systems connector vmware enterprise のインストールと構成...enterprise systems connector...

VMware EnterpriseSystems Connector のインストールと構成

2018 年 5 月VMware Identity Manager 3.2VMware Identity ManagerVMware AirWatch 9.3

VMware Enterprise Systems Connector のインストールと構成

VMware, Inc. 2

最新の技術ドキュメントは VMware の Web サイト（https://docs.vmware.com/jp/）にあります

このドキュメントに関するご意見およびご感想がある場合は、[email protected]までお送りください。

Copyright © 2017, 2018 VMware, Inc. 無断転載を禁ず。著作権および商標情報。

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

ヴイエムウェア株式会社

105-0013　東京都港区浜松町 1-30-5浜松町スクエア 13Fwww.vmware.com/jp

https://docs.vmware.com/jp/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

目次

VMware Enterprise Systems Connector のインストールと構成 5

1 VMware Enterprise Systems Connector の概要 6

VMware Enterprise Systems Connector について 6

Enterprise Systems Connector のシステム要件 8

2 Enterprise Systems Connector アーキテクチャの概要 17

Enterprise Systems Connector の SaaS 展開モデル 17

Enterprise Systems Connector オンプレミス展開モデル 18

ACC コンポーネント証明書統合ワークフロー 20

3 Enterprise Systems Connector のインストールプロセス 21

インストールするコンポーネントの決定 22

（オンプレミスユーザーのみ）セキュアチャンネル証明書を AWCM にインストールする 22

AWCM との通信の確立 23

VMware Enterprise Systems Connector インストーラの取得 24

AirWatch コンソールからの Enterprise Systems Connector の有効化 24

Enterprise Systems Connector インストーラの実行 27

正常な Enterprise Systems Connector インストールの確認 33

4 ACC 管理 34

ACC の更新 34

ACC の手動更新の実行 36

証明書の再生成 36

5 VMware Identity Manager Connector の構成と管理 39

VMware Identity Manager Connector の構成 39

VMware Identity Manager コネクタ管理設定の管理 47

インストール後のプロキシ設定の有効化 52

VMware Identity Manager Connector の高可用性環境の構成 53

VMware Identity Manager Connector 導入環境への Kerberos 認証サポートの追加 55

VMware Identity Manager Connector インスタンスの削除 61

VMware Identity Manager コネクタのアップグレード 62

6 ACC から VMware Identity Manager Connector へのディレクトリの移行 65

他のディレクトリを LDAP 経由の Active Directory または Active Directory（統合 Windows 認証）に変換する 65

AirWatch から VMware Identity Manager へのディレクトリ同期の停止 68

VMware, Inc. 3

7 Enterprise Systems Connector のトラブルシューティング 69VMware Identity Manager Connector の管理者ユーザーパスワードのリセット 69


VMware, Inc. 4


『VMware Enterprise Systems Connector のインストールと構成』には、Windows ベースの VMware EnterpriseSystems Connector™ の設定に関する情報が記載されています。この設定により、組織は VMware AirWatch® とVMware Identity Manager™ を自社のバックエンドエンタープライズシステムと統合できるようになります。

このドキュメントには、VMware Enterprise Systems Connector の AirWatch Cloud Connector と VMwareIdentity Manager Connector の両方のコンポーネントのインストールに関する情報が記載されています。

この情報は、SaaS とオンプレミスの両方の展開シナリオに適用可能です。テキストの「メモ」に、環境の相違を示します。

対象者

この情報は、経験豊富な Windows システム管理者が対象です。SaaS ユーザーとオンプレミスユーザーの両方に適用可能です。

VMware の技術ドキュメントの用語集VMWare の技術ドキュメントには、新しい用語などを集約した用語集があります。当社の技術ドキュメントで使用される用語の定義については、http://www.vmware.com/support/pubs をご覧ください。

VMware, Inc. 5

http://www.vmware.com/support/pubs

VMware Enterprise SystemsConnector の概要 1VMware Enterprise Systems Connector をインストールする前に、システム要件、アーキテクチャ、および展開モデルを確認します。

この章では次のトピックについて説明します。

n VMware Enterprise Systems Connector について

n Enterprise Systems Connector のシステム要件

VMware Enterprise Systems Connector についてVMware AirWatch 9.1 以降では、AirWatch Cloud Connector (ACC) が VMware Enterprise Systems Connectorと呼ばれる新しいインストーラのコンポーネントとして含まれています。このインストーラは、Workspace ONE、AirWatch、および ID の統合コネクタパッケージとして機能します。ACC と VMware Identity Manager Connectorの 2 つのコンポーネントで構成されます。

インストールプロセス時に、インストールするコンポーネントを選択できます。

両方のコンポーネントのインストールが推奨されるシナリオについては、「インストールするコンポーネントの決定」

を参照してください。

VMware, Inc. 6

AirWatch Cloud Connector コンポーネント

AirWatch Cloud Connector (ACC) を使用すると、組織は AirWatch と自社のバックエンドエンタープライズシステムを統合することができます。

ACC は内部ネットワークで実行され、要求を AirWatch から組織の重要なエンタープライズインフラストラクチャコンポーネントに安全に送信するプロキシとして機能します。これにより、組織は任意の構成で実行している AirWatchMobile Device Management (MDM) のメリットを既存の LDAP、認証局、E メール、その他の内部システムとともに利用できるようになります。第 2 章「Enterprise Systems Connector アーキテクチャの概要」も参照してください。

ACC は次の内部コンポーネントと連携します。

n E メールリレー (SMTP)

n ディレクトリサービス (LDAP/Active Directory)

n Email Management Exchange 2010 (PowerShell)

n BlackBerry Enterprise Server (BES)

n Lotus Domino Web Service (HTTPS)

n Syslog（イベントログデータ）

次のコンポーネントは、個別で使用可能な PKI 統合アドオンを購入した場合にのみ使用できます。

n Microsoft Certificate Services (PKI)

n Simple Certificate Enrollment Protocol (SCEP PKI)

n サードパーティの証明書サービス（オンプレミスのみ）

VMware Identity Manager Connector コンポーネント

VMware Identity Manager Connector では、ディレクトリ統合、ユーザー認証、および Horizon View などのリソースとの統合が提供されます。

VMware Identity Manager Connector コンポーネントを使用すると、次の追加機能が環境に提供されます。

n パスワード、RSA Adaptive Authentication、RSA SecurID、Radius などの VMware Identity ManagerConnector ベースの認証方法

n 内部ユーザー用の Kerberos 認証

n 次のリソースとの統合：

n Horizon View デスクトッププールおよびアプリケーションプール

n Citrix 公開リソース

n VMware Horizon® Cloud Service™ with Hosted and On-Premises Infrastructure（クラウドホスト型およびオンプレミス型）


VMware, Inc. 7

はじめに

注意オンプレミス展開の場合、このガイドを続行する前に、『AirWatch Cloud Messaging Service (AWCM)Guide』を確認し、記載されている手順を実行しておく必要があります。

オンプレミス型の場合、AWCM が正しくインストールされており、実行中で、AirWatch とエラーなしで通信していることを確認します。

Enterprise Systems Connector のシステム要件Enterprise Systems Connector を展開するには、ご使用のシステムが必要な要件を満たしていることを確認します。

ハードウェア要件

Enterprise Systems Connector サーバを作成するための基盤として次の要件を使用します。

ACC コンポーネントのみをインストールする場合は、次の要件を使用します。

表 1‑1. ACC 要件

ユーザー数 10,000 まで 10,000～50,000 50,000～100,000

CPU コア 2 2 CPU コアの 2 台のロードバランシングされたサーバ

2 CPU コアの 3 台のロードバランシングされたサーバ

サーバあたりの RAM (GB) 4 各 4 各 8

ディスク容量 (GB) 50 各 50 各 50

VMware Identity Manager Connector コンポーネントには、次の追加要件があります。ACC と VMware IdentityManager Connector のコンポーネントの両方をインストールする場合は、次の要件を ACC 要件に追加します。


VMware, Inc. 8

表 1‑2. VMware Identity Manager Connector の要件

ユーザー数 1000 まで 1000～10,000 10,000～25,000 25,000～50,000 50,000～100,000

CPU 2 それぞれ 4 CPU の 2台のロードバランシングされたサーバ

それぞれ 4 CPU の 2台のロードバランシングされたサーバ

それぞれ 4 CPU の 2台のロードバランシングされたサーバ

それぞれ 4 CPU の 2 台のロードバランシングされたサーバ

サーバあたりの RAM(GB)

6 各 6 各 8 各 16 各 16

ディスク容量 (GB) 50 各 50 各 50 各 50 各 50

注意 n ACC コンポーネントの場合、トラフィックは AWCM コンポーネントによって自動的にロードバランシングされます。個別のロードバランサは不要です。高可用性のために同じ AWCM サーバに接続する、同じ組織グループの複数の ACC インスタンスはすべてトラフィックを受信できます（live-live 構成）。トラフィックのルーティング方法は AWCM によって特定され、現在の負荷によって異なります。

n VMware Identity Manager Connector コンポーネントについては、「VMware Identity Manager Connectorの高可用性環境の構成」を参照してください。

n CPU コアはそれぞれ、2.0 GHz 以上である必要があります。Intel プロセッサが必要です。

n ディスク容量の要件には以下が含まれます：Enterprise Systems Connector アプリケーション、WindowsOS、および .NET ランタイムに対して 1 GB ディスク容量。追加ディスク容量がログのために割り当てられます。

ソフトウェア要件

Enterprise Systems Connector サーバが、次のソフトウェア要件をすべて満たしていることを確認します。


VMware, Inc. 9

ステータ

スの

チェック

リスト要件メモ

Windows Server 2008 R2または

Windows Server 2012 または

Windows Server 2012 R2または

Windows Server 2016

両方のコンポーネントに必要

PowerShell をサーバにインストールする


注意（AirWatch Cloud Connector コンポーネント）E メール用の PowerShell MEM ダイレクトモデルを展開している場合は、PowerShell バージョン 3.0 以降が必要です。お使いのバージョンを確認するには、PowerShell を開き、コマンド $PSVersionTable を実行します。

注意（VMware Identity Manager Connector コンポーネント）Windows Server 2008 R2 にインストールしている場合は、PowerShell バージョン 4.0 が必要です。

.NET Framework 4.6.2 をインストールする


注意（AirWatch Cloud Connector コンポーネント）AirWatch Cloud Connector 自動更新機能は、Enterprise Systems Connector サーバが .NET Framework 4.6.2 に更新されるまで正しく機能しません。自動更新機能により .NET Framework が自動的に更新されるわけではありません。アップグレードを実行する前に、.NET Framework 4.6.2 を手動で Enterprise Systems Connectorサーバにインストールします。

一般的な要件

インストールが成功するように、Enterprise Systems Connector サーバが次の一般的な要件で設定されていることを確認します。

ステータ

スの

チェック

リスト要件メモ

AirWatch がインストールされているサーバにリモー

トアクセスできることを確認する

VMware AirWatch では、複数のサーバ管理用に Remote Desktop Connection Manager を設定することをお勧めします。インストーラは、 https://www.microsoft.com/en-us/download/details.aspx?id=44989 からダウンロードできます。

通常、インストールは AirWatch コンサルタントが提供する Web 会議または画面共有によってリモートで実行されます。一部のユーザーは環境に直接アクセスするための VPN 認証情報も AirWatch に提供しています。

Notepad++ のインストール（推奨）

VMware AirWatch では、Notepad++ のセットアップをお勧めします。

バックエンドシステムに対する認証用のサービスアカウント

LDP.exe ツール（http://www.computerperformance.co.uk/ScriptsGuy/ldp.zipを参照）LDAP、BES、PowerShell などを使用して、AD 接続方法を検証します。


VMware, Inc. 10

ネットワーク要件

以下のポートを構成するために、すべてのトラフィックはソースコンポーネントからターゲットコンポーネントへの一方向（アウトバウンド）です。

アウトバウンドプロキシまたはその他の接続管理ソフトウェアやハードウェアは、Enterprise Systems Connectorからのアウトバウンド接続を終了または拒否してはなりません。Enterprise Systems Connector での使用に必要なアウトバウンド接続は常にオープンになっている必要があります。

注意 ACC を使用してアクセスする認証局などのリソースは、すべて同じドメインに属している必要があります。

表 1‑3. AirWatch Cloud Connector コンポーネントポート要件 (SaaS)

ステータス

のチェック

リスト

ソースコンポーネント

ターゲットコンポーネントプロトコルポート確認

EnterpriseSystemsConnector サーバ

AirWatch AWCM の例：(https://awcm274.awmdm.com)

HTTPS 443 https://awcmXXX.awmdm.com/awcm/status と入力して確認し、証明書の信頼エラーがないことを確認します。（「XXX」を環境 URL で使用されているものと同じ番号に置き換えます。

たとえば、cn100 の場合は「100」に置き換えます。）


AirWatch コンソールの例：

(https://cn274.awmdm.com)

HTTP またはHTTPS

80 または443

https://cnXXX.awmdm.com と入力して確認し、証明書の信頼エラーがないことを確認しま

す。（「XXX」を環境 URL で使用されているものと同じ番号に置き換えます。たとえば、cn100の場合は「100」に置き換えます。）自動更新が有効になっている場合、ACC はポート 443 を使用して、AirWatch コンソールで更新を検索できなければなりません。


AirWatch API の例：(https://as274.awmdm.com)

HTTPS 443 https://asXXX.awmdm.com/api/help と入力して確認し、認証情報を求められることを確

認します。（「XXX」を環境 URL で使用されているものと同じ番号に置き換えます。たとえば、

cn100 の場合は「100」に置き換えます。）ACCから API へのアクセスは、AirWatchDiagnostics サービスが適切に機能するために必要です。


CRL: http://csc3-2010-crl.verisign.com/CSC3-2010.crl

HTTP 80 さまざまなサービスが適切に機能するように

オプションの統合


内部 SMTP SMTP 25


内部 LDAP LDAP またはLDAPS

389、636、3268、または 3269


VMware, Inc. 11

表 1‑3. AirWatch Cloud Connector コンポーネントポート要件 (SaaS) (続き)

ステータス

のチェック

リスト




内部 SCEP HTTP またはHTTPS

80 または443


内部 ADCS DCOM 135,1025-5000,49152-65535


内部 BES HTTP またはHTTPS

80 または443


内部の Exchange 2010またはそれ以降

HTTP またはHTTPS

80 または443

表 1‑4. AirWatch Cloud Connector コンポーネントポート要件（オンプレミス）




AirWatch クラウドメッセージングサーバ

HTTPS 2001 ポート上の、またはインストールされている場

合の Enterprise Systems Connector からAWCM サーバへの Telnet。

https://<AWCM URL>:

2001/awcm/status と入力して確認し、証

明書の信頼エラーがないことを確認します。

自動更新が有効になっている場合、ACC はポート 443 を使用して、AirWatch コンソールで更新を検索できなければなりません。

AWCM で ACC を使用し、複数の AWCM サーバがあり、それらのサーバをロードバランシングする場合、パーシステンスを構成する必要が

あります。

F5 を使用した AWCM パーシステンスルールの設定については、次のナレッジベースの記事を

参照してください：https://support.air-watch.com/articles/115001666028。


AirWatch コンソール HTTP またはHTTPS

80 または443

ポート上の、またはインストールされている場

合の Enterprise Systems Connector からコンソールへの Telnet。

https://<Console URL> と入力して確

認し、証明書の信頼エラーがないことを確認し

ます。

自動更新が有効になっている場合、ACC はポート 443 を使用して、AirWatch コンソールで更新を検索できなければなりません。


VMware, Inc. 12

表 1‑4. AirWatch Cloud Connector コンポーネントポート要件（オンプレミス） (続き)




API サーバ（または APIがインストールされてい

る場所）

HTTPS 443 API サーバの URL に移動して確認します。

ACC から API へのアクセスは、AirWatchDiagnostics サービスが適切に機能するために必要です。


CRL: http://csc3-2010-crl.verisign.com/CSC3-2010.crl

HTTP 80 さまざまなサービスが適切に機能するように

オプションの統合


内部 SMTP SMTP 25


内部 LDAP LDAP またはLDAPS

389、636、3268、または 3269


内部 SCEP HTTP またはHTTPS

80 または443


内部 ADCS DCOM 135,1025-5000,49152-65535


内部 BES HTTP またはHTTPS

80 または443


内部の Exchange 2010またはそれ以降

HTTP またはHTTPS

80 または443

表 1‑5. VMware Identity Manager Connector コンポーネントポート要件（SaaS またはオンプレミス）

ステータスのチェッ

クリストソースコンポーネントターゲットコンポーネントポートプロトコルメモ

VMware IdentityManager Connector

VMware IdentityManager サービス

VMware IdentityManagerサービスホスト（オンプレミスのインストー

ル）

443 HTTPS デフォルトポート。このポートは構成可能です


VMware IdentityManagerサービスロードバランサ（オンプレミスの

インストール）

443 HTTPS


VMware, Inc. 13

表 1‑5. VMware Identity Manager Connector コンポーネントポート要件（SaaS またはオンプレミス） (続き)



ブラウザ VMware IdentityManager Connector

8443 HTTPS 管理ポート。

必須


80 HTTP 必須


443 HTTPS このポートはインバウン

ドモードで使用されるコネクタにのみ必要で

す。

Kerberos 認証がコネクタで構成されている場合

は、このポートが必要で

す。


Active Directory 389、636、3268、3269

デフォルトポート。これらのポートは構成可能

です。


DNS サーバ 53 TCP/UDP すべてのインスタンス

は、ポート 53 で DNSサーバにアクセスでき、

ポート 22 で着信 SSHトラフィックを許可する

必要があります。


ドメインコントローラ 88、464、135、445

TCP/UDP


RSA SecurID システム 5500 デフォルトポート。このポートは構成可能で

す。


View 接続サーバ 389、443 Horizon View との統合のための View 接続サーバインスタンスへのアクセス


VMware, Inc. 14

表 1‑5. VMware Identity Manager Connector コンポーネントポート要件（SaaS またはオンプレミス） (続き)




Integration Broker 80、443 Citrix 公開リソースとの統合用 IntegrationBroker にアクセスします。

重要 Enterprise SystemsConnector と同じWindows Server にIntegration Broker をインストールする場合、

IIS Server DefaultWeb Site サイトバインドで、HTTP およびHTTPS バインドポートが VMware IdentityManager Connectorコンポーネントで使用さ

れるポートと競合しない

ことを確認する必要があ

ります。

VMware IdentityManager Connectorは常にポート 80 を使用します。インストール時

に別のポートが設定され

ていない場合には、443も使用します。


syslog サーバ 514 UDP 外部 Syslog サーバ用（構成されている場合）

（ VMware Identity Manager Connector コンポーネント）VMware Identity Manager クラウドホスト型 IP アドレス

（SaaS ユーザー）VMware Identity Manager Connector がアクセス権を持つ必要がある VMware Identity Managerサービス IP アドレスのリストについては、ナレッジベースの記事 KB 2149884 を参照してください。

（ VMware Identity Manager Connector コンポーネント）DNS レコードおよびIP アドレスの要件

コネクタで DNS エントリおよび固定 IP アドレスが利用できる必要があります。インストールを開始する前に、使用する DNS レコードと IP アドレスを要求し、Windows Server のネットワーク設定を行います。

オプションで逆引きの構成が可能です。逆引きを実装する場合には、DNS サーバに PTR レコードを定義して、コネクタが正しいネットワーク構成を使用するようにする必要があります。


VMware, Inc. 15

https://kb.vmware.com/kb/2149884

以下の DNS レコードのサンプルリストを使用できます。サンプルリストの情報を、それぞれの環境に合わせて書き換えてください。次のサンプルには、DNS の正引きレコードと IP アドレスが記載されています。

表 1‑6. DNS の正引きレコードと IP アドレスの例

ドメイン名リソースタイプ IP アドレス

myidentitymanager.company.com A 10.28.128.3

次のサンプルには、DNS の逆引きレコードと IP アドレスが記載されています。

表 1‑7. DNS の逆引きレコードと IP アドレスの例

IP アドレスリソースタイプホスト名

10.28.128.3 PTR myidentitymanager.company.com

DNS 構成の終了後に、DNS の逆引きが正しく構成されていることを確認します。たとえば、仮想アプライアンスのコマンド host IPaddress は DNS 名を解決する必要があります。

注意仮想 IP アドレス (VIP) が DNS サーバの前にあるロードバランサを使用している場合、VMware Identity Managerは、VIP の使用をサポートしません。複数の DNS サーバをカンマ区切りで指定できます。

注意 Unix/Linux ベースの DNS サーバを使用していて、コネクタを Active Directory ドメインに参加させる予定がある場合は、Active Directory ドメインコントローラごとに適切なサービス (SRV) リソースレコードが作成されていることを確認します。

（ VMware Identity Manager Connector コンポーネント）サポートされているActive Directory のバージョン

単一 Active Directory ドメイン、単一 Active Directory フォレストの複数のドメイン、または複数の Active Directoryフォレスト全体の複数のドメインから構成される Active Directory 環境がサポートされています。

VMware Identity Manager では、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、および Windows Server 2012 R2 用の Active Directory をサポートしています。ドメイン機能レベルおよびフォレスト機能レベルは、Windows Server 2003 以降です。

注意一部の機能については、より上位の機能レベルが要求されることがあります。たとえば、ユーザーが WorkspaceONE から Active Directory パスワードを変更できるようにするには、ドメイン機能レベルが Windows Server 2008以降である必要があります。


VMware, Inc. 16

Enterprise Systems Connector アーキテクチャの概要 2Enterprise Systems Connector には、Windows 2008 R2、2012、2012 R2、または 2016 を実行する物理サーバまたは仮想サーバにインストール可能な 2 つの Windows サービスが含まれています。それは内部ネットワーク内で動作し、任意の既存 Web Application Firewalls またはロードバランサの背後に構成できます。

Enterprise Systems Connector から AirWatch と VMware Identity Manager に組み込まれているメッセージサービスへの安全な HTTPS 接続を開始すると、Enterprise Systems Connector は情報を AD、LDAP などの内部リソースから製品にファイアウォールの変更なしで定期的に送信できます。アウトバウンドプロキシを使用してトラフィックをプロキシすることを計画している場合、コネクタ構成のプロキシを許可する設定を使用できます。

サポートされる構成

Enterprise Systems Connector を次の構成で使用します。

n HTTPS 転送の使用

n アウトバウンドプロキシを使用した HTTP トラフィックのサポート


n Enterprise Systems Connector の SaaS 展開モデル

n Enterprise Systems Connector オンプレミス展開モデル

n ACC コンポーネント証明書統合ワークフロー

Enterprise Systems Connector の SaaS 展開モデルSaaS 展開モデルでは、Enterprise Systems Connector は内部ネットワークにあり、内部システムと統合します。これにより AirWatch と VMware Identity Manager はこれらを証明書、ディレクトリサービスなど、さまざまな機能に利用できるようになります。

以下の図に、ACC と VMware Identity Manager Connector コンポーネントの両方が展開されているEnterprise Systems Connector の完全展開を示します。

VMware, Inc. 17

図 2‑1. Enterprise Systems Connector の SaaS 展開

ACC

インターネット DMZ

VMware Enterpriseシステムコネクタ

ディレクトリAirWatch

VMware IdentityManager


以下の図に、ACC コンポーネントのみの展開を示します。

図 2‑2. Enterprise Systems Connector の SaaS 展開（ACC のみ）

AirWatch


ACC

インターネット DMZ


ディレクトリ

Enterprise Systems Connector オンプレミス展開モデルオンプレミス展開モデルでは、Enterprise Systems Connector は内部ネットワークにあり、AWCM およびVMware Identity Manager サービスと通信します。AWCM は通常、AirWatch デバイスサービスサーバにインストールされます。

以下の図に、通常のオンプレミス AirWatch レイアウトのある ACC コンポーネントの展開を示します。


VMware, Inc. 18

図 2‑3. Enterprise Systems Connector オンプレミス展開（ACC のみ）

ACC

デバイス

DMZ

LB

クラスタ

AirWatch DS

AirWatch DS443

443


AirWatch DB

SQL サーバクラスタ

VMware IdentityManager DB

ディレクトリ

インターネット

クラスタ




以下の図に、通常のオンプレミス AirWatch レイアウトのある ACC および VMware Identity Manager Connectorコンポーネントの展開を示します。

図 2‑4. Enterprise Systems Connector オンプレミス展開（ACC および VMware Identity Manager Connector ）

ACC

デバイス

DMZ

LB

クラスタ

AirWatch DS

AirWatch DS

クラスタ




443

443


AirWatch DB

SQL サーバクラスタ

VMware Identity Manager DB

ディレクトリ

インターネット



VMware, Inc. 19

ACC コンポーネント証明書統合ワークフロー証明書は、AirWatch コンソールと AirWatch Cloud Connector (ACC) 間の通信の認証に使用されます。

証明書の生成方法

n ACC を有効にしてから、AirWatch および ACC に対して証明書を生成します。

n 両方の証明書は、AirWatch コンソールで選択したグループ固有で、AirWatch サーバ上にあります。

n 両方の証明書は、信頼できる AirWatch ルートから生成されます。

n ACC をインストールします。AirWatch によって生成される ACC 証明書が自動的にバンドルされ、ACC とともにインストールされます。

オンプレミス環境でのデータのルーティング方法

n AirWatch は要求を AWCM に送信します。要求は HTTPS を使用して SSL で暗号化されます。

n ACC は AWCM で AirWatch 要求を検索します。要求は HTTPS を使用して SSL で暗号化されます。

n すべてのデータは AWCM を介して送信されます。

ACC 構成では、AirWatch 環境からの署名されたメッセージのみが信頼されます。この信頼はグループごとに一意です。

高可用性 (HA) 構成の一部として同じ AirWatch グループで設定された追加の ACC サーバには、同じ一意の ACC 証明書が発行されます。高可用性の詳細については、AirWatch Resources で使用可能な『VMware AirWatchRecommended Architecture Guide』を参照してください。

オンプレミス環境でのデータの保護方法

AirWatch サーバは、各要求を暗号化および署名されたメッセージとして AWCM に送信します。

n 要求は ACC インスタンスの一意のパブリックキーを使用して暗号化されます。ACC のみが要求を復号化できます。

n 要求は、グループごとに一意の AirWatch サーバインスタンスのプライベートキーを使用して署名されます。そのため、ACC は構成された AirWatch サーバからの要求のみを信頼します。

n ACC から AirWatch サーバへの応答は、要求と同じキーで暗号化され、ACC プライベートキーで署名されます。


VMware, Inc. 20

Enterprise Systems Connector のインストールプロセス 3いくつかのタスクを実行して、内部ネットワークで Enterprise Systems Connector を構成し、インストールする必要があります。

手順

1 「インストールするコンポーネントの決定」 - ACC コンポーネントのみをインストールするか、ACC と VMwareIdentity Manager Connector の両方をインストールするかを決めます。

2 「（オンプレミスユーザーのみ）セキュアチャンネル証明書を AWCM にインストールする」 - オンプレミスユーザーは、セキュアチャンネル証明書をインストールして、AWCM と AirWatch コンソール、デバイスサービス、API、セルフサービスポータルのコンポーネントの間のセキュリティを確立する必要があります。

3 「AWCM との通信の確立」 - SaaS ユーザーとオンプレミスユーザーは、AWCM との通信を確立する必要があります。このアクションを実行すると、AirWatch インスタンスで特定の AWCM サーバが使用されるように構成できます。

4 「VMware Enterprise Systems Connector インストーラの取得」 - Enterprise Systems Connector インストーラは、「AirWatch コンソールからの Enterprise Systems Connector の有効化」の説明に従って、AirWatch コンソールの [Cloud Connector] ページからダウンロードできます。インストーラは、[Workspace ONE のスタート] ウィザードの一部としても使用可能です。

5 「AirWatch コンソールからの Enterprise Systems Connector の有効化」 - Enterprise Systems Connector をインストールする前に、まずこれを有効にし、証明書を生成して、統合するエンタープライズサービスと AirWatchサービスを選択する必要があります。この手順を完了すると、Enterprise Systems Connector をインストールできます。

6 「Enterprise Systems Connector インストーラの実行」 - すべての前提条件を満たす構成済みのサーバでEnterprise Systems Connector インストーラを実行します。

7 「正常な Enterprise Systems Connector インストールの確認」 - Enterprise Systems Connector をインストールした後は、AirWatch コンソール内から正常なインストールを確認できます。


n インストールするコンポーネントの決定

n （オンプレミスユーザーのみ）セキュアチャンネル証明書を AWCM にインストールする

n AWCM との通信の確立

n VMware Enterprise Systems Connector インストーラの取得

VMware, Inc. 21

n AirWatch コンソールからの Enterprise Systems Connector の有効化

n Enterprise Systems Connector インストーラの実行

n 正常な Enterprise Systems Connector インストールの確認

インストールするコンポーネントの決定

インストールプロセスを開始する前に、ビジネスニーズに応じて ACC コンポーネントのみをインストールするか、VMware Identity Manager Connector コンポーネントのみをインストールするか、ACC と VMware IdentityManager Connector の両方をインストールするかを決定します。

ほとんどの Workspace ONE ユーザーの場合、Enterprise Systems Connector の両方のコンポーネントをインストールすることをお勧めします。完全インストールには、ACC 機能だけでなく、次の機能のサポートも含まれています。

n Workspace ONE での仮想アプリケーションとデスクトップ

n RSA セキュア ID 認証

n 統合 Windows 認証

n VMware Identity Manager での複数の信頼できる Active Directory、または信頼できない Active Directory

n AirWatch に複数のディレクトリ組織グループ構成のある VMware Identity Manager

n ID 中心の統合機能用プラットフォーム

Workspace ONE を ACC でのみ展開している場合、そのモデルは引き続きサポートされますが、これらのいずれかの機能を利用することを予定している場合、Enterprise Systems Connector の完全インストールをお勧めします。ACC のみから Enterprise Systems Connector で使用可能な VMware Identity Manager Connector への移行がサポートされています。第 6 章「ACC から VMware Identity Manager Connector へのディレクトリの移行」を参照してください。

（オンプレミスユーザーのみ）セキュアチャンネル証明書を AWCMにインストールする

オンプレミスユーザーは、セキュアチャンネル証明書をインストールして、AWCM と AirWatch コンソール、デバイスサービス、API、およびセルフサービスポータルのコンポーネント間のセキュリティを確立する必要があります。

重要 AWCM を実行しているサーバで次の手順を実行します。インストールプログラムを別のコンピュータにダウンロードして、AWCM サーバにコピーしないでください。AWCM を実行しているサーバでダウンロードが失敗した場合、想定される回避策については AirWatch サポートにお問い合わせください。

注意 AirWatch Tunnel または Enterprise Systems Connector をダウンロードし、インストールした後に AWCMキーストアのセキュアチャンネル証明書に変更を行った場合、すべてのフォルダをアンインストールして削除してから、再ダウンロードして再インストールする必要があります。

手順

1 [[グループと設定] > [すべての設定] > [システム] > [詳細] > [セキュアチャンネル証明書]] の順に移動します。


VMware, Inc. 22

2 [AirWatch クラウドメッセージング] セクション内の [AWCM Secure Channel インストーラのダウンロード]を選択し、[セキュアチャンネル証明書] インストールスクリプトのインストールを開始します。

Linux 用のセキュアチャンネルインストーラは、クラウド通知サービスにのみ使用されます。AWCM は Windowsサーバでのみサポートされます。

3 [セキュアチャンネル証明書] インストールスクリプトをローカル AWCM サーバにコピーし、右クリックして[管理者として実行] を選択し、インストールを実行します。

4 トラストストアのパスを入力するか、[参照] を選択してトラストストアのパスを検索し、[OK] を選択します。

5 証明書がキーストアに追加されたことを通知する [メッセージ] ダイアログボックスが表示されたら、[OK] を選択します。

6 AWCM との通信の確立の手順を続行します。

7 Enterprise Systems Connector のインストールの手順を続行します。

AWCM との通信の確立SaaS とオンプレミスのユーザーは、AWCM との通信を確立する必要があります。このアクションを実行すると、AirWatch インスタンスで特定の AWCM サーバが使用されるように構成できます。

手順

1 [グループと設定] > [すべての設定] > [システム] > [詳細] > [サイト URL] の順に移動して、[AirWatch クラウドメッセージング] セクションを表示します。

注意 SaaS ユーザーにシステム設定でこのページが表示されない場合、これらの設定はすでに構成されています。

2 次の設定を行います。

設定説明

AirWatch サーバの有効化このボックスにチェックマークを付け、AirWatch コンソールと AWCM サーバ間の接続を許可します。

AirWatch サーバ外部 URL このフィールドには、外部コンポーネントおよびデバイス（ACC など）で使用されるサーバ名を入力して、AWCM との（HTTPS 経由）安全な通信にできます。ACC URL の例：Acme.com。

https:// はアプリケーションで認識され、自動的に追加されるため、追加しないでください。

AirWatch 外部ポートこれは、上記のサーバ名による AWCM との通信に使用されているポートです。

安全な外部通信のためには、ポート 443 を使用します。SSL のオフロードをバイパスする場合、内部の安全ではない通信ポートを使用します。このポートはデフォルトで 2001 ですが、別のポート番号に変更できます。

AWCM サーバ内部 URL この URL を使用すると、内部コンポーネントおよびデバイス（管理コンソール、デバイスサービスなど）から AWCM に接続できます。AirWatch URL の例：https://Acme.com:2001/awcm またはhttp://AcmeInternal.Local/awcm。

AWCM サーバおよび AirWatch コンソールが内部（同じネットワーク内）であり、オフロードされた SSL をバイパスする場合に安全な接続は不要なため、https の代わりに http を使用できます。たとえば、http://AcmeInternal.Local:2001/awcm です。この例では、サーバが内部ネットワーク内にあり、ポート2001 で通信していることを示します。


VMware, Inc. 23

VMware Enterprise Systems Connector インストーラの取得VMware Enterprise Systems Connector インストーラは、複数の場所から使用可能です。

n 「AirWatch コンソールからの Enterprise Systems Connector の有効化」で説明されている、AirWatch コンソールの [グループと設定] > [すべての設定] > [システム] > [エンタープライズ統合] > [VMware EnterpriseSystems Connector] ページから。

n AirWatch コンソールの Workspace ONE の「はじめに」ウィザードの一部として。[Workspace ONE のスタート] ウィザードの詳細については、『VMware Workspace ONE Quick Configuration Guide』を参照してください。

n VMware Identity Manager コンポーネントは、My VMware の VMware Identity Manager 製品ダウンロードページからも入手できます。

AirWatch コンソールからの Enterprise Systems Connector の有効化Enterprise Systems Connector をインストールする前に、まずこれを有効にし、証明書を生成し、統合するエンタープライズサービスと AirWatch サービスを選択する必要があります。この手順を完了すると、Enterprise Systems Connector をインストールできます。

注意 Enterprise Systems Connector を実行するサーバ上で次の手順を実行します。インストーラを別のコンピュータにダウンロードして Enterprise Systems Connector サーバにコピーしないでください。

手順

1 [グループと設定 > すべての設定 > システム > エンタープライズ統合 > VMware Enterprise Systems Connector]に移動します。

2 [全般] タブで、次の設定を行います。

設定説明

VMware Enterprise Systems Connector を有効にする

このチェックボックスを選択して Enterprise Systems Connector を有効にし、[全般] タブを表示します。

自動更新を有効にする選択して Enterprise Systems Connector を有効にし、新しいバージョンが使用可能な場合に自動的に更新するようにします。自動更新の詳細については、VMware Enterprise SystemsConnector Auto-Update Optionを参照してください。


VMware, Inc. 24

3 [詳細] タブで、次の設定を行います。

設定説明

証明書の生成このボタンを選択して、Enterprise Systems Connector および AirWatch サーバに対して証明書を生成します。証明書は両方に対して生成され、

VMware Enterprise Systems Connector と AirWatch 証明書の下に表示されます。

証明書が生成されると、ボタンは [再生成] に変わります。証明書の再生成については、「証明書の再生成」を参照してください。

AWCM との通信 Enterprise Systems Connectorが AWCM と通信する方法を [AWCM との通信] で選択します。

n [外部 AWCM URL を使用する] – これは、ほとんどの展開に適用されるデフォルトのオプションです。

n [内部 AWCM URL を使用する] – このオプションは、セキュリティ設定によりEnterprise Systems Connector サーバで外部 AWCM URL を解決できない場合に使用します。たとえば、Enterprise Systems Connector が内部ネットワーク上にあり、AWCM サーバが DMZ 内にある場合です。


VMware, Inc. 25

設定説明

エンタープライズサービス [有効] ボタンまたは [無効] ボタンを選択して、エンタープライズサービスを有効または無効にします。選択した（有効な）サービスが Enterprise Systems Connector と統合します。

n BES（BlackBerry 同期ユーザーとモバイルデバイスの情報）

n ディレクトリサービス (LDAP/Active Directory)

n Exchange PowerShell（特定のセキュア E メールゲートウェイに対する）

n SMTP（E メールリレー）

AirWatch SaaS では独自の SMTP による E メール配信を提供していますが、Enterprise Systems Connectorを有効にするとここで別の SMTP サーバを使用できます。[ [グループと設定] > [すべての設定] > [システム] > [エンタープライズ統合] > [Eメール (SMTP)]] で、E メール用の SMTP サーバ設定を入力します。

n Syslog（AirWatch イベントログデータとの統合に使用されるクライアント/サーバプロトコル）

次のコンポーネントは、個別で使用可能な PKI 統合アドオンを購入した場合にのみ使用できます。

n Microsoft Certificate Services (PKI)

n Simple Certificate Enrollment Protocol (SCEP PKI)

n OpenTrust CMS Mobile（サードパーティの証明書サービス）

n Entrust PKI（サードパーティの証明書サービス）

n Symantec MPKI（サードパーティの証明書サービス）

クラウド証明書サービスの場合は Enterprise Systems Connector を経由する必要がないため、以下の画面のいずれかのチェックボックスを選択して証明書サービス（SymantecMPKI など）と統合する場合、選択したサービスがクラウド (SaaS) ではなくオンプレミスにある必要があります。

AirWatch サービス [有効] または [無効] を選択して、AirWatch サービスを有効または無効にします。選択した（有効な）AirWatch コンポーネントが Enterprise Systems Connector と統合します。AirWatch では、すべてのサービスを有効のままにしておくことをお勧めします。

n デバイスサービス（管理コンソールと、それが機能するために必要な関連する Windowsサービスを含む、すべてのサービス）

n デバイス管理（登録、アプリケーションカタログ、および関連する Windows サービス）

n セルフサービスポータル（関連する Windows サービスを含む）

n その他すべてのコンポーネント（関連する Windows サービスを含む）

注意（オンプレミスユーザー）「AWCM を有効にして VMware Enterprise SystemsConnector と通信する」を実行していない場合、[AWCM Secure Channel インストーラのダウンロード] を選択してダウンロードページにリダイレクトできます。

注意（SaaS ユーザー）セキュアチャンネル証明書インストーラをダウンロードする必要はありません。

4 [保存] を選択して、これらすべての設定を保持します。

5 [全般] タブに戻り、[VMware Enterprise Systems Connector インストーラのダウンロード] を選択します。

[Cloud Connector インストーラのダウンロード] ページが表示されます。

6 フィールドに Enterprise Systems Connector 証明書のパスワードを入力します。後でEnterprise Systems Connector インストーラを実行し、証明書のパスワードを入力する必要があるときに、パスワードは必要になります。


VMware, Inc. 26

7 .exe ファイルを後で使用するために [ダウンロード] を選択し、Enterprise Systems Connector サーバに保存します。

Enterprise Systems Connector インストーラの実行すべての要件を満たす Windows サーバ上で Enterprise Systems Connector インストーラを実行します。

インストーラには、AirWatch Cloud Connector と VMware Identity Manager Connector のコンポーネントが含まれています。1 つまたは両方のコンポーネントをインストールできます。初期インストール後に、インストーラを再度実行して、機能を変更したり、インストールを更新したりできます。

開始する前に

次の前提条件は、AirWatch Cloud Connector (ACC) コンポーネントに適用されます。

n 開始する前に、オンプレミスユーザーは https://{url}:<port>/awcm/status を参照して、

Enterprise Systems Connector がインストールされているサーバが AWCM に接続できることを確認します。ここで、{url} は AirWatch 環境の URL で、<port> は接続する AWCM に対して構成した外部ポートです。AWCM のステータスに SSL エラーがないことを確認する必要があります。エラーがある場合は続行する前にエラーを解決してください。解決しないと ACC が適切に機能しません。

n SaaS ユーザーは、https://awcm<XXX>.awmdm.com/awcm/status に接続して、Enterprise Systems Connector をインストールしているサーバが AWCM に接続できることを確認する必要があります。<XXX> を環境の URL で使用されているものと同じ番号に置き換えます。たとえば、cn100 の場合は「100」に置き換えます。AWCM のステータスに SSL エラーがないことを確認する必要があります。エラーがある場合は続行する前にエラーを解決してください。解決しないと ACC が適切に機能しません。

次の前提条件は VMware Identity Manager Connector コンポーネントに適用されます。

n ポート 80 および 8443 は、Windows サーバで使用可能である必要があります。これらのポートがその他のサービスで使用されている場合、VMware Identity Manager Connector コンポーネントをインストールできません。

n 次の場合、Windows サーバはドメインに参加する必要があり、管理者グループに属するドメインユーザーとして Windows サーバに VMware Identity Manager Connector コンポーネントをインストールする必要があります。

n Active Directory（統合 Windows 認証）に接続する場合

n Kerberos 認証を使用する場合

n Horizon View を VMware Identity Manager と統合し、[ディレクトリ同期を実行] オプションまたは [5.x接続サーバの構成] オプションを使用する場合

これらの場合、インストール時にドメインユーザーとして IDM コネクタサービスも実行する必要があります。

n インストール時に、インストーラでドメインとユーザーを参照し、検証できるようにするには、次の要件を満た

す必要があります。

n ターゲットシステムは、ドメインに参加している必要があります。

n Computer Browser サービスが有効で、実行中である必要があります。

n Computer Browser サービス以外に対してファイアウォールを構成する必要があります。


VMware, Inc. 27

n TCP/IP を介した NetBIOS がターゲットシステムで有効になっている必要があります。

n マスターブラウザシステムがネットワークで構成されている必要があります。

n ブロードキャストトラフィックがネットワーク上で有効になっている必要があります。

n VMware Identity Manager Connector をインストールするディレクトリパスに空白が含まれていると、インストールが失敗します。たとえば「C:\Program Files」へのインストールは失敗しますが、「C:\VMware」へのインストールは成功します。

手順

1 インストーラをダブルクリックします。

2 ようこそ画面で、[次へ] をクリックします。

インストーラは、サーバ上の前提条件を確認します。.NET Framework がインストールされていない場合はインストールし、サーバを再起動するように求められます。再起動した後に Enterprise Systems Connector インストーラを再度実行し、インストールプロセスを再開します。

前のバージョンがインストールされている場合、それがインストーラで自動検出され、最新バージョンにアップ

グレードするためのオプションが提供されます。ACC の更新の詳細については、 ACC の更新を参照してください。VMware Identity Manager コネクタのアップグレードの詳細については、「VMware Identity Manager コネクタのアップグレード」を参照してください。

3 使用許諾契約に同意し、[次へ] をクリックします。

4 [カスタムセットアップ] ページで、インストールするコンポーネントを選択します。

デフォルトで、AirWatch Cloud Connector と VMware Identity Manager Connector の両方が選択されています。コンポーネントを選択解除するには、展開矢印をクリックし、[この機能は使用できなくなります] を選択します。

コンポーネントの詳細については、「インストールするコンポーネントの決定」を参照してください。


VMware, Inc. 28

5 必要に応じて [変更...] を選択してインストールディレクトリを変更し、[次へ] をクリックします。

注意インストールディレクトリのパスに空白が含まれていると、インストールが失敗します。たとえば「C:\Program Files」へのインストールは失敗しますが、「C:\VMware」へのインストールは成功します。

VMware Identity Manager Connector コンポーネントには、Java Runtime Environment (JRE™) が必要です。Windows サーバに JRE がインストールされていない場合、または JRE のバージョンがインストーラに含まれているものよりも前の場合は、JRE をインストールするように求められます。必要な JRE バージョンのインストール時に、既存のバージョンは削除されないことに注意してください。

6 移動先フォルダを確認し、[次へ] をクリックします。

7 AirWatch の [システム設定] ページで入力した ACC 証明書のパスワードを入力して、[次へ] をクリックします。

8 アウトバウンドプロキシを介して ACC トラフィックをプロキシする場合、チェックボックスを選択し、プロキシサーバ情報を指定します。

必要に応じて、ユーザー名とパスワードを入力します。

注意このページでの設定は ACC にのみ適用されます。VMware Identity Manager Connector のプロキシサーバ情報は、後で個別に入力されます。


VMware, Inc. 29

9 [次へ] をクリックします。

10（VMware Identity Manager Connector のみ）[IDM コネクタの構成] ページで、次の情報を入力してから、[次へ] をクリックします。

オプション説明

IDM コネクタのポート VMware Identity Manager Connector を 443 以外のポートで実行する場合は、ポート番号を入力します。

独自の SSL 証明書を使用しますか。デフォルトで、自己署名証明書はインストールプロセスで VMware Identity ManagerConnector に対して生成されます。https://<vidmConnectorHostname>:8443/cfg/login のコネクタの管理ページにログインし、[証明書のインストール] ページに移動して、後で署名証明書をインストールできます。

すでに証明書があり、それを今すぐインストールする場合、チェックボックスを選択してから、証明書を選択し、証明書のパスワードを入力します。証明書は PFX 形式である必要があります。

HTTPS プロキシを使用していますか。必要に応じて、アウトバウンド通信用の HTTPS プロキシサーバの構成を選択します。

[HTTPS プロキシ]：プロキシサーバの URL。

[プロキシポート]：HTTPS プロキシサーバのポート。

[非プロキシホスト]：プロキシサーバを経由せずに VMware Identity Manager Connectorがアクセスできるホスト。たとえば、localhost または同じサブネット上のホストです。


VMware, Inc. 30

11（VMware Identity Manager Connector のみ）[VMware IDM コネクタのアクティベーション] ページで、今すぐコネクタをアクティブ化する場合はチェックボックスを選択します。


アクティベーションコード VMware Identity Manager が、インストーラをダウンロードした AirWatch 組織グループで構成されている場合、このフィールドには、アクティベーションコードが事前入力されます。

フィールドに事前入力されていない場合、VMware Identity Manager の管理コンソールでアクティベーションコードを生成してコピーし、ここに貼り付けます。詳細については、「VMware Identity Manager Connector のアクティベーションコードを生成する」を参照してください。

管理者パスワードコネクタの管理ページのパスワードを作成します。これらのページにアクセスして、ログファイルバンドルを収集し、証明書をアップロードできます。

パスワードの確認パスワードを再度入力します。

VMware Identity Manager Connector を今すぐアクティブ化しない場合、後でhttps://<vidmConnectorHostname>:8443 でアクティブ化できます。たとえば、https://myconnector.example.com:8443 です。


VMware, Inc. 31


13（VMware Identity Manager Connectorのみ）[IDM コネクタサービスのアカウント] ページで、Windows ドメインユーザーとして IDM コネクタサービスを実行する場合はチェックボックスを選択します。

次の場合にドメインユーザーとしてサービスを実行する必要があります。

n Active Directory（統合 Windows 認証）に接続する場合




VMware, Inc. 32

注意このページで選択を行うには、Windows サーバで管理者グループに属するドメインユーザーとしてインストーラを実行している必要があります。

注意 [参照] をクリックしてもドメインまたはユーザーを検索できない場合は、前提条件を満たしていることを確認します。


15 [インストール] をクリックして、インストールを開始します。

インストーラには、ACC を自動更新するためのチェックボックスが表示されます。自動更新の詳細については、ACC 自動更新オプションを参照してください。

16 [終了] をクリックします。

正常な Enterprise Systems Connector インストールの確認Enterprise Systems Connector をインストールした後、AirWatch コンソール内から正常なインストールを確認できます。

注意 [接続をテスト] オプションは、Enterprise Systems Connector の ACC コンポーネントにのみ適用されます。VMware Identity Manager Connector コンポーネントには適用されません。

手順

1 [[グループと設定] > [すべての設定] > [システム] > [エンタープライズ統合] > [Cloud Connector]] の順に移動します。

2 画面の下部にある [接続をテスト] を選択すると、以下のメッセージが表示されます。

3 移行する場合、新しい機能を決定し、新しい機能をテストして移行が正常に実行されたことを確認します。

次に進む前に

これで Enterprise Systems Connector が正常にインストールされ、ディレクトリサービスインフラストラクチャとの統合に使用できます。


VMware, Inc. 33

ACC 管理 4このセクションには、ACC コンポーネントの更新および証明書の再生成に関する情報が含まれています。


n ACC の更新

n ACC の手動更新の実行

n 証明書の再生成

ACC の更新AirWatch Cloud Connector (ACC) を AirWatch コンソールからアップグレードし、最新のバグ修正と拡張機能を利用できるようにします。このプロセスは、ACC 自動更新オプションを使用して自動化することも、管理コントロールが優先される状況の場合は手動で実行することもできます。

注意 VMware Identity Manager Connector コンポーネントのアップグレードの詳細については、「VMware IdentityManager コネクタのアップグレード」を参照してください。

ACC の自動更新

ACC のインストール時に、デフォルトで自動更新のチェックボックスが選択されます。自動更新によって、ACC はACC の新しいバージョンを AirWatch で検索することで、ユーザーが操作しなくても最新バージョンにアップグレードできます。AirWatch では自動更新を許可する（チェックボックスは選択解除しない）ことを推奨していますが、手動アップグレードが望ましい環境や状況にはこれをオプションにしています。

注意自動更新オプションは、Enterprise Systems Connector の ACC コンポーネントにのみ適用されます。VMwareIdentity Manager Connector コンポーネントには適用されません。

自動更新のメリット

n アップグレードする必要があるかどうか、最新の ACC バージョンを検索する必要があるかどうかを手動で判断する必要はありません。ソフトウェアが代わりに行います。

n 機能、拡張機能、および修正は常に最新です。

n 最も重要なのは、セキュリティが最新であることです。

VMware, Inc. 34

更新プロセス

ACC の自動更新は、Cloud Connector フォルダ内の Bank1 フォルダおよび Bank2 フォルダを使用して実行されます。AirWatch はこれらのうち空のフォルダを検出して、そこに該当する ACC ファイルを置き、その他のフォルダの内容を空にします。以降の更新で、AirWatch は代替フォルダ以外に対してそのプロセスを繰り返します。このプロセスは、新しいバージョンが自動更新されるたびに繰り返されます。このプロセスが更新プロセスフロー図に示されます。

重要 Bank1 フォルダまたは Bank2 フォルダを削除しないでください。Bank1 フォルダおよび Bank2 フォルダはACC 自動更新プロセスに不可欠です。

図 4‑1. 更新プロセスフロー

セキュリティの自動更新

ACC の自動更新はセキュリティを考慮して実行されます。すべての更新は、AirWatch コンソールで署名され、ACCで検証されるため、信頼できるアップグレードのみで更新されています。また、アップグレードプロセスは、AirWatch管理に透過的です。新しいバージョンが使用可能になると、ACC はポート 443 で AirWatch コンソールを検索することによってそれを認識し、アップグレードが発生します。

ACC は最新バージョンにアップグレードしている間は使用できなくなるため、短時間（約 1 分）サービスが提供されなくなります。複数の ACC サーバがインストールされている場合、すべての ACC サービスが同時にダウンしないようにするには、AirWatch はランダムタイマーをアップグレードプロセスに組み込み、これにより短期間の異なる時間に ACC が停止します。

ACC が自動更新されると、[プログラムの追加と削除] でのバージョンは変わらず、元のバージョンはリストされたままです。[プログラムの追加と削除] でのバージョンは、フル ACC インストーラの実行時にのみ変わります。自動更新が成功したかどうかを確認する最善の方法としては、実行中のバージョンを ACC ログで調べます。

自動更新を無効にした場合の影響

この機能が無効にされ、ACC がアップグレードされない場合、以下のいずれかの事象が発生するまで ACC は動作したままです。

n ACC がパワーオフされてから、パワーオンされる（意図的に行う、または停電）。

n ACC を再インストールする必要がある。


VMware, Inc. 35

n AirWatch コンソールがより新しいバージョンにアップグレードされる。

n AirWatch、AWCM、または ACC 証明書が再生成される。証明書の再生成時に、新しい証明書を認識するために最新バージョンの ACC をインストールし、再起動する必要がある。

ACC の手動更新の実行AirWatch では ACC の手動更新の実行を推奨していませんが、この方法はお使い環境のニーズに合う場合はオプションとして使用できます。代替の方法については、「ACC の自動更新」を参照してください。

手順

1 自動更新が AirWatch コンソールでオフになっていることを確認します。これにより、コンソールのアップグレード時に最新の ACC .zip ファイルが ACC サーバに保存され、ACC をアップグレードする必要があることを通知するエントリが ACC ログファイルに作成されます。

2 AirWatch Cloud Connector サービスを停止します。

3 次のいずれかの方法を実行します。

a 最初の方法は、ACC .zip ファイルをログファイルに記載されている Bank フォルダに解凍することです。このフォルダの既存のファイルを上書きするか、すべてのファイルを削除します。クラウドコネクタサービスの再起動時に ACC のバージョンがアップグレードされます。

b 2 つ目の方法は、いずれかの Bank フォルダを使用することです。この場合、.config ファイルまたは .config.old ファイルを他の Bank フォルダで使用可能のままにして、ストックの .config ファイルをカスタマイズされる値に修正できるようにできます。ファイルを解凍し、Cloud Connector サービスを再起動すると、新しくアップグレードされたバージョンで実行されます。

証明書の再生成

AirWatch および AirWatch Cloud Connector (ACC) サーバに使用される証明書の再生成が必要になる場合があります。たとえば、証明書の期限が切れた場合、または組織で証明書が定期的に必要になる場合です。この手順は簡単

です。AirWatch コンソールから実行できますが、ACC インストーラを再度ダウンロードし、実行する必要があります。

証明書にはサムプリントと有効期限が含まれています。[証明書の再生成] ボタンを選択し、プロンプトに従ってこれらを両方とも同時にクリアし再生成することができます。証明書を再生成すると、ACC は AirWatch と通信できなくなります。インストール手順を再度実行して、両方のサーバで新しい証明書を再認識できるようにする必要があります。

手順

1 [[グループと設定] > [すべての設定] > [システム] > [エンタープライズ統合] > [Cloud Connector]] の順に移動します。証明書のサムプリント、および有効期限は [詳細] タブに表示されます。


VMware, Inc. 36

2 [証明書の再生成] を選択して、ACC および AirWatch サーバに対する新しい証明書を生成します。


VMware, Inc. 37

3 必要に応じて、セキュリティ PIN を入力してアクションを確認し、警告メッセージに応答します。古い証明書は削除され、新しい証明書、サムプリント、および有効期限が再生成されます。

図 4‑2.

PIN を入力して確認すると、ACC は AirWatch サーバと通信できなくなります。ACC と AirWatch サーバ間の通信を復元するには、ACC のインストールに戻り、すべての手順を再度完了します。これにより、両方のサーバで最新の証明書が認識され、再び通信できるようになります。


VMware, Inc. 38

VMware Identity Manager Connectorの構成と管理 5このセクションには、VMware Identity Manager Connector の構成と管理設定の管理に関する情報が含まれています。詳細な構成情報も含まれています。


n VMware Identity Manager Connector の構成

n VMware Identity Manager コネクタ管理設定の管理

n インストール後のプロキシ設定の有効化

n VMware Identity Manager Connector の高可用性環境の構成

n VMware Identity Manager Connector 導入環境への Kerberos 認証サポートの追加

n VMware Identity Manager Connector インスタンスの削除

n VMware Identity Manager コネクタのアップグレード

VMware Identity Manager Connector の構成VMware Identity Manager Connector コンポーネントをインストールした後は、構成が必要です。

VMware Identity Manager Connector の構成には、次のタスクが含まれます。

1 インストール中にコネクタをアクティブ化しなかった場合は、アクティベーションコードを生成してアクティブ化します。

2 ディレクトリをセットアップします。

3 コネクタで認証アダプタを有効にします。

4 コネクタで送信モードを有効にします。

VMware, Inc. 39

VMware Identity Manager Connector のアクティベーションコードを生成するVMware Identity Manager 管理コンソールにログインし、VMware Identity Manager Connector のアクティベーションコードを生成します。アクティベーションコードは、テナントとコネクタインスタンス間の通信を確立するために使用されます。

注意 VMware Identity Manager が、インストーラをダウンロードした AirWatch 組織グループ内に構成されている場合、アクティベーションコードを生成する必要はありません。インストーラを実行中にコネクタをアクティブ化している場合、アクティベーションコードは [アクティベーションコード] フィールドにあらかじめ入力されます。インストーラを続行します。

開始する前に

（SaaS 環境）お使いの環境の VMware Identity Manager テナント URL（例：<mycompany.vmwareidentity.com>）を使用します。確認メールを受信したら、テナントの URL にアクセスして、受信したローカル管理者の認証情報を使用してログインします。この管理者はローカルユーザーです。

手順

1 管理コンソールにログインします。

2 （SaaS 環境）[承認] をクリックして、利用条件に同意します。

3 [ID とアクセス管理] タブをクリックします。

4 [セットアップ] をクリックします。

5 [コネクタ] ページで、[Connector を追加] をクリックします。

6 コネクタの名前を入力します。

7 [アクティベーションコードを生成] をクリックします。

アクティベーションコードがページに表示されます。


VMware, Inc. 40

8 アクティベーションコードをコピーして保存します。

次に進む前に

Enterprise Systems Connector インストーラの実行中に VMware Identity Manager コネクタコンポーネントをアクティブ化している場合、コネクタコードをコピーして、インストーラの [VMware IDM コネクタのアクティベーション] ページに貼り付けます。

VMware Identity Manager コネクタコンポーネントをインストール後にアクティブ化する場合、「VMware IdentityManager Connector のアクティブ化」を参照してください。

VMware Identity Manager Connector のアクティブ化インストール時に VMware Identity Manager Connector を Enterprise Systems Connector インストーラからアクティブ化しなかった場合、後で URL https://<vidmConnectorHostname>:8443 に移動してアクティブ化できます。

開始する前に

コネクタのアクティベーションコードがあります。

手順

1 URL https://<vidmConnectorHostname>:8443 に移動します。

完全修飾ドメイン名として <vidmConnectorHostname> を指定します。たとえば、https://myconnector.example.com:8443 です。

2 [ようこそ] ページで、[続行] をクリックします。


VMware, Inc. 41

3 [パスワードを設定] ページで、コネクタ管理者ページのパスワードを作成して、[続行] をクリックします。

これらのページにアクセスして、ログファイルバンドルを収集し、証明書をアップロードできます。

4 [コネクタのアクティベーション] ページで、アクティベーションコードを入力して、[続行] をクリックします。

コネクタが正常にアクティブ化されると、「セットアップが完了しました」というメッセージが表示されます。

ディレクトリのセットアップ

VMware Identity Manager Connector をインストールしてアクティブ化した後、VMware Identity Manager 管理コンソールでディレクトリをセットアップし、エンタープライズディレクトリとの接続を確立してユーザーとグループをサービスに同期します。

VMware Identity Managerは、次の種類のディレクトリとの統合をサポートします。

n LDAP 経由の Active Directory

n Active Directory（統合 Windows 認証）

n LDAP ディレクトリ

ディレクトリをセットアップする前の詳細については、『VMware Identity Manager とのディレクトリ統合』ガイドを参照してください。高水準のタスクがここに一覧表示されます。

開始する前に

前提条件は、統合するディレクトリのタイプによって異なります。詳細については、『VMware Identity Manager とのディレクトリ統合』ガイドを参照してください。

手順

1 VMware Identity Manager の管理コンソールにログインします。

ヒントコネクタをアクティブ化した後に表示される [セットアップが完了しました] ページの [管理コンソールにログインします] リンクをクリックして管理コンソールに移動することもできます。

2 ディレクトリに同期するユーザー属性を選択します。

a [ID とアクセス管理] タブをクリックし、続いて [セットアップ] をクリックします。

b [ユーザー属性] タブで、必須属性を選択し、必要に応じて属性を追加します。

属性に必須のマークが付いている場合は、その属性を持つユーザーのみがサービスに同期されます。

重要次の制限を認識しておく必要があります。

n ディレクトリが作成されると、属性をオプションから必須に変更することはできません。その選択は、

この時点で行う必要があります。

n [ユーザー属性] ページの設定はサービスのすべてのディレクトリに適用されます。属性を必須にする場合は、他のディレクトリへの影響を考慮してください。

3 [ディレクトリを追加] をクリックして、追加するディレクトリの種類を選択します。


VMware, Inc. 42

4 ウィザードに従って、ディレクトリ構成情報を入力し、同期するグループとユーザーを選択し、ユーザーを

VMware Identity Managerサービスと同期します。

詳細については、『VMware Identity Manager とのディレクトリ統合』ガイドの「サービスへの Active Directory接続の構成」を参照してください。

次に進む前に

[ユーザーとグループ] タブをクリックし、ユーザーが同期されていることを確認します。

VMware Identity Manager Connector で認証アダプタを有効にするPasswordIdpAdapter、RSAAIdpAdapter、SecurIDAdapter、RadiusAuthAdapter など、いくつかの認証アダプタを送信モードの VMware Identity Manager Connector で使用できます。使用するアダプタを構成して有効にします。

ディレクトリの作成時に、パスワード認証方法が自動的に有効になりました。PasswordIdpAdapter はディレクトリに対して入力した情報で構成されました。

手順

1 VMware Identity Manager 管理コンソールで、[ID とアクセス管理] タブをクリックします。

2 [セットアップ] をクリックし、[コネクタ] タブをクリックします。

展開したコネクタが表示されます。

3 [ワーカー] 列のリンクをクリックします。

4 [認証アダプタ] タブをクリックします。

コネクタで使用可能なすべての認証アダプタが表示されます。

すでにディレクトリをセットアップしている場合、PasswordIdpAdapter は、ディレクトリを作成したとき指定した構成情報を使用して、すでに構成され有効になっています。

5 各リンクをクリックし、構成情報を入力して、使用する認証アダプタを構成して有効にします。少なくとも 1 つの認証アダプタを有効にする必要があります。

特定の認証アダプタの構成については、『VMware Identity Manager の管理』ガイドを参照してください。

例：


VMware, Inc. 43

VMware Identity Manager Connector で送信モードを有効にするVMware Identity Manager Connector で送信専用接続モードを有効にするには、コネクタを組み込み ID プロバイダに関連付けます。


VMware, Inc. 44

組み込み ID プロバイダは、VMware Identity Manager サービスにおいてデフォルトで使用でき、VMware Verifyなどの組み込みの認証方法が追加で提供されます。組み込み ID プロバイダについては、『VMware Identity Managerの管理』ガイドを参照してください。

注意コネクタは、送信および通常モードの両方で同時に使用できます。送信モードを有効にした場合でも、認証方法とポリシーを使用して内部ユーザーのための Kerberos 認証を構成できます。

手順

1 管理コンソールの [ID とアクセス管理] タブで、[管理] をクリックします。

2 [ID プロバイダ] タブをクリックします。

3 [組み込み] リンクをクリックします。

4 以下の情報を入力します。


ユーザー組み込み ID プロバイダを使用するディレクトリまたはドメインを選択します。

ネットワーク組み込み ID プロバイダを使用するネットワーク範囲を選択します。

コネクタセットアップしたコネクタを選択します。

注意後で、高可用性のために別のコネクタを追加する場合、ここでこれらすべてのコネクタを選択および追加し、組み込み ID プロバイダに関連付けます。VMware Identity Managerは、組み込み ID プロバイダに関連付けられているすべてのコネクタにトラフィックを自動的に配信します。ロードバランサは不要です。

コネクタの認証方法コネクタで有効にした展開方法が表示されます。使用する認証方法を選択します。

PasswordIdpAdapter は、ディレクトリを作成するときに自動的に構成および有効にされます。PasswordIdpAdapter は、[パスワード（クラウド展開）] としてこのページに表示され、送信モードのコネクタと使用されていることが示されます。

例：


VMware, Inc. 45

5 [保存] をクリックして、組み込み ID プロバイダの構成を保存します。

6 有効にした認証方法を使用するようにポリシーを編集します。

a [ID とアクセス管理] タブで、[管理] をクリックします。

b [ポリシー] タブをクリックして、編集するポリシーをクリックします。

c [ポリシールール] で、編集するルールの [認証方法] 列にあるリンクをクリックします。

d [ポリシールールを編集] ページで、このルールで使用する認証方法を選択します。


VMware, Inc. 46

e [OK] をクリックします。

f [保存] をクリックします。

ポリシー構成の詳細については、『VMware Identity Manager の管理』ガイドを参照してください。

これで、コネクタの送信モードが有効になりました。組み込み ID プロバイダのページでコネクタで有効にした認証方法のいずれかを使用してユーザーがログインする場合、コネクタへの HTTP リダイレクトは不要になります。

VMware Identity Manager コネクタ管理設定の管理最初の VMware Identity Manager コネクタ構成が完了した後はいつでもコネクタの管理ページに移動して、証明書のインストール、パスワードの管理、およびログファイルのダウンロードを行うことができます。

VMware Identity Manager Connector 管理ページは、https://<connectorFQDN>:8443/cfg/login（例：https://myconnector.example.com:8443/cfg/login）で使用可能です。コネクタのインストール時に作成した管理者パスワードを使用してコネクタの管理者ユーザーとしてログインします。

表 5‑1. コネクタ設定


SSL 証明書のインストールこのページのタブでは、コネクタの SSL 証明書のインストール、自己署名ルート証明書のダウンロード、および信頼されるルート証明書のイン

ストールを実行します。

注意 [パススルー証明書] タブは、証明書認証が DMZ の展開シナリオの組み込みコネクタで構成されている場合のみ使用されます。その他の

シナリオには適用されません。詳細については、「DMZ での VMwareIdentity Manager の展開」を参照してください。

パスワードの変更このページで、コネクタの管理者パスワードを変更できます。

ログファイルの場所このページでは、コネクタログファイルのバンドルを作成およびダウンロードできます。

コネクタの SSL 証明書の使用VMware Identity Manager コネクタのインストール時に、デフォルトの自己署名 SSL サーバ証明書が自動的に生成されます。ほとんどのシナリオでは、この自己署名証明書を引き続き使用することができます。

アウトバウンドモードで展開されたコネクタの場合、エンドユーザーはコネクタに直接アクセスしないため、パブリック認証局 (CA) によって署名された SSL 証明書をインストールする必要はありません。コネクタへの管理者アクセスのためには、引き続きデフォルトの自己署名証明書を使用するか、内部 CA によって生成された証明書を使用します。

ただし、コネクタ上で KerberosIdpAdapter を有効にして内部ユーザーの Kerberos 認証を設定する場合、エンドユーザーはコネクタへの SSL 接続を確立するため、コネクタには署名付き SSL 証明書が必要です。SSL 証明書を生成するには内部 CA を使用します。


VMware, Inc. 47

Kerberos 認証の高可用性をセットアップする場合は、コネクタインスタンスの前にロードバランサが必要です。この場合、ロードバランサおよびすべてのコネクタインスタンスには署名付き SSL 証明書が必要です。SSL 証明書を生成するには内部 CA を使用します。ロードバランサ証明書の場合は、Workspace IdP の構成ページで設定されている Workspace IdP ホスト名をサブジェクト DN の共通名として使用します。それぞれのコネクタインスタンス証明書には、コネクタのホスト名をサブジェクト DN の共通名として使用します。または、Workspace Idp ホスト名をサブジェクト DN の共通名として使用し、すべてのコネクタホスト名と Workspace Idp ホスト名をサブジェクトの別名 (SAN) として使用して、単一の証明書を作成することもできます。

コネクタの署名付き SSL 証明書のインストール

VMware Identity Manager コネクタの署名付き SSL 証明書は、https://<connectorFQDN>:8443/cfg/login のコネクタ管理ページからインストールできます。

署名付き SSL 証明書が必要なシナリオについては、「コネクタの SSL 証明書の使用」を参照してください。

開始する前に

証明書署名要求 (CSR) を生成し、署名付き SSL 証明書を取得します。証明書は PEM 形式である必要があります。

手順

1 https://<connectorFQDN>:8443/cfg/login のコネクタの管理者ページに管理者ユーザーとしてログインします。

2 [SSL 証明書のインストール] をクリックします。

3 [サーバ証明書] タブで、[SSL 証明書] フィールドに対して [カスタム証明書] を選択します。

4 [SSL 証明書チェーン] テキストボックスに、サーバ、中間証明書、ルート証明書の順に貼り付けます。

証明書チェーン全体を正しい順序で含める必要があります。各証明書について、-----BEGIN CERTIFICATE----- と-----END CERTIFICATE----- の行を含めて、これらの行の間にあるすべての行をコピーします。

5 [プライベートキー] テキストボックスにプライベートキーを貼り付けます。----BEGIN RSA PRIVATE KEY と ---END RSA PRIVATE KEY の行の間にあるすべての行をコピーします。

6 [追加] をクリックします。

例: 証明書の例

証明書チェーンの例

-----BEGIN CERTIFICATE-----

jlQvt9WdR9Vpg3WQT5+C3HU17bUOwvhp/r0+

...

W53+O05j5xsxzDJfWr1lqBlFF/OkIYCPcyK1

-----END CERTIFICATE-----


WdR9Vpg3WQT5+C3HU17bUOwvhp/rjlQvt90+

...

O05j5xsxzDJfWr1lqBlFF/OkIYCPW53+cyK1


VMware, Inc. 48

証明書チェーンの例



dR9Vpg3WQTjlQvt9W5+C3HU17bUOwvhp/r0+

...

5j5xsxzDJfWr1lqW53+O0BlFF/OkIYCPcyK1


秘密キーの例

-----BEGIN RSA PRIVATE KEY-----

jlQvtg3WQT5+C3HU17bU9WdR9VpOwvhp/r0+

...

...

...

1lqBlFFW53+O05j5xsxzDJfWr/OkIYCPcyK1

-----END RSA PRIVATE KEY-----

コネクタの自己署名ルート CA 証明書のダウンロード

コネクタのインストール時にデフォルトで生成される自己署名 SSL 証明書を使用してコネクタを展開する場合は、コネクタにアクセスするすべてのクライアントにコネクタの自己署名ルート CA 証明書をインストールします。ルートCA 証明書は、VMware Identity Manager 管理コンソールからダウンロードできます。

手順

1 https://<connectorFQDN>:8443/cfg/login の VMware Identity Manager コネクタの管理者ページに管理者ユーザーとしてログインします。

2 [SSL 証明書のインストール] をクリックします。

3 [サーバ証明書] タブで、[アプライアンスの自己署名ルート CA 証明書] フィールドのリンクをクリックします。

証明書が表示されます。

4 -----BEGIN CERTIFICATE----- と -----END CERTIFICATE----- の行を含むテキスト全体をコ

ピーします。

コネクタへの信頼されるルート証明書のインストール

VMware Identity Manager コネクタによって信頼されるルート証明書または中間証明書をインストールします。コネクタは、証明書チェーンにこれらの証明書のいずれかが含まれているサーバとの安全な接続を確立できます。

信頼されるルート証明書をコネクタにインストールする必要があるシナリオは次のとおりです。

n Kerberos 認証の高可用性のためにロードバランサを設定した場合、コネクタインスタンスにロードバランサのルート CA 証明書をインストールし、コネクタとロードバランサ間の信頼関係を確立します。

n Citrix 公開リソースを統合した場合は、Integration Broker と通信するコネクタに Integration Broker の SSL証明書をインストールします。


VMware, Inc. 49

手順


2 [SSL 証明書のインストール] をクリックし、[信頼される CA] タブを選択します。

3 ルート証明書または中間証明書をテキストボックスに貼り付けます。

-----BEGIN CERTIFICATE----- と -----END CERTIFICATE---- の行を含めて、これらの行の間にあるすべての行を含めます。


VMware Identity Manager コネクタのパスワードの管理VMware Identity Manager Connector のインストール時に管理者ユーザーのパスワードを作成しました。このパスワードがコネクタの管理者ページから変更できます。

重要必ず強度の高いパスワードを作成してください。強度の高いパスワードの長さは、少なくとも 8 文字であり、大文字と小文字が含まれ、少なくとも 1 つ数字および特殊文字が含まれる必要があります。

手順


2 [パスワードの変更] をクリックします。

3 古いパスワードと新しいパスワードを入力します。

重要管理者ユーザーは、6 文字以上のパスワードを使用する必要があります。

4 [保存] をクリックします。

ログファイルの表示VMware Identity Manager Connector ログファイルは、問題のデバッグとトラブルシューティングに役立ちます。ログファイルは、<InstallDirectory>\IDMConnector\opt\vmware\horizon\workspace\logs

ディレクトリにあります。

次のログファイルは、最も重要です。


VMware, Inc. 50

表 5‑2. ログファイル

コンポーネント Windows のログファイルの場所説明

Configurator ログ <InstallDirectory>\IDMConne

ctor\opt\vmware\horizon\wor

kspace\logs\configurator.lo

g

Configurator が REST クライアントと Web インターフェイスから受け取る要求。

コネクタログ <InstallDirectory>\IDMConne


kspace\logs\connector.log

Web インターフェイスから受信された各要求の記録。各ログエントリには要求 URL、タイムスタンプ、例外が含まれています。同期アクションは記

録されません。

Apache Tomcatログ

<InstallDirectory>\IDMConne


kspace\logs\catalina.log

他のログファイルで記録されないメッセージのApache Tomcat レコード。

ログファイルバンドルは、VMware Identity Manager Connector 管理者ページからダウンロードすることもできます。

ログバンドルのダウンロード

VMware Identity Manager Connector のログファイルバンドルをコネクタの管理者ページからダウンロードできます。ログファイルは、問題のデバッグとトラブルシューティングに役立ちます。

環境内の各コネクタインスタンスからログを収集するには、各インスタンスの管理者ページにログインします。

手順

1 https://<connectorFQDN>:8443/cfg/login にある VMware Identity Manager Connector 管理者ページに管理者ユーザーとしてログインします。

2 [ログファイルの場所] をクリックし、[ログバンドルの準備] をクリックします。

情報はダウンロードできるように zip ファイルに収集されます。

3 ログバンドルをダウンロードします。

VMware Identity Manager Connector のログレベルを DEBUG に設定

ログレベルを DEBUG に設定することで、問題のデバッグに役立つ追加の情報を記録できます。

手順

1 コネクタがインストールされている Windows サーバで、<install_dir>\IDMConnector\usr\local\horizon\conf\ ディレクトリに移動します。


VMware, Inc. 51

2 ログレベルを cfg-log4j.properties および hc-log4j.properties ファイルで更新します。これ

らは、コネクタのために最も一般的に使用される log4j ファイルです。

a ファイルを編集します。

b ログレベルが INFO に設定された行で INFO を DEBUGに置き換えます。

たとえば、

rootLogger.level=INFO

を次のように変更します：

rootLogger.level=DEBUG

c ファイルを保存します。

サービスまたはシステムの再起動は必要ありません。

インストール後のプロキシ設定の有効化

インストール中に、VMware Identity Manager Connector コンポーネントの HTTPS プロキシ設定を構成しなかった場合は、プロキシ設定ファイルを作成して後で構成できます。

手順

1 Windows サーバにログインします。

2 次のファイルを作成します：

<install_dir>\opt\vmware\horizon\workspace\bin\proxySettings.bat

3 以下の設定をファイルに追加します：

set "PROXY_OPTS=-Dhttps.proxyHost=<proxyhost> -Dhttp.proxyHost=<proxyhost>

-Dhttps.proxyPort=<proxyport> -Dhttp.proxyPort=<proxyport>"

ここで、<proxyhost> は HTTPS プロキシサーバで、<proxyport> は HTTPS プロキシサーバポートです。

非プロキシホスト、すなわちプロキシサーバを経由せずにアクセスする必要があるホストを指定するには、PROXY_OPTS 設定に以下を追加します。

-Dhttps.nonProxyHosts=<hostList> -Dhttp.nonProxyHosts=<hostList>

ここで、<hostList> は | によって区切られたホストの一覧です。ワイルドカードを含めることもできます。例：

-Dhttps.nonProxyHosts=*.example.com|localhost -

Dhttp.nonProxyHosts=*.example.com|localhost

4 ファイルを保存します。

5 次のスクリプトを実行し、サービスを再起動します。

<install_dir>\usr\local\horizon\scripts\horizonService.bat restart

重要サービスを [サービス] パネルから再起動しないでください。そうすると、設定が正しく更新されません。


VMware, Inc. 52

VMware Identity Manager Connector の高可用性環境の構成クラスタに複数のコネクタインスタンスを追加して、VMware Identity Manager Connector の高可用性とフェイルオーバーをセットアップできます。何らかの理由でコネクタインスタンスのいずれかが利用不能になっても、他のインスタンスを引き続き使用できます。

クラスタを作成するには、新しいコネクタインスタンスをインストールし、最初のコネクタでセットアップした方法と全く同じ方法でそれらを構成します。

次に、すべてのコネクタインスタンスを組み込み ID プロバイダに関連付けます。VMware Identity Managerサービスは、組み込み ID プロバイダに関連付けられているすべてのコネクタにトラフィックを自動的に配信します。ロードバランサは不要です。ネットワークの問題でコネクタの 1 つが使用できなくなると、このサービスはそのコネクタにトラフィックを送信しなくなります。接続できるようになると、サービスはコネクタへのトラフィック送信を再開

します。

コネクタクラスタをセットアップすると、コネクタで有効にした認証方法の高可用性が確立されます。いずれかのコネクタインスタンスが利用できなくなっても、引き続き認証することができます。ただし、ディレクトリの同期については、コネクタインスタンスで障害が発生した場合、別のコネクタインスタンスを同期コネクタとして手動で選択する必要があります。ディレクトリの同期は、一度に 1 つのコネクタでのみ有効にできます。

注意このセクションの説明は、Kerberos 認証の高可用性には適用されません。「VMware Identity ManagerConnector 導入環境への Kerberos 認証サポートの追加」を参照してください。

追加の VMware Identity Manager Connector インスタンスのインストール最初の VMware Identity Manager Connector インスタンスをインストールして構成した後で、新しいコネクタインスタンスをインストールし、最初のコネクタインスタンスとまったく同じ方法でこれらのインスタンスを構成して、高可用性環境向けのコネクタを追加できます。

重要新しいコネクタインスタンスは、最初のコネクタインスタンスと同じ VMware Identity Manager サービスに対してアクティブ化する必要があります。

開始する前に

「Enterprise Systems Connector インストーラの実行」の説明に従って、最初のコネクタインスタンスをインストールして構成しています。

手順

1 以下の操作手順に従って、新しい VMware Identity Manager Connector インスタンスをインストールして構成します。

n 「Enterprise Systems Connector インストーラの実行」

n 「VMware Identity Manager Connector の構成」

重要新しいコネクタインスタンスを最初のコネクタと同じ VMware Identity Manager サービスに対してアクティブ化する必要があります。


VMware, Inc. 53

2 新しい VMware Identity Manager Connector を最初のコネクタインスタンスの WorkspaceIDP に関連付

けます。

a VMware Identity Manager 管理コンソールで、[ID とアクセス管理] タブを選択してから、[ID プロバイダ]タブを選択します。

b [ID プロバイダ] ページで、最初のコネクタインスタンスの WorkspaceIDP を見つけ、リンクをクリック

します。

c [コネクタ] フィールドで、新しいコネクタを選択します。

d バインド DN パスワードを入力して、[Connector を追加] をクリックします。

e [保存] をクリックします。

3 新しいコネクタで認証アダプタを構成して有効にします。

重要クラスタ内のすべてのコネクタ上の認証アダプタを同一に設定する必要があります。すべてのコネクタで同じ認証方法を有効にする必要があります。

a [ID とアクセス管理] タブで、[セットアップ] をクリックしてから、[コネクタ] タブをクリックします。

b 新しいコネクタの [ワーカー] 列のリンクをクリックします。

c [認証アダプタ] タブをクリックします。

コネクタで使用可能なすべての認証アダプタが表示されます。

最初のコネクタに関連付けられているディレクトリを新しいコネクタに関連付けたため、

PasswordIdpAdapter はすでに構成され有効になっています。

d 最初のコネクタと同じ方法で他の認証アダプタを構成して有効にします。構成情報が同じであることを確認

します。

認証アダプタの構成については、『VMware Identity Manager の管理』ガイドを参照してください。

次に進む前に

「組み込み ID プロバイダへの新しい VMware Identity Manager Connector インスタンスの追加」

組み込み ID プロバイダへの新しい VMware Identity Manager Connector インスタンスの追加

新しい VMware Identity Manager Connector インスタンスを展開して構成したら、組み込み ID プロバイダに追加し、最初のコネクタで有効にした同じ認証方法を有効にします。VMware Identity Manager は、組み込み ID プロバイダに関連付けられているすべてのコネクタにトラフィックを自動的に配信します。

手順

1 VMware Identity Manager 管理コンソールの [ID とアクセス管理] タブで、[管理] をクリックします。


3 [組み込み] リンクをクリックします。


VMware, Inc. 54

4 [コネクタ] フィールドで、ドロップダウンリストから新しいコネクタを選択し、[Connector を追加] をクリックします。

5 [コネクタ認証方法] セクションで、最初のコネクタに有効にした同じ認証方法を有効にします。

パスワード（クラウド展開）の認証方法が、自動的に構成され有効になります。他の認証方法を有効にする必要

があります。

重要クラスタ内のすべてのコネクタ上の認証アダプタを同一に設定する必要があります。すべてのコネクタで同じ認証方法を有効にする必要があります。

特定の認証アダプタの構成については、『VMware Identity Manager の管理』ガイドを参照してください。

6 [保存] をクリックして、組み込み ID プロバイダの構成を保存します。

障害発生時に別のコネクタでディレクトリ同期を有効にする

コネクタインスタンスで障害が発生した場合、別のコネクタインスタンスが自動的に認証を行います。一方ディレクトリの同期の場合は、元のコネクタインスタンスの代わりに別のコネクタインスタンスを使用するように、VMware Identity Manager サービスのディレクトリ設定を変更する必要があります。ディレクトリの同期は、一度に 1 つのコネクタでのみ有効にできます。

手順


2 [ID とアクセス管理] タブをクリックし、続いて [ディレクトリ] をクリックします。

3 元のコネクタインスタンスに関連付けられているディレクトリをクリックします。

ヒントこの情報は、[セットアップ] - [コネクタ] ページで表示できます。

4 ディレクトリページの [ディレクトリの同期と認証] セクションにある [コネクタを同期] ドロップダウンリストで、別のコネクタインスタンスを選択します。

5 [バインド DN パスワード] テキストボックスに、Active Directory バインドアカウントのパスワードを入力します。


VMware Identity Manager Connector 導入環境への Kerberos 認証サポートの追加

インバウンド接続モードが必要な内部ユーザーのための Kerberos 認証を、アウトバウンド接続モードコネクタの展開に追加できます。内部ネットワークからのユーザーの Kerberos 認証と、外部ネットワークからアクセスされるユーザーの別の認証方式に対して、同じコネクタを使用するように構成できます。これは、ネットワーク範囲に基づいて

認証ポリシーを定義することで可能です。


VMware, Inc. 55

要件と考慮事項は次のとおりです。

n Kerberos 認証は、VMware Identity Manager、LDAP 経由の Active Directory、または Active Directory（統合 Windows 認証）で設定したディレクトリのタイプに関係なく構成できます。

n VMware Identity Manager コネクタコンポーネントがインストールされている Windows マシンはドメインに参加する必要があります。

n 管理者グループの一部であるドメインユーザーとして VMware Identity Manager Connector コンポーネントを Windows マシンにインストールしておく必要があり、Windows ドメインユーザーとして VMware IDM コネクタサービスを実行している必要があります。

n Kerberos 認証が構成されている各コネクタには信頼される SSL 証明書が必要です。証明書は内部の認証局から取得できます。Kerberos 認証は自己署名証明書では動作しません。

信頼される SSL 証明書は、Kerberos を単一のコネクタで有効にするのか、高可用性のために複数のコネクタで有効にするのかに関係なく必要です。

n Kerberos 認証の高可用性をセットアップするには、ロードバランサが必要です。

Kerberos 認証アダプタの構成と有効化VMware Identity Manager Connector で KerberosIdpAdapter を構成して有効にします。クラスタを展開して高可用性環境を構築している場合、クラスタのすべてのコネクタでこのアダプタを構成して有効にします。

重要クラスタ内のすべてのコネクタ上の認証アダプタを同一に設定する必要があります。すべてのコネクタで同じ認証方法を構成する必要があります。

Kerberos 認証アダプタの構成時に、VMware Identity Manager コネクタは自動的に Kerberos を初期化しようとします。VMware IDM コネクタサービスが Kerberos の初期化に適切な権限で実行されていない場合、エラーメッセージが表示されます。この場合、http://kb.vmware.com/kb/2149753に記載される手順に従って、スクリプトを実行し、Kerberos を初期化します。

Kerberos 認証の構成の詳細については、『VMware Identity Manager の管理』ガイドを参照してください。

開始する前に

n VMware Identity Manager コネクタがインストールされている Windows マシンはドメインに参加する必要があります。

n 管理者グループの一部であるドメインユーザーとして VMware Identity Manager Connector コンポーネントを Windows マシンにインストールしておく必要があり、Windows ドメインユーザーとして VMware IDM コネクタサービスを実行している必要があります。

手順

1 VMware Identity Manager 管理コンソールで、[ID とアクセス管理] タブをクリックします。

2 [セットアップ] をクリックし、[コネクタ] タブをクリックします。

展開したすべてのコネクタが表示されます。

3 コネクタのいずれかの [ワーカー] 列のリンクをクリックします。


VMware, Inc. 56

http://kb.vmware.com/kb/2149753

4 [認証アダプタ] タブをクリックします。

5 [KerberosIdpAdapter] リンクをクリックし、アダプタを構成して有効にします。


名前アダプタのデフォルトの名前は、KerberosIdpAdapter です。この名前は変更できます。

ディレクトリ UID 属性ユーザー名を含むアカウントの属性。

Windows 認証を有効にするこのオプションを選択します。

リダイレクトを有効にするクラスタ内に複数のコネクタがあり、ロードバランサを使用して Kerberos の高可用性環境をセットアップする場合は、このオプションを選択し、[ホスト名をリダイレクト] に値を指定します。

お使いの環境にコネクタが 1 つしかない場合は、[リダイレクトを有効にする] および [ホスト名をリダイレクト] オプションを使用する必要はありません。

ホスト名をリダイレクト [リダイレクトを有効にする] オプションが選択されている場合は、値を指定する必要があります。コネクタのホスト名を入力します。たとえば、コネクタのホスト名が

connector1.example.com である場合、テキストボックスに「connector1.example.com」と入力します。

例：

KerberosIdPAdapter の構成の詳細については、『VMware Identity Manager の管理』ガイドを参照してください。


注意 Kerberos の初期化が失敗したことを示すエラーが表示される場合、http://kb.vmware.com/kb/2149753に記載される手順に従って、Kerberos 初期化スクリプトを手動で実行してから、このページに戻り、アダプタを構成します。

7 クラスタを展開している場合、クラスタ内のすべてのコネクタで KerberosIdPAdapter を構成して有効にします。

各コネクタに固有の [ホスト名をリダイレクト] の値を除き、アダプタをすべてのコネクタに対して同じように構成します。


VMware, Inc. 57

http://kb.vmware.com/kb/2149753

次に進む前に

n KerberosIdpAdapter が有効になっている各コネクタに信頼される SSL 証明書があることを確認します。証明書は内部の認証局から取得できます。Kerberos 認証は自己署名証明書では動作しません。

信頼される SSL 証明書は、Kerberos を単一のコネクタで有効にするのか、高可用性のために複数のコネクタで有効にするのかに関係なく必要です。

n 必要に応じて、Kerberos 認証の高可用性をセットアップします。ロードバランサを使用しない場合、Kerberos認証は高可用性になりません。

Kerberos 認証の高可用性環境の構成Kerberos 認証の高可用性環境を構成するには、ファイアウォール内にある内部ネットワークにロードバランサをインストールし、VMware Identity Manager Connector インスタンスを追加します。

また、ロードバランサの特定の設定を行い、ロードバランサとコネクタインスタンス間で SSL トラストを確立し、ロードバランサのホスト名を使用するようにコネクタ認証の URL を変更する必要があります。

ロードバランサ設定の構成

ロードバランサのタイムアウトを正しく設定する、スティッキーセッションを有効にするなど、ロードバランサで特定の設定を構成する必要があります。

これらの設定を構成します。

n ロードバランサのタイムアウト

VMware Identity Manager Connector が正しく機能するように、ロードバランサの要求のタイムアウトをデフォルトの値から増やす必要がある場合があります。この値は、分単位で設定します。タイムアウト設定が短す

ぎると、「502 エラー:

現在、サービスは使用できません。」というエラーが表示される場合があります。

n スティッキーセッションの有効化

環境に複数のコネクタインスタンスがある場合は、ロードバランサ上でスティッキーセッションの設定を有効にする必要があります。これで、ロードバランサはユーザーのセッションを特定のコネクタインスタンスにバインドします。

ロードバランサへの VMware Identity Manager Connector ルート証明書の適用

VMware Identity Manager Connector がロードバランサの背後で構成されている場合は、ロードバランサとコネクタ間で SSL トラストを確立する必要があります。コネクタルート証明書は、信頼できるルート証明書としてロードバランサにコピーする必要があります。

VMware Identity Manager Connector 証明書は、https://<connectorFQDN>:8443/cfg/ssl にあるコネクタの管理者ページからダウンロードできます。

コネクタのドメイン名がロードバランサを参照している場合は、SSL をロードバランサのみに適用できます。


VMware, Inc. 58

手順

1 コネクタの管理者ページ https://<connectorFQDN>:8443/cfg/login に管理者ユーザーとしてログインします。

2 [SSL 証明書のインストール] を選択します。

3 [サーバ証明書] タブで、[アプライアンスの自己署名ルート CA 証明書] フィールドのリンクをクリックします。

4 -----BEGIN CERTIFICATE----- と -----END CERTIFICATE---- の行を含み、これらの行の間にあるすべての行をコピーして、各ロードバランサの正しい場所にルート証明書を貼り付けます。ロードバランサのドキュメントを参照してください。

次に進む前に

ロードバランサのルート証明書をコピーして、VMware Identity Manager Connector に貼り付けます。

VMware Identity Manager Connector にロードバランサのルート証明書を適用する

VMware Identity Manager Connector がロードバランサの背後で構成されている場合は、ロードバランサとコネクタの間で信頼を確立する必要があります。コネクタのルート証明書をロードバランサにコピーし、さらにロードバランサのルート証明書をコネクタにコピーする必要があります。

手順

1 ロードバランサのルート証明書を取得します。

2 https://<connectorFQDN>:8443/cfg/login にある VMware Identity Manager Connector 管理者ページに移動して、管理者ユーザーとしてログインします。

3 [SSL 証明書のインストール] - [信頼される CA][] タブを選択します。


VMware, Inc. 59

4 ロードバランサの証明書のテキストを [ルート証明書または中間証明書] テキストボックスに貼り付けます。


ロードバランサのホスト名へのコネクタ IdP ホスト名の変更

ロードバランサに VMware Identity Manager Connector インスタンスを追加したら、各コネクタの WorkspaceIdP の IdP ホスト名をロードバランサのホスト名に変更する必要があります。

開始する前に

コネクタインスタンスは、ロードバランサの背後で構成されます。ロードバランサポートが 443 番であることを確認します。ポート番号 8443 は管理ポートであるため使用しないでください。

手順


2 [ID とアクセス管理] タブをクリックします。


4 [ID プロバイダ] ページで、コネクタインスタンスの Workspace IdP のリンクをクリックします。

5 [IdP ホスト名] テキストボックスで、ホスト名をコネクタのホスト名からロードバランサのホスト名に変更します。

たとえば、コネクタのホスト名が myconnectorであり、ロードバランサのホスト名が mylb の場合、URL

myconnector.mycompany.com:<port>


VMware, Inc. 60

を次のように変更します。

mylb.mycompany.com:<port>

VMware Identity Manager Connector インスタンスの削除VMware Identity Manager Connector インスタンスを VMware Identity Manager サービスから削除できます。コネクタインスタンスにディレクトリが関連付けられている場合、このインスタンスは削除できません。


VMware, Inc. 61

たとえば、コネクタインスタンスを削除することで、同じホスト名を新しいコネクタインスタンスに使用できます。

手順


2 [ID とアクセス管理] タブを選択し、続いて [セットアップ] をクリックします。

3 削除するコネクタにディレクトリが関連付けられている場合は、まずディレクトリを削除します。

a [関連付けられているディレクトリ] 列のディレクトリ名をクリックします。

b [ディレクトリを削除] をクリックします。

4 [セットアップ] - [コネクタ] ページで、削除するコネクタインスタンスの横に表示されている [削除] アイコンをクリックし、[確認] をクリックします。

コネクタインスタンスが VMware Identity Manager サービスから削除されます。

5 VMware Identity Manager Connector コンポーネントをインストールされている Windows Server からアンインストールします。

VMware Identity Manager コネクタのアップグレードEnterprise Systems Connector の VMware Identity Manager Connector コンポーネントをアップグレードするには、新しいバージョンの AirWatch コンソールからインストーラをダウンロードし、インストーラを実行します。古いバージョンをアンインストールする必要はありません。

アップグレード後に、新しいアクティベーションコードを生成したり、VMware Identity Manager Connector を再度有効にする必要はありません。既存の構成は、アップグレードされたコネクタに適用されます。

手順

1 新しいバージョンの AirWatch コンソールにログインします。

2 [グループと設定] - [すべての設定] - [システム] - [エンタープライズ統合] - [VMware Enterprise SystemsConnector] に移動します。

3 [全般] タブで、[VMware Enterprise Systems Connector インストーラのダウンロード] をクリックします。

[VMware Enterprise Systems Connector インストーラのダウンロード] ページが表示されます。

4 証明書のパスワードを作成し、[ダウンロード] をクリックします。

ACC コンポーネントをインストールするときは、このパスワードが必要です。

5 インストーラファイルを、以前のバージョンのコネクタがインストールされているのと同じ Windows Serverに保存します。

6 インストーラを実行し、プロンプトに従ってアップグレードを完了します。


VMware, Inc. 62

7 コネクタのアップグレード時に JRE をアップグレードする場合は、アップグレード中にインストーラによってバックアップされる cacerts ファイルをリストアする必要があります。

opt\vmware\horizon\workspace\install\cacerts.sav ファイルを、新規作成した

JAVA_HOME\lib\security フォルダに cacerts という名前で .sav 拡張子なしでコピーします。これ

によって、フォルダ内の既存の cacerts ファイルが置き換えられます。

注意アップグレード中に、インストーラがインストーラに含まれているバージョンよりも以前のバージョンのJRE を Windows Server 上で検出すると、新しい JRE バージョンをインストールするように求められます。

8 アップグレードが完了したら、Windows Server を再起動します。

サーバを再起動すると、JAVA_HOME 変数はアップグレードでインストールされる最新の JRE に設定され、コネクタは最新の JRE を使用できるようになります。

次に進む前に

バージョン 9.2.2 にアップグレードした後、<install_dir>\IDMConnector\usr\local\horizon\conf\runtime-config.properties

ファイルを編集し、connector.api.version プロパティの値を 5 に変更します。

注意これは以前のバージョンからバージョン 9.2.2 にアップグレードする場合にのみ必要です。

接続サーバでの Java のアップグレードVMware Identity Manager コネクタのコンポーネントには、Java Runtime Environment (JRE) が必要です。

コネクタに必要な JRE バージョンは、VMware Enterprise Systems Connector インストーラに含まれています。VMware Identity Manager コネクタコンポーネントをアップグレードするときには、JRE バージョンもアップグレードするように求められます。インストーラの実行中に JRE をアップグレードする情報については、「VMwareIdentity Manager コネクタのアップグレード」を参照してください。

後からコネクタサーバで JRE をアップグレードする場合は、次の手順を実行して、JRE のアップグレード後も VMwareIdentity Manager コネクタが正常に動作することを確認します。

注意 JRE が自動的にアップグレードされた場合は、アップグレード後に手順 3 〜 6 を実行します。

注意この手順は、VMware Identity Manager コネクタバージョン 3.1 以降に適用されます。

手順

1 コネクタサービスを停止します。

2 新しいバージョンの JRE をインストールします。

3 新しい JRE を参照するように JAVA_HOME 環境変数を更新します。

4 %JAVA_HOME%/lib/security/java.security ファイルを編集して次の設定を追加します。

crypto.policy=unlimited


VMware, Inc. 63

5 管理者としてコマンドプロンプトウィンドウを開き、次のスクリプトを実行します。

<install_dir>\IDMConnector\usr\local\horizon\scripts\reloadInstalledRootC

erts.bat

6 コネクタサービスを再起動します。


VMware, Inc. 64

ACC から VMware Identity ManagerConnector へのディレクトリの移行 6既存の ACC コネクタのみを使用して VMware Identity Manager との Active Directory 同期を展開した WorkspaceONE ユーザーは、Enterprise Systems Connector の VMware Identity Manager Connector コンポーネントに含まれている追加の機能を利用する場合、移行の手順に従う必要があります。このワンタイム手順により、タイプが他

の ACC ディレクトリが、タイプが LDAP 経由の Active Directory または Active Directory（統合 Windows 認証）のディレクトリに変換されます。これらは VMware Identity Manager Connector と関連付けられています。この手順では、既存のディレクトリまたは関連付けられているすべての資格が削除されるわけではありません。

注意 VMware Identity Manager でのディレクトリ同期および認証の ACC 専用モデルは、将来は ACC を更新するだけで引き続き使用可能で、サポートされます。移行手順は、新しい機能を利用する場合にのみ必要です。

他のディレクトリの変換には、次のタスクが含まれます。

1 他のディレクトリを LDAP 経由の Active Directory または Active Directory（統合 Windows 認証）に変換します。

2 必要に応じて、ディレクトリに対して追加の VMware Identity Manager コネクタ認証方法を設定します。パスワード認証方法は、デフォルトで使用可能です。

3 デフォルトのポリシーおよびカスタムポリシーを編集して、パスワード (AirWatch Connector) の代わりにパスワードまたは別の VMware Identity Manager コネクタ認証方法を使用します。

4 AirWatch から VMware Identity Manager ディレクトリへのユーザーおよびグループ同期を停止します。


n 他のディレクトリを LDAP 経由の Active Directory または Active Directory（統合 Windows 認証）に変換する

n AirWatch から VMware Identity Manager へのディレクトリ同期の停止

他のディレクトリを LDAP 経由の Active Directory または ActiveDirectory（統合 Windows 認証）に変換するAirWatch から同期されたユーザーとグループを保存する、タイプが他のディレクトリを、VMware Identity Managerコネクタに関連付けられている、タイプが LDAP 経由の Active Directory または Active Directory（統合 Windows認証）のディレクトリに変換できます。ディレクトリを変換した後、VMware Identity Manager コネクタが ACCの代わりに使用され、ユーザーとグループがエンタープライズディレクトリから VMware Identity Manager に同期されます。

VMware, Inc. 65

開始する前に

n VMware Enterprise Systems Connector の VMware Identity Manager Connector コンポーネントをWindows サーバにインストールし、アクティブ化します。

一部の機能を使用するには、Windows サーバがドメインに参加している必要があり、管理者グループに属するドメインユーザーとして VMware Identity Manager Connector コンポーネントを Windows サーバにインストールする必要があります。また、Windows ドメインユーザーとして IDM コネクタサービスを実行する必要があります。

この要件は、次の場合に適用されます。

n 他のディレクトリを Active Directory（統合 Windows 認証）に変換する場合



n 次の Active Directory 情報が必要です。

n LDAP 経由の Active Directory に変換する場合、ベース DN、バインド DN、およびバインド DN パスワードが必要です。有効期限のないパスワードを持つバインド DN ユーザーアカウントを使用することを推奨します。

n Active Directory（統合 Windows 認証）に変換する場合、ドメインのバインドユーザー UPN アドレスとパスワードが必要です。有効期限のないパスワードを持つバインド DN ユーザーアカウントを使用することを推奨します。

n Active Directory が SSL または STARTTLS 経由のアクセスを必要とする場合は、Active Directory ドメインコントローラのルート CA 証明書が必要となります。

n Active Directory（統合 Windows 認証）では、マルチフォレスト Active Directory を構成しており、ドメインローカルグループに異なるフォレストのドメインのメンバーが含まれる場合、バインドユーザーをドメインローカルグループが存在するドメインの管理者グループに必ず追加してください。これを行わなければ、これらのメンバーはドメインローカルグループに含まれません。

手順

1 VMware Identity Manager 管理コンソールで、[ID とアクセス管理] タブをクリックしてから、[ディレクトリ]タブをクリックします。

2 変換するディレクトリの名前をクリックします。

3 [ディレクトリ] ページで、[変換] ボタンをクリックします。

4 [ディレクトリを追加] ページで、必要に応じてディレクトリの名前を変更し、他のディレクトリの変換先のディレクトリタイプ [LDAP 経由の Active Directory] または [Active Directory（統合 Windows 認証）] を選択します。

5 Active Directory 接続情報を入力し、ウィザードを続行してディレクトリをセットアップします。

詳細については、『VMware Identity Manager とのディレクトリ統合』ガイドの「サービスへの Active Directory接続の構成」を参照してください。


VMware, Inc. 66

次のガイドラインに従ってください。

n [コネクタを同期] フィールドで、インストールした VMware Identity Manager コネクタを選択します。

n [ディレクトリの同期と認証] セクションで、認証にコネクタではなくサードパーティ ID プロバイダを使用する場合を除き、[認証] に [はい] を選択します。

n 変換されたディレクトリを AirWatch ディレクトリと同様にセットアップし、ディレクトリ構造が同じになるようにします。同じドメインを選択します。同期するユーザーとグループを指定する際は AirWatch ディレクトリと同じ選択を行って、同じユーザーとグループが変換されたディレクトリに同期されるようにします。

6 ウィザードの最後のページで、[ディレクトリ同期] をクリックします。

ディレクトリが変換され、VMware Identity Manager コネクタが使用されるようにセットアップされます。Workspace Identity Provider がまだない場合は作成され、ディレクトリがそれと自動的に関連付けられます。パスワード認証方法は、ディレクトリに対してすでに有効になっています。

7 （オプション）ディレクトリに対して他の認証方法を有効にするには、以下の手順を実行します。

a [ID とアクセス管理] タブで、[セットアップ] をクリックします。

b [コネクタ] ページで、変換されたディレクトリと関連付けられているコネクタとワーカーを検索し、[ワーカー] 列でのリンクをクリックします。

c [ワーカー] ページで、[認証アダプタ] タブをクリックします。

d 各リンクをクリックし、構成情報を入力して、ディレクトリに使用する認証アダプタを設定して有効にします。

認証アダプタの構成については、『VMware Identity Manager の管理』を参照してください。

8 default_access_policy_set と任意のカスタムポリシーを編集し、パスワード (AirWatch Connector) の代わりに VMware Identity Manager コネクタ認証方法を選択します。[]

a [ID とアクセス管理] タブで、[ポリシー] タブをクリックします。

b [デフォルトポリシーの編集] をクリックします。

c [ポリシールール] で、ルールごとに [認証方法] 列を編集し、[パスワード (AirWatch Connector)] をVMware Identity Manager コネクタ認証方法である [パスワード] に置き換えます。

d [ポリシー] タブを再度クリックし、ある場合はカスタムポリシーを編集して、パスワード、または構成したその他の VMware Identity Manager コネクタ認証方法を使用します。

重要パスワード (Airwatch Connector) をパスワード、または別の VMware Identity Manager コネクタベースの認証方法に変更しないと、変換されたディレクトリのユーザーはログインできなくなります。

次に進む前に

AirWatch から変換されたディレクトリへのディレクトリ同期を停止します。


VMware, Inc. 67

AirWatch から VMware Identity Manager へのディレクトリ同期の停止

他のディレクトリを LDAP 経由の Active Directory または Active Directory（統合 Windows 認証）に変換し、VMware Identity Manager コネクタと関連付けると、VMware Identity Manager コネクタはユーザーとグループをエンタープライズディレクトリから、変換されたディレクトリに同期するために使用されます。AirWatch からVMware Identity Manager ディレクトリへのユーザーとグループの同期を停止する必要があります。

手順

1 AirWatch コンソールで、組織グループに移動します。

2 [グループと設定] - [すべての設定] - [システム] - [エンタープライズ統合] - [VMware Identity Manager] ページに移動します。

3 ページの下部にある [削除] ボタンをクリックします。

ディレクトリの変換が完了しました。これでユーザーとグループが VMware Identity Manager コネクタによってエンタープライズディレクトリから VMware Identity Manager サービスに同期されます。ユーザーは続行してアプリケーションにログインし、アクセスできます。

注意ドメイン名がドメイン NETBIOS 名と異なる場合、ディレクトリの変換後にログインページに表示されるドメイン名が異なっていることがあります。AirWatch 同期により、ドメイン NETBIOS 名が表示されます。VMwareIdentity Manager コネクタの同期により、ドメイン名が表示されます。


VMware, Inc. 68

Enterprise Systems Connector のトラブルシューティング 7トラブルシューティングのトピックでは、Enterprise Systems Connector のインストールと管理に関する一般的な問題とその解決方法について説明します。

VMware Identity Manager Connector の管理者ユーザーパスワードのリセット

VMware Identity Manager Connector の管理者ユーザーパスワードは、https://<connectorFQDN>:8443/cfg/login のコネクタ管理ページから変更できます。ただし、ログインができず、パスワードをリセットする必要がある場合は、hznSetAdminPassword.bat スクリプトを使用してパスワードをリセットすることができます。

手順

1 Windows サーバで、コマンドウィンドウを開きます。

2 <INSTALL_DIR>\IDMConnector\usr\local\horizon\bin フォルダに移動します。

cd <INSTALL_DIR>\IDMConnector\usr\local\horizon\bin

ここで <INSTALL_DIR> は VMware Identity Manager Connector インストールディレクトリです。

3 次のコマンドを入力します。

hznSetAdminPassword.bat <newPassword>

VMware, Inc. 69

systems connector vmware enterprise のイン ストールと構成...enterprise systems connector...

Documents

systems connector vmware enterprise のインストールと構成...enterprise systems connector...