministratoren müssen über VMware Cloud services-Konten mit einer VMware-ID verfügen. VMware, Inc. 8
Vor der Einrichtung der Self-
Service-Verbunds 2
Als Unternehmensadministrator greifen Sie auf den Workflow „Self-Service-Verbund“ über die
Verbundorganisation zu, die beim Start für Ihr Unternehmen erstellt wurde. Sie erhalten den
Zugriffslink für die Verbundorganisation in der Einladungs-E-Mail, die vom Organisationsbesitzer,
der den Verbund initiiert hat, oder von einem anderen Unternehmensadministrator gesendet
wird, der Sie eingeladen hat.
Voraussetzungen
Der Workflow „Self-Service-Verbund“ beinhaltet mehrere Schritte, die von verschiedenen
Unternehmensadministratoren während eines bestimmten Zeitraums durchgeführt werden
können. Stellen Sie vor dem Start sicher, dass Sie die Voraussetzungen und Anforderungen für
die Einrichtung eines Unternehmensverbunds gelesen und verstanden haben.
n Zum Einrichten eines Verbunds über den Self-Service-Workflow benötigen Sie
Unternehmensadministratorzugriff.
n Stellen Sie sicher, dass Sie zur Domänenüberprüfung auf die DNS-Datensätze der
Verbunddomänen zugreifen und diese ändern können.
n Zum Installieren von Workspace ONE Access Connector müssen Sie folgendermaßen
vorgehen:
n Stellen Sie sicher, dass Ihre Hostmaschine mit MS Windows Server 2012 R2 oder höher
installiert ist und Sie auf Ihr Unternehmensverzeichnis zugreifen können.
n Die Windows-Hostmaschine muss über eine statische IP-Adresse und einen über DNS
auflösbaren FQDN verfügen.
n Der Connector muss über Netzwerkzugriff auf Active Directory auf den Ports 389/636
verfügen.
n Stellen Sie sicher, dass Ihre Unternehmensfirewall so konfiguriert ist, dass eine
ausgehende Verbindung vom Workspace ONE Access Connector zu Port 443 für die
Interaktion mit dem gehosteten Mandantendienst hergestellt wird.
n Wenn Sie Domänen zur Positivliste hinzufügen möchten, müssen Sie die Domänen
*.workspaceoneaccess.com (Workspace ONE Access Production Tenant URL) zu Ihrer
Liste der zulässigen Domänen hinzufügen.
VMware, Inc. 9Einrichten eines Unternehmensverbunds mit dem VMware Cloud Services-Handbuch
Die Windows-Servermaschine oder die virtuelle Maschine des Hosts kann lokal, auf VMware
Cloud on AWS oder als Elastic Compute Cloud-Instanz bereitgestellt werden. Der Host, auf
dem Workspace ONE Access Connector installiert ist, muss über LDAP/LDAPS auf Ihr
Unternehmensverzeichnis zugreifen können.
Weitere Informationen zum Installieren des Workspace ONE Access Connectors finden Sie in
den allgemeinen Workspace ONE Access Connector 20.01-Systemanforderungen
n Stellen Sie sicher, dass Sie über ein Benutzer- oder Dienstkonto mit Leseberechtigungen für
Active Directory und ein nicht ablaufendes Kennwort für den AD-Bind-Benutzer-DN/Namen
zur Synchronisierung von Gruppen und Benutzern verfügen. Das Dienstkonto muss die
folgenden Attribute aufweisen: Vorname, Nachname, Anzeigename und E-Mail-Adresse. Bei
der E-Mail-Adresse für das Dienstkonto kann es sich um einen Dummy-Wert handeln.
Hinweis Wenn Sie ein Dienstkonto mit einer Richtlinie für ablaufende Kennwörter verwenden
und ein Kennwort vor der Erneuerung abläuft, können Gruppen und Benutzer nicht
synchronisiert werden, es sei denn, Sie stellen die Verbindung zwischen Active Directory und
dem Workspace ONE Access Connector wieder her.
n Zu den notwendigen Attributen für die Synchronisierung von Benutzern für den Zugriff auf
VMware Cloud services gehören Vorname, Nachname, E-Mail-Adresse, Benutzername und
Domäne. Wenn Ihr Unternehmen den Benutzerprinzipalnamen (User Principal Name, UPN) für
die Authentifizierung verwendet, muss dieser als Benutzerprofilattribut verfügbar sein.
Wichtig Benutzerkennwörter werden nie synchronisiert.
n Wenn Sie den Identitätsdrittanbieter (IdP) eines Drittanbieters verwenden, stellen Sie sicher,
dass Sie auf die Identitätsanbieterkonsole und die Metadaten-URL des Identitätsanbieters
zugreifen können.
n Damit alle Schritte des Workflows korrekt im Browser angezeigt werden, müssen Sie Cookies
von Drittanbietern aktivieren.
Hinweis Wenn Sie den Workflow „Verbundeinrichtung“ verwenden, stellen Sie sicher, dass
Sie den Inkognitomodus des Browsers nicht verwenden.
VMware, Inc. 10Unternehmensverbund – Häufig gestellte Fragen 3 In diesem Abschnitt werden häufig gestellte Fragen über den Unternehmensverbund von Unternehmensdomänen mit VMware Cloud services behandelt. F: Kann ich nach der Einrichtung des Unternehmensverbunds für meine Unternehmensdomäne weiterhin mit meinem VMware-ID-Konto (My VMware- Konto) auf „my.vmware.com“ zugreifen? A: Ja. Wenn für Ihre Domäne(n) ein Verbund eingerichtet ist, können Sie nur mit Ihrem Unternehmenskonto auf VMware Cloud services zugreifen, Ihr My VMware-Konto jedoch weiterhin für den Zugriff auf my.vmware.com verwenden. F: Muss ich trotzdem ein Konto bei VMware erstellen, wenn mein Unternehmenskonto ein Verbundkonto ist? A: Als Benutzer eines Verbundkontos müssen Sie nur dann ein My VMware-Konto erstellen, wenn Sie ein Support-Ticket erstellen oder abrechnungs- und abonnementbezogene Vorgänge ausführen möchten. F: Kann ich mein VMware-ID-Konto weiterhin verwenden, um mich beim VMware Cloud Services-Portal anzumelden, nachdem der Verbund für mein Unternehmen eingerichtet wurde? A: Nein. Nachdem der Unternehmensverbund mit Ihrem Unternehmensidentitätsanbieter eingerichtet wurde, können Sie sich nur noch mit Ihren Unternehmensanmeldedaten bei VMware Cloud services anmelden. VMware, Inc. 11
Einrichten eines Unternehmensverbunds mit dem VMware Cloud Services-Handbuch F: Führt die Verknüpfung meines VMware-ID-Kontos mit meinem Unternehmenskonto zu Änderungen an meinem Unternehmenskonto? A: Ihr Unternehmenskonto ändert sich nicht, wenn es mit Ihrem My VMware-Konto verknüpft wird. Durch die Verknüpfung wird eine interne Zuordnung erstellt, die keine Auswirkungen auf die Attribute Ihres Unternehmenskontos hat. F: Kann ich nach Einrichtung des Unternehmensverbunds Multifaktor-Authentifizierung (MFA) für den Zugriff auf VMware Cloud Services erzwingen? A: Das hängt von der Unternehmenseinrichtung ab. Wenn der von Ihrem Unternehmen verwendete Identitätsanbieter für MFA eingerichtet ist, lautet die Antwort ja. Sie werden bei der Anmeldung zur MFA aufgefordert, um auf VMware Cloud services zuzugreifen. F: Ist der Unternehmensverbund an eine bestimmte Organisation oder einen bestimmten Dienst in VMware Cloud Services gebunden? A: Nein. Der Unternehmensverbund ist domänenweit. Jeder Benutzer mit registrierten und verifizierten Domänen kann auf jede VMware Cloud services-Organisation und die von ihr abonnierten Dienste zugreifen. Wenn Sie zusätzliche Cloud-Dienste von VMware abonnieren, greifen Sie weiterhin mit Ihren Unternehmensanmeldedaten auf die neuen Dienste zu. F: Kann ich den Unternehmensverbund rückgängig machen, nachdem er aktiviert wurde? A: Ja. Um die Einrichtung des Verbunds für Ihre Domänen rückgängig zu machen, müssen Sie ein Support-Ticket in der Cloud Services Console erstellen. Wenn der VMware Support die Einrichtung des Unternehmensverbunds rückgängig macht, können alle Berechtigungen, Benutzer und Gruppen, die nach der Einrichtung des Verbunds hinzugefügt wurden, verloren gehen. VMware, Inc. 12
Einrichten eines Unternehmensverbunds mit dem VMware Cloud Services-Handbuch F: Warum werden die Dienste in meiner Organisation nicht angezeigt, nachdem ich mich mit meinem Unternehmenskonto angemeldet habe? Bevor der Unternehmensverbund für Ihr Unternehmen eingerichtet wurde, haben Sie sich mit Ihrem My VMware-Konto bei VMware Cloud services authentifiziert. Nach Aktivierung des Verbunds verwenden Sie Ihr Unternehmenskonto, um sich bei VMware Cloud services anzumelden und direkt bei Ihrem Unternehmensidentitätsanbieter zu authentifizieren. Um auf die Dienste zu zugreifen, die Sie zuvor durch Anmeldung mit Ihrem My VMware-Konto verwendet haben, müssen Sie Ihr Unternehmenskonto mit Ihrer VMware-ID verknüpfen. Nur wenn die beiden Konten verknüpft sind, werden je nach Ihrer Organisations- und Dienstrolle in der Organisation Dienste für Sie sichtbar und zugänglich. F: Warum werden nach der Aktivierung des Unternehmensverbunds zwei Konten unter der Registerkarte „Identität und Zugriff“ angezeigt? Ursprünglich haben Sie Ihr My VMware-Konto verwendet, um auf VMware Cloud services zuzugreifen. Angenommen, Sie haben Ihr My VMware-Konto unter Verwendung von joe@acme.com erstellt und sich mit diesem Konto bei VMware Cloud services angemeldet. Nach dem Verbund greifen Sie mit Ihrem Verbundkonto auf VMware Cloud services zu und verknüpfen Ihr My VMware-ID-Konto. Die ursprüngliche ID joe@acme.com ist abgeblendet und als „VMware- ID“ gekennzeichnet, um darauf hinzuweisen, dass dieses My VMware-Konto nicht mehr verwendet wird. Es bleibt jedoch als „Schattenkonto“ sichtbar. Schattenkonten können hinsichtlich der Zuweisung von Organisations- oder Dienstrollen nicht geändert werden. Es wird empfohlen, diese Einträge nach Aktivierung der Verbundeinrichtung wenigstens einige Monate lang beizubehalten, falls Sie die Einrichtung des Unternehmensverbunds rückgängig machen möchten. F: Welche Art von externen Identitätsanbietern wird unterstützt? A: Alle SAML 2.0-konformen externen Identitätsanbieter werden für den Unternehmensverbund mit VMware Cloud services unterstützt. VMware, Inc. 13
Einrichten eines Unternehmensverbunds mit dem VMware Cloud Services-Handbuch F: Ich habe keinen SAML 2.0-konformen externen Identitätsanbieter und möchte mich direkt beim Active Directory(AD)-Dienst meines Unternehmens authentifizieren. Wird dies unterstützt? Ja. Sie können die integrierten Authentifizierungsmethoden der lokalen Workspace ONE Access Connector-Instanz verwenden, um Benutzer direkt beim AD-Dienst Ihres Unternehmens zu authentifizieren. F: Kann ich eine virtuelle Windows-Maschine verwenden, die mithilfe von VMware-Technologie erstellt wurde, um die lokale Workspace ONE Access Connector-Instanz zu installieren? A: Ja. Mithilfe von VMware-Technologie können Sie eine virtuelle Windows-Maschine erstellen, die zum Installieren von Workspace ONE Access Connector für Windows verwendet werden kann. F: Muss Workspace ONE Access Connector lokal installiert werden? A: Workspace ONE Access Connector für Windows ist eine lokale Komponente, die in der Regel im Intranet oder in der grünen Zone eines Unternehmens installiert wird. Kunden können den Connector jedoch in einer Cloud installieren, sofern er über das LDAP/LDAPS-Protokoll an den Ports 389 und 636 mit dem Active Directory-Dienst des Unternehmens kommunizieren kann. Für mein Unternehmen ist bereits ein Workspace ONE Access-Mandant vorhanden, der als Teil anderer über VMware erworbener Produkte konfiguriert wurde. Kann ich die vorhandene Mandanteninstanz für die Einrichtung des Self-Service-Verbunds verwenden, anstatt eine neue zu erstellen? Nein, Sie können keinen bereits vorhandenen Mandanten von Workspace ONE Access (ehemals VMware Identity Manager) verwenden. Im Rahmen der Einrichtung des Self-Service-Verbunds wird ein neuer Workspace ONE Access-Mandant erstellt. Er wird ausschließlich für VMware Cloud Services verwendet. Die Verwendung des neuen Workspace ONE Access-Mandanten für den Zugriff auf VMware Cloud Services ist kostenlos und erfordert keine Lizenz. Dasselbe gilt für die Verwendung einer vorhandenen Workspace ONE Access Connector-Instanz. Für die Einrichtung des Verbunds ist eine neue Connector-Instanz erforderlich. VMware, Inc. 14
Einrichten eines Unternehmensverbunds mit dem VMware Cloud Services-Handbuch Mein Unternehmen verfügt bereits über eine lokale Workspace ONE Access Connector-Instanz. Kann ich für die Einrichtung des Self-Service-Verbunds die vorhandene Connector-Instanz verwenden, anstatt eine neue zu erstellen? Nein. Für die Einrichtung des Self-Service-Verbunds muss Ihr Unternehmen eine dedizierte Workspace ONE Access Connector-Instanz installieren und konfigurieren, die nur für den Verbund mit -VMware Cloud Services verwendet wird. Dasselbe gilt für die Verwendung eines vorhandenen Workspace ONE Access-Mandanten. Für die Einrichtung des Verbunds ist ein neuer Mandant erforderlich. F: Muss ich Firewall-Ports für Workspace ONE Access Connector öffnen, um eine Vertrauensstellung mit der Workspace ONE Access-Dienstinstanz zu konfigurieren? A: Workspace ONE Access Connector kommuniziert über den ausgehenden HTTPS/443-Kanal mit der Workspace ONE Access-Dienstinstanz, die als Identitätsbroker fungiert. Wenn die Firewall den Zugriff auf externe Domänen blockiert, muss VMware-Domänen Zugriff gewährt werden. F: Welche Daten werden von der lokalen Workspace ONE Access Connector-Instanz synchronisiert? A: Die lokale Workspace ONE Access Connector-Instanz wird für die Synchronisierung von Benutzern und Gruppen mit der Workspace ONE Access-Dienstinstanz (Identitätsbroker) für den Identitätsanbieter des Kunden verwendet. Nur die während der Self-Service-Einrichtung konfigurierten Benutzer- und Gruppen-DNs werden synchronisiert, nicht das gesamte AD- Verzeichnis. Es werden nur einige erforderliche Attribute synchronisiert: Vorname, Nachname, E- Mail-Adresse, Benutzername und Domäne. Wenn das Unternehmen Benutzerprinzipalnamen (User Principal Name, UPN) zur Authentifizierung von Benutzern verwendet, muss dieses Attribut für die Synchronisierung ebenfalls einen Wert aufweisen. Wichtig Benutzerkennwörter werden nie synchronisiert. F: In welchen Regionen wird die Workspace ONE Access- Dienstinstanz (Identitätsbroker) gehostet? A: Die Workspace ONE Access-Dienstinstanz wird auf AWS in der Region USA gehostet. VMware, Inc. 15
Einrichten eines Unternehmensverbunds mit dem VMware Cloud Services-Handbuch F: Kann ich Benutzer aus verschiedenen Domänen, die ich besitze (z. B. „acme.com“, „ext.acme.com“ und „company.com“), bei meinem Identitätsanbieter authentifizieren? A: Ja. Wenn Sie alle öffentlichen Domänen, die Sie besitzen, überprüfen können, können sich die Benutzer dieser Domänen mit ihren Unternehmensanmeldedaten bei VMware Cloud services authentifizieren. Die Benutzer all dieser Domänen müssen zuerst mit der Workspace ONE Access-Dienstinstanz (Identitätsbroker) synchronisiert werden. F: Kann ich der Organisation des Unternehmensverbunds Dienste hinzufügen? A: Nein. Sie können und dürfen der Organisation des Unternehmensverbunds keine Dienste hinzufügen. Der Zugriff auf die Organisation des Unternehmensverbund erfolgt ausschließlich, um Vorgänge auszuführen, die sich auf alle Dienste und Organisationen für eine bestimmte Domäne auswirken. Gibt es ein Konto für den Notfallzugriff, mit dem ich auf VMware Cloud Services zugreifen kann, wenn es mir nicht möglich ist, mich mit meinen Unternehmensanmeldedaten anzumelden? Sie können Ihrer Organisation ein My VMware-Konto mit einer Domäne hinzufügen, die keine Verbunddomäne ist. Wenn beispielsweise „acme.com“ eine Verbunddomäne ist, kann jedes My VMware-Konto mit einer Nicht-acme.com-Domäne für die Anmeldung bei VMware Cloud services verwendet werden. Der Benutzer mit dem My VMware-Konto muss der Organisation als Organisationsbesitzer oder Organisationsmitglied hinzugefügt werden. Werden die Attribute, die aus dem Active Directory- Verzeichnis meines Unternehmens synchronisiert werden, verschlüsselt, wenn sie von der Workspace ONE Access- Dienstinstanz und von VMware Cloud Services auf AWS beibehalten werden? Nein. Die Benutzerattribute Vorname, Nachname, E-Mail-Adresse, Benutzername, Domäne und UPN werden nicht verschlüsselt, wenn sie von VMware Cloud services auf AWS beibehalten werden. VMware, Inc. 16
Einrichten eines Unternehmensverbunds mit dem VMware Cloud Services-Handbuch Wie wirkt sich ein Ausfall des Connector-Servers auf Benutzer aus, die auf Cloud Services Console zugreifen? Kann ich den Connector im HA-Modus konfigurieren? Wenn Ihr Unternehmen statt der Connector-basierten Authentifizierungsmethoden Authentifizierung über einen externen Identitätsanbieter verwendet, erfolgt die gesamte Benutzerauthentifizierung direkt beim Identitätsanbieter. In diesem Fall wird die Anmeldung von Benutzern, die bereits synchronisiert sind, durch einen Ausfall des Connectors nicht beeinträchtigt. Da der Connector nur für die Benutzer- und Gruppensynchronisierung verwendet wird, ist ein Connector im HA-Modus möglicherweise nicht erforderlich. VMware, Inc. 17
Überblick über die Schritte im
Self-Service-Verbund-Workflow 4
Das Einrichten eines Unternehmensverbunds für Ihre Unternehmensdomäne ist ein Self-Service-
Prozess, der mehrere Schritte, Benutzer und Rollen umfasst.
Die folgende Liste liefert einen groben Überblick über die Schritte im Workflow für die
Einrichtung des Verbunds. Um ein Beispielszenario zu den einzelnen Schritten anzuzeigen, die für
die Einrichtung eines Unternehmensdomänenverbunds erforderlich sind, klicken Sie auf den Link
des jeweiligen Schritts.
Schritt 1: Domänen überprüfen
In diesem Schritt überprüfen Sie die Besitzrechte für die Domänen, die Sie zu einem Verbund
hinzufügen möchten. Der Überprüfungsprozess umfasst das Hinzufügen von DNS-TXT-
Datensätzen für Ihre Domänen. Bevor Sie beginnen, stellen Sie sicher, dass Sie die DNS-
Datensätze für Ihre Unternehmensdomänen ändern können.
Die Domänen, die Sie in diesem Schritt hinzufügen, sind die öffentlichen Domänen der
obersten Ebene, die die Mitarbeiter Ihres Unternehmens für den Zugriff auf VMware Cloud
services verwenden. Diese Domänen sind keine internen Active Directory-Domänen. In Schritt
3: Gruppen und Benutzer synchronisieren der Verbundeinrichtung können Sie Benutzer und
Gruppen aus internen Active Directory-Domänen hinzufügen. Die internen Active Directory-
Domänen, die Sie für die Synchronisierung hinzufügen, sind extern nicht für den Zugriff über
VMware Cloud services sichtbar.
Hinweis Die Überprüfung erfolgt nicht automatisch. Es kann bis zu 72 Stunden nach dem
Absenden der TXT-Datensätze dauern, bis die Änderungen wirksam werden.
Schritt 2: Workspace ONE Access Connector installieren
In diesem Schritt laden Sie die ausführbare Workspace ONE Access Connector-Datei herunter
und installieren sie auf einer Windows-Maschine mit Zugriff auf Ihr Unternehmensverzeichnis.
Hinweis Wenn das Unternehmen keinen SAML 2.0-basierten Identitätsanbieter verwendet,
können die von Workspace ONE Access Connector unterstützten
Authentifizierungsmethoden zur Authentifizierung von Benutzern verwendet werden.
VMware, Inc. 18Einrichten eines Unternehmensverbunds mit dem VMware Cloud Services-Handbuch
Workspace ONE Access Connector ist eine lokale Komponente von Workspace ONE Access
(ehemals VMware Identity Manager), die in eine lokale Infrastruktur wie Active Directory,
RADIUS und RSA SecurID integriert werden kann. In der Verbundeinrichtung dient der
Connector dazu, die vom Unternehmensadministrator konfigurierten Benutzer und Gruppen
kontinuierlich mit einem gehosteten Workspace ONE Access-Mandanten zu synchronisieren,
der für die Unternehmenseinheit für die Zwecke von Unternehmensverbunden erstellt wurde.
Schritt 3: Gruppen und Benutzer synchronisieren
In diesem Schritt binden Sie den Active Directory-Dienst Ihres Unternehmens an. Laden Sie
ggf. Sicherheitszertifikate für die SSL/TLS-Kommunikation aus Workspace ONE
Access Connector in Active Directory hoch. Durchsuchen Sie anschließend Ihr
Unternehmensverzeichnis nach Benutzern und Gruppen, um sie mit dem Workspace ONE
Access-Mandanten zu synchronisieren. Die Synchronisierung zusätzlicher Gruppen und
Benutzer kann fortgesetzt werden, nachdem die Einrichtung des Verbunds abgeschlossen
wurde.
Schritt 4: Identitätsanbieter konfigurieren
In diesem Schritt konfigurieren Sie den Identitätsanbieter. Sie können einen Verbund für Ihr
Unternehmen mit einem beliebigen SAML 2.0-basierten Identitätsdrittanbieter aktivieren. Der
Einrichtungsvorgang für den Self-Service-Verbund bietet Unterstützung für die Konfiguration
der folgenden Identitätsanbieter: Okta, PingIdentity, Microsoft Active Directory Federation
Services, OneLogin und Azure Active Directory. Um den externen Identitätsanbieter für einen
Unternehmensverbund zu konfigurieren, müssen Sie Zugriff auf die Identitätsanbieterkonsole
und die Metadaten-URL des Identitätsanbieters haben.
Wenn Sie über keinen externen Identitätsanbieter verfügen, können Sie Workspace ONE
Access Connector verwenden, um die direkte Benutzerauthentifizierung für Active Directory
zu aktivieren.
Vorsicht Sie können den Identitätsanbieter, den Sie in diesem Schritt konfigurieren, nicht
ändern, nachdem die Verbundeinrichtung aktiviert wurde. Wenn Sie Ihren Identitätsanbieter
später ändern müssen, erstellen Sie ein Support-Ticket.
Schritt 5: Einrichtung abschließen
In diesem letzten Schritt der Verbundeinrichtung müssen Sie eine Reihe von Aktionen
ausführen.
n Überprüfen Sie, ob sich die Benutzer aus Ihrem Unternehmen mit dem
Unternehmensidentitätsanbieter bei VMware Cloud services anmelden können.
n Benachrichtigen Sie die Unternehmensbenutzer der Domänen, die Sie in Schritt 1:
Domänen überprüfen, dass sie sich mit ihren Unternehmensanmeldedaten bei VMware
Cloud services anmelden müssen.
n Bestätigen Sie die Änderungen und aktivieren Sie den Verbund für Ihr Unternehmen.
VMware, Inc. 19Einrichten eines Unternehmensverbunds mit dem VMware Cloud Services-Handbuch
Nachdem die Einrichtung des Verbunds abgeschlossen wurde, ist der Self-Service-Workflow
nicht mehr für Änderungen verfügbar. Unternehmensadministratoren können die
Ersteinrichtung über das Dashboard Unternehmensverbund ändern.
Wichtig Nachdem der Unternehmensverbund aktiviert wurde, können Benutzer mit
Verbunddomänen nur mit ihren Unternehmenskonten auf VMware Cloud services zugreifen.
Sie können sich nicht mehr mit ihren My VMware-Konten bei VMware Cloud services
anmelden.
Schritt 6: VMware-ID-Konto verknüpfen
Im letzten Schritt des Workflows verknüpfen Sie Ihr Verbundkonto mit Ihrem VMware-ID-
Konto. Dieser Schritt muss für die folgenden Rollen abgeschlossen werden:
n Unternehmensadministratoren, Organisationsbesitzer, die an der Einrichtung des Self-
Service-Verbunds beteiligt waren.
n Organisationsbesitzer und -mitglieder, die Zugriff auf Abrechnungsinformationen
benötigen.
n Organisationsbesitzer und -mitglieder, die Support-Anfragen stellen möchten.
Verfahren
1 Schritt 1: Domänen überprüfen
In diesem Beispiel stellen Sie sicher, dass Sie die öffentlichen Domänen des ACME-
Unternehmens besitzen, das Sie als Unternehmensadministrator in den Verbund aufnehmen
möchten.
2 Schritt 2: Workspace ONE Access Connector installieren
In diesem Schritt laden Sie einen lokalen Workspace ONE Access Connector herunter und
installieren ihn. Sie erstellen ein Kennwort, das in der Konfigurationsdatei gespeichert ist, die
Sie mit dem Workspace ONE Access Connector-Installationsprogramm herunterladen.
3 Schritt 3: Gruppen und Benutzer synchronisieren
In diesem Schritt bei der Einrichtung des Unternehmensverbunds erstellen Sie ein internes
Verzeichnis, in dem die Benutzer und Gruppen gespeichert sind, die Sie aus dem Active
Directory-Verzeichnis synchronisieren.
4 Schritt 4: Identitätsanbieter konfigurieren
In diesem Schritt richten Sie einen Verbund mit dem Unternehmensidentitätsanbieter ein und
konfigurieren die Identitätsanbietereinstellungen auf dem für Ihr Unternehmen erstellten
Workspace ONE Access tenant en.
5 Schritt 5: Einrichtung abschließen
Als Unternehmensadministrator haben Sie beim Einrichten eines Self-Service-Verbunds alle
Konfigurationsschritte abgeschlossen und können nun die Verbundeinrichtung validieren
und aktivieren.
VMware, Inc. 20Einrichten eines Unternehmensverbunds mit dem VMware Cloud Services-Handbuch
6 Schritt 6: VMware-ID-Konto verknüpfen
Alle vorhandenen Benutzer von VMware Cloud services, die bisher mit einem VMware-ID-
Konto auf ihre Dienste zugegriffen haben, müssen ihre VMware-ID mit ihrem Verbundkonto
verknüpfen.
Schritt 1: Domänen überprüfen
In diesem Beispiel stellen Sie sicher, dass Sie die öffentlichen Domänen des ACME-Unternehmens
besitzen, das Sie als Unternehmensadministrator in den Verbund aufnehmen möchten.
In diesem Schritt geben Sie die Namen der öffentlichen Domäne und der Unterdomäne ein, die zu
einem Verbund zusammengeschlossen werden sollen. Wenn Sie zum ersten Mal auf die ACME-
Verbundorganisation zugreifen, verwendet die Verbundeinrichtung standardmäßig die Domäne
der obersten Ebene aus der E-Mail, die Sie zum Anmelden bei VMware Cloud services verwendet
haben. Wenn ACME-Mitarbeiter über eine andere Domäne oder Unterdomäne auf VMware Cloud
services zugreifen, müssen Sie alle diese Domänen für einen Verbund mit VMware Cloud services
eingeben und überprüfen.
Voraussetzungen
n Stellen Sie sicher, dass Sie als Unternehmensadministrator bei der ACME-
Verbundorganisation angemeldet sind.
n Stellen Sie sicher, dass Sie auf die Host-Verwaltungskonsole von acme.com zugreifen können.
n Stellen Sie sicher, dass Sie über die Berechtigungen zum Ändern der DNS-Datensätze von
acme.com verfügen.
Verfahren
1 Klicken Sie im Schritt Domänen überprüfen des Workflows auf Starten.
2 Geben Sie im angezeigten Textfeld Domänen den Wert acme.com ein.
3 Klicken Sie auf Weiter.
Ein .txt-Code für die Domäne acme.com wird erzeugt und im Abschnitt TXT-Datensätze
hinzufügen des Schritts Domänen überprüfen angezeigt.
4 Navigieren Sie im Workflow „Self-Service-Verbund“ zu Domänen überprüfen > TXT-
Datensätze hinzufügen.
5 Kopieren Sie den Code, der neben dem Domänennamen acme.com angezeigt wird.
Dieser lange Code besteht aus Buchstaben, Zahlen und Symbolen, die Sie zum Öffnen der
Hostverwaltungskonsole der Domäne benötigen. Wenn Sie zum Abschließen des nächsten
Schritts die Geräte wechseln, stellen Sie sicher, dass Sie den Code einfügen und in einer
Textdatei speichern, damit Sie ihn beim Ändern der DNS-Datensätze für Ihre Domäne zur
Hand haben.
VMware, Inc. 21Einrichten eines Unternehmensverbunds mit dem VMware Cloud Services-Handbuch
6 Öffnen Sie die Verwaltungskonsole des Hosts für acme.com.
a Navigieren Sie in der Verwaltungskonsole des Hosts zur Seite „DNS-Datensätze“.
b Fügen Sie den DNS-Datensätzen einen neuen Datensatz vom Typ TXT hinzu und geben
Sie den kopierten Wert ein.
Hinweis Wenn Ihre DNS-Datensätze bereits andere VMware-TXT-Datensätze enthalten,
sollten Sie diese nicht ändern.
7 Kehren Sie zum Schritt Domänen überprüfen > TXT-Datensätze hinzufügen im Workflow
„Self-Service-Verbund“ zurück und klicken Sie auf Weiter.
Der Abschnitt Domänen überprüfen des Workflows wird erweitert, und Sie werden
aufgefordert, Ihre Domäne zur Überprüfung zu übermitteln.
8 Klicken Sie auf Überprüfen.
Nächste Schritte
Sie haben die DNS-Datensätze Ihrer Unternehmensdomäne acme.com geändert und zur
Überprüfung mit VMware Cloud services übermittelt. Es kann bis zu 72 Stunden dauern, bis die
Änderung des DNS-Textdatensatzes wirksam wird. Sie können mit dem Workflow „Self-Service-
Verbund“ fortfahren, nachdem sich der Status der Domäne, die Sie für Verbundänderungen
übermittelt haben, in Überprüft geändert hat.
Schritt 2: Workspace ONE Access Connector installieren
In diesem Schritt laden Sie einen lokalen Workspace ONE Access Connector herunter und
installieren ihn. Sie erstellen ein Kennwort, das in der Konfigurationsdatei gespeichert ist, die Sie
mit dem Workspace ONE Access Connector-Installationsprogramm herunterladen.
Der in dieser Aufgabe installierte Workspace ONE Access Connector wird verwendet, um
Gruppen und Benutzer aus Ihrem Unternehmens-Active Directory kontinuierlich mit dem
Workspace ONE Access-Mandanten zu synchronisieren. Die Workspace ONE Access-
Mandanteninstanz wird im Rahmen des Workflows „Self-Service-Verbund“ erstellt und
konfiguriert. Der Mandant fungiert als Identitätsbroker (Dienstanbieter) gegenüber Ihrem
Identitätsanbieter und ist an der eigentlichen Benutzerauthentifizierung nicht beteiligt.
Hinweis Standardmäßig synchronisiert der Workspace ONE Access Connector neu hinzugefügte
Gruppen und Benutzer aus Ihrem Unternehmens-Active Directory einmal pro Woche. Nach dem
Erstellen des Verbunds kann die Synchronisierungshäufigkeit geändert oder die Synchronisierung
manuell ausgeführt werden.
VMware, Inc. 22Einrichten eines Unternehmensverbunds mit dem VMware Cloud Services-Handbuch
In dieser Aufgabe konfigurieren Sie ein Kennwort, das zum Verschlüsseln der Inhalte der
Konfigurationsdatei verwendet wird, die Sie mit dem Workspace ONE Access Connector-
Installationsprogramm herunterladen. Beim Ausführen des Installationsprogramms werden Sie zur
Eingabe des Speicherorts der heruntergeladenen Konfigurationsdatei und des Kennworts
aufgefordert, um den Dateiinhalt zu entschlüsseln und die Verbindungsdetails des Workspace
ONE Access-Mandanten abzurufen. Der Connector verwendet diese Details, um sicher mit der
Workspace ONE Access-Instanz zu kommunizieren.
Zum Abschließen dieses Schritts müssen Sie den Workflow „Self-Service-Verbund“ verlassen und
die Installation und Konfiguration des Workspace ONE Access Connectors auf einer lokalen
Windows-Maschine fertigstellen.
Hinweis Wenn Ihr Unternehmen einen Drittanbieter-IdP für die Benutzerauthentifizierung
verwendet, müssen Sie für die Verbundeinrichtung eine Standardinstallation des Workspace ONE
Access Connectors mit dem Benutzerauthentifizierungsdienst und dem
Verzeichnissynchronisierungsdienst erstellen. Für diese Art der Einrichtung müssen Sie den
Kerberos Auth Service nicht installieren. Wenn Ihr Unternehmen keinen SAML 2.0-basierten
Identitätsanbieter für die Benutzerauthentifizierung verwendet, können Sie die vom Workspace
ONE Access Connector unterstützten Authentifizierungsmethoden verwenden. Sie können den
Kerberos Auth Service installieren und für cloudbasierte Benutzerauthentifizierung verwenden.
Detaillierte Installationsinformationen finden Sie unter Installieren von VMware Workspace ONE
Access Connector.
n Intern richtet der Connector eine Intranetverbindung mit Ihrem Unternehmens-Active
Directory ein.
Hinweis Wenn Sie mithilfe von Sicherheitsrichtlinien den Zugriff auf die Maschine steuern, die
Ihr Unternehmens-Active Directory hostet, integrieren Sie die Maschine, auf der Sie
Workspace ONE Access Connector installieren, in die Liste der zulässigen AD-Hosts.
n Extern stellt der Connector eine sichere ausgehende Verbindung zu einer gehosteten Instanz
eines VMware Workspace ONE Access-Mandanten her, der für Ihr Unternehmen im Rahmen
des Self-Service-Verbundprozesses erstellt wurde.
n Die gehostete Instanz des Workspace ONE Access-Mandanten fungiert als Identitätsbroker
(Dienstanbieter) für Ihren externen SAML 2.0-Identitätsanbieter. Sie ist nicht an der
eigentlichen Benutzerauthentifizierung beteiligt.
n Bei Verwendung der Workspace ONE Access-basierten Authentifizierungsmethode
authentifiziert der Workspace ONE Access-Mandant Benutzer direkt über den lokalen
Connector mit Ihrem Unternehmens-Active Directory.
Wichtig Weder im Workspace ONE Access-Mandanten noch im Workspace ONE Access
Connector werden Benutzeranmeldedaten beibehalten.
VMware, Inc. 23Einrichten eines Unternehmensverbunds mit dem VMware Cloud Services-Handbuch
Voraussetzungen
n Sie können mit diesem Schritt erst fortfahren, wenn Sie Schritt 1: Domänen überprüfen des
Assistenten für Self-Service-Verbunde abgeschlossen haben.
n Stellen Sie sicher, dass Sie auf eine Maschine mit installiertem MS Windows Server 2008 oder
höher zugreifen können.
n Stellen Sie sicher, dass Sie über die Windows-Hostmaschine auf das Unternehmens-Active
Directory zugreifen können.
n Die Windows-Hostmaschine muss über eine statische IP-Adresse und einen über DNS
auflösbaren FQDN verfügen.
n Der Connector muss über Netzwerkzugriff auf Active Directory auf den Ports 389/636
verfügen.
n Stellen Sie sicher, dass Ihre Unternehmensfirewall so konfiguriert ist, dass eine ausgehende
Verbindung vom Workspace ONE Access Connector zu Port 443 für die Interaktion mit dem
gehosteten Workspace ONE Access-Mandantendienst hergestellt wird
n Stellen Sie sicher, dass die bereits vorhandene Workspace ONE Access Connector-
Installationsdatei in der aktuellen Version vorliegt.
Verfahren
1 Klicken Sie im Abschnitt Workspace ONE Access Connector installieren auf Starten.
Der Abschnitt Kennwort für Connector festlegen wird erweitert.
2 Wählen Sie eine der Optionen zum Erzeugen und Speichern eines Kennworts aus.
Wichtig Das in diesem Schritt erzeugte Kennwort wird in der Konfigurationsdatei
gespeichert, die Sie mit dem Workspace ONE Access Connector-Installationsprogramm
herunterladen. Sie müssen dieses Kennwort während der Installation des Connectors
angeben, um zu überprüfen, ob der Benutzer, der die Konfigurationsdatei erstellt hat, mit
dem Benutzer identisch ist, der den Connector installiert. Stellen Sie sicher, dass das von
Ihnen erstellte Kennwort sicher gespeichert und zugänglich ist.
3 Klicken Sie auf Weiter.
Der Abschnitt Installationsprogramm und Konfiguration herunterladen wird erweitert.
4 Laden Sie das Workspace ONE Access Connector-Installationsprogramm herunter.
Hinweis Sie benötigen ein My VMware-Konto, um die Workspace ONE Access Connector-
Installationsdatei herunterzuladen.
Wenn Sie das Installationsprogramm auf einer anderen Maschine als derjenigen ausführen
müssen, über die Sie auf den Workflow „Self-Service-Verbund“ zugreifen, kopieren Sie den
Link in das Workspace ONE Access Connector-Installationsprogramm. Sie können den Link
dann in einem Browserfenster auf Ihrer Windows-Zielmaschine öffnen.
VMware, Inc. 24Einrichten eines Unternehmensverbunds mit dem VMware Cloud Services-Handbuch
5 Laden Sie die verschlüsselte Konfigurationsdatei herunter.
Vorsicht Die Konfigurationsdatei enthält vertrauliche Informationen, wie z. B. die Mandanten-
URL, die Mandanten-ID, die Client-ID und den geheimen Client-Schlüssel für jeden
Unternehmensdienst sowie den Kennwort-Hash. Es ist wichtig, dass Sie die Datei nicht
freigeben oder öffentlich verfügbar machen.
6 Öffnen Sie auf Ihrem Windows-Server den Speicherort der Installationsdatei.
7 Führen Sie das Workspace ONE Access Connector-Installationsprogramm als Administrator
aus.
8 Klicken Sie auf der Begrüßungsseite auf Weiter.
9 Lesen und akzeptieren Sie die Lizenzvereinbarung und klicken Sie auf Weiter.
10 Wählen Sie Verzeichnissynchronisierungsdienst und Benutzerauthentifizierungsdienst für
die Installation aus.
11 Klicken Sie auf Weiter.
Standardmäßig werden die Dienste im Verzeichnis C:\Programme installiert. Klicken Sie zum
Ändern des Installationsordners auf Ändern und wählen Sie einen neuen Ordner aus.
12 Führen Sie auf der Seite Konfigurationsdatei angeben folgende Aufgaben durch:
a Wählen Sie die Konfigurationsdatei aus, die Sie im Schritt Workspace ONE Access
Connector installieren > Installationsprogramm und Konfigurationsdateien
herunterladen des Workflows „Self-Service-Verbund“ heruntergeladen haben.
a Geben Sie das Kennwort ein, das Sie für die Konfigurationsdatei festgelegt haben.
b Klicken Sie auf Weiter.
13 Wählen Sie für dieses Beispiel das Menüelement Standard der Installation aus und klicken Sie
erneut auf Weiter.
Hinweis Wird bei der Einrichtung des Windows-Serverhosts ein normaler oder
authentifizierter Proxy verwendet, müssen Sie das Menüelement Benutzerdefinierte
Installation auswählen. Wenn Sie von einer standardmäßigen Connector-Installation ohne
Proxy zu einer benutzerdefinierten Proxy-Installation wechseln möchten, können Sie die
Installationsdatei erneut ausführen und die erforderlichen Änderungen vornehmen.
14 Überprüfen Sie Ihre Auswahl auf der Seite Bereit zur Installation des Programms und klicken
Sie dann auf Installieren.
Die Installation dauert einige Minuten.
15 Stellen Sie nach erfolgreichem Abschluss der Installation sicher, dass die installierten Dienste
auf dem Windows-Server ausgeführt werden.
Die folgenden Dienste müssen auf dem Windows-Server ausgeführt werden.
n VMware-Verzeichnissynchronisierungsdienst
VMware, Inc. 25Einrichten eines Unternehmensverbunds mit dem VMware Cloud Services-Handbuch
n VMware-Benutzerauthentifizierungsdienst
Nach der Installation werden die von Ihnen installierten Unternehmensdienste beim
Workspace ONE Access tenant registriert.
16 Öffnen Sie die Cloud Services Console und melden Sie sich bei der ACME-
Verbundorganisation an.
17 Navigieren Sie zu Workspace ONE Access Connector installieren > Installation und
Konfiguration ausführen und klicken Sie auf Verbindung überprüfen.
Der Status der Verbindung ändert sich in Connector erfolgreich installiert.
Wichtig Wenn sich der Verbindungsstatus nicht in Connector erfolgreich installiert ändert,
erhalten Sie weitere Informationen zum Beheben des Problems unter Kapitel 5 Behebung von
Verbundfehlern. Wenn das Problem weiterhin besteht, können Sie beim VMware Cloud
Services-Support ein Inanspruchnahme des Kundendienstes.
18 Klicken Sie auf Fortfahren.
Ergebnisse
Die Startseite des Workflows „Self-Service-Verbund“ wird angezeigt.
Nächste Schritte
Der nächste Schritt bei der Einrichtung des Self-Service-Verbunds besteht in der
Synchronisierung von Gruppen und Benutzern zwischen Ihrem Unternehmens-Active Directory
und dem Workspace ONE Access-Mandanten.
Schritt 3: Gruppen und Benutzer synchronisieren
In diesem Schritt bei der Einrichtung des Unternehmensverbunds erstellen Sie ein internes
Verzeichnis, in dem die Benutzer und Gruppen gespeichert sind, die Sie aus dem Active
Directory-Verzeichnis synchronisieren.
Sie können Gruppen und Benutzer aus einer oder mehreren Active Directory-Domänen
synchronisieren.
n Wählen Sie Einzelne AD-Domäne aus, wenn sich alle Benutzer und Gruppen, denen Sie
Verbundzugriff auf VMware Cloud services gewähren, in einer einzelnen AD-Domäne
befinden. Wenn Sie über mehrere AD-Domänen verfügen und keine Vertrauensstellung
zwischen diesen Domänen besteht, verwenden Sie diese Option. Sobald der Verbund
eingerichtet ist, haben Sie die Möglichkeit, für jede zusätzliche AD-Domäne ein neues
Verzeichnis hinzuzufügen.
n Wählen Sie Mehrere AD-Domänen aus, wenn sich die Benutzer und Gruppen, denen Sie den
Verbundzugriff auf VMware Cloud services gewähren möchten, in verschiedenen AD-
Domänen befinden, Active Directory mit mehreren Gesamtstrukturen konfiguriert ist und eine
Vertrauensstellung zwischen den verschiedenen Domänen besteht.
VMware, Inc. 26Einrichten eines Unternehmensverbunds mit dem VMware Cloud Services-Handbuch
Nachdem der Unternehmensverbund aktiviert wurde, werden die Gruppen und Benutzer, die Sie
in diesem Schritt des Verbund-Workflows synchronisieren, auf der Seite Gruppen in der Cloud
Services Console angezeigt. Sie können auf die Seite zugreifen, indem Sie zu Identitäts- und
Zugriffsverwaltung > Gruppen navigieren. Nachdem die Verbundeinrichtung aktiviert wurde,
können Sie zusätzliche Gruppen und Benutzer für Ihr Unternehmen synchronisieren.
Alle Verbundkonten müssen synchronisiert werden, damit Benutzer über ihre
Unternehmenskonten auf VMware Cloud services zugreifen können. Synchronisierte Benutzer
werden bei der Anmeldung nicht aufgefordert, VMware-Konten zu erstellen, es sei denn, sie
müssen Rechnungsinformationen anzeigen und ein Support-Ticket erstellen.
Unternehmensadministratoren die auch Organisationsbesitzer sind oder eingeladen werden, die
Einrichtung des Verbunds abzuschließen, bevor die Domäne zur Verbunddomäne wird, müssen
ein VMware-Konto erstellen. Unternehmensadministratoren, die der speziellen
Verbundorganisation hinzugefügt werden, nachdem die Domäne zur Verbunddomäne wurde,
müssen kein VMware-Konto erstellen.
Voraussetzungen
n Wenn Active Directory Zugriff über SSL/TLS erfordert, müssen Sie die Zwischenzertifikate
(sofern verwendet) und Root-CA-Zertifikate des Domänencontrollers hochladen.
n Für die Synchronisierung von Gruppen und Benutzern müssen Sie einen Dienst oder ein
Benutzerkonto verwenden, der bzw. das über Leseberechtigung für Active Directory und
über ein nicht ablaufendes Kennwort für Bind-Benutzer-DN/Name verfügt, um eine
Verbindung zu Active Directory herzustellen.
Vorsicht Wenn die Sicherheitsrichtlinien des Unternehmens die Verwendung eines
Dienstkontos mit einem ablaufenden Kennwort erfordern und das Kennwort vor seiner
Erneuerung abläuft, werden Gruppen und Benutzer nicht synchronisiert. Wird die
Synchronisierung unterbrochen, müssen Sie die Verbindung zwischen Active Directory und
Workspace ONE Access Connector wiederherstellen.
Verfahren
1 Klicken Sie im Bereich Gruppen und Benutzer synchronisieren auf der Seite
Unternehmensverbund einrichten auf Starten.
Der Bereich Verzeichnis hinzufügen wird angezeigt.
2 Geben Sie in das Textfeld Verzeichnisname einen Namen für das interne Verzeichnis ein, das
Sie erstellen möchten.
Sie können einen beliebigen Namen für Ihr Unternehmensverzeichnis angeben. Er muss nicht
mit dem Namen übereinstimmen, den Sie intern verwenden.
3 Behalten Sie für dieses Beispiel die Auswahl der Standardmenüelemente Einzelne AD-
Domäne und Nein bei.
4 Klicken Sie auf Weiter.
Der Bereich Anmeldedaten für Bind-Benutzer angeben des Workflows wird erweitert.
VMware, Inc. 27Sie können auch lesen
