VMware Identity Manager voor Linux installeren en configureren. April 2019 VMware Identity Manager 19.03

Transcriptie

1 VMware Identity Manager voor Linux installeren en configureren April 2019 VMware Identity Manager 19.03

2 U vindt de recentste technische documentatie op de website van VMware: Op de VMware-website vindt u tevens de nieuwste productupdates. Als u opmerkingen over deze documentatie heeft, kunt u uw feedback sturen naar: docfeedback@vmware.com VMware, Inc Hillview Ave. Palo Alto, CA VMware Nederland B.V. Key Office Papendorp 3e verdieping Orteliuslaan 850 Utrecht Nederland Tel: +31 (0) Fax: +31 (0) Copyright VMware, Inc. Alle rechten voorbehouden. Informatie over copyright en handelsmerken. VMware, Inc. 2

3 Inhoud Over het installeren en configureren van VMware Identity Manager voor Linux 5 1 Installatie van VMware Identity Manager voorbereiden 6 Vereisten voor systeem- en netwerkconfiguratie 8 Voorbereiding op de implementatie van VMware Identity Manager 13 Maak DNS-records en IP-adressen 14 De database van VMware Identity Manager Service maken 15 Implementatiecontrolelijsten 23 Customer Experience Improvement Program 25 2 VMware Identity Manager implementeren 26 Het OVA-bestand van VMware Identity Manager installeren 26 (Optioneel) IP-adresgroepen toevoegen 29 Instellingen van VMware Identity Manager configureren 30 Goedgekeurde IP-adressen aan uw externe firewall toevoegen 32 Proxyserverinstellingen instellen voor VMware Identity Manager 33 De licentiecode invoeren 33 3 Instellingen voor VMware Identity Manager -configuratie beheren 34 Configuratie-instellingen voor de appliance wijzigen 35 SSL-certificaten gebruiken 35 Een SSL-certificaat installeren voor de VMware Identity Manager -service 36 Vertrouwde rootcertificaten installeren 38 Een passthrough-certificaat installeren 38 De URL van de VMware Identity Manager-service wijzigen 38 De connector-url aanpassen 39 Een Syslog-server configureren 39 Logboekbestandsgegevens 40 Logboekgegevens verzamelen 41 Het logboekniveau van de VMware Identity Manager-service instellen op FOUTOPSPORING 42 De wachtwoorden van uw appliance beheren 42 SMTP-instellingen configureren 43 Tijdsynchronisatie voor de VMware Identity Manager -service (Linux) configureren 44 4 Geavanceerde configuratie voor de VMware Identity Manager -appliance 45 Een load balancer of reverse proxy gebruiken om externe toegang tot VMware Identity Manager in te schakelen 45 Apply VMware Identity Manager Root Certificate to the Load Balancer 48 VMware, Inc. 3

4 Basiscertificaat van load-balancer toepassen op VMware Identity Manager 49 Proxyserverinstellingen instellen voor VMware Identity Manager 51 Failover en redundantie in één datacenter configureren 51 Aanbevelingen voor VMware Identity Manager -cluster 52 Wijzig FQDN van VMware Identity Manager in FQDN van load-balancer 53 De virtual appliance klonen 54 Een nieuw IP-adres toewijzen aan gekloonde virtual appliance 56 Synchronisatie van directory's inschakelen op een andere -instantie in geval van een fout 57 Een knooppunt verwijderen uit een cluster 58 VMware Identity Manager implementeren in een secundair datacenter voor failover en redundantie 60 Een secundair datacenter instellen 63 Failover naar secundair datacenter 73 Failback naar primair datacenter 75 Het secundaire datacenter promoveren naar primair datacenter 76 VMware Identity Manager met minimum aan onbeschikbaarheid upgraden 77 5 Using the Built-in KDC 78 Initialize the Key Distribution Center in the Appliance 79 Openbare DNS-vermeldingen maken voor KDC met ingebouwde Kerberos 80 REALM vervangen 81 6 VMware Identity Manager controleren 82 Aanbevelingen voor controleren van hardwarebelastingscapaciteit 82 VMware Identity Manager URL-endpoints voor controle 83 Extra informatie in statuscontrole-api 91 Systeem logboekregistratie 92 7 Limieten instellen 94 Limieten instellen voor VMware Identity Manager Service 94 Limieten instellen voor VMware Identity Manager Connector 97 8 Installatie- en configuratieproblemen oplossen 101 Gebruikers kunnen geen applicaties starten of onjuiste verificatiemethode toegepast in omgevingen met gelijkmatige taakverdeling 101 Gebruikers kunnen geen applicaties starten in een omgeving met load balancing 102 Na synchronisatie van de directory worden geen leden in de groepen weergegeven 103 VMware, Inc. 4

5 Over het installeren en configureren van VMware Identity Manager voor Linux In VMware Identity Manager installeren en configureren voor Linux vindt u informatie over het installeren en configureren van Linux-gebaseerde virtual appliances van VMware Identity Manager op locatie. Nadat de installatie is voltooid, kunt u de beheerconsole gebruiken om gebruikers op meerdere beheerde apparaten toegang te verlenen tot de applicaties van uw organisatie, waaronder webapplicaties, Horizonapplicaties en -desktops en gepubliceerde Citrix-bronnen. In de handleiding wordt ook uitgelegd hoe u uw implementatie voor hoge beschikbaarheid kunt configureren. In VMware Identity Manager installeren en configureren voor Linux vindt u informatie over het implementeren van de virtual appliance van VMware Identity Manager in het interne netwerk. Zie VMware Identity Manager implementeren in de DMZ als u VMware Identity Manager wilt implementeren in de DMZ. Doelgroep Deze informatie is bedoeld voor beheerders van VMware Identity Manager. De informatie is geschreven voor ervaren beheerders van Windows- en Linux-systemen die vertrouwd zijn met VMware-technologie, met name vcenter, ESX, vsphere, netwerkconcepten, Active Directory-servers, databases, backup- en herstelprocedures, Simple Mail Transfer Protocol (SMTP) en NTP-servers. Kennis van andere technologieën, zoals VMware ThinApp en RSA SecurID is handig als u deze functies wilt implementeren. VMware, Inc. 5

6 Installatie van VMware Identity Manager voorbereiden 1 Voor de taken om VMware Identity Manager te implementeren en in te stellen, moet u de voorwaarden voltooien, het OVA-bestand van VMware Identity Manager implementeren en de installatie via de VMware Identity Manager-installatiewizard voltooien. VMware, Inc. 6

7 Figuur 1 1. VMware Identity Manager -architectuurdiagram voor gewone implementaties VMware Identity Manager FQDN: myidentitymanager.mycompany.com Mobiel apparaat DMZ HTTPS (443) Internet Laptop Reverse proxy TCP/UDP (88) - Alleen voor ios PC Interne load-balancer myidentitymanager.mycompany.com Bedrijfszone Laptop HTTPS (443) HTTPS PCoIP Zakelijke LAN-gebruikers PC TCP/UDP (88) - Alleen voor ios VDI (HTML) View Conn. -server VDI (PCoIP/RDP) HTTPS (443) VMware Identity Manager va DNS/NTP -services RSA SecurID AD/directory -services Externe database ThinApp -opslagplaats Citrix -server AirWatch REST API Opmerking Als u van plan bent om verificatie op basis van certificaten of smartcards in te schakelen, gebruikt u de instelling SSL-doorvoer van de load balancer in plaats van de instelling SSL beëindigen. Deze configuratie zorgt ervoor dat de SSL-handshake tussen VMware Identity Manager Connector en de client bestaat. Opmerking Afhankelijk van de locatie van de Workspace ONE UEM-implementatie kunnen de Workspace ONE UEM REST API's zich in de cloud of op locatie bevinden. Dit hoofdstuk omvat de volgende onderwerpen: Vereisten voor systeem- en netwerkconfiguratie Voorbereiding op de implementatie van VMware Identity Manager Customer Experience Improvement Program VMware, Inc. 7

8 Vereisten voor systeem- en netwerkconfiguratie Denk na over uw gehele implementatie, onder andere over hoe u bronnen integreert, en wanneer u beslissingen neemt over hardware, bronnen en netwerkvereisten. Ondersteund versies van vsphere en ESX De volgende vsphere- en ESXi-serverversies worden ondersteund: 5.5 en hoger 6.0 en hoger Groottevereisten voor de hardware Zorg ervoor dat u voldoet aan de vereisten voor het aantal virtual appliances van VMware Identity Manager en de bronnen die zijn toegewezen aan elke appliance. Aantal gebruikers Tot Aantal VMware Identity Manager-servers 1 server 3 servers met load balancing 3 servers met load balancing 3 servers met load balancing 3 servers met load balancing CPU (per server) 2 CPU's 2 CPU's 4 CPU's 8 CPU's 8 CPU's RAM (per server) 6 GB 6 GB 8 GB 16 GB 32 GB Schijfruimte (per server) 60 GB 100 GB 100 GB 100 GB 100 GB Zorg ervoor dat u voldoet aan de volgende vereisten voor het aantal instanties van de VMware Identity Manager-connector. Aantal gebruikers Tot Aantal connectorservers 1 server 2 servers met load balancing 2 servers met load balancing 2 servers met load balancing 2 servers met load balancing CPU (per server) 2 CPU's 4 CPU's 4 CPU's 4 CPU's 4 CPU's RAM (per server) 6 GB 6 GB 8 GB 16 GB 16 GB Schijfruimte (per server) 60 GB 60 GB 60 GB 60 GB 60 GB Databasevereisten Stel VMware Identity Manager in met een externe Microsoft SQL-database om servergegevens op te slaan en te ordenen. Raadpleeg voor meer informatie over de Microsoft SQL-databaseversies en servicepackconfiguraties die worden ondersteund, de VMware-productinteroperabiliteitsmatrix op VMware, Inc. 8

9 De volgende vereisten gelden voor een externe SQL Server-database. De exacte specificaties die nodig zijn voor uw SQL-server, zijn afhankelijk van de grootte en de behoeften van uw implementatie. Aantal gebruikers Tot CPU 2 CPU's 2 CPU's 4 CPU's 8 CPU's 8 CPU's RAM 4 GB 4 GB 8 GB 16 GB 32 GB Schijfruimte 50 GB 50 GB 50 GB 100 GB 100 GB De SQL Server AlwaysOn-mogelijkheid is een combinatie van failoverclustering en databasespiegeling met logboekverzending voor hoge beschikbaarheid. AlwaysON staat meerdere leesexemplaren van uw database en één lees- en schrijfexemplaar voor bewerkingen toe. Als uw implementatieomgeving voldoende bandbreedte heeft voor het gegenereerde verkeer, ondersteunt de VMware Identity Managerdatabase AlwaysOn. Vereisten voor netwerkconfiguratie Onderdeel DNS-record en IP-adres Firewallpoort Reverse proxy Minimumvereiste IP-adres en DNS-record Zorg ervoor dat de ingaande firewallpoort 443 naar de VMware Identity Managerinstantie of de load balancer is geopend voor gebruikers. Implementeer een reverse proxy zoals F5 Access Policy Manager in DMZ om gebruikers toe te staan op afstand toegang te krijgen tot de VMware Identity Managergebruikersportal. VMware Unified Access Gateway 2.8 en hoger biedt ondersteuning voor de functie reverse proxy zodat gebruikers op een veilige manier op afstand toegang hebben tot de uniforme catalogus van VMware Identity Manager. Unified Access Gateway kan worden geïmplementeerd in de DMZ achter de front-end load balancers van de VMware Identity Manager-appliance. Vereisten voor de poorten De poorten die worden gebruikt in de serverconfiguratie, worden hieronder beschreven. Uw implementatie kan slechts een subset van deze poorten bevatten. Bijvoorbeeld: Als u gebruikers en groepen wilt synchroniseren vanuit Active Directory, moet VMware Identity Manager zijn verbonden met Active Directory. Als u wilt synchroniseren met ThinApp, moet de VMware Identity Manager aan het Active Directorydomein worden toegevoegd en zijn verbonden met de ThinApp-opslagplaats-share. VMware, Inc. 9

10 Poort Protocol Source Target Beschrijving 443 HTTPS Load balancer VMware Identity Manager-machine 443 HTTPS VMware Identity Manager Load balancer Nodig om de volledig gekwalificeerde domeinnaam van de load balancer te valideren wanneer deze is ingesteld. 443, 8443 HTTPS/HTTP VMware Identity Manager-machine VMware Identity Manager-machine Voor alle VMware Identity Manager-instanties in een cluster en in meerdere clusters in verschillende datacenters. 443 HTTPS Browsers VMware Identity Manager-machine 443, 80 HTTPS, HTTP VMware Identity Manager-machine 443 HTTPS VMware Identity Manager-machine 443 HTTPS VMware Identity Manager-machine vapp-updates.vmware.com discovery.awmdm.com catalog.vmwareidentity.com Toegang tot de upgradeserver Toegang voor automatische ontdekking van Workspace ONE App Toegang tot cloudcatalogus 8443 HTTPS Browsers VMware Identity Manager-machine Poort voor beheerders 25 SMTP VMware Identity Manager-machine SMTP Poort om uitgaande s door te geven LDAP LDAPS MSFT-GC MSFT-GC-SSL VMware Identity Manager-machine Active Directory De standaardwaarden worden weergegeven. Deze poorten kunnen worden geconfigureerd. 445 TCP VMware Identity Manager-machine 5500 UDP VMware Identity Manager-machine VMware ThinApp-opslagplaats RSA SecurID-systeem Toegang tot de ThinAppopslagplaats De standaardwaarde wordt weergegeven. Deze poort kan worden geconfigureerd. VMware, Inc. 10

11 Poort Protocol Source Target Beschrijving 53 TCP/UDP VMware Identity Manager-machine DNS-server Elke virtual appliance moet toegang hebben tot de DNSserver op poort 53 en inkomend SSHverkeer moet zijn ingeschakeld op poort , 464, 135, 445 TCP/UDP VMware Identity Manager-machine Domeincontroller TCP UDP VMware Identity Manager-machine 5701 TCP VMware Identity Manager-machine VMware Identity Manager-machine VMware Identity Manager-machine Auditbehoeften Hazelcast-cache TCP VMware Identity Manager-machine VMware Identity Manager-machine Ehcache 1433 TCP VMware Identity Manager-machine Database De standaardpoort voor Microsoft SQL is VMware Identity Manager Horizon-server Toegang tot Horizonserver 80, 443 TCP VMware Identity Manager Integration Broker-server Verbinding met de Integration Broker. De poortoptie is afhankelijk van de installatie van een certificaat op de Integration Brokerserver 443 HTTPS VMware Identity Manager Workspace ONE UEM (AirWatch) REST API Voor compliancecontrole van het apparaat en de verificatiemethode van het AirWatch Cloud Connectorwachtwoord, als dat wordt gebruikt. 88 UDP Unified Access Gateway VMware Identity Manager-machine UDP-poort die moet worden geopend voor mobiele SSO 5262 TCP mobiel Android-apparaat Workspace ONE UEM (AirWatch) HTTPS-proxyservice Workspace ONE UEM (AirWatch) Tunnel-client leidt verkeer naar de HTTPS-proxy voor Android-apparaten. VMware, Inc. 11

12 Poort Protocol Source Target Beschrijving 88 UDP mobiel ios-apparaat VMware Identity Manager-machine Poort die wordt 443 HTTPS/TCP gebruikt voor Kerberos-verkeer van ios-apparaten naar de in de cloud gehoste KDCservice. 514 UDP VMware Identity Manager-machine 88 UDP VMware Identity Manager-machine syslog-server Hybride KDC-server in de cloud. Hostnaam is kdc.<realm>. Bijvoorbeeld: kdc.op.vmwareidentity.com UDP Voor externe Syslogserver, indien geconfigureerd UDP-poort die wordt gebruikt om configuratie-updates van de verificatieadapter voor Mobiele SSO voor ios te verifiëren die in de KDCservice in de cloud worden opgeslagen. Deze poort wordt alleen gebruikt als de hybride KDC-functie Mobiele SSO voor ios wordt gebruikt. Tijdsynchronisatie Het configureren van tijdsynchronisatie voor alle instanties van de VMware Identity Manager-service en - connector is vereist om een VMware Identity Manager-implementatie goed te laten functioneren. Zie Tijdsynchronisatie voor de VMware Identity Manager-service (Linux) configureren voor informatie over het configureren van tijdsynchronisatie voor de VMware Identity Manager-service. Zie VMware Identity Manager-connector installeren en configureren (Windows) voor informatie over het configureren van tijdsynchronisatie voor VMware Identity Manager Connector. Ondersteunde directory's U kunt uw bedrijfsdirectory integreren met VMware Identity Manager om gebruikers en groepen van uw bedrijfsdirectory te synchroniseren met de service. De Active Directory-omgeving kan bestaan uit één domein van Active Directory, meerdere domeinen in één forest van Active Directory of meerdere domeinen over meerdere forests van Active Directory. VMware, Inc. 12

13 VMware Identity Manager ondersteunt Active Directory in Windows 2008, 2008 R2, 2012 en 2012 R2 en 2016 met het functionaliteitsniveau domein en het functionaliteitsniveau forest voor Windows 2003 en hoger. Opmerking Voor bepaalde functies is mogelijk een hoger functioneel niveau vereist. Bijvoorbeeld: als u wilt dat gebruikers de Active Directory-wachtwoorden kunnen wijzigen via Workspace ONE, moet het functionaliteitsniveau Domein Windows 2008 of hoger zijn. Ondersteunde webbrowsers om toegang te krijgen tot de VMware Identity Manager -console De VMware Identity Manager-console is een webapplicatie die u gebruikt om uw tenant te beheren. U kunt de VMware Identity Manager-console benaderen vanaf de laatste versies van Mozilla Firefox, Google Chrome, Safari, Microsoft Edge en Internet Explorer 11. Opmerking In Internet Explorer 11 moet JavaScript zijn ingeschakeld en moeten cookies worden toegestaan om te kunnen verifiëren via VMware Identity Manager. Ondersteunde browsers voor toegang tot Workspace ONE-portal Eindgebruikers hebben toegang tot de Workspace ONE-portal via de volgende browsers. Mozilla Firefox (meest recente versie) Google Chrome (meest recente versie) Safari (meest recente versie) Internet Explorer 11 Microsoft Edge-browser Systeemeigen browser en Google Chrome op Android-apparaten Safari op ios-apparaten Opmerking In Internet Explorer 11 moet JavaScript zijn ingeschakeld en moeten cookies worden toegestaan om te kunnen verifiëren via VMware Identity Manager. Voorbereiding op de implementatie van VMware Identity Manager Voordat u VMware Identity Manager implementeert, moet u uw omgeving voorbereiden. Deze voorbereiding omvat het downloaden van het VMware Identity Manager OVA-bestand, het maken van DNS-records, en het verkrijgen van IP-adressen. VMware, Inc. 13

14 Voorwaarden Voordat u met de installatie van VMware Identity Manager begint, voltooit u eerst de vereiste taken. U hebt één of meer ESX-servers nodig om de virtual appliance van VMware Identity Manager te implementeren. Opmerking Raadpleeg voor meer informatie over ondersteunde vsphere- en ESX-serverversies de VMware-productinteroperabiliteitsmatrices op Voor VMware vsphere Client of vsphere Web Client moet het OVA-bestand worden geïmplementeerd en moet er op afstand verbinding worden gemaakt met de geïmplementeerde virtual appliance om netwerken te configureren. Download het VMware Identity Manager OVA-bestand van de VMware-website. Maak DNS-records en IP-adressen Een DNS-vermelding en een statisch IP-adres moeten beschikbaar zijn voor de virtual appliance van de VMware Identity Manager. Aangezien elk bedrijf zijn IP-adressen en DNS-records op een andere wijze beheert, vraagt u, voordat u met de installatie begint, om de DNS-record en de IP-adressen die u wilt gebruiken. Reverse lookup configureren is optioneel. Wanneer u reverse lookup implementeert, moet u een PTRrecord definiëren op de DNS-server, zodat de virtual appliance de juiste netwerkconfiguratie gebruikt. U kunt de volgende lijst voorbeelden van DNS-records gebruiken wanneer u uw netwerkbeheerder spreekt. Vervang de voorbeeldinformatie door informatie uit uw omgeving. Dit voorbeeld toont forward DNS-records en IP-adressen. Tabel 1 1. Voorbeelden van forward DNS-records en IP-adressen Domeinnaam Brontype IP-adres myidentitymanager.example.com De Dit voorbeeld toont reverse DNS-records en IP-adressen. Tabel 1 2. Voorbeelden van reverse DNS-records en IP-adressen IP-adres Brontype Hostnaam PTR myidentitymanager.example.com Nadat u de configuratie vlan DNS heeft voltooid, controleert u of de reverse DNS-lookup goed is geconfigureerd. De opdracht host IPaddress van de virtual appliance moet bijvoorbeeld leiden tot het opzoeken van de DNS-naam. Kerberos-verificatie plannen Als u van plan bent om Kerberos-verificatie in te stellen, moet u rekening houden met de volgende voorwaarden: VMware, Inc. 14

15 In een scenario waarbij u VMware Identity Manager Connector voor Kerberos-verificatie gebruikt, moet de hostnaam van de connector overeenkomen met het Active Directory-domein waaraan de connector wordt toegevoegd. Bijvoorbeeld: als het Active Directory-domein sales.example.com is, moet de hostnaam van de connector connectorhost.sales.example.com zijn. Als u geen hostnaam kunt toewijzen die overeenkomt met de structuur van het Active Directory-domein, moet u de connector en Active Directory handmatig configureren. Zie de Knowledge Base voor meer informatie. Een op Unix/Linux gebaseerde DNS-server gebruiken Als u een op Unix of Linux gebaseerde DNS-server gebruikt en van plan bent om de van de VMware Identity Manager toe te voegen aan het domein van Active Directory, zorgt u ervoor dat de juiste servicebronrecords (SRV) voor elke domeincontroller van Active Directory worden gemaakt. Opmerking Als u een load balancer heeft met een Virtual IP-adres (VIP) vóór de DNS-servers, houd er dan rekening mee dat VMware Identity Manager het gebruik van een VIP niet ondersteunt. U kunt meerdere DNS-servers specificeren die door een komma worden gescheiden. De database van VMware Identity Manager Service maken De VMware Identity Manager-service heeft een externe Microsoft SQL Server-database nodig om servergegevens op te slaan en te ordenen. Voordat u VMware Identity Manager installeert moet uw databasebeheerder een lege Microsoft SQL Server-database en een schema voorbereiden. Wanneer u verbinding maakt met de Microsoft SQL-server, voert u de naam van de instantie in waarmee u verbinding wilt maken, evenals de verificatiemodus. U kunt de Windows-verificatiemodus selecteren en domein\gebruikersnaam opgeven, of de SQL Server-verificatiemodus selecteren en de lokale gebruikersnaam en het wachtwoord opgeven. U brengt een koppeling tot stand met de externe databaseverbinding wanneer u de VMware Identity Manager-installatiewizard uitvoert. U kunt ook naar de pagina Appliance-instellingen > VA-configuratie > Installatie databaseverbinding gaan om de verbinding met de externe database te configureren. U kunt Microsoft SQL Server gebruiken om een databaseomgeving met hoge beschikbaarheid in te stellen. Een interne Postgres SQL-database is in de VMware Identity Manager-appliance ingebouwd, maar het is niet raadzaam om de interne database te gebruiken bij productie-implementaties. De Microsoft SQL-database met Windows-verificatiemodus configureren Om een Microsoft SQL-database voor de VMware Identity Manager te gebruiken, moet u een nieuwe database in de Microsoft SQL-server maken. Tijdens de installatie moet u een verificatiemodus voor de database selecteren. Als u Windows-verificatie selecteert wanneer u de database maakt, voert u de gebruikersnaam en het domein in. De gebruikersnaam en het domein worden ingevoerd als domain\username. VMware, Inc. 15

16 Wanneer u de Microsoft SQL-opdrachten uitvoert, maakt u een database op de Microsoft SQL-server, voert u de naam van de database in, voegt u de aanmeldgegevens van de gebruiker toe en maakt u het schema. De naam van het schema is saas. Opmerking De standaardsortering is hoofdlettergevoelig. Voorwaarden Ondersteunde versie van de Microsoft SQL-server is geïnstalleerd als een externe databaseserver. Implementatie van load-balancer is geconfigureerd. Windows-verificatie is geselecteerd als verificatiemodus. Beheerdersrechten om databasecomponenten te openen en te maken met behulp van Microsoft SQL Server Management Studio of van een andere Microsoft SQL Server CLI client. Procedure 1 Meld u aan op de sessie van Microsoft SQL Server Management Studio als de systeembeheerder van een gebruikersaccount met rechten van een systeembeheerder. Het editorvenster verschijnt. 2 Klik in de werkbalk op Nieuwe zoekopdracht. 3 Als u de database met het standaardschema saas wilt maken, voert u de volgende opdrachten in het editorvenster in. /* Values within angle brackets (< >) are example values. When replacing the example value, remove the angle brackets. The database name is case sensitive. Make sure you enter the database name the same in all instances. */ CREATE DATABASE <saasdb> COLLATE Latin1_General_CS_AS; ALTER DATABASE <saasdb> SET READ_COMMITTED_SNAPSHOT ON; GO IF NOT EXISTS (SELECT name FROM master.sys.server_principals WHERE name=n'<domain\username>') BEGIN CREATE LOGIN [<domain\username>] FROM WINDOWS; END GO USE <saasdb>; IF EXISTS (SELECT * FROM sys.database_principals WHERE name=n'<domein\gebruikersnaam>') DROP USER [<domein\gebruikersnaam>] GO VMware, Inc. 16

17 CREATE USER [<domein\gebruikersnaam>] FOR LOGIN [<domein\gebruikersnaam>] WITH DEFAULT_SCHEMA=saas; GO CREATE SCHEMA saas AUTHORIZATION "<domein\gebruikersnaam>" GRANT ALL ON DATABASE::<saasdb> TO "<domein\gebruikersnaam>"; GO ALTER ROLE db_owner ADD MEMBER "<domein\gebruikersnaam>"; GO 4 Klik op de werkbalk op Uitvoeren. De databaseserver van Microsoft SQL is nu klaar om te worden verbonden met de database van VMware Identity Manager. De serverrol die is gebruikt om beveiligingsmachtigingen te verlenen voor de hele server, is ingesteld op openbaar. Het lidmaatschap van de databaserol is db_owner. Stel geen andere rollen in. Wanneer u VMware Identity Manager voor Windows installeert, selecteert u deze instantie van de databaseserver om er verbinding mee te maken. Na de installatie worden de JDBC-URL en de gebruikersnaam en het wachtwoord die voor de database zijn gemaakt, geconfigureerd op de pagina Installatie databaseverbinding op de VMware Identity Manager-server. Zie VMware Identity Manager configureren om een externe database te gebruiken. Microsoft SQL-database configureren met lokale SQL Serververificatiemodus Om een Microsoft SQL-database voor de VMware Identity Manager te gebruiken, moet u een nieuwe database in de Microsoft SQL-server maken. Tijdens de installatie moet u een verificatiemodus voor de database selecteren. Als u SQL Server-verificatie selecteert wanneer u de database maakt, voert u een lokale gebruikersnaam en wachtwoord in. Wanneer u de Microsoft SQL-opdrachten uitvoert, maakt u een database op de Microsoft SQL-server, voert u de naam van de database in, voegt u de aanmeldgegevens van de gebruiker toe en maakt u het schema. Het schema wordt saas genoemd. Opmerking De standaarddatabasesortering is hoofdlettergevoelig. Voorwaarden Ondersteunde versie van de Microsoft SQL-server is geïnstalleerd als een externe databaseserver. Implementatie van load-balancer is geconfigureerd. SQL Server-verificatie is geselecteerd als verificatiemodus. Beheerdersrechten om databasecomponenten te openen en te maken met behulp van Microsoft SQL Server Management Studio of van een andere Microsoft SQL Server CLI client. VMware, Inc. 17

18 Procedure 1 Meld u aan op de sessie van Microsoft SQL Server Management Studio als de systeembeheerder van een gebruikersaccount met rechten van een systeembeheerder. Het editorvenster verschijnt. 2 Klik in de werkbalk op Nieuwe zoekopdracht. 3 Als u de database met het standaardschema saas wilt maken, voert u de volgende opdrachten in het editorvenster in. /* Values within angle brackets (< >) are example values. When replacing the example value, remove the angle brackets. The database name is case sensitive. Make sure you enter the database name the same in all instances. */ CREATE DATABASE <saasdb> COLLATE Latin1_General_CS_AS; ALTER DATABASE <saasdb> SET READ_COMMITTED_SNAPSHOT ON; GO BEGIN CREATE LOGIN <gebruikersnaam_aanmelding> WITH PASSWORD = N'<wachtwoord>'; END GO USE <saasdb>; IF EXISTS (SELECT * FROM sys.database_principals WHERE name=n'<gebruikersnaam_aanmelding>') DROP USER [<loginusername>] GO CREATE USER [<gebruikersnaam_aanmelding>] FOR LOGIN [<gebruikersnaam_aanmelding>] WITH DEFAULT_SCHEMA=saas; GO CREATE SCHEMA saas AUTHORIZATION <gebruikersnaam_aanmelding> GRANT ALL ON DATABASE::<saasdb> TO <gebruikersnaam_aanmelding>; GO ALTER ROLE [db_owner] ADD MEMBER <gebruikersnaam_aanmelding>; GO 4 Klik op de werkbalk op Uitvoeren. De databaseserver van Microsoft SQL is nu klaar om te worden verbonden met de database van VMware Identity Manager. De serverrol die is gebruikt om beveiligingsmachtigingen te verlenen voor de hele server, is ingesteld op openbaar. Het lidmaatschap van de databaserol is db_owner. Stel geen andere rollen in. VMware, Inc. 18

19 Wanneer u VMware Identity Manager voor Windows installeert, selecteert u deze instantie van de databaseserver om er verbinding mee te maken. Na de installatie worden de JDBC-URL en de gebruikersnaam en het wachtwoord die voor de database zijn gemaakt, geconfigureerd op de pagina Installatie databaseverbinding op de VMware Identity Manager-server. Zie VMware Identity Manager configureren om een externe database te gebruiken. Bevestigen dat de Microsoft SQL-database correct is geconfigureerd Om te bevestigen dat de Microsoft SQL-database correct is geconfigureerd om te werken met VMware Identity Manager, wordt het volgende script uitgevoerd nadat de database is geconfigureerd. Voorwaarden De Microsoft SQL-database wordt gemaakt voor VMware Identity Manager Service. Procedure 1 Meld u aan bij de Microsoft SQL Server Management Studio-sessie met uw <saasdb>gebruikersnaam en -wachtwoord voor aanmelding die zijn gemaakt in het script dat u heeft gebruikt om de database te maken. Het editorvenster verschijnt. 2 Klik in de werkbalk op Nieuwe zoekopdracht. 3 Voer de volgende opdrachten uit. Bewerk de opdrachten zoals vereist. execute as user = 'domain\username' /* Check if user is db owner. Return true */ SELECT IS_ROLEMEMBER('db_owner') as isrolemember /* Make sure user is not sysadmin. Should return false */ SELECT IS_SRVROLEMEMBER('sysadmin') as issysadmin /* check if saas schema exists, should be not null */ SELECT SCHEMA_ID('saas') as schemaid /* check schema owner, should be user provided to installer */ SELECT SCHEMA_OWNER FROM INFORMATION_SCHEMA.SCHEMATA where SCHEMA_NAME='saas' /* check if saas is user default schema, should return saas */ SELECT SCHEMA_NAME() as SchemaName /* check db collation, should return Latin1_General_CS_AS */ SELECT DATABASEPROPERTYEX('<saasdb>', 'Collation') AS Collation /* check if read committed snapshot is on, should return true */ SELECT is_read_committed_snapshot_on FROM sys.databases WHERE name='<saasdb>' VMware, Inc. 19

20 4 Klik op de werkbalk op Uitvoeren. Als de configuratie onjuist is, worden foutberichten weergegeven. Voordat u doorgaat en het gebruik van de externe Microsoft SQL-database door de VMware Identity Manager-service configureert, corrigeert u de problemen zoals beschreven in de foutberichten. VMware Identity Manager configureren om een externe database te gebruiken Als, nadat u de Microsoft SQL-database hebt gemaakt, de externe database die u heeft gemaakt niet automatisch wordt geconfigureerd in VMware Identity Manager, kunt u op de pagina Applianceinstellingen VMware Identity Manager configureren om de database te gebruiken. Voorwaarden De database met het SaaS-schema die in de Microsoft SQL-server is gemaakt als externe databaseserver. Zie de VMware-matrices voor interoperabiliteit van producten voor informatie over specifieke versies die worden ondersteund door VMware Identity Manager. Procedure 1 Klik in de VMware Identity Manager-console op Appliance-instellingen en selecteer VAconfiguratie. 2 Klik op Configuratie beheren. 3 Meld u aan met het beheerderswachtwoord van VMware Identity Manager. 4 Op de Setuppagina van de databaseverbinding selecteert u Externe database als het databasetype. 5 Voer informatie in over de databaseverbinding. a Typ de JDBC-URL van de Microsoft SQL-databaseserver. Verificatiemodus Windows-verificatie (domein\gebruiker) JDBC-URL-tekenreeks jdbc:jtds:sqlserver://<hostname_or_ip_address:port#>/<saasdb>;integra tedsecurity=true;domain=<domainname>;usentlmv2=true SQL Server-verificatie (lokale gebruiker) jdbc:sqlserver://<hostname_or_ip_address:port#>;databasename=<saasdb> Opmerking Als u de mogelijkheid SQL Server AlwaysOn wilt inschakelen, moet u MultiSubNetFailover instellen op True in SQL. De tekenreeks van de JDBC-URL is jdbc:jtds:sqlserver://<hostname_or_ip_address:port#>/<saasdb>;integratedsecurity=true;domain=<d omainname>;usentlmv2=true;multisubnetfailover=true b Voer de gebruikersnaam en het wachtwoord voor aanmelding in die u heeft geconfigureerd bij het maken van de database. Zie Microsoft SQL-database configureren met lokale SQL Serververificatiemodus. VMware, Inc. 20

21 6 Klik op Verbinding testen om de informatie te controleren en op te slaan. Wat nu te doen (Optioneel) Wijzig de lidmaatschapsmachtigingen voor databaserol db_owner. Zie Wijzig Rollen op database-niveau. Wijzig Rollen op database-niveau Wanneer het saas-schema wordt gebruikt voor het maken van de Microsoft SQL-database voor de VMware Identity Manager-service, wordt lidmaatschap van de databaserol toegekend aan de rol db_owner. Leden van de vaste databaserol db_owner kunnen alle configuraties en onderhoudsactiviteiten in de database uitvoeren. Nadat de database is ingesteld en geconfigureerd in de VMware Identity Manager-service, kunt u toegang tot db_owner intrekken en db_datareader en db_datawriter toevoegen als de databaserollen. Leden van de rol db_datareader kunnen alle gegevens van alle gebruikerstabellen lezen. Leden van de rol db_datawriter kunnen gegevens in alle gebruikerstabellen toevoegen, verwijderen of wijzigen. Opmerking Als u toegang tot db_owner intrekt, moet u ervoor zorgen dat de rol db_owner opnieuw wordt toegekend voordat u een upgrade naar een nieuwe versie van VMware Identity Manager start. Voorwaarden Gebruikersrol voor de Microsoft SQL Server Management Studio als systeembeheerder of als een gebruikersaccount met rechten van een systeembeheerder. Procedure 1 Maak verbinding met de database-instantie <saasdb> voor VMware Identity Manager in de Microsoft SQL Server Management Studio-sessie als beheerder met rechten van een systeembeheerder. 2 Voor het intrekken van de rol db_owner in de database, voert u de volgende opdracht in Verificatiemodus Windows-verificatie (domein\gebruiker) SQL Server-verificatie (lokale gebruiker) Opdracht ALTER ROLE db_owner DROP MEMBER <domain\username>; ALTER ROLE db_owner DROP MEMBER <loginusername>; VMware, Inc. 21

22 3 Rollidmaatschap db_datawriter en db_datareader toevoegen aan de database. Verificatiemodus Windows-verificatie (domein\gebruiker) Opdracht ALTER ROLE db_datawriter ADD MEMBER <domain\username>; GO ALTER ROLE db_datareader ADD MEMBER <domain\username>; GO SQL Server-verificatie (lokale gebruiker) ALTER ROLE db_datawriter ADD MEMBER <loginusername>; GO ALTER ROLE db_datareader ADD MEMBER <loginusername>; GO De interne database beheren Standaard is de interne PostgreSQL-database geconfigureerd en klaar voor gebruik. Het gebruik van de interne database wordt afgeraden bij productie-implementaties. Wanneer de VMware Identity Manager is geïnstalleerd en geactiveerd, wordt tijdens het initialisatieproces een willekeurig wachtwoord voor de gebruiker van de interne database gegenereerd. Dit wachtwoord is uniek voor elke implementatie en staat in het bestand /usr/local/horizon/conf/db.pwd. Instellingen voor automatische groei van de SQL-serverdatabase wijzigen Wanneer u de database maakt, is de standaardinstelling voor automatische groei 1 MB voor gegevensbestanden. De instelling voor automatische groei van de VMware Identity Manager-database moet naar 128 MB worden verhoogd. Als u de instelling voor automatische groei van het vidm-databasebestand wilt weergeven, navigeert u naar Database-eigenschappen > Bestanden. De instelling wordt in de kolom Automatische groei/maximale grootte weergegeven. Procedure 1 Meld u bij de Microsoft SQL Server Management Studio-sessie aan als systeembeheerder of met een gebruikersaccount met systeembeheerdersrechten. 2 Klik in de werkbalk op Nieuwe query. 3 Voer de volgende opdracht uit om de instelling voor automatische groei te wijzigen. ALTER DATABASE <saasdb> MODIFY FILE ( NAME = N'<saasdb>', FILEGROWTH = 128MB ) GO De instelling voor automatische groei is gewijzigd in 128 MB. VMware, Inc. 22

23 Implementatiecontrolelijsten U kunt de implementatiecontrolelijst gebruiken om de benodigde informatie te verzamelen om de virtual appliance van VMware Identity Manager te installeren. Informatie voor Fully Qualified Domain Name (FQDN) Tabel 1 3. Informatiecontrolelijst van Fully Qualified Domain Name (FQDN) Informatie om te verzamelen FQDN van VMware Identity Manager Vermeld de informatie Als u van plan bent om Kerberos-verificatie in te stellen, moet u rekening houden met de volgende voorwaarden. In een scenario waarbij u VMware Identity Manager Connector voor Kerberos-verificatie gebruikt, moet de hostnaam van de connector overeenkomen met het Active Directory-domein waaraan de connector wordt toegevoegd. Bijvoorbeeld: als het Active Directory-domein sales.example.com is, moet de hostnaam van de connector connectorhost.sales.example.com zijn. Als u geen hostnaam kunt toewijzen die overeenkomt met de structuur van het Active Directory-domein, moet u de connector en Active Directory handmatig configureren. Zie de Knowledge Base voor meer informatie. Netwerkinformatie voor de appliance van de VMware Identity Manager Tabel 1 4. Controlelijst van netwerkinformatie Informatie om te verzamelen IP-adres Vermeld de informatie Opmerking U moet een statisch IP-adres gebruiken en dit moet een PTR hebben, evenals een A-record die is gedefinieerd in de DNS. DNS-hostnaam voor elk knooppunt Standaard gateway-adres Netmask of prefix Directory-informatie VMware Identity Manager ondersteunt de integratie met omgevingen van Active Directory of LDAPdirectory. Tabel 1 5. Controlelijst van domeincontroller van Active Directory Informatie om te verzamelen Vermeld de informatie Servernaam van Active Directory Domeinnaam van Active Directory Basis-DN VMware, Inc. 23

24 Tabel 1 5. Controlelijst van domeincontroller van Active Directory (Vervolgd) Informatie om te verzamelen Vermeld de informatie Voor Active Directory over LDAP: de Bind-DN-gebruikersnaam en het wachtwoord Voor Active Directory met geïntegreerde Windows-verificatie: de gebruikersnaam en het wachtwoord van het account dat rechten heeft om computers aan het domein toe te voegen. Tabel 1 6. Informatiecontrolelijst van LDAP-directoryserver Informatie om te verzamelen Vermeld de informatie Naam of IP-adres van LDAP-directoryserver Poortnummer van LDAP-directoryserver Basis-DN Bind-DN-gebruikersnaam en wachtwoord LDAP-zoekfilters voor groepsobjecten, objecten van bindingsgebruikers en gebruikersobjecten LDAP-kenmerknamen voor lidmaatschap, object-uuid en kenmerkende naam (DN) SSL-certificaten U kunt een SSL-certificaat toevoegen nadat u de VMware Identity Manager-service heeft geïmplementeerd. Tabel 1 7. Informatiecontrolelijst SSL-certificaat Informatie om te verzamelen Vermeld de informatie SSL-certificaat Privésleutel Licentiecode Tabel 1 8. Informatiecontrolelijst van licentiecode van VMware Identity Manager Informatie om te verzamelen Vermeld de informatie Licentiecode Opmerking De informatie van de licentiecode wordt ingevoerd in de VMware Identity Manager-console op de pagina Appliance-instellingen > Licentie nadat de installatie is voltooid. VMware, Inc. 24

25 Externe database Tabel 1 9. Informatiecontrolelijst van externe database Informatie om te verzamelen Vermeld de informatie Hostnaam van database Poort Gebruikersnaam Wachtwoord Customer Experience Improvement Program Het Customer Experience Improvement Program ('CEIP') van VMware verstrekt VMware informatie op basis waarvan VMware zijn producten en services kan verbeteren, problemen kan oplossen en u kan adviseren hoe u producten het beste kunt implementeren en gebruiken. Als onderdeel van het CEIP verzamelt VMware regelmatig technische informatie over het gebruik van de producten en services van VMware door uw organisatie gerelateerd aan de VMware-licentiesleutel(s) van uw organisatie. Hierbij worden geen individuele persoonsgegevens geïdentificeerd. Als u niet wilt deelnemen aan het VMware CEIP voor dit product, schakelt u het selectievakje uit wanneer u VMware Identity Managerinstalleert. U kunt het CEIP op elk gewenst moment na de installatie verlaten en ook altijd opnieuw deelnemen aan het programma. Opmerking Als uw netwerk is geconfigureerd voor toegang tot internet via HTTP-proxy, om de gegevens die via het CEIP worden verzameld naar VMware te verzenden, moet u de proxyinstellingen in VMware Identity Manager aanpassen. VMware, Inc. 25

26 VMware Identity Manager 2 implementeren Om VMware Identity Manager te implementeren, implementeert u het OVF-sjabloon met behulp van de vsphere Client of de vsphere Web Client, schakelt u de virtual appliance van VMware Identity Manager in en configureert u de instellingen. Nadat de virtual appliance van VMware Identity Manager is geïmplementeerd, gebruikt u de wizard Setup om de omgeving van VMware Identity Manager te installeren. Gebruik de informatie in de implementatiecontrolelijst om de installatie te voltooien. Zie Implementatiecontrolelijsten. Dit hoofdstuk omvat de volgende onderwerpen: Het OVA-bestand van VMware Identity Manager installeren (Optioneel) IP-adresgroepen toevoegen Instellingen van VMware Identity Manager configureren Goedgekeurde IP-adressen aan uw externe firewall toevoegen Proxyserverinstellingen instellen voor VMware Identity Manager De licentiecode invoeren Het OVA-bestand van VMware Identity Manager installeren U implementeert het OVA-bestand van VMware Identity Manager met behulp van de vsphere Web Client. U kunt het OVA-bestand downloaden en implementeren vanaf een lokale locatie die toegankelijk is voor de vsphere Web Client, of implementeren vanaf een web-url. Opmerking Gebruik Firefox of Chrome om het OVA-bestand te implementeren. Gebruik geen Internet Explorer. Voorwaarden Controleer Hoofdstuk1Installatie van VMware Identity Manager voorbereiden. Procedure 1 Download het VMware Identity Manager OVA-bestand via My VMware. VMware, Inc. 26

27 2 Meld u aan bij de vsphere Web Client. 3 Selecteer Bestand > OVF-sjabloon implementeren. 4 In de wizard OVF-sjabloon implementeren geeft u de volgende informatie op. Pagina Bron OVF-sjabloondetails Licentieovereenkomst voor eindgebruikers Naam en Locatie Host / Cluster Brongroep Opslag Schijfindeling Netwerktoewijzing Beschrijving Blader naar de locatie van het OVA-pakket of voer de bijbehorende URL in. Controleer de productgegevens, waaronder de vereisten voor de versie en de grootte. Lees de licentieovereenkomst voor eindgebruikers en klik op Accepteren. Geef een naam op voor de virtual appliance van VMware Identity Manager. Dit moet een unieke naam in de inventarismap zijn van maximaal 80 tekens. Namen zijn hoofdlettergevoelig. Selecteer een locatie voor de virtual appliance. Selecteer de host of het cluster waarin u de virtual appliance wilt uitvoeren. Selecteer de brongroep. Selecteer de locatie voor de bestanden van de virtual appliance. U kunt ook een VM-opslagprofiel selecteren. Selecteer de schijfindeling voor de bestanden. Voor productieomgevingen selecteert u een van de Thick Provision-indelingen. Gebruik de Thin Provisionindeling voor evaluaties en tests. In de Thick Provision-indeling wordt alle benodigde ruimte voor de virtuele schijf toegewezen tijdens de implementatie. In de Thin Provision-indeling gebruikt de schijf alleen de hoeveelheid opslagruimte die nodig is voor de eerste bewerkingen. Wijs de netwerken die worden gebruikt in VMware Identity Manager toe aan netwerken in uw inventaris. VMware, Inc. 27

28 Pagina Beschrijving Eigenschappen Tijdzone-instelling Selecteer de juiste tijdzone. Deelnemen aan het VMware Customer Experience Improvement Program Dit product neemt deel aan het Customer Experience Improvement Program (CEIP) van VMware. Gedetailleerde informatie over de gegevens die worden verzameld via het CEIP en de doelen waarvoor deze gegevens worden gebruikt door VMware, vindt u in het Trust & Assurance Center op Als u niet wilt deelnemen aan het CEIP van VMware voor dit product, schakelt u het vakje uit. U kunt het CEIP op elk gewenst moment na de installatie verlaten en ook altijd opnieuw deelnemen aan het programma. Opmerking Als uw netwerk is geconfigureerd voor toegang tot internet via HTTP-proxy, om de gegevens die via het CEIP worden verzameld naar VMware te verzenden, moet u de proxyinstellingen op de virtual appliance van VMware Identity Manager aanpassen. Zie Proxyserverinstellingen instellen voor VMware Identity Manager. Hostnaam (FQDN) Voer de hostnaam in die u wilt gebruiken. Als dit vak leeg is, wordt de hostnaam opgezocht via een omgekeerde DNS-zoekactie. Netwerkeigenschappen Als u een statisch IP-adres wilt configureren voor VMware Identity Manager, geeft u het adres op in de velden Standaardgateway, DNS, IP-adres, en Netmask. Opmerking Als u een load balancer heeft met een Virtual IP-adres (VIP) vóór de DNS-servers, houd er dan rekening mee dat VMware Identity Manager het gebruik van een VIP niet ondersteunt. U kunt meerdere DNS-servers specificeren die door een komma worden gescheiden. Belangrijk Als u een van deze vier adresvelden niet invult en geen hostnaam opgeeft, wordt DHCP gebruikt. U stelt DHCP in door de adresvelden leeg te laten. Opmerking De velden Domeinnaam en Zoekpad van domein worden niet gebruikt. U kunt deze velden leeg laten. (Optioneel) Nadat VMware Identity Manager is geïnstalleerd, kunt u IP-groepen configureren. Zie (Optioneel) IP-adresgroepen toevoegen. Gereed om te voltooien Bekijk uw selecties en klik op Voltooien. De implementatie kan, afhankelijk van de netwerksnelheid, enige minuten duren. U kunt de voortgang volgen in het dialoogvenster dat wordt weergegeven. 5 Wanneer de implementatie is voltooid, klikt u op Sluiten in het voortgangsdialoogvenster. VMware, Inc. 28

29 6 Selecteer de virtual appliance van VMware Identity Manager die u heeft geïmplementeerd, klik er met de rechtermuisknop op en selecteer Energie > Inschakelen. De virtual appliance wordt geïnitialiseerd. Wanneer de initialisatie is voltooid, ziet u in het consolescherm de VMware Identity Manager-versie, het IP-adres en de URL's waarmee u zich bij de VMware Identity Manager-console kunt aanmelden om de installatie te voltooien. Wat nu te doen (Optioneel) Voeg IP-groepen toe. Configureer de instellingen voor VMware Identity Manager, waaronder de verbinding met uw Active Directory of LDAP-directory en selecteer gebruikers en groepen om te synchroniseren met VMware Identity Manager. (Optioneel) IP-adresgroepen toevoegen Netwerkconfiguratie met IP-adresgroepen is optioneel in VMware Identity Manager. U kunt handmatig IPadresgroepen toevoegen aan de virtual appliance van VMware Identity Manager nadat deze is geïnstalleerd. IP-adresgroepen werken als DHCP-servers om IP-adressen van de groep toe te wijzen aan de virtual appliance van VMware Identity Manager. Om de IP-adresgroepen te gebruiken, bewerkt u de netwerkeigenschappen van de virtual appliance om de eigenschappen aan te passen naar dynamische eigenschappen en om de netmask, gateway en DNS-instellingen te configureren. Voorwaarden De virtual appliance moet zijn uitgeschakeld. Procedure 1 In de vsphere Client of de vsphere Web Client klikt u met de rechtermuisknop op de virtual appliance van VMware Identity Manager en selecteert u Instellingen bewerken. 2 Selecteer het tabblad Opties. 3 Onder vapp-opties klikt u op Geavanceerd. 4 In de sectie Eigenschappen aan de rechterkant klikt u op de knop Eigenschappen. 5 In het dialoogvenster Geavanceerde configuratie van eigenschappen configureert u de volgende sleutels: vami.dns.identitymanager vami.netmask0.identitymanager vami.gateway.identitymanager a b Selecteer een van de sleutels en klik op Bewerken. In het dialoogvenster Instellingen van eigenschap bewerken, naast het veld Type, klikt u op Bewerken. VMware, Inc. 29

30 c d e In het dialoogvenster Eigenschaptype bewerken selecteert u Dynamische eigenschap en selecteert u de geschikte waarde uit het vervolgkeuzemenu voor Netmask, Gateway-adres en DNS-servers. Klik op OK en klik opnieuw op OK. Herhaal deze stappen om elke sleutel te configureren. 6 Start de virtual appliance. De eigenschappen zijn geconfigureerd om IP-adresgroepen te gebruiken. Wat nu te doen Configureer VMware Identity Manager-instellingen. Instellingen van VMware Identity Manager configureren Nadat de instantie van VMware Identity Manager is geïmplementeerd, gebruikt u de wizard Instellen om wachtwoorden in te stellen en een database te selecteren. Vervolgens stelt u de verbinding in naar uw Active Directory of LDAP-directory. Zorg ervoor dat u de installatiewizard met de volledig gekwalificeerde hostnaam uitvoert. Voer het IPadres niet als naam in. Voorwaarden De VMware Identity Manager-machine wordt ingeschakeld. De externe database wordt geconfigureerd en de verbindingsinformatie van de externe database is beschikbaar. Voordat u de installatiewizard uitvoert, controleert u of de configuratie van de database correct is. Zie De database van VMware Identity Manager Service maken voor informatie. Raadpleeg Integratie van directory's met VMware Identity Manager voor vereisten en beperkingen voordat u de directory instelt. U heeft de informatie van uw Active Directory of LDAP-directory. Wanneer multi-forest Active Directory is geconfigureerd en de lokale domeingroep bevat leden van domeinen in verschillende forests, moet de Bind DN-gebruiker die op de Directorypagina van VMware Identity Manager wordt gebruikt, worden toegevoegd aan de beheerdersgroep van het domein waarin de lokale domeingroep verblijft. Als u dit niet doet, ontbreken deze leden in de lokale domeingroep. U heeft een lijst met de gebruikerskenmerken die u als filters wilt gebruiken en een lijst met de groepen die u aan VMware Identity Manager wilt toevoegen. Groepsnamen worden onmiddellijk gesynchroniseerd naar de directory. Leden van een groep worden niet gesynchroniseerd tot de groep rechten heeft voor bronnen of is toegevoegd aan een beleidsregel. Gebruikers die zich moeten verifiëren voordat groepsrechten worden geconfigureerd, moeten rechtstreeks worden toegevoegd tijdens de oorspronkelijke configuratie. VMware, Inc. 30

31 Procedure 1 Ga naar de VMware Identity Manager-URL die werd weergegeven toen u de installatie voltooide. Voer de volledig gekwalificeerde domeinnaam (FQDN) in. Bijvoorbeeld 2 Accepteer het certificaat, indien hierom wordt gevraagd. U kunt het certificaat bijwerken na de initiële configuratie. 3 Klik op de pagina Aan de slag op Doorgaan. 4 Op de pagina Wachtwoorden instellen, stelt u wachtwoorden in voor de volgende beheerdersaccounts, die worden gebruikt om de appliance te beheren. Klik vervolgens op Doorgaan. Account Appliancebeheerder Stel het wachtwoord in voor de beheerdersgebruiker. Deze gebruikersnaam kan niet worden gewijzigd. Het account van de beheerdersgebruiker wordt gebruikt om de appliance-instellingen te beheren. Belangrijk Het wachtwoord voor de beheerdersgebruiker moet minstens zes tekens lang zijn. Rootgebruiker van appliance Gebruiker op afstand Stel het wachtwoord van de hoofdgebruiker in. De rootgebruiker heeft volledige rechten op de appliance. Stel het wachtwoord van de sshuser in, dat wordt gebruikt om u op afstand aan te melden op de appliance met een SSH-verbinding. 5 Op de pagina Database selecteren selecteert u de database die moet worden gebruikt. Zie VMware Identity Manager configureren om een externe database te gebruiken. Als u een externe database gebruikt, selecteert u Externe database en voert u de verbindingsinformatie in van de externe database, de gebruikersnaam en het wachtwoord. Om te controleren of VMware Identity Manager verbinding kan maken met de database, klikt u op Verbinding testen. Nadat u de verbinding heeft gecontroleerd, klikt u op Doorgaan. Als u de interne database gebruikt, klikt u op Doorgaan. Opmerking Het gebruik van de interne database wordt afgeraden bij productie-implementaties. De verbinding met de database wordt geconfigureerd en de database wordt opgestart. Wanneer het proces is voltooid, verschijnt de pagina Instellen is voltooid. Wat nu te doen Als u een directory wilt instellen, moet u eerst een of meer instanties van de VMware Identity Managerconnector installeren. Zie de betreffende versie van de handleiding VMware Identity Manager Connector installeren en configureren (Windows). VMware, Inc. 31

32 Goedgekeurde IP-adressen aan uw externe firewall toevoegen Wanneer u VMware Identity Manager met een externe firewall configureert, voegt u de IP-adresbereiken of URL's voor de volgende VMware Identity Manager-services aan een witte lijst toe om toegang tot die service te verlenen. Gebruik de opdracht nslookup of een ander hulpprogramma voor opdrachtregels om een query op het domeinnaamsysteem uit te voeren en de IP-adressen te verkrijgen die u aan de witte lijst van uw externe firewall kunt toevoegen. Service Domeinnaamsysteem Beschrijving VMware Identity Manager-catalogus catalog.vmwareidentity.com Voeg de URL's uit de lijst toe aan de witte lijst om ervoor te zorgen dat de inhoud van de catalogus toegankelijk is. Deze inhoud wordt ook geleverd via AWS CloudFront CDN, dat een eigen lijst met openbare IP-adressen onderhoudt. Zie udfront/latest/developerguide/locations OfEdgeServers.html. VMware Verify vmware.authy.com api.authy.com Als VMware Verify als verificatiemethode is geconfigureerd, voegt u de URL's uit deze lijsten toe aan de witte lijst. Hybride KDC kdc.op.<vmwareidentity.xxx> Wanneer hybride KDC is geconfigureerd voor uw gebruik van VMware Identity Manager op locatie, selecteert u een van de volgende domeinen om de URL's op te zoeken. vmwareidentity.ca vmwareidentity.com vmwareidentity.eu vmwareidentity.co.uk vmwareidentity.de vmwareidentity.com.au vmwareidentity.asia Updates van VMware Identity Manager vapp-updates.vmware.com Als u updates van VMware Identity Manager wilt ontvangen en patches van de VMware Update Manager wilt downloaden, voegt u de URL's uit de lijst toe aan de witte lijst. VMware, Inc. 32

33 Proxyserverinstellingen instellen voor VMware Identity Manager De virtual appliance van VMware Identity Manager heeft toegang tot de applicatiecatalogus in de cloud en andere webservices op internet. Als uw netwerkconfiguratie internettoegang biedt via een HTTP-proxy, moet u uw proxyinstellingen aanpassen in de VMware Identity Manager-appliance. Schakel uw proxy in om alleen internetverkeer te verwerken. Als u er zeker van wilt zijn dat de proxy goed is ingesteld, moet u de parameter voor intern verkeer binnen het domein instellen op no-proxy. Procedure 1 Meld u via de vsphere Client aan als rootgebruiker bij de virtual appliance van VMware Identity Manager. 2 Voer YaST in op de opdrachtregel om het hulpprogramma YaST uit te voeren. 3 Selecteer Netwerkservices in het linkerdeelvenster en selecteer Proxy. 4 Voer in de velden URL HTTP-proxy en URL HTTPS-proxy de URL's van de proxyserver in. 5 Selecteer Voltooien en sluit het hulpprogramma YaST af. 6 Herstart de Tomcat-server op de virtual appliance van VMware Identity Manager om de nieuwe proxyinstellingen te gebruiken. service horizon-workspace restart De catalogus met cloudapplicaties en andere webservices is nu beschikbaar in VMware Identity Manager. De licentiecode invoeren Nadat u het VMware Identity Manager-appliance hebt geïmplementeerd, voert u uw licentiecode in. Procedure 1 Meld u aan bij de VMware Identity Manager-console. 2 Selecteer het tabblad Appliance-instellingen en klik vervolgens op Licentie. 3 Op de pagina Licentie-instellingen voert u de licentiecode in en klikt u op Opslaan. VMware, Inc. 33

34 Instellingen voor VMware Identity Manager - configuratie beheren 3 Nadat de eerste configuratie van VMware Identity Manager is voltooid, kunt u naar de VMware Identity Manager-consolepagina's gaan om certificaten te installeren, wachtwoorden te beheren en logboekbestanden te downloaden. U kunt ook de database bijwerken, de Identity Manager FQDN wijzigen en een externe Syslog-server configureren. De pagina's met configuratie-instellingen zijn beschikbaar op het tabblad Appliance-instellingen in de Identity Manager-console. Naam van pagina Databaseverbinding SSL-certificaten installeren Identity Manager FQDN Syslog configureren Wachtwoord wijzigen Systeembeveiliging Locaties van logboekbestanden Beschrijving van instelling De instelling voor de databaseverbinding, intern of extern, is ingeschakeld. U kunt het type database wijzigen. Wanneer u Externe database selecteert, kunt u de URL van de externe database, de gebruikersnaam en het wachtwoord invoeren. Als u een externe database wilt instellen, raadpleegt u De database van VMware Identity Manager Service maken. Op de tabbladen van deze pagina kunt u een SSL-certificaat voor VMware Identity Manager installeren, het automatisch ondertekende rootcertificaat van VMware Identity Manager downloaden en vertrouwde rootcertificaten installeren. Bijvoorbeeld: als VMware Identity Manager achter een load balancer is geconfigureerd, kunt u het rootcertificaat van de load balancer installeren. Zie SSL-certificaten gebruiken. U kunt op deze pagina de VMware Identity Manager FQDN bekijken of wijzigen. De VMware Identity Manager FQDN is de URL waarmee gebruikers toegang krijgen tot de service. Op deze pagina kunt u een externe syslog-server inschakelen. Logboeken van VMware Identity Manager worden naar deze externe server verzonden. Zie Een Syslog-server configureren. Op deze pagina kunt u het beheerderswachtwoord van de VMware Identity Manager wijzigen. Op deze pagina kunt u het rootwachtwoord voor de VMware Identity Manager-appliance en het ssh-wachtwoord dat u gebruikt om u op afstand aan te melden, wijzigen. U kunt de logboeken in een zip-bestand downloaden. Zie Logboekbestandsgegevens. U kunt ook de connector-url wijzigen. Zie De connector-url aanpassen. VMware, Inc. 34

35 Dit hoofdstuk omvat de volgende onderwerpen: Configuratie-instellingen voor de appliance wijzigen SSL-certificaten gebruiken De URL van de VMware Identity Manager-service wijzigen De connector-url aanpassen Een Syslog-server configureren Logboekbestandsgegevens De wachtwoorden van uw appliance beheren SMTP-instellingen configureren Tijdsynchronisatie voor de VMware Identity Manager-service (Linux) configureren Configuratie-instellingen voor de appliance wijzigen Nadat u VMware Identity Manager hebt geconfigureerd, kunt u naar de pagina's met Applianceinstellingen gaan om de huidige configuratie bij te werken en systeeminformatie van de virtual appliance te bewaken. Procedure 1 Meld u aan bij de VMware Identity Manager-console. 2 Selecteer het tabblad Appliance-instellingen en klik op Configuratie beheren. 3 Meld u aan met het wachtwoord voor de servicebeheerder. 4 Selecteer in het linkerdeelvenster de pagina die u wilt bekijken of bewerken. Wat nu te doen Controleer of de instellingen of updates die u doorvoert, van kracht zijn. SSL-certificaten gebruiken Wanneer de VMware Identity Manager-appliance is geïnstalleerd, wordt automatisch een standaard SSLservercertificaat gegenereerd. U kunt dit automatisch ondertekende certificaat gebruiken voor algemene tests van uw implementatie. Een certificaatautoriteit (CA) is een vertrouwde entiteit die de identiteit van het certificaat en de maker garandeert. Wanneer een certificaat is ondertekend door een vertrouwde CA, ontvangen gebruikers geen berichten meer waarin ze worden gevraagd het certificaat te controleren. U kunt een ondertekend CA-certificaat installeren vanaf de pagina Appliance-instellingen > Configuratie beheren > SSL-certificaten installeren > Servercertificaten. VMware, Inc. 35

36 Als u VMware Identity Manager implementeert met het automatisch ondertekende SSL-certificaat, moet het CA-basiscertificaat beschikbaar zijn als vertrouwde CA voor alle clients die toegang hebben tot de VMware Identity Manager-service. De clients kunnen machines van eindgebruikers, load balancers, proxy's, enzovoort zijn. U kunt de root-ca downloaden van de pagina SSL-certificaten installeren > Servercertificaten. Wanneer VMware Identity Manager Connector is geïnstalleerd, wordt automatisch een zelfondertekend SSL-certificaat gegenereerd. U kunt dit automatisch ondertekende certificaat in de meeste gevallen blijven gebruiken. U kunt een ondertekend SSL-certificaat voor de connector installeren vanaf de beheerpagina's van de connector op Zie SSL-certificaten voor VMware Identity Manager Connector gebruiken. Een SSL-certificaat installeren voor de VMware Identity Manager - service Wanneer de VMware Identity Manager-service is geïnstalleerd, wordt een standaard SSLservercertificaat gegenereerd. U kunt dit automatisch ondertekende certificaat gebruiken voor testdoeleinden. U wordt aanbevolen voor uw productieomgeving SSL-certificaten te gebruiken die door een openbare certificaatautoriteit (CA) zijn ondertekend. Opmerking Als een load balancer vóór VMware Identity Manager de SSL beëindigt, wordt het SSLcertificaat toegepast op de load balancer. Voorwaarden Genereer een aanvraag voor certificaatondertekening (CSR) om een geldig, ondertekend SSLcertificaat van een certificaatautoriteit te verkrijgen. Het certificaat kan een PEM- of PFX-bestand zijn. Voor het onderdeel Algemene naam van de onderwerp-dn gebruikt u de volledig gekwalificeerde domeinnaam waarmee gebruikers toegang tot de VMware Identity Manager-service krijgen. Als de VMware Identity Manager-appliance zich achter een load balancer bevindt, is dit de servernaam van de load balancer. Als SSL niet wordt beëindigd op de load balancer, moet het SSL-certificaat dat wordt gebruikt door de service, alternatieve onderwerpnamen (SAN's) voor elk van de volledig gekwalificeerde domeinnamen in het VMware Identity Manager-cluster opnemen. Door de SAN op te nemen, kunnen de knooppunten in het cluster aanvragen bij elkaar indienen. Ook een SAN voor de FQDN-hostnaam die gebruikers gebruiken voor toegang tot VMware Identity Manager Service, naast het gebruik als algemene naam omdat sommige browsers dit vereisen. Procedure 1 Klik in de VMware Identity Manager-console op de tab Appliance-instellingen. 2 Klik op Configuratie beheren en voer het wachtwoord van de admingebruiker in. 3 Selecteer SSL-certificaten installeren > Servercertificaat. 4 Selecteer Aangepast certificaat op het tabblad SSL-certificaat. VMware, Inc. 36

37 5 Als u het certificaatbestand wilt importeren, klikt u op Bestand kiezen en gaat u naar het certificaatbestand dat u wilt importeren. Als een PEM-bestand wordt geïmporteerd, moet u ervoor zorgen dat het bestand de volledige certificaatketen in de juiste volgorde bevat. Voeg alle inhoud vanaf de regel -----BEGIN CERTIFICATE----- tot en met -----END CERTIFICATE---- in. 6 Als een PEM-bestand wordt geïmporteerd, importeert u de persoonlijke sleutel. Klik op Bestand kiezen en ga naar het bestand met de persoonlijke sleutel. Voeg alle inhoud tussen ----BEGIN RSA PRIVATE KEY en ---END RSA PRIVATE KEY in. Als een PFX-bestand wordt geïmporteerd, voert u het PFX-wachtwoord in. 7 Klik op Opslaan. Voorbeeld:Voorbeeld van PEM-certificaat Voorbeeld van certificaatketen -----BEGIN CERTIFICATE----- jlqvt9wdr9vpg3wqt5+c3hu17buowvhp/r0+... W53+O05j5xsxzDJfWr1lqBlFF/OkIYCPcyK END CERTIFICATE BEGIN CERTIFICATE----- WdR9Vpg3WQT5+C3HU17bUOwvhp/rjlQvt O05j5xsxzDJfWr1lqBlFF/OkIYCPW53+cyK END CERTIFICATE BEGIN CERTIFICATE----- dr9vpg3wqtjlqvt9w5+c3hu17buowvhp/r j5xsxzDJfWr1lqW53+O0BlFF/OkIYCPcyK END CERTIFICATE----- Voorbeeld van privésleutel -----BEGIN RSA PRIVATE KEY----- jlqvtg3wqt5+c3hu17bu9wdr9vpowvhp/r lqBlFFW53+O05j5xsxzDJfWr/OkIYCPcyK END RSA PRIVATE KEY----- VMware, Inc. 37

38 Vertrouwde rootcertificaten installeren Installeer de root- of tussencertificaten die moeten worden vertrouwd door de VMware Identity Managerserver. De VMware Identity Manager-server kan veilige verbindingen tot stand brengen met servers waarvan de certificaatketen een van deze certificaten bevat. Als de VMware Identity Manager-server achter een load balancer is geconfigureerd en SSL wordt beëindigd op de load balancer, moet u het rootcertificaat van de load balancer installeren. Procedure 1 Klik in de VMware Identity Manager-console op de tab Appliance-instellingen. 2 Klik op Configuratie beheren en voer het wachtwoord van de admingebruiker in. 3 Klik op SSL-certificaten installeren en selecteer het tabblad Vertrouwde CA's. 4 Plak het root- of tussencertificaat in het tekstvak. Voeg alle inhoud vanaf de regel -----BEGIN CERTIFICATE----- tot en met -----END CERTIFICATE---- in. 5 Klik op Toevoegen. Een passthrough-certificaat installeren Als u aanmelden met de certificaatverificatie wilt inschakelen, configureert u SSL-passthrough op de load balancer voor de poort die is gedefinieerd op het tabblad SSL-certificaten installeren > Passthroughcertificaat in de VMware Identity Manager -console. Als u certificaatverificatie voor een VMware Identity Manager-implementatie op locatie inschakelt, moet u SSL pass-through bij de load balancer instellen. Upload een rootcertificaat, tussenliggende certificaten en een persoonlijke sleutel naar het tabblad Passthrough-certificaat. Voor meer informatie over het configureren van SSL-passthrough met een load balancer raadpleegt u de publicatie VMware Identity Manager implementeren. U kunt ook een certificaat uploaden voor gebruik bij verificatie van Android SSO-apparaten. Zie de publicatie Mobiele Single Sign-On voor Android bij VMware Workspace ONE. De URL van de VMware Identity Manager-service wijzigen U kunt de URL van de VMware Identity Manager-service wijzigen. Dit is de URL die gebruikers gebruiken om toegang te krijgen tot de service. U kunt bijvoorbeeld de URL wijzigen in een URL voor een loadbalancer. Procedure 1 Meld u aan bij de VMware Identity Manager-console. 2 Klik op het tabblad Appliance-instellingen en selecteer vervolgens VA-configuratie. 3 Klik op Configuratie beheren en meld u aan met het wachtwoord van de beheerdersgebruiker. VMware, Inc. 38

39 4 Klik op Identity Manager FQDN en geef de nieuwe URL op in het veld Identity Manager FQDN. Gebruik de indeling Een poort specificeren is optioneel. De standaardpoort is 443. Bijvoorbeeld: 5 Klik op Opslaan. Wat nu te doen Schakel de gebruikersinterface van de nieuwe portal in. 1 Ga naar om de beheerconsole te openen. 2 Klik in de beheerconsole op de pijl op het tabblad Catalogus en selecteer Instellingen. 3 Selecteer Nieuwe eindgebruikersinterface van portal in het linkerdeelvenster en klik op Nieuwe gebruikersinterface van portal inschakelen. De connector-url aanpassen U kunt de connector-url wijzigen door de hostnaam van de identiteitsprovider in de VMware Identity Manager-console bij te werken. Procedure 1 Meld u aan bij de VMware Identity Manager-console. 2 Klik op het tabblad Identiteits- en toegangsbeheer en klik vervolgens op het tabblad Identiteitsproviders. 3 Op de pagina Identiteitsproviders selecteert u de identiteitsprovider die u wilt bijwerken. 4 In het veld IdP-hostnaam voert u de nieuwe hostnaam in. Gebruik de notatie hostnaam:poort. Een poort specificeren is optioneel. De standaardpoort is 443. Bijvoorbeeld vidm.example.com. 5 Klik op Opslaan. Een Syslog-server configureren Gebeurtenissen van de service op applicatiesniveau kunnen worden geëxporteerd naar een externe Syslog-server. Gebeurtenissen van besturingssystemen worden niet geëxporteerd. Aangezien de meeste bedrijven niet over onbeperkte schijfruimte beschikken, slaat de VMware Identity Manager niet de volledige logboekgeschiedenis op. Als u meer geschiedenis wilt opslaan of als u een centrale locatie voor uw logboekgeschiedenis wilt maken, kunt u een externe Syslog-server instellen. Als u tijdens de eerste configuratie geen Syslog-server opgeeft, kunt u deze later configureren via de pagina Appliance-instellingen > VA-configuratie > Configuratie beheren > Syslog configureren. VMware, Inc. 39

40 Voorwaarden Stel een externe Syslog-server in. U kunt een van de beschikbare standaardsyslogservers gebruiken. Verschillende Syslog-servers beschikken over geavanceerde zoekmogelijkheden. Zorg ervoor dat VMware Identity Manager de syslog-server op poort 514 (UDP) kan bereiken. Procedure 1 Meld u aan bij de VMware Identity Manager-console. 2 Klik op het tabblad Appliance-instellingen en selecteer vervolgens Configuratie beheren. 3 Selecteer Systeemlogboek configureren in het linkerdeelvenster. 4 Klik op Inschakelen. 5 Geef het IP-adres of de FQDN van de systeemlogboekserver op waarop u de logboeken wilt opslaan. 6 Klik op Opslaan. Er wordt een kopie van uw logboeken naar de Syslog-server verzonden. Logboekbestandsgegevens De VMware Identity Manager-logboekbestanden kunnen u helpen bij het verhelpen van bugs en het oplossen van problemen. De onderstaande logboekbestanden zijn een algemeen startpunt. Aanvullende logboeken kunnen worden gevonden in de directory met logboeken. Tabel 3 1. Logboekbestanden Onderdeel Locatie van logboekbestand voor Linux Locatie van logboekbestand voor Windows Beschrijving Identity Manager Servicelogboeken /opt/vmware/horizon/workspa ce/logs/horizon.log <INSTALL_DIR>\opt\vmware\horiz on\workspace\logs\horizon.log Informatie over activiteiten binnen de service, zoals rechten, gebruikers en groepen. Configuratiel ogboekbest anden /opt/vmware/horizon/workspa ce/logs/configurator.log <INSTALL_DIR>\opt\vmware\horiz on\workspace\logs\configurator.log Aanvragen die de configurator van de REST-client en de webinterface ontvangt. Connectorlo gboekbesta nden /opt/vmware/horizon/workspa ce/logs/connector.log <INSTALL_DIR>\opt\vmware\horiz on\workspace\logs\connector.lo g Een record van elke ontvangen aanvraag van de webinterface. Elke logboekvermelding bevat tevens de verzoek-url, het tijdstempel en de uitzonderingen. Er worden geen synchronisatieacties geregistreerd. /opt/vmware/horizon/workspa ce/logs/connector-dirsync.log InstallDirectory\IDMConnecto r\opt\vmware\horizon\workspac e\logs\connector-dir-sync.log Berichten over de synchronisatie van directory's. VMware, Inc. 40

41 Tabel 3 1. Logboekbestanden (Vervolgd) Onderdeel Locatie van logboekbestand voor Linux Locatie van logboekbestand voor Windows Beschrijving Updatelogbo eken /opt/vmware/var/log/update. log /opt/vmware/var/log/vami <INSTALL_DIR>\opt\vmware\var\l og\update.log Een record van uitgaande berichten met betrekking tot updateverzoeken tijdens een upgrade van VMware Identity Manager. Linux. De bestanden in de directory /opt/vmware/var/lo g/vami zijn handig voor het oplossen van problemen. U kunt deze bestanden na een upgrade op alle virtual machines vinden. Apache Tomcatlogboeken /opt/vmware/horizon/workspa ce/logs/catalina.log <INSTALL_DIR>\opt\vmware\horiz on\workspace\logs\catalina.log Apache Tomcat-registraties van berichten die niet in andere logboekbestanden zijn geregistreerd. Logboekgegevens verzamelen Tijdens testen of problemen oplossen kunnen de logboeken feedback geven over de activiteiten en prestaties van de virtual appliance en ook informatie geven over problemen die zich voordoen. Het logboekniveau van de VMware Identity Manager-service instellen op FOUTOPSPORING U kunt het logboekniveau instellen op FOUTOPSPORING om extra informatie te registreren die kan helpen bij het vinden van oplossingen voor problemen. Logboekgegevens verzamelen Tijdens testen of problemen oplossen kunnen de logboeken feedback geven over de activiteiten en prestaties van de virtual appliance en ook informatie geven over problemen die zich voordoen. Haal de logboeken van elke appliance in uw omgeving op. Procedure 1 Meld u aan bij de VMware Identity Manager-console. 2 Selecteer het tabblad Appliance-instellingen en klik op Configuratie beheren. 3 Klik op Bestandslocaties vastleggen en klik op Logboekbundel voorbereiden. De informatie wordt verzameld op een tar.gz-bestand dat u kunt downloaden. 4 Download de voorbereide bundel. Wat nu te doen Doe dit voor elke appliance om alle logboeken te verzamelen. VMware, Inc. 41

42 Het logboekniveau van de VMware Identity Manager-service instellen op FOUTOPSPORING U kunt het logboekniveau instellen op FOUTOPSPORING om extra informatie te registreren die kan helpen bij het vinden van oplossingen voor problemen. Procedure 1 Meld u aan bij de machine. 2 Open het pad naar de map conf. Voor Linux gaat u naar /usr/local/horizon/conf/. Voor Windows gaat u naar \usr\local\horizon\conf\. 3 Werk het logboekniveau in de bestanden cfg-log4j.properties hc-log4j.propertiesen saaslog4j.properties bij. Dit zijn de meest gebruikte log4j-bestanden voor de service. a b Bewerk het bestand. Vervang INFO door DEBUG op de regels waarvoor het logboekniveau is ingesteld op INFO. Bijvoorbeeld, wijzig: rootlogger.level=info in: rootlogger.level=debug c Sla het bestand op. U hoeft de service of het systeem niet opnieuw te starten. De wachtwoorden van uw appliance beheren Toen u de virtual appliance van VMware Identity Manager voor het eerst configureerde, hebt u wachtwoorden gemaakt voor de beheerdersgebruiker, de rootgebruiker en de ssh-gebruiker. U kunt deze wachtwoorden wijzigen op het tabblad Appliance-instellingen in de VMware Identity Manager-console. Zorg dat u sterke wachtwoorden maakt. Sterke wachtwoorden moeten minstens acht tekens lang zijn en bestaan uit een combinatie van hoofdletters en kleine letters en minstens één cijfer of speciaal teken. Procedure 1 Klik in de VMware Identity Manager-console op de tab Appliance-instellingen. 2 Klik op VA-configuratie > Configuratie beheren. 3 Als u het beheerderswachtwoord wilt wijzigen, selecteert u Wachtwoord wijzigen. Als u de hoofd- of ssh-gebruikerswachtwoorden wijzigt, selecteert u Systeembeveiliging. Belangrijk Het wachtwoord voor de beheerdersgebruiker moet minstens zes tekens lang zijn. VMware, Inc. 42

43 4 Geef het nieuwe wachtwoord op. 5 Klik op Opslaan. SMTP-instellingen configureren Configureer SMTP-serverinstellingen om meldingen te ontvangen van de VMware Identity Manager-service. meldingen worden bijvoorbeeld verzonden wanneer nieuwe lokale gebruikers worden gemaakt, wanneer een wachtwoord opnieuw wordt ingesteld, of met het verificatietoken voor automatische ontdekking. Procedure 1 Meld u aan op de beheerconsole. 2 Klik op het tabblad Appliance-instellingen en klik op SMTP. 3 Voer de hostnaam van de SMTP-server in. Bijvoorbeeld: smtp.example.com. 4 Voer het poortnummer van de SMTP-server in. Bijvoorbeeld: (Optioneel) Als er verificatie vereist is voor de SMTP-server, voert u hier de gebruikersnaam en het wachtwoord in. 6 Klik op Opslaan. 7 Als u het adres van de afzender in de meldingen wilt aanpassen, voegt u het adres toe aan het bestand runtime-config.properties. a b Meld u aan op de virtual appliance van VMware Identity Manager. Bewerk het bestand /usr/local/horizon/conf/runtime-config.properties en voeg de volgende eigenschap toe. notification. s.support= adres Bijvoorbeeld: notification. s.support=admin@mycompany.com c d Sla het bestand op. Start de virtual appliance opnieuw. service horizon-workspace restart Hierdoor wordt het adres van de afzender van de standaardwaarde no-reply@vmwareidentity.com gewijzigd in het aangepaste adres. VMware, Inc. 43

44 Tijdsynchronisatie voor de VMware Identity Manager - service (Linux) configureren Het configureren van de tijdsynchronisatie op alle instanties van de VMware Identity Manager-service en -connector is vereist om een VMware Identity Manager-implementatie goed te laten functioneren. Als u de tijdsynchronisatie voor de VMware Identity Manager-service wilt configureren, gebruikt u het tabblad Appliance-instellingen > Configuratie beheren > Tijdsynchronisatie in de VMware Identity Managerconsole. U kunt de klok van de VMware Identity Manager-service synchroniseren met de ESXi-host of met een NTP-server (Network Time Protocol). De VMware Identity Manager-service is standaard ingesteld om te synchroniseren met de host. Volg onderstaande richtlijnen: U wordt aanbevolen de tijd met een NTP-server te synchroniseren als de VMware Identity Managerinstantie toegang tot een NTP-server heeft. Anders synchroniseert u de tijd met de ESXi-host en configureert u de ESXi-host om de tijd met een NTP-server te synchroniseren. Als uw implementatie instanties van de VMware Identity Manager-service of -connector op verschillende hosts bevat, wordt u aanbevolen de tijd direct met een NTP-server te synchroniseren in plaats van met de host te synchroniseren om ervoor te zorgen dat er geen tijdsafwijking tussen de instanties bestaat. Procedure 1 Klik in de VMware Identity Manager-console op de tab Appliance-instellingen. 2 Klik op Configuratie beheren en meld u aan met het wachtwoord van de beheerdersgebruiker. 3 Klik op Tijdsynchronisatie. 4 Selecteer een optie voor tijdsynchronisatie. Optie NTP Tijd van host Beschrijving Synchroniseert de systeemklok van de VMware Identity Manager-computer met een NTP-server. De standaard-ntp-server is time.nist.gov. Als u een andere NTP-server wilt gebruiken, voert u de volledig gekwalificeerde domeinnaam (FQDN) in het tekstvak NTP-server in. Bijvoorbeeld: ntpserver.example.com Synchroniseert de systeemklok van de VMware Identity Manager-computer met de ESXi-host. Dit is de standaardinstelling. 5 Klik op Opslaan. VMware, Inc. 44

45 Geavanceerde configuratie voor de VMware Identity Manager - appliance 4 Nadat u de basisinstallatie van de virtual appliance van de VMware Identity Manager hebt voltooid, moet u mogelijk andere configuratietaken uitvoeren, zoals externe toegang tot de VMware Identity Manager mogelijk maken en redundantie configureren. Het architectuurschema van VMware Identity Manager toont hoe u de VMware Identity Manageromgeving kunt implementeren. Zie Hoofdstuk1Installatie van VMware Identity Manager voorbereiden voor een typische implementatie. Dit hoofdstuk omvat de volgende onderwerpen: Een load balancer of reverse proxy gebruiken om externe toegang tot VMware Identity Manager in te schakelen Failover en redundantie in één datacenter configureren VMware Identity Manager implementeren in een secundair datacenter voor failover en redundantie Een load balancer of reverse proxy gebruiken om externe toegang tot VMware Identity Manager in te schakelen Tijdens de implementatie wordt de instantie van VMware Identity Manager in het interne netwerk ingesteld. Als u wilt dat gebruikers van buiten het netwerk verbinding kunnen maken met de service, moet u een load balancer of een reverse proxy, zoals Apache, Nginx of F5, in de DMZ installeren. Als u geen load balancer of reverse proxy gebruikt, kunt u het aantal VMware Identity Manager-instanties later niet uitbreiden. Wellicht moet u meer instanties toevoegen om redundantie en load balancing te kunnen bieden. Het volgende diagram bevat de basisimplementatiearchitectuur die u kunt gebruiken om externe toegang in te schakelen. VMware, Inc. 45

46 Figuur 4 1. Externe load balancerproxy met virtual machine Externe gebruikers Externe load-balancer Hostnaam: VMware Identity Manager FQDN Voorbeeld-IP-adres: 64.x.y.z Poort: VMware Identity Manager-poort Moet X-Forwarded-For-koppen inschakelen. DMZ-firewall Poort 443 Poort 443 Interne gebruikers Interne load-balancer Hostnaam: VMware Identity Manager FQDN Voorbeeld-IP-adres: 10..x.y.z Poort: VMware Identity Manager-poort Moet X-Forwarded-For-koppen inschakelen. VMware Identity Manager-cluster De VMware Identity Manager -FQDN opgeven tijdens de implementatie Tijdens de implementatie van de machine van de VMware Identity Manager- voert u de FQDN van de VMware Identity Manager- en het poortnummer in. Deze waarden moeten naar de hostnaam verwijzen waarvan u wilt dat deze toegankelijk is voor eindgebruikers. De machine van de VMware Identity Manager- wordt altijd uitgevoerd op poort 443. U kunt een ander poortnummer voor de load balancer gebruiken. Als u een ander poortnummer gebruikt, moet u dit opgeven tijdens de implementatie. Gebruik niet 8443, als het poortnummer, omdat dit poortnummer de VMware Identity Manager-beheerderspoort is en uniek is voor elke machine in een cluster. VMware, Inc. 46

47 Instellingen voor de load balancer die moeten worden geconfigureerd. Instellingen voor de load balancer die moeten worden geconfigureerd, zijn onder andere het inschakelen van de X-Forwarded-For-koppen, het op de juiste manier instellen van de time-out van de load balancer en het inschakelen van sticky-sessies. Bovendien moet SSL-vertrouwen worden geconfigureerd tussen de machine van de VMware Identity Manager- en de load balancer. X-Forwarded-For-koppen U moet X-Forwarded-For-koppen inschakelen op uw load balancer. Hiermee wordt de verificatiemethode bepaald. Raadpleeg de documentatie die is meegeleverd door de leverancier van uw load balancer voor meer informatie. Time-out van load balancer Voor een juiste werking van VMware Identity Manager moet u de standaardtime-out voor load balancer-verzoeken verhogen. De waarde is ingesteld in minuten. Als de time-outinstelling te laag is, wordt wellicht de volgende foutmelding weergegeven: '502 fout: de service is niet beschikbaar'. Sticky-sessies inschakelen U moet de instelling voor sticky-sessies inschakelen op de load balancer als uw implementatie meerdere VMware Identity Manager-machines heeft. De load balancer bindt vervolgens de sessie van een gebruiker aan een specifieke instantie. WebSocket-ondersteuning De load balancer moet WebSocket-ondersteuning hebben voor veilige communicatiekanalen tussen connectoren en de VMware Identity Manager-knooppunten. Codes met PFS (Perfect Forward Secrecy) Apple ios App Transport Security-vereisten gelden voor de Workspace ONE-app in ios. Als u wilt dat gebruikers de Workspace ONE-app in ios kunnen gebruiken, moet de load balancer codes met PFS hebben. De volgende codes voldoen aan deze vereisten: ECDHE_ECDSA_AES en ECDHE_RSA_AES in de modus GCM of CBC zoals is beschreven in het document ios-beveiliging voor ios 11: 'App Transport Security biedt standaard verbindingsvereisten zodat applicaties best practices voor veilige verbindingen volgen wanneer NSURLConnection, CFURL of NSURLSession API's worden gebruikt. App Transport Security beperkt codeselectie standaard om alleen suites met Perfect Forward Secrecy op te nemen, in het bijzonder ECDHE_ECDSA_AES en ECDHE_RSA_AES in de modus GCM of CBC.' VMware, Inc. 47

48 Apply VMware Identity Manager Root Certificate to the Load Balancer When the VMware Identity Manager virtual appliance is configured behind a load balancer, you must establish SSL trust between the load balancer and VMware Identity Manager. The VMware Identity Manager root certificate must be copied to the load balancer. The VMware Identity Manager root certificate can be downloaded from the Appliance Settings > Manage Configuration > Install SSL Certificates > Server Certificate page in the VMware Identity Manager administration console. If the VMware Identity Manager FQDN points to a load balancer, the SSL certificate can only be applied to the load balancer. Since the load balancer communicates with the VMware Identity Manager virtual appliance, you must copy the VMware Identity Manager root CA certificate to the load balancer as a trusted root certificate. Procedure 1 In the VMware Identity Manager console, select the Appliance Settings tab, then click VA Configuration > Manage Configuration. 2 In the dialog box that appears, enter the admin user password. 3 Select Install SSL Certificates > Server Certificate. 4 Click the Appliance Self Signed Root CA Certificates link. VMware, Inc. 48

49 The certificate is displayed. 5 Copy everything between and including the lines -----BEGIN CERTIFICATE----- and -----END CERTIFICATE---- and paste the root certificate into the correct location on each of your load balancers. Refer to the documentation provided by your load balancer vendor. Wat nu te doen Copy and paste the load balancer root certificate to the VMware Identity Manager appliance. Basiscertificaat van load-balancer toepassen op VMware Identity Manager Wanneer de virtual appliance van de VMware Identity Manager achter een load balancer is geconfigureerd, moet u vertrouwen tot stand brengen tussen de load balancer en VMware Identity Manager. Naast het kopiëren van het basiscertificaat van VMware Identity Manager naar de load-balancer, moet u het basiscertificaat van de load-balancer kopiëren naar VMware Identity Manager. VMware, Inc. 49

50 Procedure 1 Basiscertificaat van load-balancer verkrijgen 2 Selecteer in de VMware Identity Manager-console het tabblad Appliance-instellingen en klik achtereenvolgens op VA-configuratie > Configuratie beheren. 3 In het geopende dialoogvenster voert u het wachtwoord van de admingebruiker in. 4 Selecteer SSL-certificaten installeren > Vertrouwde CA's. 5 Plak het rootcertificaat van de load balancer in het tekstvak Root- of tussencertificaat. 6 Klik op Toevoegen. VMware, Inc. 50

51 Proxyserverinstellingen instellen voor VMware Identity Manager De virtual appliance van VMware Identity Manager heeft toegang tot de applicatiecatalogus in de cloud en andere webservices op internet. Als uw netwerkconfiguratie internettoegang biedt via een HTTP-proxy, moet u uw proxyinstellingen aanpassen in de VMware Identity Manager-appliance. Schakel uw proxy in om alleen internetverkeer te verwerken. Als u er zeker van wilt zijn dat de proxy goed is ingesteld, moet u de parameter voor intern verkeer binnen het domein instellen op no-proxy. Procedure 1 Meld u via de vsphere Client aan als rootgebruiker bij de virtual appliance van VMware Identity Manager. 2 Voer YaST in op de opdrachtregel om het hulpprogramma YaST uit te voeren. 3 Selecteer Netwerkservices in het linkerdeelvenster en selecteer Proxy. 4 Voer in de velden URL HTTP-proxy en URL HTTPS-proxy de URL's van de proxyserver in. 5 Selecteer Voltooien en sluit het hulpprogramma YaST af. 6 Herstart de Tomcat-server op de virtual appliance van VMware Identity Manager om de nieuwe proxyinstellingen te gebruiken. service horizon-workspace restart De catalogus met cloudapplicaties en andere webservices is nu beschikbaar in VMware Identity Manager. Failover en redundantie in één datacenter configureren U kunt meerdere virtual appliances van VMware Identity Manager in een cluster toevoegen voor failover en redundantie. Als een van de appliances om een bepaalde reden wordt afgesloten, is VMware Identity Manager nog steeds beschikbaar. Als u het cluster wilt maken, installeert en configureert u een virtual appliance van de VMware Identity Manager en vervolgens kloont u deze. Het klonen van de virtual appliance creëert een duplicaat van de appliance met dezelfde configuratie als van de originele appliance. U kunt de gekloonde virtual appliance aanpassen om de naam, de netwerkinstellingen en andere eigenschappen, indien nodig, te wijzigen. Voordat u de virtual appliance van VMware Identity Manager kloont, moet u deze achter een load balancer configureren en de Fully Qualified Domain Name (FQDN) wijzigen om overeen te komen met de FQDN van de load balancer. Voltooi ook de configuratie van de directory in de VMware Identity Managerservice voordat u de appliance kloont. Na het klonen wijst u een nieuw IP-adres toe aan de gekloonde virtual appliance voordat u deze inschakelt. Het IP-adres van de gekloonde virtual appliance moet dezelfde richtlijnen volgen als het IPadres van de originele virtual appliance. Het IP-adres moet leiden tot een geldige hostnaam met behulp van forward- en reverse DNS. VMware, Inc. 51

52 Alle nodes in het VMware Identity Manager-cluster zijn identiek en bijna staatloze kopieën van elkaar. Synchroniseren naar Active Directory en naar bronnen die worden geconfigureerd, zoals View of ThinApp, is uitgeschakeld op de gekloonde virtual appliances. 1 Aanbevelingen voor VMware Identity Manager-cluster Volg deze richtlijnen voor het instellen van een VMware Identity Manager-cluster. 2 Wijzig FQDN van VMware Identity Manager in FQDN van load-balancer Voordat u de virtual appliance van VMware Identity Manager kloont, moet u de Fully Qualified Domain Name (FQDN) wijzigen, zodat deze overeenkomt met de FQDN van de load balancer. 3 De virtual appliance klonen Kloon de virtual appliance van VMware Identity Manager om meerdere virtual appliances van hetzelfde type te maken om verkeer te verdelen en mogelijke onbeschikbaarheid te beperken. 4 Een nieuw IP-adres toewijzen aan gekloonde virtual appliance U moet een nieuw IP-adres toewijzen aan elke gekloonde virtual appliance voordat u deze inschakelt. Het IP-adres moet kunnen worden opgelost in DNS. Als het adres zich niet in de reverse DNS bevindt, moet u ook de hostnaam toewijzen. 5 Synchronisatie van directory's inschakelen op een andere -instantie in geval van een fout In het geval dat er fouten optreden met een service-instantie, wordt de verificatie automatisch afgehandeld door een gekloonde instantie, zoals geconfigureerd in de load-balancer. Voor het synchroniseren van directory's moet u de directory-instellingen in de VMware Identity Managerservice wijzigen om een gekloonde instantie te kunnen gebruiken. Directorysynchronisatie wordt door het connectoronderdeel van de service afgehandeld en kan slechts op één connector tegelijk worden ingeschakeld. 6 Een knooppunt verwijderen uit een cluster Als een knooppunt in een VMware Identity Manager-cluster niet correct werkt en u het niet kunt herstellen, kunt u het verwijderen uit de cluster met de opdracht Knooppunt verwijderen. De opdracht verwijdert de knooppuntvermeldingen uit de VMware Identity Manager-database. Aanbevelingen voor VMware Identity Manager -cluster Volg deze richtlijnen voor het instellen van een VMware Identity Manager-cluster. Aanbevolen aantal nodes in VMware Identity Manager -cluster U wordt aangeraden een VMware Identity Manager-cluster met drie nodes in te stellen. De VMware Identity Manager-appliance bevat Elasticsearch, een zoek- en analysemachine. Elasticsearch heeft een bekende beperking bij clusters met twee nodes. Voor een beschrijving van de split brain -beperking van Elasticsearch raadpleegt u de Elasticsearch-documentatie. Houd er rekening mee dat u geen Elasticsearch-instellingen hoeft te configureren. VMware, Inc. 52

53 Een VMware Identity Manager-cluster met twee nodes biedt mogelijkheden voor failover met een paar beperkingen in vergelijking met Elasticsearch. Als een van de nodes uitvalt, zijn de volgende beperkingen van toepassing tot de node weer wordt ingeschakeld: Op het dashboard worden geen gegevens weergegeven. De meeste rapporten zijn niet beschikbaar. Synchronisatielogboekgegevens van directory's worden niet weergegeven. Het zoekveld in de rechterbovenhoek van de beheerconsole geeft geen resultaten weer. Automatisch aanvullen is niet beschikbaar voor tekstvelden. Er gaan geen gegevens verloren gedurende de tijd dat de node is afgesloten. Gegevens van auditgebeurtenissen en synchronisatielogboeken worden opgeslagen en worden weergegeven wanneer de node is hersteld. Netwerkpartities Het wordt afgeraden een netwerkpartitie tussen knooppunten in een VMware Identity Manager-cluster te maken. Als er een netwerkpartitie tussen de knooppunten van de VMware Identity Manager-service bestaat, zodat de knooppunten niet met elkaar kunnen communiceren, en als alle knooppunten nog steeds toegankelijk zijn vanaf de load balancer, kunnen de volgende problemen optreden door aanmeldingsaanvragen naar een van de gepartitioneerde knooppunten te laten gaan: U ziet mogelijk verouderde gegevens in aanvragen. Het is bijvoorbeeld mogelijk dat wijzigingen die in een toegangsbeleid op één knooppunt zijn aangebracht, niet van toepassing zijn op aanmeldingsaanvragen die naar een ander knooppunt gaan, als er een partitie tussen de knooppunten bestaat. Aanmeldingsaanroepen die gebruikmaken van de uitgaande connector, kunnen mislukken. Wijzig FQDN van VMware Identity Manager in FQDN van loadbalancer Voordat u de virtual appliance van VMware Identity Manager kloont, moet u de Fully Qualified Domain Name (FQDN) wijzigen, zodat deze overeenkomt met de FQDN van de load balancer. Voorwaarden De VMware Identity Manager-instantie wordt aan een load balancer toegevoegd. U heeft het basis CA-certificaat van de load-balancer toegepast op VMware Identity Manager. Procedure 1 Meld u aan op de beheerconsole van VMware Identity Manager. 2 Selecteer het tabblad Appliance-instellingen. 3 Op de pagina Configuratie van virtual appliance klikt u op Configuratie beheren. 4 Voer uw beheerderswachtwoord in om u aan te melden. VMware, Inc. 53

54 5 Klik op Identity Manager configuratie. 6 In het veld Identity Manager FQDN wijzigt u het hostnaamdeel van de URL van de hostnaam van VMware Identity Manager in de hostnaam van de load-balancer. Als uw hostnaam van VMware Identity Manager bijvoorbeeld myservice is en de hostnaam van uw load-balancer is mylb, wijzigt u de URL als volgt: 7 Klik op Opslaan. De FQDN van de service is gewijzigd in de FQDN van de load-balancer. De URL van de identiteitsprovider is gewijzigd in de URL van de load-balancer. Wat nu te doen Kloon de virtual appliance. De virtual appliance klonen Kloon de virtual appliance van VMware Identity Manager om meerdere virtual appliances van hetzelfde type te maken om verkeer te verdelen en mogelijke onbeschikbaarheid te beperken. VMware, Inc. 54

55 Het gebruik van meerdere virtual appliances van de VMware Identity Manager verbetert de beschikbaarheid, verzoeken van de load balancer aan de service, en vermindert de reactietijden naar de eindgebruiker. Voorwaarden De virtual appliance van VMware Identity Manager moet achter een load balancer worden geconfigureerd. Zorg ervoor dat de poort van de load-balancer 443 is. Gebruik niet 8443, omdat dit poortnummer de beheerderspoort is en uniek is voor elke virtual appliance. Een externe database wordt geconfigureerd zoals beschreven in De database van VMware Identity Manager Service maken. Zorg ervoor dat u de directory-configuratie in VMware Identity Manager voltooit. Meld u aan op de console van de virtual appliance als rootgebruiker en verwijder het bestand /etc/udev/rules.d/70-persistent-net.rules, als dat bestaat. Als u dit bestand niet verwijdert vóór het klonen, wordt de netwerkvoorziening niet correct geconfigureerd op de gekloonde virtual appliance. Procedure 1 Meld u aan op de vsphere Client of vsphere Web Client en navigeer naar de virtual appliance van de VMware Identity Manager. 2 Klik met de rechtermuisknop op de virtual appliance en selecteer Klonen. 3 Voer de naam in voor de gekloonde virtual appliance en klik op Volgende. De naam moet uniek zijn binnen de VM-map. 4 Selecteer de host of cluster waarop de gekloonde virtual appliance wordt uitgevoerd en klik op Volgende. 5 Selecteer de brongroep waarin de gekloonde virtual appliance wordt uitgevoerd en klik op Volgende. 6 Voor het virtuele schijfformaat selecteert u Zelfde formaat als bron. 7 Selecteer de data-opslaglocatie waar u de bestanden van de virtual appliance wilt opslaan en klik op Volgende. 8 Selecteer Niet aanpassen als de optie gastbesturingssysteem. 9 Herzie de opties en klik op Voltooien. De gekloonde virtual appliance is geïmplementeerd. U kunt de virtual appliance niet gebruiken of bewerken totdat het klonen is voltooid. Wat nu te doen Wijs een IP-adres toe aan de gekloonde virtual appliance voordat u deze inschakelt en toevoegt aan de load balancer. VMware, Inc. 55

56 Een nieuw IP-adres toewijzen aan gekloonde virtual appliance U moet een nieuw IP-adres toewijzen aan elke gekloonde virtual appliance voordat u deze inschakelt. Het IP-adres moet kunnen worden opgelost in DNS. Als het adres zich niet in de reverse DNS bevindt, moet u ook de hostnaam toewijzen. Procedure 1 In de vsphere Client of de vsphere Web Client selecteert u de gekloonde virtual appliance. 2 Op het tabblad Samenvatting klikt u onderopdrachten op Instellingen bewerken. 3 Selecteer Opties en selecteer in de lijst vapp-opties Eigenschappen. 4 Wijzig het IP-adres in het veld IP-adres. 5 Als het IP-adres zich niet in de reverse DNS bevindt, voegt u de hostnaam toe in het tekstveld Hostnaam. 6 Klik op OK. 7 Schakel de gekloonde appliance in en wacht tot het blauwe aanmeldscherm verschijnt op het tabblad Console. Belangrijk Voordat u de gekloonde appliance inschakelt, zorgt u ervoor dat de originele appliance volledig is ingeschakeld. Wat nu te doen Wacht een paar minuten tot de Elasticsearch-cluster is gemaakt, voordat u de gekloonde virtual appliance toevoegt aan de load balancer. Elasticsearch, een zoek- en analyse-engine, is geïntegreerd in de virtual appliance. a b Meld u aan op de gekloonde virtual appliance. Controleer de Elasticsearch-cluster: curl -XGET ' Verifieer of het resultaat overeenkomt met het aantal nodes. Voeg de gekloonde virtual appliance toe aan de load balancer en configureer de load balancer om verkeer te verspreiden. Raadpleeg de documentatie van uw leverancier van de load-balancer voor informatie. Als de oorspronkelijke service-instantie aan het domein was toegevoegd, moet u het domein toevoegen in de gekloonde service-instanties. a b Meld u aan bij de VMware Identity Manager-console. Selecteer het tabblad Identiteits- en toegangsbeheer en klik vervolgens op Installatie. Het connectoronderdeel van elk van de gekloonde service-instanties wordt vermeld op de Connectorpagina. VMware, Inc. 56

57 c Voor elke vermelde connector, klikt u op Aan domein toevoegen en specificeert u de domeingegevens. Zie Integratie van directory's met VMware Identity Manager voor meer informatie over Active Directory. Voor directory's van het type Active Directory via geïntegreerde Windows-verificatie (IWA) moet u het volgende doen: a Voor de gekloonde service-instanties voegt u het domein toe waaraan de IWA-directory in de originele service-instantie is toegevoegd. 1 Meld u aan bij de VMware Identity Manager-console. 2 Selecteer het tabblad Identiteits- en toegangsbeheer en klik vervolgens op Installatie. Het connectoronderdeel van elk van de gekloonde service-instanties wordt vermeld op de Connectorpagina. 3 Voor elke vermelde connector, klikt u op Aan domein toevoegen en specificeert u de domeingegevens. b Sla de configuratie van de IWA-directory op. 1 Selecteer het tabblad Identiteits- en toegangsbeheer. 2 Klik op de Directorypagina op de link IWA-directory. 3 Klik op Opslaan om de configuratie van de directory op te slaan. Schakel de verificatiemethoden in die zijn geconfigureerd voor Connector op elk van de gekloonde instanties. Raadpleeg de Beheergids voor VMware Identity Manager voor informatie. De virtual appliance van de VMware Identity Manager-service is nu in hoge mate beschikbaar. Verkeer wordt verspreid naar de virtual appliances in uw cluster op basis van de configuratie van de load balancer. Verificatie naar de service is in hoge mate beschikbaar. Voor de directorysynchronisatiefunctie van de service moet u echter, in geval van een service-instantiefout, handmatig directorysynchronisatie inschakelen op een gekloonde service-instantie. Directorysynchronisatie wordt door het connectoronderdeel van de service afgehandeld en kan slechts op één connector tegelijk worden ingeschakeld. Zie Synchronisatie van directory's inschakelen op een andere -instantie in geval van een fout. Synchronisatie van directory's inschakelen op een andere - instantie in geval van een fout In het geval dat er fouten optreden met een service-instantie, wordt de verificatie automatisch afgehandeld door een gekloonde instantie, zoals geconfigureerd in de load-balancer. Voor het synchroniseren van directory's moet u de directory-instellingen in de VMware Identity Manager-service wijzigen om een gekloonde instantie te kunnen gebruiken. Directorysynchronisatie wordt door het connectoronderdeel van de service afgehandeld en kan slechts op één connector tegelijk worden ingeschakeld. VMware, Inc. 57

58 Procedure 1 Meld u aan bij de VMware Identity Manager-console. 2 Klik op het tabblad Identiteits- en toegangsbeheer en klik vervolgens op Directory's. 3 Klik op de directory die is gekoppeld aan de oorspronkelijke service-instantie. U kunt deze informatie bekijken op de pagina Installatie > Connectoren. Op de pagina wordt het connectoronderdeel van elk van de virtual appliances van de service in uw cluster vermeld. 4 In het gedeelte Directorysynchronisatie en -verificatie van de pagina met directory's selecteert u in het veld Synchronisatieconnector een van de andere connectoren. 5 In het veld Wachtwoord van bindings-dn geeft u het wachtwoord van uw Active Directorybindingsaccount op. 6 Klik op Opslaan. Een knooppunt verwijderen uit een cluster Als een knooppunt in een VMware Identity Manager-cluster niet correct werkt en u het niet kunt herstellen, kunt u het verwijderen uit de cluster met de opdracht Knooppunt verwijderen. De opdracht verwijdert de knooppuntvermeldingen uit de VMware Identity Manager-database. VMware, Inc. 58

59 U kunt de status van de knooppunten in uw cluster controleren in het Dashboard voor systeemdiagnose. Het bericht Het huidige knooppunt heeft een ongeldige status geeft aan dat het knooppunt niet correct werkt. Belangrijk Maak spaarzaam gebruik van de opdracht Knooppunt verwijderen. Gebruik deze alleen als een knooppunt een onherstelbare status heeft en volledig moet worden verwijderd uit de VMware Identity Manager-implementatie. Opmerking U kunt de opdracht Knooppunt verwijderen niet gebruiken om het laatste knooppunt in een cluster te verwijderen. Het knooppunt verwijderen uit de cluster U kunt het knooppunt uit het cluster verwijderen. Opmerking U kunt de opdracht Verwijderen niet gebruiken om het laatste knooppunt in een cluster te verwijderen. Voorwaarden Als u een knooppunt wilt verwijderen, moet u zich aanmelden als tenantbeheerder, oftewel een lokale beheerder bij de VMware Identity Manager-service. Een domeinbeheerder die is gesynchroniseerd vanuit de bedrijfsdirectory, heeft niet de nodige rechten. Procedure 1 Sluit de virtual machine van het knooppunt af. a Meld u aan bij de vcenter Server-instantie. b Klik met de rechtermuisknop op de virtual machine van het knooppunt en selecteer Energie > Uitschakelen. 2 Verwijder het knooppunt uit de load balancer. 3 Verwijder het knooppunt in de VMware Identity Manager-console. a b c Meld u als lokale beheerder aan bij de VMware Identity Manager-console. Klik op de pijl omlaag op het tabblad Dashboard en selecteer Dashboard voor systeemdiagnose. Zoek het knooppunt dat u wilt verwijderen. Voor het knooppunt wordt de volgende status weergegeven: Het huidige knooppunt heeft een ongeldige status. Wilt u het verwijderen? d Klik op de koppeling Verwijderen naast het bericht. VMware, Inc. 59

60 Het knooppunt wordt verwijderd uit het cluster. Vermeldingen voor het knoppunt worden verwijderd uit de VMware Identity Manager-database. Het knooppunt wordt ook verwijderd uit de ingesloten Elasticsearchen Ehcache-clusters. Wat nu te doen Wacht 5 tot 15 minuten tot de ingesloten Elasticsearch- en Ehcache-clusters stabiel zijn voordat u andere opdrachten uitvoert. VMware Identity Manager implementeren in een secundair datacenter voor failover en redundantie Als u mogelijkheden voor failover wilt bieden als het primaire VMware Identity Manager-datacenter niet meer beschikbaar is, moet VMware Identity Manager worden geïmplementeerd in een secundair datacenter. Door een secundair datacenter te gebruiken, kunnen eindgebruikers zich aanmelden en applicaties gebruiken met een minimum aan onbeschikbaarheid. Een secundair datacenter biedt beheerders ook de mogelijkheid om VMware Identity Manager te upgraden naar de volgende versie met een minimum aan onbeschikbaarheid. Zie VMware Identity Manager met minimum aan onbeschikbaarheid upgraden. Hier wordt een typische implementatie met een tweede datacenter weergegeven. VMware, Inc. 60

61 Global LB DC1 LB DC2 LB vidm1 vidm2 (gekloond van vidm1) vidm3 (gekloond van vidm1) vidm4 (gekloond van vidm1) vidm5 (gekloond van vidm1) vidm6 (gekloond van vidm1) SQL Server Always on Listener Always On SQL-server (master) SQL-server (replica) ThinApp Repo (DFS) Horizon View Cloud Pod Architecture XenFarm A XenFarm B View-pod A View-pod B View-pod C View-pod D XenFarm C XenFarm D Volg deze richtlijnen voor een implementatie met meerdere datacenters. Clusterimplementatie: u moet een reeks van drie of meer virtual appliances van VMware Identity Manager als één cluster implementeren in het eerste datacenter en een andere reeks van drie of meer virtual appliances als een ander cluster in het tweede datacenter. Raadpleeg Een secundair datacenter instellen voor meer informatie. Database: VMware Identity Manager maakt gebruik van de database om gegevens op te slaan. Voor een implementatie met meerdere datacenters is replicatie van de database tussen de twee datacenters cruciaal. Raadpleeg de documentatie die met de database is meegeleverd voor informatie over het instellen van een database in meerdere datacenters. Bij SQL Server wordt bijvoorbeeld het gebruik van Always On-implementatie aangeraden. Zie Overzicht van Always Onbeschikbaarheidsgroepen (SQL Server) op de Microsoft-website voor meer informatie. VMware Identity Manager-functies verwachten een zeer lage latentie tussen de database en de VMware Identity Manager-appliance. Om die reden wordt verwacht dat appliances in het ene datacenter verbinding maken met de database in hetzelfde datacenter. VMware, Inc. 61

62 Niet actief-actief: VMware Identity Manager ondersteunt geen Actief-Actief-implementaties waarbij gebruikers tegelijkertijd kunnen worden bediend door beide datacenters. Het secundaire datacenter is een hot stand-by-datacenter en het kan worden toegepast om eindgebruikers bedrijfscontinuïteit te bieden. De VMware Identity Manager-appliances in het secundaire datacenter staan in alleen-lezenmodus. Daarom werken de meeste beheerdersbewerkingen, zoals het toevoegen van gebruikers of apps, of gebruikers machtigen, niet meer na een fail-over naar dat datacenter. Terugvallen op primair: in de meeste foutscenario's kunt u terugvallen op het primaire datacenter zodra dat datacenter weer in de normale staat is hersteld. Zie Failback naar primair datacenter voor informatie. Secundair promoveren naar primair: in geval van een langdurige storing van het datacenter kan het secundaire datacenter worden gepromoveerd naar primair. Zie Het secundaire datacenter promoveren naar primair datacenter voor informatie. Fully Qualified Domain Name: de volledig gekwalificeerde domeinnaam om toegang te krijgen tot VMware Identity Manager moet in alle datacenters gelijk zijn. Audits: VMware Identity Manager maakt gebruik van Elasticsearch dat is geïntegreerd in de VMware Identity Manager-appliance voor auditing, rapportage en het maken van directorysynchronisatielogboeken. Er moeten afzonderlijke Elasticsearch-clusters worden gemaakt in elk datacenter. Raadpleeg Een secundair datacenter instellen voor meer informatie. Active Directory: VMware Identity Manager kan verbinding maken met Active Directory via de LDAP- API of met behulp van Geïntegreerde Windows-verificatie. Bij beide methoden kan VMware Identity Manager gebruikmaken van Active Directory SRV-records om de juiste domeincontroller in elk datacenter te bereiken. Windows-apps: VMware Identity Manager biedt ondersteuning van Windows-apps met behulp van ThinApp, en van Windows-apps en desktopcomputers die gebruikmaken van Horizon View- of Citrixtechnologieën. Het is doorgaans belangrijk om deze bronnen te leveren vanuit een datacenter dat zich dichter bij de gebruiker bevindt, dit wordt ook Geo-Affinity genoemd. Houd rekening met het volgende in verband met Windows-bronnen: ThinApps - VMware Identity Manager ondersteunt gedistribueerde Windows-bestandssystemen als ThinApp-repository. Gebruik de documentatie over gedistribueerde Windowsbestandssystemen om de juiste locatiespecifieke beleidsregels op te stellen. Horizon View (met Cloud Pod Architecture) - VMware Identity Manager ondersteunt de Horizon Cloud Pod Architecture. Horizon Cloud Pod Architecture biedt Geo-Affinity door middel van algemene rechten. Zie "Cloud Pod Architecture-implementaties integreren" in Bronnen instellen in VMware Identity Manager voor meer informatie. Er hoeven geen aanvullende wijzigingen te worden doorgevoerd voor een VMware Identity Manager-implementatie in meerdere datacenters. Horizon View (zonder Cloud Pod Architecture) - Als Horizon Cloud Pod Architecture niet is ingeschakeld in uw omgeving, kunt u Geo-Affinity niet inschakelen. Na een fail-overgebeurtenis kunt u VMware Identity Manager handmatig inschakelen zodat Horizon View-bronnen worden gestart vanuit de View-pods die zijn geconfigureerd in het secundaire datacenter. Raadpleeg Failovervolgorde van Horizon View en gepubliceerde Citrix-bronnen configureren voor meer informatie. VMware, Inc. 62

63 Citrix-bronnen - Net als in Horizon View (zonder Cloud Pod Architecture) kunt u Geo-Affinity niet inschakelen voor Citrix-bronnen. Na een fail-overgebeurtenis kunt u VMware Identity Manager handmatig inschakelen zodat Citrix-bronnen worden gestart vanuit de XenFarms die zijn geconfigureerd in het secundaire datacenter. Raadpleeg Failovervolgorde van Horizon View en gepubliceerde Citrix-bronnen configureren voor meer informatie. Een secundair datacenter instellen Het secundaire datacenter wordt doorgaans beheerd door een andere vcenter Server. Wanneer u het secundaire datacenter instelt, kunt u het volgende configureren en implementeren op basis van uw vereisten. VMware Identity Manager-appliances in het secundaire datacenter, gemaakt op basis van een OVAbestand dat is geïmporteerd uit het primaire datacenter Load-balancer voor het secundaire datacenter Dubbele op Horizon View en Citrix gebaseerde bronnen en rechten Databaseconfiguratie Load-balancer of DNS-vermelding in de primaire en secundaire datacenters voor failover Vereisten Zorg ervoor dat u voldoet aan deze vereisten voor het implementeren van VMware Identity Manager in een secundair datacentrum. Zorg ervoor dat het VMware Identity Manager-certificaat de FQDN van de load balancer van het primaire datacentrum bevat evenals de FQDN van de load balancer van het secundaire datacentrum. Anders moet het certificaat een jokertekencertificaat zijn. Poorten 443 en 8443 moeten open staan tussen alle VMware Identity Manager-instanties, zowel binnen een cluster als tussen clusters in verschillende datacentrums. Het primaire datacenter aanpassen voor replicatie Voordat u het secundaire datacenter instelt, moet u het primaire datacenter voor Elasticsearch-replicatie op meerdere clusters configureren. Elasticsearch, een zoek- en analyse-engine die in de virtual appliance van VMware Identity Manager is ingesloten, wordt gebruikt voor audits, rapporten en logboeken over directorysynchronisatie. Breng deze wijzigingen aan in alle knooppunten in het cluster van het primaire datacenter. Voorwaarden U heeft een VMware Identity Manager-cluster ingesteld in het primaire datacenter. VMware, Inc. 63

64 Procedure 1 Voeg de FQDN voor de load balancer van het secundaire datacentercluster toe aan het bestand /usr/local/horizon/conf/runtime-config.properties van elk knooppunt in het primaire datacentercluster. a Bewerk het bestand /usr/local/horizon/conf/runtime-config.properties. vi /usr/local/horizon/conf/runtime-config.properties b Voeg deze regel aan het bestand toe: analytics.replication.peers= 2 Start de VMware Identity Manager-service opnieuw op alle knooppunten. service horizon-workspace restart 3 Controleer of het cluster goed is ingesteld door de volgende opdracht op alle knooppunten in het cluster uit te voeren. curl ' De opdracht, die Elasticsearch health verifieert, retourneert een resultaat van de volgende strekking. { } "cluster_name" : "horizon", "status" : "green", "timed_out" : false, "number_of_nodes" : 3, "number_of_data_nodes" : 3, "active_primary_shards" : 20, "active_shards" : 40, "relocating_shards" : 0, "initializing_shards" : 0, "unassigned_shards" : 0, "delayed_unassigned_shards" : 0, "number_of_pending_tasks" : 0, "number_of_in_flight_fetch" : 0 Wat nu te doen Controleer of het cluster in het primaire datacenter correct is ingesteld door het dashboard voor systeemdiagnose te bekijken. Cluster in primair datacenter controleren Voordat u het secundaire datacenter instelt, controleert u of het cluster in het primaire datacenter correct is ingesteld. Controleer ook of de ingesloten onderdelen Elasticsearch en Ehcache correct zijn geclusterd. Elasticsearch en Ehcache zijn ingesloten in de VMware Identity Manager-service. Elasticsearch is een zoek- en analyse-engine die wordt gebruikt voor audits, rapporten en logboeken over directorysynchronisatie. Ehcache biedt mogelijkheden voor cache. VMware, Inc. 64

65 Voorwaarden U heeft een VMware Identity Manager-cluster in het primaire datacenter ingesteld en heeft de knooppunten voor Elasticsearch-replicatie geconfigureerd. Procedure 1 Selecteer het tabblad Dashboard > Dashboard voor systeemdiagnose in de VMware Identity Manager-console. 2 Zoek clusterinformatie in het bovenste paneel. 3 Controleer of de instanties correct zijn gegroepeerd door de cluster-id's van de instanties te controleren en breng zo nodig wijzigingen aan. Alle instanties in een cluster moeten dezelfde cluster-id hebben. Klik op het potloodpictogram naast het nummer om de Cluster-ID van een instantie bij te werken. Als u een instantie uit het cluster wilt verwijderen, klikt u op Verwijderen. 4 Voor elke instantie die in het linkervenster wordt weergegeven, scrolt u omlaag naar de sectie Ingebouwde componenten en controleert u of de clusterinformatie van Elasticsearch en Ehcache correct is. Bijvoorbeeld: VMware, Inc. 65

66 Wat nu te doen Maak een cluster in het secundaire datacenter. Maak de knooppunten door het OVA-bestand van de eerste virtual appliance van de VMware Identity Manager van de cluster van het primaire datacentrum te exporteren en te gebruiken voor de implementatie van de nieuwe virtual appliances in het secundaire datacentrum. Virtual appliances van VMware Identity Manager in secundair datacenter maken Om een VMware Identity Manager-cluster in het secundaire datacenter in te stellen, exporteert u het OVA-bestand van de oorspronkelijke VMware Identity Manager-appliance in het primaire datacenter en gebruikt u het om appliances in het secundaire datacenter te implementeren. Voorwaarden VMware Identity Manager-OVA-bestand dat is geëxporteerd van de oorspronkelijke VMware Identity Manager-appliance in het primaire datacenter IP-adressen en DNS-records voor secundair datacenter Procedure 1 Exporteer het OVA-bestand van de oorspronkelijke VMware Identity Manager-appliance naar het primaire datacenter. Zie de vsphere-documentatie voor informatie. 2 Implementeer in het secundaire datacenter het VMware Identity Manager-OVA-bestand dat is geëxporteerd om de nieuwe knooppunten te maken. Zie de vsphere-documentatie voor informatie. Zie ook Het OVA-bestand van VMware Identity Manager installeren. 3 Nadat de VMware Identity Manager-appliances zijn ingeschakeld, werkt u de configuratie van elke appliance bij. De VMware Identity Manager-appliances in het secundaire datacenter zijn identieke kopieën van de oorspronkelijke VMware Identity Manager-appliance in het primaire datacenter. Synchroniseren naar Active Directory en naar bronnen die zijn geconfigureerd in het primaire datacenter, is uitgeschakeld. Wat nu te doen Ga naar de pagina's van Beheerconsole en configureer het volgende: Schakel Aan domein toevoegen in zoals is geconfigureerd in de oorspronkelijke VMware Identity Manager-appliance in het primaire datacenter. Op de pagina Verificatieadapters voegt u de verificatiemethoden toe die zijn geconfigureerd in het primaire datacenter. Op de pagina Verificatiemethode van directory schakelt u Windows-verificatie in, als deze is geconfigureerd in het primaire datacenter. VMware, Inc. 66

67 Ga naar de pagina appliance-instellingen Certificaat installeren om door de certificaatautoriteit ondertekende certificaten toe te voegen en dupliceer de certificaten in de VMware Identity Managerappliances in het primaire datacenter. Zie SSL-certificaten gebruiken. Knooppunten in secundair datacenter configureren Nadat u knooppunten in het secundaire datacenter heeft gemaakt met behulp van het OVA-bestand dat uit het primaire datacenter is geëxporteerd, configureert u de knooppunten voor Elasticsearch-replicatie. Volg deze stappen voor elk knooppunt in het secundaire datacenter. Procedure 1 Voeg de FQDN voor de load balancer van het primaire datacentercluster toe aan het bestand /usr/local/horizon/conf/runtime-config.properties van elk knooppunt in het secundaire datacentercluster. a Bewerk het bestand /usr/local/horizon/conf/runtime-config.properties. vi /usr/local/horizon/conf/runtime-config.properties b Voeg deze regel aan het bestand toe: analytics.replication.peers= 2 Start de VMware Identity Manager-service opnieuw op alle knooppunten. service horizon-workspace restart 3 Controleer of het cluster goed is ingesteld door de volgende opdracht op alle knooppunten in het cluster uit te voeren. curl ' De opdracht, die Elasticsearch health verifieert, retourneert een resultaat van de volgende strekking. { } "cluster_name" : "horizon", "status" : "green", "timed_out" : false, "number_of_nodes" : 3, "number_of_data_nodes" : 3, "active_primary_shards" : 20, "active_shards" : 40, "relocating_shards" : 0, "initializing_shards" : 0, "unassigned_shards" : 0, "delayed_unassigned_shards" : 0, "number_of_pending_tasks" : 0, "number_of_in_flight_fetch" : 0 VMware, Inc. 67

68 Cluster-ID instellen en cluster controleren in secundair datacenter Nadat u knooppunten in het secundaire datacenter heeft gemaakt en Elasticsearch voor replicatie heeft geconfigureerd, stelt u de cluster-id voor het secundaire datacenter in en controleert u of het cluster correct is ingesteld. Procedure 1 Selecteer het tabblad Dashboard > Dashboard voor systeemdiagnose in de VMware Identity Manager-console. 2 Vervang in het bovenste venster de Cluster-ID van alle knooppunten in het secundaire datacentercluster door een ander nummer dan het eerste datacenter. Bijvoorbeeld: 3 Controleer of de knooppunten correct zijn gegroepeerd door de cluster-id's van de knooppunten te controleren en breng zo nodig wijzigingen aan. Alle knooppunten in een cluster moeten dezelfde cluster-id hebben. Klik op het potloodpictogram naast het nummer om de Cluster-ID van een knooppunt bij te werken. Als u een knooppunt uit het cluster wilt verwijderen, klikt u op Verwijderen. 4 Voor elk knooppunt dat in het linkervenster wordt weergegeven, scrolt u omlaag naar de sectie Ingebouwde componenten en controleert u of de clusterinformatie van Elasticsearch en Ehcache correct is. Bijvoorbeeld: VMware, Inc. 68