VMware Enterprise Systems Connector€¦ · Enterprise Systems Connector サーバを作成するための基盤として次の要件を使用します。 ACC コンポーネントのみをインストールする場合は、次の要件を使用します。

VMware Enterprise Systems Connectorのインストールと構成

VMware Identity Manager 2.9.1

VMware Enterprise Systems Connector のインストールと構成

2 VMware, Inc.

最新の技術ドキュメントは VMware の Web サイト（https://docs.vmware.com/jp/）にあります

VMware の Web サイトでは最新の製品アップデートも提供されています。

このドキュメントに関するご意見およびご感想がある場合は、[email protected]までお送りください。

Copyright © 2017 VMware, Inc. 無断転載を禁ず。著作権および商標情報。

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

ヴイエムウェア株式会社105-0013　東京都港区浜松町 1-30-5浜松町スクエア 13Fwww.vmware.com/jp

https://docs.vmware.com/jp/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

目次

VMware Enterprise Systems Connector のインストールと構成 5

1 VMware Enterprise Systems Connector の概要 7

VMware Enterprise Systems Connector について 7Enterprise Systems Connector のシステム要件 9

2 Enterprise Systems Connector アーキテクチャの概要 17

Enterprise Systems Connector の SaaS 展開モデル 17Enterprise Systems Connector オンプレミス展開モデル 18ACC コンポーネント証明書統合ワークフロー 20

3 Enterprise Systems Connector のインストールプロセス 21

インストールするコンポーネントの決定 22（オンプレミスユーザーのみ）セキュアチャンネル証明書を AWCM にインストールする 22AWCM との通信の確立 23VMware Enterprise Systems Connector インストーラの取得 23AirWatch コンソールからの Enterprise Systems Connector の有効化 23Enterprise Systems Connector インストーラの実行 25正常な Enterprise Systems Connector インストールの確認 30

4 ACC 管理 33

ACC の更新 33ACC の手動更新の実行 35証明書の再生成 35

5 VMware Identity Manager Connector の構成 39

VMware Identity Manager Connector の構成 39VMware Identity Manager Connector 管理設定の管理 44インストール後のプロキシ設定の有効化 47VMware Identity Manager Connector の高可用性環境の構成 48VMware Identity Manager Connector 導入環境への Kerberos 認証サポートの追加 50VMware Identity Manager Connector インスタンスの削除 55VMware Identity Manager Connector のアップグレード 55

6 ACC から VMware Identity Manager Connector へのディレクトリの移行 57

他のディレクトリを LDAP 経由の Active Directory または Active Directory（統合 Windows 認証）に変換する 57AirWatch から VMware Identity Manager へのディレクトリ同期の停止 59

インデックス 61

VMware, Inc. 3


4 VMware, Inc.


『VMware Enterprise Systems Connector のインストールと構成』には、VMware Enterprise Systems Connector™の設定に関する情報が記載されています。この設定により、組織は VMware AirWatch® と VMware Identity Manager™ を自社のバックエンドエンタープライズシステムと統合できるようになります。

このドキュメントには、VMware Enterprise Systems Connector の AirWatch Cloud Connector と VMware IdentityManager Connector の両方のコンポーネントのインストールに関する情報が記載されています。

この情報は、SaaS とオンプレミスの両方の展開シナリオに適用可能です。テキストの「メモ」に、環境の相違を示します。

対象者

この情報は、経験豊富な Windows システム管理者が対象です。SaaS ユーザーとオンプレミスユーザーの両方に適用可能です。

VMware の技術ドキュメントの用語集VMWare の技術ドキュメントには、新しい用語などを集約した用語集があります。当社の技術ドキュメントで使用される用語の定義については、http://www.vmware.com/support/pubs をご覧ください。

VMware, Inc. 5

http://www.vmware.com/support/pubs


6 VMware, Inc.

VMware Enterprise Systems Connector の概要 1

VMware Enterprise Systems Connector をインストールする前に、システム要件、アーキテクチャ、および展開モデルを確認します。

この章では次のトピックについて説明します。

n VMware Enterprise Systems Connector について (P. 7)

n Enterprise Systems Connector のシステム要件 (P. 9)

VMware Enterprise Systems Connector についてVMware AirWatch 9.1 では、AirWatch Cloud Connector (ACC) が VMware Enterprise Systems Connector と呼ばれる新しいインストーラのコンポーネントとして含まれています。このインストーラは、Workspace ONE、AirWatch、および ID の統合コネクタパッケージとして機能します。ACC と VMware Identity Manager Connectorの 2 つのコンポーネントで構成されます。

インストールプロセス時に、インストールするコンポーネントを選択できます。

両方のコンポーネントのインストールが推奨されるシナリオについては、「インストールするコンポーネントの決

定 (P. 22)」を参照してください。

VMware, Inc. 7

AirWatch Cloud Connector コンポーネントAirWatch Cloud Connector (ACC) を使用すると、組織は AirWatch と自社のバックエンドエンタープライズシステムを統合することができます。

ACC は内部ネットワークで実行され、要求を AirWatch から組織の重要なエンタープライズインフラストラクチャコンポーネントに安全に送信するプロキシとして機能します。これにより、組織は任意の構成で実行している AirWatch MobileDevice Management (MDM) のメリットを既存の LDAP、認証局、E メール、その他の内部システムとともに利用できるようになります。第 2 章「Enterprise Systems Connector アーキテクチャの概要 (P. 17)」も参照してください。

ACC は次の内部コンポーネントと連携します。

n E メールリレー (SMTP)

n ディレクトリサービス (LDAP/Active Directory)

n Email Management Exchange 2010 (PowerShell)

n BlackBerry Enterprise Server (BES)

n Lotus Domino Web Service (HTTPS)

n Syslog（イベントログデータ）

次のコンポーネントは、個別で使用可能な PKI 統合アドオンを購入した場合にのみ使用できます。

n Microsoft Certificate Services (PKI)

n Simple Certificate Enrollment Protocol (SCEP PKI)

n サードパーティの証明書サービス（オンプレミスのみ）

VMware Identity Manager Connector コンポーネントVMware Identity Manager Connector では、ディレクトリ統合、ユーザー認証、および Horizon View などのリソースとの統合が提供されます。

VMware Identity Manager Connector コンポーネントを使用すると、次の追加機能が環境に提供されます。

n パスワード、RSA Adaptive Authentication、RSA SecurID、Radius などの VMware Identity ManagerConnector ベースの認証方法

n 内部ユーザー用の Kerberos 認証

n 次のリソースとの統合：

n Horizon View デスクトッププールおよびアプリケーションプール

n Citrix 公開リソース

n VMware Horizon® Cloud Service™ with Hosted and On-Premises Infrastructure（クラウドホスト型およびオンプレミス型）

はじめに

注意オンプレミス展開の場合、このガイドを続行する前に、『AirWatch Cloud Messaging Service (AWCM) Guide』を確認し、記載されている手順を実行しておく必要があります。

オンプレミス型の場合、AWCM が正しくインストールされており、実行中で、AirWatch とエラーなしで通信していることを確認します。


8 VMware, Inc.

Enterprise Systems Connector のシステム要件Enterprise Systems Connector を展開するには、ご使用のシステムが必要な要件を満たしていることを確認します。

ハードウェア要件

Enterprise Systems Connector サーバを作成するための基盤として次の要件を使用します。

ACC コンポーネントのみをインストールする場合は、次の要件を使用します。

表 1‑1. ACC 要件

ユーザー数 10,000 まで 10,000～50,000 50,000～100,000

CPU コア 2 2 CPU コアの 2 台のロードバランシングされたサーバ

2 CPU コアの 3 台のロードバランシングされたサーバ

サーバあたりの RAM (GB) 4 各 4 各 8

ディスク容量 (GB) 50 各 50 各 50

VMware Identity Manager Connector コンポーネントには、次の追加要件があります。ACC と VMware IdentityManager Connector のコンポーネントの両方をインストールする場合は、次の要件を ACC 要件に追加します。

表 1‑2. VMware Identity Manager Connector の要件

ユーザー数 1000 まで 1000～10,000 10,000～25,000 25,000～50,000 50,000～100,000

CPU 2 それぞれ 4 CPU の2 台のロードバランシングされた

サーバ

それぞれ 4 CPU の 2台のロードバランシングされたサーバ

それぞれ 8 CPU の2 台のロードバランシングされたサーバ

それぞれ 8 CPU の 2 台のロードバランシングされたサーバ

サーバあたりの RAM(GB)

6 各 8 各 16 各 32 各 64

ディスク容量 (GB) 100 各 100 各 100 各 150 各 200

注意 n ACC コンポーネントの場合、トラフィックは AWCM コンポーネントによって自動的にロードバランシングされま

す。個別のロードバランサは不要です。高可用性のために同じ AWCM サーバに接続する、同じ組織グループの複数の ACC インスタンスはすべてトラフィックを受信できます（live-live 構成）。トラフィックのルーティング方法はAWCM によって特定され、現在の負荷によって異なります。

n VMware Identity Manager Connector コンポーネントについては、「VMware Identity Manager Connector の高可用性環境の構成 (P. 48)」を参照してください。

n CPU コアはそれぞれ、2.0 GHz 以上である必要があります。Intel プロセッサが必要です。

n ディスク容量の要件には以下が含まれます：Enterprise Systems Connector アプリケーション、Windows OS、および .NET ランタイムに対して 1 GB ディスク容量。追加ディスク容量がログのために割り当てられます。

ソフトウェア要件

Enterprise Systems Connector サーバが、次のソフトウェア要件をすべて満たしていることを確認します。

第 1 章 VMware Enterprise Systems Connector の概要

VMware, Inc. 9

ステータ

スの

チェック

リスト要件メモ

Windows Server2008 R2 またはWindows Server 2012または

Windows Server2012 R2

両方のコンポーネントに必要

PowerShell をサーバにインストールする


注意（AirWatch Cloud Connector コンポーネント）E メール用の PowerShell MEM ダイレクトモデルを展開している場合は、PowerShell バージョン 3.0 以降が必要です。お使いのバージョンを確認するには、PowerShell を開き、コマンド $PSVersionTable を実行します。

注意（VMware Identity Manager Connector コンポーネント）Windows Server 2008 R2にインストールしている場合は、PowerShell バージョン 4.0 が必要です。

.NET Framework 4.6.2をインストールする


注意（AirWatch Cloud Connector コンポーネント）AirWatch Cloud Connector 自動更新機能は、Enterprise Systems Connector サーバが .NET Framework 4.6.2 に更新されるまで正しく機能しません。自動更新機能により .NET Framework が自動的に更新されるわけではありません。アップグレードを実行する前に、.NET Framework 4.6.2 を手動でEnterprise Systems Connector サーバにインストールします。

一般的な要件

インストールが成功するように、Enterprise Systems Connector サーバが次の一般的な要件で設定されていることを確認します。

ステー

タスの

チェッ

クリ

スト要件メモ

AirWatch がインストールされているサー

バにリモートアクセスできることを確認する

VMware AirWatch では、複数のサーバ管理用に Remote Desktop Connection Manager を設定することをお勧めします。インストーラは、 https://www.microsoft.com/en-us/download/details.aspx?id=44989 からダウンロードできます。通常、インストールは AirWatch コンサルタントが提供する Web 会議または画面共有によってリモートで実行されます。一部のユーザーは環境に直接アクセスするための VPN 認証情報も AirWatchに提供しています。

Notepad++ のインストール（推奨）

VMware AirWatch では、Notepad++ のセットアップをお勧めします。

バックエンドシステムに対する認証用のサー

ビスアカウント

LDP.exe ツール（http://www.computerperformance.co.uk/ScriptsGuy/ldp.zipを参照）LDAP、BES、PowerShell などを使用して、AD 接続方法を検証します。

ネットワーク要件

以下のポートを構成するために、すべてのトラフィックはソースコンポーネントからターゲットコンポーネントへの一方向（アウトバウンド）です。

アウトバウンドプロキシまたはその他の接続管理ソフトウェアやハードウェアは、Enterprise Systems Connector からのアウトバウンド接続を終了または拒否してはなりません。Enterprise Systems Connector での使用に必要なアウトバウンド接続は常にオープンになっている必要があります。

注意 ACC を使用してアクセスする認証局などのリソースは、すべて同じドメインに属している必要があります。


10 VMware, Inc.

表 1‑3. AirWatch Cloud Connector コンポーネントポート要件 (SaaS)

ステータス

のチェック

リスト

ソースコンポーネント

ターゲットコンポーネントプロトコルポート確認

EnterpriseSystemsConnector サーバ

AirWatch AWCM の例：

(https://awcm274.awmdm.com)

HTTPS 443 https://awcmXXX.awmdm.com/awcm/status と入力して確認し、証明書の信頼エラーがないことを確認します。（「XXX」を環境 URL で使用されているものと同じ番号に置き換えます。たとえば、cn100 の場合は「100」に置き換えます。）


AirWatch コンソールの例：

(https://cn274.awmdm.com)

HTTP または HTTPS

80 または443

https://cnXXX.awmdm.com と入力して確認し、証明書の信頼エラーがないことを確認

します。（「XXX」を環境 URL で使用されているものと同じ番号に置き換えます。たとえば、

cn100 の場合は「100」に置き換えます。）自動更新が有効になっている場合、ACC はポート 443 を使用して、AirWatch コンソールで更新を検索できなければなりません。


AirWatch API の例：(https://as274.awmdm.com)

HTTPS 443 https://asXXX.awmdm.com/api/help と入力して確認し、認証情報を求められること

を確認します。（「XXX」を環境 URL で使用されているものと同じ番号に置き換えます。た

とえば、cn100 の場合は「100」に置き換えます。）ACC から API へのアクセスは、AirWatch Diagnostics サービスが適切に機能するために必要です。


CRL:http://csc3-2010-crl.verisign.com/CSC3-2010.crl

HTTP 80 さまざまなサービスが適切に機能するように

オプションの統合


内部 SMTP SMTP 25


内部 LDAP LDAP または LDAPS

389、636、3268、または

3269


内部 SCEP HTTP または HTTPS

80 または443


内部 ADCS DCOM 135,1025-5000,49152-65535


内部 BES HTTP または HTTPS

80 または443


内部の Exchange2010 またはそれ以降

HTTP または HTTPS

80 または443


VMware, Inc. 11

表 1‑4. AirWatch Cloud Connector コンポーネントポート要件（オンプレミス）




AirWatch クラウドメッセージングサーバ

HTTPS 2001 ポート上の、またはインストールされている

場合の Enterprise Systems Connector からAWCM サーバへの Telnet。https://<AWCM URL>:2001/awcm/status と入力して確認し、証明書の信頼エラーがないことを確認します。

自動更新が有効になっている場合、ACC はポート 443 を使用して、AirWatch コンソールで更新を検索できなければなりません。

AWCM で ACC を使用し、複数の AWCMサーバがあり、それらのサーバをロードバランシングする場合、パーシステンスを構成す

る必要があります。

F5 を使用した AWCM パーシステンスルールの設定については、次のナレッジベースの記

事を参照してください：https://support.air-watch.com/articles/115001666028。


AirWatch コンソール HTTP またはHTTPS

80 または 443

ポート上の、またはインストールされている

場合の Enterprise Systems Connector からコンソールへの Telnet。https://<Console URL> と入力して確認し、証明書の信頼エラーがないことを確

認します。

自動更新が有効になっている場合、ACC はポート 443 を使用して、AirWatch コンソールで更新を検索できなければなりません。


API サーバ（または APIがインストールされて

いる場所）

HTTPS 443 API サーバの URL に移動して確認します。ACC から API へのアクセスは、AirWatchDiagnostics サービスが適切に機能するために必要です。


CRL:http://csc3-2010-crl.verisign.com/CSC3-2010.crl

HTTP 80 さまざまなサービスが適切に機能するように

オプションの統合


内部 SMTP SMTP 25


内部 LDAP LDAP または LDAPS

389、636、3268、または

3269


内部 SCEP HTTP またはHTTPS

80 または 443


内部 ADCS DCOM 135,1025-5000,49152-65535


12 VMware, Inc.

表 1‑4. AirWatch Cloud Connector コンポーネントポート要件（オンプレミス） (続き)




内部 BES HTTP またはHTTPS

80 または 443


内部の Exchange2010 またはそれ以降

HTTP またはHTTPS

80 または 443

表 1‑5. VMware Identity Manager Connector コンポーネントポート要件（SaaS またはオンプレミス）

ステータスのチェッ

クリスト


ターゲットコンポーネントポートプロトコルメモ

VMware IdentityManagerConnector

VMware IdentityManager サービス

443 HTTPS デフォルトポート。このポートは構成可能

です

ブラウザ VMware IdentityManager Connector

8443 HTTPS 管理ポート。

必須

ブラウザ VMware IdentityManager Connector

80 HTTP 必須


Active Directory 389、636、3268、3269

デフォルトポート。これらのポートは構成可

能です。


DNS サーバ 53 TCP/UDP すべてのインスタンス

は、ポート 53 で DNSサーバにアクセスでき、

ポート 22 で着信 SSHトラフィックを許可す

る必要があります。


ドメインコントローラ 88、464、135

TCP/UDP


RSA SecurID システム 5500 デフォルトポート。このポートは構成可能で

す。


VMware, Inc. 13

表 1‑5. VMware Identity Manager Connector コンポーネントポート要件（SaaS またはオンプレミス） (続き)

ステータスのチェッ

クリスト


ターゲットコンポーネントポートプロトコルメモ


View 接続サーバ 389、443 Horizon View との統合のための View 接続サーバインスタンスへのアクセス


Integration Broker 80、443 Citrix 公開リソースとの統合用 IntegrationBroker にアクセスします。

重要 Enterprise SystemsConnector と同じWindows サーバにIntegration Broker をインストールする場合、

IIS Server DefaultWeb Site サイトバインドで、HTTP およびHTTPS バインドポートが VMware IdentityManager Connectorコンポーネントで使用

されるポートと競合し

ないことを確認する必

要があります。

VMware IdentityManager Connectorは常にポート 80 を使用します。インストール

時に別のポートが設定

されていない限り、

443 も使用します。

（ VMware Identity Manager Connector コンポーネント） VMware Identity Manager クラウドホスト型 IP アドレス

（SaaS ユーザー）VMware Identity Manager Connector がアクセス権を持つ必要がある VMware Identity Managerサービス IP アドレスのリストについては、ナレッジベースの記事 KB 2149884 を参照してください。

（ VMware Identity Manager Connector コンポーネント）DNS レコードおよび IP アドレスの要件

コネクタで DNS エントリおよび固定 IP アドレスが利用できる必要があります。インストールを開始する前に、使用するDNS レコードと IP アドレスを要求し、Windows サーバのネットワーク設定を行います。

オプションで逆引きの構成が可能です。逆引きを実装する場合には、DNS サーバに PTR レコードを定義して、コネクタが正しいネットワーク構成を使用するようにする必要があります。

以下の DNS レコードのサンプルリストを使用できます。サンプルリストの情報を、それぞれの環境に合わせて書き換えてください。次のサンプルには、DNS の正引きレコードと IP アドレスが記載されています。

表 1‑6. DNS の正引きレコードと IP アドレスの例

ドメイン名リソースタイプ IP アドレス

myidentitymanager.company.com A 10.28.128.3

次のサンプルには、DNS の逆引きレコードと IP アドレスが記載されています。


14 VMware, Inc.

https://kb.vmware.com/kb/2149884

表 1‑7. DNS の逆引きレコードと IP アドレスの例

IP アドレスリソースタイプホスト名

10.28.128.3 PTR myidentitymanager.company.com

DNS 構成の終了後に、DNS の逆引きが正しく構成されていることを確認します。たとえば、仮想アプライアンスのコマンド host IPaddress は DNS 名を解決する必要があります。

注意仮想 IP アドレス (VIP) が DNS サーバの前にあるロードバランサを使用している場合、VMware Identity Managerは、VIP の使用をサポートしません。複数の DNS サーバをカンマ区切りで指定できます。

注意 Unix/Linux ベースの DNS サーバを使用していて、コネクタを Active Directory ドメインに参加させる予定がある場合は、Active Directory ドメインコントローラごとに適切なサービス (SRV) リソースレコードが作成されていることを確認します。

（ VMware Identity Manager Connector コンポーネント）サポートされている ActiveDirectory のバージョン

VMware Identity Manager では、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、および Windows Server 2012 R2 用の Active Directory をサポートしています。ドメイン機能レベルおよびフォレスト機能レベルは、Windows Server 2003 以降です。

単一 Active Directory ドメイン、単一 Active Directory フォレストの複数のドメイン、または複数の Active Directoryフォレスト全体の複数のドメインから構成される Active Directory 環境がサポートされています。


VMware, Inc. 15


16 VMware, Inc.

Enterprise Systems Connector アーキテクチャの概要 2

Enterprise Systems Connector には、Windows 2008 R2、2012、または 2012 R2 を実行する物理サーバまたは仮想サーバにインストール可能な 2 つの Windows サービスが含まれています。それは内部ネットワーク内で動作し、任意の既存 Web Application Firewalls またはロードバランサの背後に構成できます。

Enterprise Systems Connector から AirWatch と VMware Identity Manager に組み込まれているメッセージサービスへの安全な HTTPS 接続を開始すると、Enterprise Systems Connector は情報を AD、LDAP などの内部リソースから製品にファイアウォールの変更なしで定期的に送信できます。アウトバウンドプロキシを使用してトラフィックをプロキシすることを計画している場合、コネクタ構成のプロキシを許可する設定を使用できます。

サポートされる構成

Enterprise Systems Connector を次の構成で使用します。

n HTTPS 転送の使用

n アウトバウンドプロキシを使用した HTTP トラフィックのサポート


n Enterprise Systems Connector の SaaS 展開モデル (P. 17)

n Enterprise Systems Connector オンプレミス展開モデル (P. 18)

n ACC コンポーネント証明書統合ワークフロー (P. 20)

Enterprise Systems Connector の SaaS 展開モデルSaaS 展開モデルでは、Enterprise Systems Connector は内部ネットワークにあり、内部システムと統合します。これにより AirWatch と VMware Identity Manager はこれらを証明書、ディレクトリサービスなど、さまざまな機能に利用できるようになります。

以下の図に、ACC と VMware Identity Manager Connector コンポーネントの両方が展開されているEnterprise Systems Connector の完全展開を示します。

VMware, Inc. 17

図 2‑1. Enterprise Systems Connector の SaaS 展開

ACC

Internet DMZ

VMware EnterpriseSystems Connector(s)

DirectoryAirWatch

VMware IdentityManager

VMware IdentityManager Connector

以下の図に、ACC コンポーネントのみの展開を示します。

図 2‑2. Enterprise Systems Connector の SaaS 展開（ACC のみ）

AirWatch


ACC

Internet DMZ


Directory

Enterprise Systems Connector オンプレミス展開モデルオンプレミス展開モデルでは、Enterprise Systems Connector は内部ネットワークにあり、AWCM およびVMware Identity Manager サービスと通信します。AWCM は通常、AirWatch デバイスサービスサーバにインストールされます。

以下の図に、通常のオンプレミス AirWatch レイアウトのある ACC コンポーネントの展開を示します。


18 VMware, Inc.

図 2‑3. Enterprise Systems Connector オンプレミス展開（ACC のみ）

ACC

Device

DMZ

LB

Cluster

AirWatch DS

AirWatch DS443

443


AirWatch DB

SQL Server Cluster

VMware Identity Manager DB

Directory

Internet

Cluster




以下の図に、通常のオンプレミス AirWatch レイアウトのある ACC および VMware Identity Manager Connector コンポーネントの展開を示します。

図 2‑4. Enterprise Systems Connector オンプレミス展開（ACC および VMware Identity Manager Connector ）

ACC

Device

DMZ

LB

Cluster

AirWatch DS

AirWatch DS

Cluster




443

443


AirWatch DB

SQL Server Cluster

VMware Identity Manager DB

Directory

Internet

VMware IdentityManager Connector

第 2 章 Enterprise Systems Connector アーキテクチャの概要

VMware, Inc. 19

ACC コンポーネント証明書統合ワークフロー証明書は、AirWatch コンソールと AirWatch Cloud Connector (ACC) 間の通信の認証に使用されます。

証明書の生成方法

n ACC を有効にしてから、AirWatch および ACC に対して証明書を生成します。

n 両方の証明書は、AirWatch コンソールで選択したグループ固有で、AirWatch サーバ上にあります。

n 両方の証明書は、信頼できる AirWatch ルートから生成されます。

n ACC をインストールします。AirWatch によって生成される ACC 証明書が自動的にバンドルされ、ACC とともにインストールされます。

オンプレミス環境でのデータのルーティング方法

n AirWatch は要求を AWCM に送信します。要求は HTTPS を使用して SSL で暗号化されます。

n ACC は AWCM で AirWatch 要求を検索します。要求は HTTPS を使用して SSL で暗号化されます。

n すべてのデータは AWCM を介して送信されます。

ACC 構成では、AirWatch 環境からの署名されたメッセージのみが信頼されます。この信頼はグループごとに一意です。

高可用性 (HA) 構成の一部として同じ AirWatch グループで設定された追加の ACC サーバには、同じ一意の ACC 証明書が発行されます。高可用性の詳細については、AirWatch Resources で使用可能な『VMware AirWatch RecommendedArchitecture Guide』を参照してください。

オンプレミス環境でのデータの保護方法

AirWatch サーバは、各要求を暗号化および署名されたメッセージとして AWCM に送信します。

n 要求は ACC インスタンスの一意のパブリックキーを使用して暗号化されます。ACC のみが要求を復号化できます。

n 要求は、グループごとに一意の AirWatch サーバインスタンスのプライベートキーを使用して署名されます。そのため、ACC は構成された AirWatch サーバからの要求のみを信頼します。

n ACC から AirWatch サーバへの応答は、要求と同じキーで暗号化され、ACC プライベートキーで署名されます。


20 VMware, Inc.

Enterprise Systems Connector のインストールプロセス 3

いくつかのタスクを実行して、内部ネットワークで Enterprise Systems Connector を構成し、インストールする必要があります。

手順

1 「インストールするコンポーネントの決定 (P. 22)」 - ACC コンポーネントのみをインストールするか、ACC とVMware Identity Manager Connector の両方をインストールするかを決めます。

2 「（オンプレミスユーザーのみ）セキュアチャンネル証明書を AWCM にインストールする (P. 22)」 - オンプレミスユーザーは、セキュアチャンネル証明書をインストールして、AWCM と AirWatch コンソール、デバイスサービス、API、セルフサービスポータルのコンポーネントの間のセキュリティを確立する必要があります。

3 「AWCM との通信の確立 (P. 23)」 - SaaS ユーザーとオンプレミスユーザーは、AWCM との通信を確立する必要があります。このアクションを実行すると、AirWatch インスタンスで特定の AWCM サーバが使用されるように構成できます。

4 「VMware Enterprise Systems Connector インストーラの取得 (P. 23)」 - Enterprise Systems Connector インストーラは、「AirWatch コンソールからの Enterprise Systems Connector の有効化 (P. 23)」の説明に従って、AirWatch コンソールの [Cloud Connector] ページからダウンロードできます。インストーラは、[Workspace ONEのスタート] ウィザードの一部としても使用可能です。

5 「AirWatch コンソールからの Enterprise Systems Connector の有効化 (P. 23)」 - Enterprise Systems Connectorをインストールする前に、まずこれを有効にし、証明書を生成して、統合するエンタープライズサービスと AirWatchサービスを選択する必要があります。この手順を完了すると、Enterprise Systems Connector をインストールできます。

6 「Enterprise Systems Connector インストーラの実行 (P. 25)」 - すべての前提条件を満たす構成済みのサーバでEnterprise Systems Connector インストーラを実行します。

7 「正常な Enterprise Systems Connector インストールの確認 (P. 30)」 - Enterprise Systems Connector をインストールした後は、AirWatch コンソール内から正常なインストールを確認できます。


n インストールするコンポーネントの決定 (P. 22)

n （オンプレミスユーザーのみ）セキュアチャンネル証明書を AWCM にインストールする (P. 22)

n AWCM との通信の確立 (P. 23)

n VMware Enterprise Systems Connector インストーラの取得 (P. 23)

n AirWatch コンソールからの Enterprise Systems Connector の有効化 (P. 23)

n Enterprise Systems Connector インストーラの実行 (P. 25)

n 正常な Enterprise Systems Connector インストールの確認 (P. 30)

VMware, Inc. 21

インストールするコンポーネントの決定

インストールプロセスを開始する前に、ビジネスニーズに応じて ACC コンポーネントのみをインストールするか、ACCと VMware Identity Manager Connector の両方をインストールするかを決定します。

ほとんどの Workspace ONE ユーザーの場合、Enterprise Systems Connector の両方のコンポーネントをインストールすることをお勧めします。完全インストールには、ACC 機能だけでなく、次の機能のサポートも含まれています。

n Workspace ONE での仮想アプリケーションとデスクトップ

n RSA セキュア ID 認証

n 統合 Windows 認証

n VMware Identity Manager での複数の信頼できる Active Directory、または信頼できない Active Directory

n AirWatch に複数のディレクトリ組織グループ構成のある VMware Identity Manager

n ID 中心の統合機能用プラットフォーム

Workspace ONE を ACC でのみ展開している場合、そのモデルは引き続きサポートされますが、これらのいずれかの機能を利用することを予定している場合、Enterprise Systems Connector の完全インストールをお勧めします。ACC のみから Enterprise Systems Connector で使用可能な VMware Identity Manager Connector への移行がサポートされています。第 6 章「ACC から VMware Identity Manager Connector へのディレクトリの移行 (P. 57)」を参照してください。

（オンプレミスユーザーのみ）セキュアチャンネル証明書を AWCM にインストールする

オンプレミスユーザーは、セキュアチャンネル証明書をインストールして、AWCM と AirWatch コンソール、デバイスサービス、API、およびセルフサービスポータルのコンポーネント間のセキュリティを確立する必要があります。

重要 AWCM を実行しているサーバで次の手順を実行します。インストールプログラムを別のコンピュータにダウンロードして、AWCM サーバにコピーしないでください。AWCM を実行しているサーバでダウンロードが失敗した場合、想定される回避策については AirWatch サポートにお問い合わせください。

注意 AirWatch Tunnel または Enterprise Systems Connector をダウンロードし、インストールした後に AWCM キーストアのセキュアチャンネル証明書に変更を行った場合、すべてのフォルダをアンインストールして削除してから、再ダウンロードして再インストールする必要があります。

手順

1 [[グループと設定] > [すべての設定] > [システム] > [詳細] > [セキュアチャンネル証明書]] の順に移動します。

2 [AirWatch クラウドメッセージング] セクション内の [AWCM Secure Channel インストーラのダウンロード] を選択し、[セキュアチャンネル証明書] インストールスクリプトのインストールを開始します。

Linux 用のセキュアチャンネルインストーラは、クラウド通知サービスにのみ使用されます。AWCM は Windowsサーバでのみサポートされます。

3 [セキュアチャンネル証明書] インストールスクリプトをローカル AWCM サーバにコピーし、右クリックして [管理者として実行] を選択し、インストールを実行します。

4 トラストストアのパスを入力するか、[参照] を選択してトラストストアのパスを検索し、[OK] を選択します。

5 証明書がキーストアに追加されたことを通知する [メッセージ] ダイアログボックスが表示されたら、[OK] を選択します。

6 AWCM との通信の確立の手順を続行します。

7 Enterprise Systems Connector のインストールの手順を続行します。


22 VMware, Inc.

AWCM との通信の確立SaaS とオンプレミスのユーザーは、AWCM との通信を確立する必要があります。このアクションを実行すると、AirWatchインスタンスで特定の AWCM サーバが使用されるように構成できます。

手順

1 [グループと設定] > [すべての設定] > [システム] > [詳細] > [サイト URL] の順に移動して、[AirWatch クラウドメッセージング] セクションを表示します。

注意 SaaS ユーザーにシステム設定でこのページが表示されない場合、これらの設定はすでに構成されています。

2 次の設定を行います。

設定説明

AirWatch サーバの有効化このボックスにチェックマークを付け、AirWatch コンソールと AWCM サーバ間の接続を許可します。

AirWatch サーバ外部 URL このフィールドには、外部コンポーネントおよびデバイス（ACC など）で使用されるサーバ名を入力して、AWCM との（HTTPS 経由）安全な通信にできます。ACC URL の例：Acme.com。https:// はアプリケーションで認識され、自動的に追加されるため、追加しないでください。

AirWatch 外部ポートこれは、上記のサーバ名による AWCM との通信に使用されているポートです。安全な外部通信のためには、ポート 443 を使用します。SSL のオフロードをバイパスする場合、内部の安全ではない通信ポートを使用します。このポートはデフォルトで 2001 ですが、別のポート番号に変更できます。

AWCM サーバ内部 URL この URL を使用すると、内部コンポーネントおよびデバイス（管理コンソール、デバイスサービスなど）から AWCM に接続できます。AirWatch URL の例：https://Acme.com:2001/awcm またはhttp://AcmeInternal.Local/awcm。AWCM サーバおよび AirWatch コンソールが内部（同じネットワーク内）であり、オフロードされたSSL をバイパスする場合に安全な接続は不要なため、https の代わりに http を使用できます。たとえば、http://AcmeInternal.Local:2001/awcm です。この例では、サーバが内部ネットワーク内にあり、ポート 2001 で通信していることを示します。

VMware Enterprise Systems Connector インストーラの取得VMware Enterprise Systems Connector インストーラは、複数の場所から使用可能です。

インストーラは、「AirWatch コンソールからの Enterprise Systems Connector の有効化 (P. 23)」に記載されているように、AirWatch コンソールの [グループと設定] > [すべての設定] > [システム] > [エンタープライズ統合] > [CloudConnector] ページから使用可能です。これは、[Workspace ONE のスタート] ウィザードの一部としても使用可能です。[Workspace ONE のスタート] ウィザードを使用するには、『VMware Workspace ONE Quick ConfigurationGuide』を参照してください。

AirWatch コンソールからの Enterprise Systems Connector の有効化Enterprise Systems Connector をインストールする前に、まずこれを有効にし、証明書を生成し、統合するエンタープライズサービスと AirWatch サービスを選択する必要があります。この手順を完了すると、Enterprise Systems Connector をインストールできます。

注意 Enterprise Systems Connector を実行するサーバ上で次の手順を実行します。インストーラを別のコンピュータにダウンロードして Enterprise Systems Connector サーバにコピーしないでください。

手順

1 [[グループと設定] > [すべての設定] > [システム] > [エンタープライズ統合] > [Cloud Connector]] の順に移動します。

第 3 章 Enterprise Systems Connector のインストールプロセス

VMware, Inc. 23

2 [全般] タブで、次の設定を行います。

設定説明

Cloud Connector を有効にするこのチェックボックスを選択して Enterprise Systems Connector を有効にし、[全般] タブを表示します。

自動更新を有効にする選択して Enterprise Systems Connector を有効にし、新しいバージョンが使用可能な場合に自動的に更新するようにします。自動更新の詳細については、VMwareEnterprise Systems Connector Auto-Update Optionを参照してください。

3 [詳細] タブで、次の設定を行います。

設定説明

証明書の生成このボタンを選択して、Enterprise Systems Connector および AirWatch サーバに対して証明書を生成します。証明書は両方に対して生成され、

VMware Enterprise Systems Connector と AirWatch 証明書の下に表示されます。証明書が生成されると、ボタンは [証明書の再生成] に変わります。証明書の再生成については、「証明書の再生成 (P. 35)」を参照してください。

AWCM との通信 Enterprise Systems Connectorが AWCM と通信する方法を [AWCM との通信] で選択します。

n [外部 AWCM URL を使用する] – これは、ほとんどの展開に適用されるデフォルトのオプションです。

n [内部 AWCM URL を使用する] – このオプションは、セキュリティ設定によりEnterprise Systems Connector サーバで外部 AWCM URL を解決できない場合に使用します。たとえば、Enterprise Systems Connector が内部ネットワーク上にあり、AWCM サーバが DMZ 内にある場合です。

[有効] ボタンまたは [無効] ボタンを選択して、エンタープライズサービスを有効または無効にします。選択した（有効な）サービスが Enterprise Systems Connectorと統合します。

n SMTP（E メールリレー）

AirWatch SaaS では独自の SMTP による E メール配信を提供していますが、Enterprise Systems Connectorを有効にするとここで別の SMTP サーバを使用できます。[ [グループと設定] > [すべての設定] > [システム] > [エンタープライズ統合] > [E メール (SMTP)]] で、E メール用の SMTP サーバ設定を入力します。

n ディレクトリサービス (LDAP/Active Directory)n Exchange PowerShell（特定のセキュア E メールゲートウェイに対する）n BES（BlackBerry 同期ユーザーとモバイルデバイスの情報）n Syslog（AirWatch イベントログデータとの統合に使用されるクライアント/サー

バプロトコル）


24 VMware, Inc.

設定説明

エンタープライズサービス次のコンポーネントは、個別で使用可能な PKI 統合アドオンを購入した場合にのみ使用できます。

n Microsoft Certificate Services (PKI)n Simple Certificate Enrollment Protocol (SCEP PKI)n OpenTrust CMS Mobile（サードパーティの証明書サービス）n Entrust PKI（サードパーティの証明書サービス）n Symantec MPKI（サードパーティの証明書サービス）

クラウド証明書サービスの場合は Enterprise Systems Connector を経由する必要がないため、以下の画面のいずれかのチェックボックスを選択して証明書

サービス（Symantec MPKI など）と統合する場合、選択したサービスがクラウド (SaaS) ではなくオンプレミスにある必要があります。

AirWatch サービス [有効] または [無効] を選択して、AirWatch サービスを有効または無効にします。選択した（有効な）AirWatch コンポーネントが Enterprise Systems Connector と統合します。AirWatch では、すべてのサービスを有効のままにしておくことをお勧めします。

n デバイスサービス（管理コンソールと、それが機能するために必要な関連するWindows サービスを含む、すべてのサービス）

n デバイス管理（登録、アプリケーションカタログ、および関連する Windowsサービス）

n セルフサービスポータル（関連する Windows サービスを含む）n その他すべてのコンポーネント（関連する Windows サービスを含む）

注意（オンプレミスユーザー）「AWCM を有効にして VMware EnterpriseSystems Connector と通信する」を実行していない場合、[AWCM SecureChannel インストーラのダウンロード] を選択してダウンロードページにリダイレクトできます。

注意（SaaS ユーザー）セキュアチャンネル証明書インストーラをダウンロードする必要はありません。

4 [保存] を選択して、これらすべての設定を保持します。

5 [全般] タブに戻り、[Cloud Connector インストーラのダウンロード] を選択します。

[Cloud Connector インストーラのダウンロード] ページが表示されます。

6 フィールドに Enterprise Systems Connector 証明書のパスワードを入力します。後でEnterprise Systems Connector インストーラを実行し、証明書のパスワードを入力する必要があるときに、パスワードは必要になります。

7 .exe ファイルを後で使用するために [ダウンロード] を選択し、Enterprise Systems Connector サーバに保存します。

Enterprise Systems Connector インストーラの実行すべての要件を満たす Windows サーバ上で Enterprise Systems Connector インストーラを実行します。

インストーラには、AirWatch Cloud Connector と VMware Identity Manager Connector のコンポーネントが含まれています。1 つまたは両方のコンポーネントをインストールできます。初期インストール後に、インストーラを再度実行して、機能を変更したり、インストールを更新したりできます。

開始する前に

次の前提条件は、AirWatch Cloud Connector (ACC) コンポーネントに適用されます。

n 開始する前に、オンプレミスユーザーは https://{url}:<port>/awcm/status を参照して、Enterprise Systems Connector がインストールされているサーバが AWCM に接続できることを確認します。ここで、{url} は AirWatch 環境の URL で、<port> は接続する AWCM に対して構成した外部ポートです。AWCM のステータスに SSL エラーがないことを確認する必要があります。エラーがある場合は続行する前にエラーを解決してください。解決しないと ACC が適切に機能しません。


VMware, Inc. 25

n SaaS ユーザーは、https://awcm<XXX>.awmdm.com/awcm/status に接続して、Enterprise Systems Connector をインストールしているサーバが AWCM に接続できることを確認する必要があります。<XXX> を環境の URL で使用されているものと同じ番号に置き換えます。たとえば、cn100 の場合は「100」に置き換えます。AWCM のステータスに SSL エラーがないことを確認する必要があります。エラーがある場合は続行する前にエラーを解決してください。解決しないと ACC が適切に機能しません。

次の前提条件は VMware Identity Manager Connector コンポーネントに適用されます。

n ポート 80 および 8443 は、Windows サーバで使用可能である必要があります。これらのポートがその他のサービスで使用されている場合、VMware Identity Manager Connector コンポーネントをインストールできません。

n 次の場合、Windows サーバはドメインに参加する必要があり、管理者グループに属するドメインユーザーとしてWindows サーバに VMware Identity Manager Connector コンポーネントをインストールする必要があります。

n Active Directory（統合 Windows 認証）に接続する場合

n Kerberos 認証を使用する場合

n Horizon View を VMware Identity Manager と統合し、[ディレクトリ同期を実行] オプションまたは [5.x 接続サーバの構成] オプションを使用する場合

これらの場合、インストール時にドメインユーザーとして IDM コネクタサービスも実行する必要があります。

n インストール時に、インストーラでドメインとユーザーを参照し、検証できるようにするには、次の要件を満たす必

要があります。

n ターゲットシステムは、ドメインに参加している必要があります。

n Computer Browser サービスが有効で、実行中である必要があります。

n Computer Browser サービス以外に対してファイアウォールを構成する必要があります。

n TCP/IP を介した NetBIOS がターゲットシステムで有効になっている必要があります。

n マスターブラウザシステムがネットワークで構成されている必要があります。

n ブロードキャストトラフィックがネットワーク上で有効になっている必要があります。

手順

1 インストーラをダブルクリックします。

2 ようこそ画面で、[次へ] をクリックします。

インストーラは、サーバ上の前提条件を確認します。.NET Framework がインストールされていない場合はインストールし、サーバを再起動するように求められます。再起動した後に Enterprise Systems Connector インストーラを再度実行し、インストールプロセスを再開します。

前のバージョンの ACC がインストールされている場合、それがインストーラで自動検出され、最新バージョンにアップグレードするためのオプションが提供されます。ACC の更新の詳細については、 ACC の更新を参照してください。

3 使用許諾契約に同意し、[次へ] をクリックします。

4 [カスタムセットアップ] ページで、インストールするコンポーネントを選択します。

デフォルトで、AirWatch Cloud Connector と VMware Identity Manager Connector の両方が選択されています。コンポーネントを選択解除するには、展開矢印をクリックし、[この機能は使用できなくなります] を選択します。

コンポーネントの詳細については、「インストールするコンポーネントの決定 (P. 22)」を参照してください。


26 VMware, Inc.

5 必要に応じて [変更...] を選択してインストールディレクトリを変更し、[次へ] をクリックします。

VMware Identity Manager Connector コンポーネントには、Java Runtime Environment (JRE™) が必要です。Windows サーバに JRE がインストールされていない場合、または JRE のバージョンがインストーラに含まれているものよりも前の場合は、JRE をインストールするように求められます。必要な JRE バージョンのインストール時に、既存のバージョンは削除されないことに注意してください。

6 移動先フォルダを確認し、[次へ] をクリックします。

7 AirWatch の [システム設定] ページで入力した ACC 証明書のパスワードを入力して、[次へ] をクリックします。

8 アウトバウンドプロキシを介して ACC トラフィックをプロキシする場合、チェックボックスを選択し、プロキシサーバ情報を指定します。

必要に応じて、ユーザー名とパスワードを入力します。

注意このページでの設定は ACC にのみ適用されます。VMware Identity Manager Connector のプロキシサーバ情報は、後で個別に入力されます。


VMware, Inc. 27

9 [次へ] をクリックします。

10 （VMware Identity Manager Connector のみ）[IDM コネクタの構成] ページで、次の情報を入力してから、[次へ] をクリックします。

オプション説明

IDM コネクタのポート VMware Identity Manager Connector を 443 以外のポートで実行する場合は、ポート番号を入力します。

独自の SSL 証明書を使用しますか。デフォルトで、自己署名証明書はインストールプロセスで VMware Identity ManagerConnector に対して生成されます。https://<vidmConnectorHostname>:8443/cfg/login のコネクタの管理ページにログインし、[証明書のインストール] ページに移動して、後で署名証明書をインストールできます。

すでに証明書があり、それを今すぐインストールする場合、チェックボックスを選択してから、証明書を選択し、証明書のパスワードを入力します。証明書は PFX 形式である必要があります。

HTTPS プロキシを使用していますか。必要に応じて、アウトバウンド通信用の HTTPS プロキシサーバの構成を選択します。[HTTPS プロキシ]：プロキシサーバの URL。認証が必要なプロキシサーバはサポートされません。

[プロキシポート]：HTTPS プロキシサーバのポート。[非プロキシホスト]：プロキシサーバを経由せずに VMware Identity ManagerConnector がアクセスできるホスト。たとえば、localhost または同じサブネット上のホストです。


28 VMware, Inc.

11 （VMware Identity Manager Connector のみ）[VMware IDM コネクタのアクティベーション] ページで、今すぐコネクタをアクティブ化する場合はチェックボックスを選択します。


アクティベーションコード VMware Identity Manager が、インストーラをダウンロードした AirWatch 組織グループで構成されている場合、このフィールドには、アクティベーションコードが事前入力されます。

フィールドに事前入力されていない場合、VMware Identity Manager の管理コンソールでアクティベーションコードを生成してコピーし、ここに貼り付けます。詳細については、「VMware Identity Manager Connector のアクティベーションコードを生成する (P. 39)」を参照してください。

管理者パスワードコネクタの管理ページのパスワードを作成します。これらのページにアクセスして、

ログファイルバンドルを収集し、証明書をアップロードできます。

パスワードの確認パスワードを再度入力します。

VMware Identity Manager Connector を今すぐアクティブ化しない場合、後でhttps://<vidmConnectorHostname>:8443 でアクティブ化できます。たとえば、https://myconnector.example.com:8443 です。


VMware, Inc. 29


13 （VMware Identity Manager Connectorのみ）[IDM コネクタサービスのアカウント] ページで、Windows ドメインユーザーとして IDM コネクタサービスを実行する場合はチェックボックスを選択します。

次の場合にドメインユーザーとしてサービスを実行する必要があります。

n Active Directory（統合 Windows 認証）に接続する場合



注意このページで選択を行うには、Windows サーバで管理者グループに属するドメインユーザーとしてインストーラを実行している必要があります。

注意 [参照] をクリックしてもドメインまたはユーザーを検索できない場合は、前提条件を満たしていることを確認します。


15 [インストール] をクリックして、インストールを開始します。

インストーラには、ACC を自動更新するためのチェックボックスが表示されます。自動更新の詳細については、ACC 自動更新オプションを参照してください。

16 [終了] をクリックします。

正常な Enterprise Systems Connector インストールの確認Enterprise Systems Connector をインストールした後、AirWatch コンソール内から正常なインストールを確認できます。

注意 [接続をテスト] オプションは、Enterprise Systems Connector の ACC コンポーネントにのみ適用されます。VMware Identity Manager Connector コンポーネントには適用されません。

手順

1 [[グループと設定] > [すべての設定] > [システム] > [エンタープライズ統合] > [Cloud Connector]] の順に移動します。


30 VMware, Inc.

2 画面の下部にある [接続をテスト] を選択すると、以下のメッセージが表示されます。

3 移行する場合、新しい機能を決定し、新しい機能をテストして移行が正常に実行されたことを確認します。

次に進む前に

これで Enterprise Systems Connector が正常にインストールされ、ディレクトリサービスインフラストラクチャとの統合に使用できます。


VMware, Inc. 31


32 VMware, Inc.

ACC 管理 4このセクションには、ACC コンポーネントの更新および証明書の再生成に関する情報が含まれています。


n ACC の更新 (P. 33)

n ACC の手動更新の実行 (P. 35)

n 証明書の再生成 (P. 35)

ACC の更新AirWatch Cloud Connector (ACC) を AirWatch コンソールからアップグレードし、最新のバグ修正と拡張機能を利用できるようにします。このプロセスは、ACC 自動更新オプションを使用して自動化することも、管理コントロールが優先される状況の場合は手動で実行することもできます。

注意 VMware Identity Manager Connector コンポーネントのアップグレードの詳細については、「VMware IdentityManager Connector のアップグレード (P. 55)」を参照してください。

ACC の自動更新ACC のインストール時に、デフォルトで自動更新のチェックボックスが選択されます。自動更新によって、ACC は ACCの新しいバージョンを AirWatch で検索することで、ユーザーが操作しなくても最新バージョンにアップグレードできます。AirWatch では自動更新を許可する（チェックボックスは選択解除しない）ことを推奨していますが、手動アップグレードが望ましい環境や状況にはこれをオプションにしています。

注意自動更新オプションは、Enterprise Systems Connector の ACC コンポーネントにのみ適用されます。VMwareIdentity Manager Connector コンポーネントには適用されません。

自動更新のメリット

n アップグレードする必要があるかどうか、最新の ACC バージョンを検索する必要があるかどうかを手動で判断する必要はありません。ソフトウェアが代わりに行います。

n 機能、拡張機能、および修正は常に最新です。

n 最も重要なのは、セキュリティが最新であることです。

VMware, Inc. 33

更新プロセス

ACC の自動更新は、Cloud Connector フォルダ内の Bank1 フォルダおよび Bank2 フォルダを使用して実行されます。AirWatch はこれらのうち空のフォルダを検出して、そこに該当する ACC ファイルを置き、その他のフォルダの内容を空にします。以降の更新で、AirWatch は代替フォルダ以外に対してそのプロセスを繰り返します。このプロセスは、新しいバージョンが自動更新されるたびに繰り返されます。このプロセスが更新プロセスフロー図に示されます。

重要 Bank1 フォルダまたは Bank2 フォルダを削除しないでください。Bank1 フォルダおよび Bank2 フォルダは ACC自動更新プロセスに不可欠です。

図 4‑1. 更新プロセスフロー

セキュリティの自動更新

ACC の自動更新はセキュリティを考慮して実行されます。すべての更新は、AirWatch コンソールで署名され、ACC で検証されるため、信頼できるアップグレードのみで更新されています。また、アップグレードプロセスは、AirWatch 管理に透過的です。新しいバージョンが使用可能になると、ACC はポート 443 で AirWatch コンソールを検索することによってそれを認識し、アップグレードが発生します。

ACC は最新バージョンにアップグレードしている間は使用できなくなるため、短時間（約 1 分）サービスが提供されなくなります。複数の ACC サーバがインストールされている場合、すべての ACC サービスが同時にダウンしないようにするには、AirWatch はランダムタイマーをアップグレードプロセスに組み込み、これにより短期間の異なる時間に ACCが停止します。

ACC が自動更新されると、[プログラムの追加と削除] でのバージョンは変わらず、元のバージョンはリストされたままです。[プログラムの追加と削除] でのバージョンは、フル ACC インストーラの実行時にのみ変わります。自動更新が成功したかどうかを確認する最善の方法としては、実行中のバージョンを ACC ログで調べます。

自動更新を無効にした場合の影響

この機能が無効にされ、ACC がアップグレードされない場合、以下のいずれかの事象が発生するまで ACC は動作したままです。

n ACC がパワーオフされてから、パワーオンされる（意図的に行う、または停電）。

n ACC を再インストールする必要がある。

n AirWatch コンソールがより新しいバージョンにアップグレードされる。

n AirWatch、AWCM、または ACC 証明書が再生成される。証明書の再生成時に、新しい証明書を認識するために最新バージョンの ACC をインストールし、再起動する必要がある。


34 VMware, Inc.

ACC の手動更新の実行AirWatch では ACC の手動更新の実行を推奨していませんが、この方法はお使い環境のニーズに合う場合はオプションとして使用できます。代替の方法については、「ACC の自動更新」を参照してください。

手順

1 自動更新が AirWatch コンソールでオフになっていることを確認します。これにより、コンソールのアップグレード時に最新の ACC .zip ファイルが ACC サーバに保存され、ACC をアップグレードする必要があることを通知するエントリが ACC ログファイルに作成されます。

2 AirWatch Cloud Connector サービスを停止します。

3 次のいずれかの方法を実行します。

a 最初の方法は、ACC .zip ファイルをログファイルに記載されている Bank フォルダに解凍することです。このフォルダの既存のファイルを上書きするか、すべてのファイルを削除します。クラウドコネクタサービスの再起動時に ACC のバージョンがアップグレードされます。

b 2 つ目の方法は、いずれかの Bank フォルダを使用することです。この場合、.config ファイルまたは .config.oldファイルを他の Bank フォルダで使用可能のままにして、ストックの .config ファイルをカスタマイズされる値に修正できるようにできます。ファイルを解凍し、Cloud Connector サービスを再起動すると、新しくアップグレードされたバージョンで実行されます。

証明書の再生成

AirWatch および AirWatch Cloud Connector (ACC) サーバに使用される証明書の再生成が必要になる場合があります。たとえば、証明書の期限が切れた場合、または組織で証明書が定期的に必要になる場合です。この手順は簡単です。

AirWatch コンソールから実行できますが、ACC インストーラを再度ダウンロードし、実行する必要があります。

証明書にはサムプリントと有効期限が含まれています。[証明書の再生成] ボタンを選択し、プロンプトに従ってこれらを両方とも同時にクリアし再生成することができます。証明書を再生成すると、ACC は AirWatch と通信できなくなります。インストール手順を再度実行して、両方のサーバで新しい証明書を再認識できるようにする必要があります。

手順

1 [[グループと設定] > [すべての設定] > [システム] > [エンタープライズ統合] > [Cloud Connector]] の順に移動します。証明書のサムプリント、および有効期限は [詳細] タブに表示されます。

第 4 章 ACC 管理

VMware, Inc. 35

2 [証明書の再生成] を選択して、ACC および AirWatch サーバに対する新しい証明書を生成します。


36 VMware, Inc.

3 必要に応じて、セキュリティ PIN を入力してアクションを確認し、警告メッセージに応答します。古い証明書は削除され、新しい証明書、サムプリント、および有効期限が再生成されます。

図 4‑2.

PIN を入力して確認すると、ACC は AirWatch サーバと通信できなくなります。ACC と AirWatch サーバ間の通信を復元するには、ACC のインストールに戻り、すべての手順を再度完了します。これにより、両方のサーバで最新の証明書が認識され、再び通信できるようになります。

第 4 章 ACC 管理

VMware, Inc. 37


38 VMware, Inc.

VMware Identity Manager Connector の構成 5

このセクションには、VMware Identity Manager Connector の構成と管理設定の管理に関する情報が含まれています。詳細な構成情報も含まれています。


n VMware Identity Manager Connector の構成 (P. 39)

n VMware Identity Manager Connector 管理設定の管理 (P. 44)

n インストール後のプロキシ設定の有効化 (P. 47)

n VMware Identity Manager Connector の高可用性環境の構成 (P. 48)

n VMware Identity Manager Connector 導入環境への Kerberos 認証サポートの追加 (P. 50)

n VMware Identity Manager Connector インスタンスの削除 (P. 55)

n VMware Identity Manager Connector のアップグレード (P. 55)

VMware Identity Manager Connector の構成VMware Identity Manager Connector コンポーネントをインストールした後は、構成が必要です。

VMware Identity Manager Connector の構成には、次のタスクが含まれます。

1 インストール中にコネクタをアクティブ化しなかった場合は、アクティベーションコードを生成してアクティブ化します。

2 ディレクトリをセットアップします。

3 コネクタで認証アダプタを有効にします。

4 コネクタで送信モードを有効にします。

VMware Identity Manager Connector のアクティベーションコードを生成するVMware Identity Manager 管理コンソールにログインし、VMware Identity Manager Connector のアクティベーションコードを生成します。アクティベーションコードは、テナントとコネクタインスタンス間の通信を確立するために使用されます。

注意 VMware Identity Manager が、インストーラをダウンロードした AirWatch 組織グループ内に構成されている場合、アクティベーションコードを生成する必要はありません。インストーラを実行中にコネクタをアクティブ化している場合、アクティベーションコードは [アクティベーションコード] フィールドにあらかじめ入力されます。インストーラを続行します。

VMware, Inc. 39

開始する前に

（SaaS 環境）お使いの環境の VMware Identity Manager テナント URL（例：<mycompany.vmwareidentity.com>）を使用します。確認メールを受信したら、テナントの URL にアクセスして、受信したローカル管理者の認証情報を使用してログインします。この管理者はローカルユーザーです。

手順

1 管理コンソールにログインします。

2 （SaaS 環境）[承認] をクリックして、利用条件に同意します。

3 [ID とアクセス管理] タブをクリックします。

4 [セットアップ] をクリックします。

5 [コネクタ] ページで、[Connector を追加] をクリックします。

6 コネクタの名前を入力します。

7 [アクティベーションコードを生成] をクリックします。

アクティベーションコードがページに表示されます。

8 アクティベーションコードをコピーして保存します。

次に進む前に

Enterprise Systems Connector インストーラの実行中に VMware Identity Manager コネクタコンポーネントをアクティブ化している場合、コネクタコードをコピーして、インストーラの [VMware IDM コネクタのアクティベーション]ページに貼り付けます。

VMware Identity Manager コネクタコンポーネントをインストール後にアクティブ化する場合、「VMware IdentityManager Connector のアクティブ化 (P. 40)」を参照してください。

VMware Identity Manager Connector のアクティブ化インストール時に VMware Identity Manager Connector を Enterprise Systems Connector インストーラからアクティブ化しなかった場合、後で URL https://<vidmConnectorHostname>:8443 に移動してアクティブ化できます。

開始する前に

コネクタのアクティベーションコードがあります。

手順

1 URL https://<vidmConnectorHostname>:8443 に移動します。

完全修飾ドメイン名として <vidmConnectorHostname> を指定します。たとえば、https://myconnector.example.com:8443 です。


40 VMware, Inc.

2 [ようこそ] ページで、[続行] をクリックします。

3 [パスワードを設定] ページで、コネクタ管理者ページのパスワードを作成して、[続行] をクリックします。

これらのページにアクセスして、ログファイルバンドルを収集し、証明書をアップロードできます。

4 [コネクタのアクティベーション] ページで、アクティベーションコードを入力して、[続行] をクリックします。

コネクタが正常にアクティブ化されると、「セットアップが完了しました」というメッセージが表示されます。

ディレクトリのセットアップ

VMware Identity Manager Connector をインストールしてアクティブ化した後、VMware Identity Manager 管理コンソールでディレクトリをセットアップし、エンタープライズディレクトリとの接続を確立してユーザーとグループをサービスに同期します。

VMware Identity Manager は、次の種類のディレクトリとの統合をサポートします。

n LDAP 経由の Active Directory

n Active Directory（統合 Windows 認証）

n LDAP ディレクトリ

ディレクトリをセットアップする前の詳細については、『VMware Identity Manager とのディレクトリ統合』ガイドを参照してください。高水準のタスクがここに一覧表示されます。

開始する前に

前提条件は、統合するディレクトリのタイプによって異なります。詳細については、『VMware Identity Manager とのディレクトリ統合』ガイドを参照してください。

手順

1 VMware Identity Manager の管理コンソールにログインします。

ヒントコネクタをアクティブ化した後に表示される [セットアップが完了しました] ページの [管理コンソールにログインします] リンクをクリックして管理コンソールに移動することもできます。

2 ディレクトリに同期するユーザー属性を選択します。

a [ID とアクセス管理] タブをクリックし、続いて [セットアップ] をクリックします。

b [ユーザー属性] タブで、必須属性を選択し、必要に応じて属性を追加します。

属性に必須のマークが付いている場合は、その属性を持つユーザーのみがサービスに同期されます。

重要次の制限を認識しておく必要があります。

n ディレクトリが作成されると、属性をオプションから必須に変更することはできません。その選択は、こ

の時点で行う必要があります。

n [ユーザー属性] ページの設定はサービスのすべてのディレクトリに適用されます。属性を必須にする場合は、他のディレクトリへの影響を考慮してください。

n VMware Identity Manager と Citrix 公開リソースの同期を計画している場合は、[distinguishedName]を必須属性にする必要があります。

3 [ディレクトリを追加] をクリックして、追加するディレクトリの種類を選択します。

4 ウィザードに従って、ディレクトリ構成情報を入力し、同期するグループとユーザーを選択し、ユーザーを

VMware Identity Manager サービスと同期します。

詳細については、『VMware Identity Manager とのディレクトリ統合』ガイドの「サービスへの Active Directory接続の構成」を参照してください。

第 5 章 VMware Identity Manager Connector の構成

VMware, Inc. 41

次に進む前に

[ユーザーとグループ] タブをクリックし、ユーザーが同期されていることを確認します。

VMware Identity Manager Connector で認証アダプタを有効にするPasswordIdpAdapter、RSAAIdpAdapter、SecurIDAdapter、RadiusAuthAdapter など、いくつかの認証アダプタを送信モードの VMware Identity Manager Connector で使用できます。使用するアダプタを構成して有効にします。

ディレクトリの作成時に、パスワード認証方法が自動的に有効になりました。PasswordIdpAdapter はディレクトリに対して入力した情報で構成されました。

手順

1 VMware Identity Manager 管理コンソールで、[ID とアクセス管理] タブをクリックします。

2 [セットアップ] をクリックし、[コネクタ] タブをクリックします。

展開したコネクタが表示されます。

3 [ワーカー] 列のリンクをクリックします。

4 [認証アダプタ] タブをクリックします。

コネクタで使用可能なすべての認証アダプタが表示されます。

すでにディレクトリをセットアップしている場合、PasswordIdpAdapter は、ディレクトリを作成したとき指定した構成情報を使用して、すでに構成され有効になっています。

5 各リンクをクリックし、構成情報を入力して、使用する認証アダプタを構成して有効にします。少なくとも 1 つの認証アダプタを有効にする必要があります。

特定の認証アダプタの構成については、『VMware Identity Manager の管理』ガイドを参照してください。

例：


42 VMware, Inc.

VMware Identity Manager Connector で送信モードを有効にするVMware Identity Manager Connector で送信専用接続モードを有効にするには、コネクタを組み込み ID プロバイダに関連付けます。

組み込み ID プロバイダは、VMware Identity Manager サービスにおいてデフォルトで使用でき、VMware Verify などの組み込みの認証方法が追加で提供されます。組み込み ID プロバイダについては、『VMware Identity Manager の管理』ガイドを参照してください。

注意コネクタは、送信および通常モードの両方で同時に使用できます。送信モードを有効にした場合でも、認証方法とポリシーを使用して内部ユーザーのための Kerberos 認証を構成できます。

手順

1 管理コンソールの [ID とアクセス管理] タブで、[管理] をクリックします。

2 [ID プロバイダ] タブをクリックします。

3 [組み込み] リンクをクリックします。

4 以下の情報を入力します。


ユーザー組み込み ID プロバイダを使用するディレクトリまたはドメインを選択します。

ネットワーク組み込み ID プロバイダを使用するネットワーク範囲を選択します。

コネクタセットアップしたコネクタを選択します。

注意後で、高可用性のために別のコネクタを追加する場合、ここでこれらすべてのコネクタを選択および追加し、組み込み ID プロバイダに関連付けます。VMwareIdentity Manager は、組み込み ID プロバイダに関連付けられているすべてのコネクタにトラフィックを自動的に配信します。ロードバランサは不要です。

コネクタの認証方法コネクタで有効にした展開方法が表示されます。使用する認証方法を選択します。

PasswordIdpAdapter は、ディレクトリを作成するときに自動的に構成および有効にされます。PasswordIdpAdapter は、[パスワード（クラウド展開）] としてこのページに表示され、送信モードのコネクタと使用されていることが示されます。

例：

5 [保存] をクリックして、組み込み ID プロバイダの構成を保存します。


VMware, Inc. 43

6 有効にした認証方法を使用するようにポリシーを編集します。

a [ID とアクセス管理] タブで、[管理] をクリックします。

b [ポリシー] タブをクリックして、編集するポリシーをクリックします。

c [ポリシールール] で、編集するルールの [認証方法] 列にあるリンクをクリックします。

d [ポリシールールを編集] ページで、このルールで使用する認証方法を選択します。

e [OK] をクリックします。

f [保存] をクリックします。

ポリシー構成の詳細については、『VMware Identity Manager の管理』ガイドを参照してください。

これで、コネクタの送信モードが有効になりました。組み込み ID プロバイダのページでコネクタで有効にした認証方法のいずれかを使用してユーザーがログインする場合、コネクタへの HTTP リダイレクトは不要になります。

VMware Identity Manager Connector 管理設定の管理最初の VMware Identity Manager Connector 構成の後はいつでもコネクタの管理ページに移動して、証明書のインストール、パスワードの管理、およびログファイルのダウンロードを行うことができます。

VMware Identity Manager Connector 管理ページは、https://<connectorFQDN>:8443/cfg/login（例：https://myconnector.example.com:8443/cfg/login）で使用可能です。コネクタのインストール時に作成した管理者パスワードを使用してコネクタの管理者ユーザーとしてログインします。

表 5‑1. コネクタ設定


証明書のインストールコネクタのカスタム証明書または自己署名証明書をインストールで

きます。コネクタがロードバランサで構成されている場合、ロードバランサのルート証明書をインストールできます。コネクタのルー

ト CA 証明書の場所は、このページだけでなく、[ロードバランサ上の SSL の終了] タブにも表示されます。

パスワードの変更このページで、コネクタの管理者パスワードを変更できます。

ログファイルの場所ホストコンピュータのコネクタログファイルに直接アクセスすることも、コネクタログファイルを zip ファイルにバンドルしてダウンロードすることもできます。

SSL 証明書の使用VMware Identity Manager Connector のインストール時に、デフォルトの SSL サーバ証明書が自動的にインストールされます。実装環境に関する一般的なテストにこの自己署名証明書を使用できます。本番環境では、商用 SSL 証明書を生成してインストールすることを強く推奨します。

機関証明書 (CA) は信頼できるエンティティで、証明書および作成者の ID を保証します。証明書が信頼できる CA によって署名されていれば、ユーザーは証明書の検証を要求するメッセージを受け取ることはなくなります。

自己署名 SSL 証明書を使用して VMware Identity Manager Connector を展開する場合は、ルート CA 証明書がコネクタにアクセスするすべてのクライアントの信頼できる CA 証明書として使用する必要があります。この場合のクライアントには、エンドユーザーのマシン、ロードバランサ、プロキシなどが含まれます。コネクタのルート CA は、https://<connectorFQDN>/horizon_workspace_rootca.pem からダウンロードできます。

VMware Identity Manager Connector の CA 署名付き証明書をインストールする

VMware Identity Manager Connector のインストール時に、デフォルトの自己署名 SSL サーバ証明書が生成されます。本番環境には商用の SSL 証明書を生成してインストールする必要があります。

注意コネクタがロードバランサを参照している場合は、SSL 証明書はロードバランサに適用されます。


44 VMware, Inc.

開始する前に

証明書の署名要求 (CSR) を生成し、CA から有効な署名証明書を取得します。組織が CA によって署名された SSL 証明書を提供している場合には、これらの証明書を使用できます。証明書は PEM 形式である必要があります。

手順

1 https://<connectorFQDN>:8443/cfg/login にある VMware Identity Manager Connector 管理者ページに管理者ユーザーとしてログインします。

2 [証明書のインストール] をクリックします。

3 [Identity Manager アプライアンス上の SSL の終了] タブで、[SSL 証明書] オプションに対し [ カスタム証明書] を選択します。

4 [SSL 証明書チェーン] テキストボックスに、ホスト、中間、ルート証明書の順に貼り付けます。

SSL 証明書は、証明書チェーン全体が正しい順序で含まれている場合にのみ機能します。各証明書について、-----BEGIN CERTIFICATE----- と -----END CERTIFICATE---- の行を含めて、これらの行の間にあるすべての行をコピーします。

証明書に FQDN ホスト名が含まれていることを確認します。

5 プライベートキーを [プライベートキー] テキストボックスに貼り付けます。----BEGIN RSA PRIVATE KEY と ---END RSA PRIVATE KEY の行の間にあるすべての行をコピーします。

6 [保存] をクリックします。

例: 証明書の例

証明書チェーンの例

-----BEGIN CERTIFICATE-----

jlQvt9WdR9Vpg3WQT5+C3HU17bUOwvhp/r0+.........W53+O05j5xsxzDJfWr1lqBlFF/OkIYCPcyK1

-----END CERTIFICATE-----


WdR9Vpg3WQT5+C3HU17bUOwvhp/rjlQvt90+.........O05j5xsxzDJfWr1lqBlFF/OkIYCPW53+cyK1



dR9Vpg3WQTjlQvt9W5+C3HU17bUOwvhp/r0+.........5j5xsxzDJfWr1lqW53+O0BlFF/OkIYCPcyK1



VMware, Inc. 45

秘密キーの例

-----BEGIN RSA PRIVATE KEY-----

jlQvtg3WQT5+C3HU17bU9WdR9VpOwvhp/r0+.........1lqBlFFW53+O05j5xsxzDJfWr/OkIYCPcyK1

-----END RSA PRIVATE KEY-----

VMware Identity Manager Connector パスワードの管理VMware Identity Manager Connector のインストール時に管理者ユーザーのパスワードを作成しました。このパスワードがコネクタの管理者ページから変更できます。

重要必ず強度の高いパスワードを作成してください。強度の高いパスワードの長さは、少なくとも 8 文字であり、大文字と小文字が含まれ、少なくとも 1 つ数字および特殊文字が含まれる必要があります。

手順


2 [パスワードの変更] をクリックします。

3 古いパスワードと新しいパスワードを入力します。

重要管理者ユーザーは、6 文字以上のパスワードを使用する必要があります。


ログファイルの表示VMware Identity Manager Connector ログファイルは、問題のデバッグとトラブルシューティングに役立ちます。ログファイルは、<InstallDirectory>\IDMConnector\opt\vmware\horizon\workspace\logs ディレクトリにあります。

次のログファイルは、最も重要です。

表 5‑2. ログファイル

コンポーネント Windows のログファイルの場所説明

Configurator ログ <InstallDirectory>\IDMConnector\opt\vmware\horizon\workspace\logs\configurator.log

Configurator が REST クライアントと Webインターフェイスから受け取る要求。

コネクタログ <InstallDirectory>\IDMConnector\opt\vmware\horizon\workspace\logs\connector.log

Web インターフェイスから受信された各要求の記録。各ログエントリには要求 URL、タイムスタンプ、例外が含まれています。同期アクショ

ンは記録されません。

Apache Tomcatログ

<InstallDirectory>\IDMConnector\opt\vmware\horizon\workspace\logs\catalina.log

他のログファイルで記録されないメッセージのApache Tomcat レコード。

ログファイルバンドルは、VMware Identity Manager Connector 管理者ページからダウンロードすることもできます。


46 VMware, Inc.

ログバンドルのダウンロード

VMware Identity Manager Connector のログファイルバンドルをコネクタの管理者ページからダウンロードできます。ログファイルは、問題のデバッグとトラブルシューティングに役立ちます。

環境内の各コネクタインスタンスからログを収集するには、各インスタンスの管理者ページにログインします。

手順


2 [ログファイルの場所] をクリックし、[ログバンドルの準備] をクリックします。

情報はダウンロードできるように zip ファイルに収集されます。

3 ログバンドルをダウンロードします。

インストール後のプロキシ設定の有効化

インストール中に VMware Identity Manager Connector コンポーネントの HTTPS プロキシ設定を構成しなかった場合は、後で C:\INSTALL_DIR\opt\vmware\horizon\workspace\conf\wrapper.conf ファイルを編集することで構成することができます。

手順

1 Windows サーバにログインします。

2 テキストエディタで次のファイルを開きます。

C:\INSTALL_DIR\opt\vmware\horizon\workspace\conf\wrapper.conf

3 最後の wrapper.java.additional エントリの後に、次のエントリを追加します。

wrapper.java.additional.32="-Dhttps.proxyHost=<proxyServer>"wrapper.java.additional.33="-Dhttps.proxyPort=<proxyServerPort>"

ここで、<proxyServer> は HTTPS プロキシサーバ、<proxyServerPort> は HTTPS プロキシサーバポートであり、数字は wrapper.java.additional エントリの数に対応します。たとえば、ファイルにすでに 31 のwrapper.java.additional エントリがある場合は、この例に示すように、新しいエントリに 32 と 33 を使用します。

4 ドメインユーザーとして IDM Connector サービスを実行している場合は、次の行も追加します。

wrapper.ntservice.account=<DOMAIN>/<username>wrapper.ntservice.password=******

例：

wrapper.ntservice.account=example/userAwrapper.ntservice.password=******


VMware, Inc. 47

5 コマンドラインから、管理者として次のコマンドを実行します。

a C:\INSTALL_DIR\usr\local\horizon\scripts\horizonService.bat reinstall

コマンドは次の出力を返します。

Derived instance name: workspaceReinstalling instance atC:\VMware\IDMConnector\opt\vmware\horizon\workspacewrapper | Service is running. Stopping it...wrapper | Waiting to stop...wrapper | VMware IDM Connector stopped.wrapper | VMware IDM Connector removed.wrapper | VMware IDM Connector installed.

b C:\VMware\IDMConnector\usr\local\horizon\scripts\horizonService.bat start

コマンドは次の出力を返します。

Derived instance name: workspaceStarting instance at C:\VMware\IDMConnector\opt\vmware\horizon\workspacewrapper | Starting the VMware IDM Connector service...wrapper | VMware IDM Connector started.

VMware Identity Manager Connector の高可用性環境の構成クラスタに複数のコネクタインスタンスを追加して、VMware Identity Manager Connector の高可用性とフェイルオーバーをセットアップできます。何らかの理由でコネクタインスタンスのいずれかが利用不能になっても、他のインスタンスを引き続き使用できます。

クラスタを作成するには、新しいコネクタインスタンスをインストールし、最初のコネクタでセットアップした方法と全く同じ方法でそれらを構成します。

次に、すべてのコネクタインスタンスを組み込み ID プロバイダに関連付けます。VMware Identity Manager サービスは、組み込み ID プロバイダに関連付けられているすべてのコネクタにトラフィックを自動的に配信します。ロードバランサは不要です。ネットワークの問題でコネクタの 1 つが使用できなくなると、このサービスはそのコネクタにトラフィックを送信しなくなります。接続できるようになると、サービスはコネクタへのトラフィック送信を再開します。

コネクタクラスタをセットアップすると、コネクタで有効にした認証方法の高可用性が確立されます。いずれかのコネクタインスタンスが利用できなくなっても、引き続き認証することができます。ただし、ディレクトリの同期については、コネクタインスタンスで障害が発生した場合、別のコネクタインスタンスを同期コネクタとして手動で選択する必要があります。ディレクトリの同期で有効にできるのは、一度に 1 つのコネクタのみであるためです。

注意このセクションの説明は、Kerberos 認証の高可用性には適用されません。「VMware Identity Manager Connector導入環境への Kerberos 認証サポートの追加 (P. 50)」を参照してください。

追加の VMware Identity Manager Connector インスタンスのインストール最初の VMware Identity Manager Connector インスタンスをインストールして構成した後で、新しいコネクタインスタンスをインストールし、最初のコネクタインスタンスとまったく同じ方法でこれらのインスタンスを構成して、高可用性環境向けのコネクタを追加できます。

重要新しいコネクタインスタンスは、最初のコネクタインスタンスと同じ VMware Identity Manager サービスに対してアクティブ化する必要があります。

開始する前に

「Enterprise Systems Connector インストーラの実行 (P. 25)」の説明に従って、最初のコネクタインスタンスをインストールして構成しています。


48 VMware, Inc.

手順

1 以下の操作手順に従って、新しい VMware Identity Manager Connector インスタンスをインストールして構成します。

n 「Enterprise Systems Connector インストーラの実行 (P. 25)」

n 「VMware Identity Manager Connector の構成 (P. 39)」

重要新しいコネクタインスタンスを最初のコネクタと同じ VMware Identity Manager サービスに対してアクティブ化する必要があります。

2 新しい VMware Identity Manager Connector を最初のコネクタインスタンスの WorkspaceIDP に関連付けます。

a VMware Identity Manager 管理コンソールで、[ID とアクセス管理] タブを選択してから、[ID プロバイダ] タブを選択します。

b [ID プロバイダ] ページで、最初のコネクタインスタンスの WorkspaceIDP を見つけ、リンクをクリックします。

c [コネクタ] フィールドで、新しいコネクタを選択します。

d バインド DN パスワードを入力して、[Connector を追加] をクリックします。

e [保存] をクリックします。

3 新しいコネクタで認証アダプタを構成して有効にします。

重要クラスタ内のすべてのコネクタ上の認証アダプタを同一に設定する必要があります。すべてのコネクタで同じ認証方法を有効にする必要があります。

a [ID とアクセス管理] タブで、[セットアップ] をクリックしてから、[コネクタ] タブをクリックします。

b 新しいコネクタの [ワーカー] 列のリンクをクリックします。

c [認証アダプタ] タブをクリックします。

コネクタで使用可能なすべての認証アダプタが表示されます。

最初のコネクタに関連付けられているディレクトリを新しいコネクタに関連付けたため、PasswordIdpAdapterはすでに構成され有効になっています。

d 最初のコネクタと同じ方法で他の認証アダプタを構成して有効にします。構成情報が同じであることを確認しま

す。

認証アダプタの構成については、『VMware Identity Manager の管理』ガイドを参照してください。

次に進む前に

「組み込み ID プロバイダへの新しい VMware Identity Manager Connector インスタンスの追加 (P. 49)」

組み込み ID プロバイダへの新しい VMware Identity Manager Connector インスタンスの追加

新しい VMware Identity Manager Connector インスタンスを展開して構成したら、組み込み ID プロバイダに追加し、最初のコネクタで有効にした同じ認証方法を有効にします。VMware Identity Manager は、組み込み ID プロバイダに関連付けられているすべてのコネクタにトラフィックを自動的に配信します。

手順

1 VMware Identity Manager 管理コンソールの [ID とアクセス管理] タブで、[管理] をクリックします。


3 [組み込み] リンクをクリックします。


VMware, Inc. 49

4 [コネクタ] フィールドで、ドロップダウンリストから新しいコネクタを選択し、[Connector を追加] をクリックします。

5 [コネクタ認証方法] セクションで、最初のコネクタに有効にした同じ認証方法を有効にします。

パスワード（クラウド展開）の認証方法が、自動的に構成され有効になります。他の認証方法を有効にする必要があ

ります。

重要クラスタ内のすべてのコネクタ上の認証アダプタを同一に設定する必要があります。すべてのコネクタで同じ認証方法を有効にする必要があります。

特定の認証アダプタの構成については、『VMware Identity Manager の管理』ガイドを参照してください。

6 [保存] をクリックして、組み込み ID プロバイダの構成を保存します。

障害発生時に別のコネクタでディレクトリ同期を有効にする

コネクタインスタンスで障害が発生した場合、別のコネクタインスタンスが自動的に認証を行います。一方ディレクトリの同期の場合は、元のコネクタインスタンスの代わりに別のコネクタインスタンスを使用するように、VMware Identity Manager サービスのディレクトリ設定を変更する必要があります。ディレクトリの同期は、一度に 1つのコネクタでのみ有効にできます。

手順


2 [ID とアクセス管理] タブをクリックし、続いて [ディレクトリ] をクリックします。

3 元のコネクタインスタンスに関連付けられているディレクトリをクリックします。

ヒントこの情報は、[セットアップ] - [コネクタ] ページで表示できます。

4 ディレクトリページの [ディレクトリの同期と認証] セクションにある [コネクタを同期] ドロップダウンリストで、別のコネクタインスタンスを選択します。

5 [バインド DN パスワード] テキストボックスに、Active Directory バインドアカウントのパスワードを入力します。


VMware Identity Manager Connector 導入環境への Kerberos 認証サポートの追加

アウトバウンド専用接続モードコネクタに基づく環境において、インバウンド接続モードが必要な内部ユーザーに対してKerberos 認証を追加できます。内部ネットワークからのユーザーの Kerberos 認証と、外部からアクセスされるユーザーの別の認証方式に対して、同じコネクタを使用するように構成できます。これは、ネットワーク範囲に基づいて認証ポリ

シーを定義することで可能です。

注意 Kerberos 認証の高可用性をセットアップするには、ロードバランサが必要です。

Kerberos 認証アダプタの構成と有効化VMware Identity Manager Connector で KerberosIdpAdapter を構成して有効にします。クラスタを展開して高可用性環境を構築している場合、クラスタのすべてのコネクタでこのアダプタを構成して有効にします。

重要クラスタ内のすべてのコネクタ上の認証アダプタを同一に設定する必要があります。すべてのコネクタで同じ認証方法を構成する必要があります。


50 VMware, Inc.

Kerberos 認証アダプタの構成時に、VMware Identity Manager コネクタは自動的に Kerberos を初期化しようとします。VMware IDM コネクタサービスが Kerberos の初期化に適切な権限で実行されていない場合、エラーメッセージが表示されます。この場合、http://kb.vmware.com/kb/2149753に記載される手順に従って、スクリプトを実行し、Kerberos を初期化します。

Kerberos 認証の構成の詳細については、『VMware Identity Manager の管理』ガイドを参照してください。

開始する前に

n VMware Identity Manager コネクタがインストールされている Windows マシンはドメインに参加する必要があります。

n 管理者グループの一部であるドメインユーザーとして VMware Identity Manager Connector コンポーネントをWindows マシンにインストールしておく必要があり、Windows ドメインユーザーとして VMware IDM コネクタサービスを実行している必要があります。

手順

1 VMware Identity Manager 管理コンソールで、[ID とアクセス管理] タブをクリックします。

2 [セットアップ] をクリックし、[コネクタ] タブをクリックします。

展開したすべてのコネクタが表示されます。

3 コネクタのいずれかの [ワーカー] 列のリンクをクリックします。

4 [認証アダプタ] タブをクリックします。

5 [KerberosIdpAdapter] リンクをクリックし、アダプタを構成して有効にします。


名前アダプタのデフォルトの名前は、KerberosIdpAdapter です。この名前は変更できます。

ディレクトリ UID 属性ユーザー名を含むアカウントの属性。

Windows 認証を有効にするこのオプションを選択します。

リダイレクトを有効にするクラスタ内に複数のコネクタがあり、ロードバランサを使用して Kerberos の高可用性環境をセットアップする場合は、このオプションを選択し、[ホスト名をリダイレクト] に値を指定します。お使いの環境にコネクタが 1 つしかない場合は、[リダイレクトを有効にする] および[ホスト名をリダイレクト] オプションを使用する必要はありません。

ホスト名をリダイレクト [リダイレクトを有効にする] オプションが選択されている場合は、値を指定する必要があります。コネクタのホスト名を入力します。たとえば、コネクタのホスト名が

connector1.example.com である場合、テキストボックスに「connector1.example.com」と入力します。


VMware, Inc. 51

http://kb.vmware.com/kb/2149753

例：

KerberosIdPAdapter の構成の詳細については、『VMware Identity Manager の管理』ガイドを参照してください。


注意 Kerberos の初期化が失敗したことを示すエラーが表示される場合、http://kb.vmware.com/kb/2149753に記載される手順に従って、Kerberos 初期化スクリプトを手動で実行してから、このページに戻り、アダプタを構成します。

7 クラスタを展開している場合、クラスタ内のすべてのコネクタで KerberosIdPAdapter を構成して有効にします。

すべてのコネクタでアダプタの構成を同一にします。

次に進む前に

必要に応じて、Kerberos 認証の高可用性をセットアップします。ロードバランサを使用しない場合、Kerberos 認証は高可用性になりません。

Kerberos 認証の高可用性環境の構成Kerberos 認証の高可用性環境を構成するには、ファイアウォール内にある内部ネットワークにロードバランサをインストールし、VMware Identity Manager Connector インスタンスを追加します。

また、ロードバランサの特定の設定を行い、ロードバランサとコネクタインスタンス間で SSL トラストを確立し、ロードバランサのホスト名を使用するようにコネクタ認証の URL を変更する必要があります。

ロードバランサ設定の構成

X-Forwarded-For ヘッダーを有効にする、ロードバランサのタイムアウトを正しく設定する、スティッキーセッションを有効にするなど、ロードバランサで特定の設定を構成する必要があります。

これらの設定を構成します。

n X-Forwarded-For ヘッダー

ロードバランサで X-Forwarded-For ヘッダーを有効にする必要があります。これによって、認証方法が決定します。詳細については、ロードバランサのドキュメントを参照してください。

n ロードバランサのタイムアウト


52 VMware, Inc.

http://kb.vmware.com/kb/2149753

VMware Identity Manager Connector が正しく機能するように、ロードバランサの要求のタイムアウトをデフォルトの値から増やす必要がある場合があります。この値は、分単位で設定します。タイムアウト設定が短すぎると、

「502 エラー:

現在、サービスは使用できません。」というエラーが表示される場合があります。

n スティッキーセッションの有効化

環境に複数のコネクタインスタンスがある場合は、ロードバランサ上でスティッキーセッションの設定を有効にする必要があります。これで、ロードバランサはユーザーのセッションを特定のコネクタインスタンスにバインドします。

ロードバランサへの VMware Identity Manager Connector ルート証明書の適用

VMware Identity Manager Connector がロードバランサの背後で構成されている場合は、ロードバランサとコネクタ間で SSL トラストを確立する必要があります。コネクタルート証明書は、信頼できるルート証明書としてロードバランサにコピーする必要があります。

VMware Identity Manager Connector 証明書は、https://<connectorFQDN>:8443/cfg/ssl にあるコネクタの管理者ページからダウンロードできます。

コネクタのドメイン名がロードバランサを参照している場合は、SSL をロードバランサのみに適用できます。

手順

1 コネクタの管理者ページ https://<connectorFQDN>:8443/cfg/login に管理者ユーザーとしてログインします。

2 [証明書のインストール] を選択します。

3 [ロードバランサ上の SSL の終了] タブを選択し、[アプライアンスのルート CA 証明書] フィールドでリンク https://<ホスト名>/horizon_workspace_rootca.pem をクリックします。

4 -----BEGIN CERTIFICATE----- と -----END CERTIFICATE---- の行を含み、これらの行の間にあるすべての行をコピーして、各ロードバランサの正しい場所にルート証明書を貼り付けます。ロードバランサのドキュメントを参照してください。

次に進む前に

ロードバランサのルート証明書をコピーして、VMware Identity Manager Connector に貼り付けます。

VMware Identity Manager Connector にロードバランサのルート証明書を適用する

VMware Identity Manager Connector がロードバランサの背後で構成されている場合は、ロードバランサとコネクタの間で信頼を確立する必要があります。コネクタのルート証明書をロードバランサにコピーし、さらにロードバランサのルート証明書をコネクタにコピーする必要があります。

手順

1 ロードバランサのルート証明書を取得します。


VMware, Inc. 53

2 https://<connectorFQDN>:8443/cfg/login にある VMware Identity Manager Connector 管理者ページに移動して、管理者ユーザーとしてログインします。

3 [証明書のインストール] ページで、[ロードバランサ上の SSL の終了] タブを選択します。

4 ロードバランサの証明書のテキストを [ルート CA 証明書] フィールドに貼り付けます。


ロードバランサのホスト名へのコネクタ IdP ホスト名の変更

ロードバランサに VMware Identity Manager Connector インスタンスを追加したら、各コネクタの Workspace IdPの IdP ホスト名をロードバランサのホスト名に変更する必要があります。

開始する前に

コネクタインスタンスは、ロードバランサの背後で構成されます。ロードバランサポートが 443 番であることを確認します。ポート番号 8443 は管理ポートであるため使用しないでください。

手順


2 [ID とアクセス管理] タブをクリックします。


4 [ID プロバイダ] ページで、コネクタインスタンスの Workspace IdP のリンクをクリックします。

5 [IdP ホスト名] テキストボックスで、ホスト名をコネクタのホスト名からロードバランサのホスト名に変更します。

たとえば、コネクタのホスト名が myconnectorであり、ロードバランサのホスト名が mylb の場合、URL

myconnector.mycompany.com:<port>


54 VMware, Inc.

を次のように変更します。

mylb.mycompany.com:<port>

VMware Identity Manager Connector インスタンスの削除VMware Identity Manager Connector インスタンスを VMware Identity Manager サービスから削除できます。コネクタインスタンスにディレクトリが関連付けられている場合、このインスタンスは削除できません。

たとえば、コネクタインスタンスを削除することで、同じホスト名を新しいコネクタインスタンスに使用できます。

手順


2 [ID とアクセス管理] タブを選択し、続いて [セットアップ] をクリックします。

3 削除するコネクタにディレクトリが関連付けられている場合は、まずディレクトリを削除します。

a [関連付けられているディレクトリ] 列のディレクトリ名をクリックします。

b [ディレクトリを削除] をクリックします。

4 [セットアップ] - [コネクタ] ページで、削除するコネクタインスタンスの横に表示されている [削除] アイコンをクリックし、[確認] をクリックします。

コネクタインスタンスが VMware Identity Manager サービスから削除されます。

5 VMware Identity Manager Connector コンポーネントをインストールされている Windows サーバからアンインストールします。

VMware Identity Manager Connector のアップグレードEnterprise Systems Connector の VMware Identity Manager Connector コンポーネントをアップグレードするには、新しいバージョンの AirWatch コンソールからインストーラをダウンロードし、インストーラを実行します。

アップグレード後に、新しいアクティベーションコードを生成したり、VMware Identity Manager Connector を再度有効にする必要はありません。既存の構成は、アップグレードされたコネクタに適用されます。


VMware, Inc. 55

手順

1 新しいバージョンの AirWatch コンソールにログインします。

2 [グループと設定] - [すべての設定] - [システム] - [エンタープライズ統合] - [VMware Enterprise Systems Connector]に移動します。

3 [全般] タブで、[VMware Enterprise Systems Connector インストーラのダウンロード] をクリックします。

[VMware Enterprise Systems Connector インストーラのダウンロード] ページが表示されます。

4 証明書のパスワードを作成し、[ダウンロード] をクリックします。

ACC コンポーネントをインストールするときは、このパスワードが必要です。

5 インストーラファイルを、以前のバージョンのコネクタがインストールされているのと同じ Windows サーバに保存します。

6 インストーラを実行し、プロンプトに従ってアップグレードを完了します。


56 VMware, Inc.

ACC から VMware Identity ManagerConnector へのディレクトリの移行 6

既存の ACC コネクタのみを使用して VMware Identity Manager との Active Directory 同期を展開した WorkspaceONE ユーザーは、Enterprise Systems Connector の VMware Identity Manager Connector コンポーネントに含まれている追加の機能を利用する場合、移行の手順に従う必要があります。このワンタイム手順により、タイプが他の ACCディレクトリが、タイプが LDAP 経由の Active Directory または Active Directory（統合 Windows 認証）のディレクトリに変換されます。これらは VMware Identity Manager Connector と関連付けられています。この手順では、既存のディレクトリまたは関連付けられているすべての資格が削除されるわけではありません。

注意 VMware Identity Manager でのディレクトリ同期および認証の ACC 専用モデルは、将来は ACC を更新するだけで引き続き使用可能で、サポートされます。移行手順は、新しい機能を利用する場合にのみ必要です。

他のディレクトリの変換には、次のタスクが含まれます。

1 他のディレクトリを LDAP 経由の Active Directory または Active Directory（統合 Windows 認証）に変換します。

2 必要に応じて、ディレクトリに対して追加の VMware Identity Manager コネクタ認証方法を設定します。パスワード認証方法は、デフォルトで使用可能です。

3 デフォルトのポリシーおよびカスタムポリシーを編集して、パスワード (AirWatch Connector) の代わりにパスワードまたは別の VMware Identity Manager コネクタ認証方法を使用します。

4 AirWatch から VMware Identity Manager ディレクトリへのユーザーおよびグループ同期を停止します。


n 他のディレクトリを LDAP 経由の Active Directory または Active Directory（統合 Windows 認証）に変換する (P. 57)

n AirWatch から VMware Identity Manager へのディレクトリ同期の停止 (P. 59)

他のディレクトリを LDAP 経由の Active Directory または Active Directory（統合 Windows 認証）に変換する

AirWatch から同期されたユーザーとグループを保存する、タイプが他のディレクトリを、VMware Identity Managerコネクタに関連付けられている、タイプが LDAP 経由の Active Directory または Active Directory（統合 Windows 認証）のディレクトリに変換できます。ディレクトリを変換した後、VMware Identity Manager コネクタが ACC の代わりに使用され、ユーザーとグループがエンタープライズディレクトリから VMware Identity Manager に同期されます。

開始する前に

n VMware Enterprise Systems Connector の VMware Identity Manager Connector コンポーネントを Windowsサーバにインストールし、アクティブ化します。

一部の機能を使用するには、Windows サーバがドメインに参加している必要があり、管理者グループに属するドメインユーザーとして VMware Identity Manager Connector コンポーネントを Windows サーバにインストールする必要があります。また、Windows ドメインユーザーとして IDM コネクタサービスを実行する必要があります。

VMware, Inc. 57

この要件は、次の場合に適用されます。

n 他のディレクトリを Active Directory（統合 Windows 認証）に変換する場合



n 次の Active Directory 情報が必要です。

n LDAP 経由の Active Directory に変換する場合、ベース DN、バインド DN、およびバインド DN パスワードが必要です。有効期限のないパスワードを持つバインド DN ユーザーアカウントを使用することを推奨します。

n Active Directory（統合 Windows 認証）に変換する場合、ドメインのバインドユーザー UPN アドレスとパスワードが必要です。有効期限のないパスワードを持つバインド DN ユーザーアカウントを使用することを推奨します。

n Active Directory が SSL または STARTTLS 経由のアクセスを必要とする場合は、Active Directory ドメインコントローラのルート CA 証明書が必要となります。

n Active Directory（統合 Windows 認証）では、マルチフォレスト Active Directory を構成しており、ドメインローカルグループに異なるフォレストのドメインのメンバーが含まれる場合、バインドユーザーをドメインローカルグループが存在するドメインの管理者グループに必ず追加してください。これを行わなければ、これらのメンバーはドメインローカルグループに含まれません。

手順

1 VMware Identity Manager 管理コンソールで、[ID とアクセス管理] タブをクリックしてから、[ディレクトリ] タブをクリックします。

2 変換するディレクトリの名前をクリックします。

3 [ディレクトリ] ページで、[変換] ボタンをクリックします。

4 [ディレクトリを追加] ページで、必要に応じてディレクトリの名前を変更し、他のディレクトリの変換先のディレクトリタイプ [LDAP 経由の Active Directory] または [Active Directory（統合 Windows 認証）] を選択します。

5 Active Directory 接続情報を入力し、ウィザードを続行してディレクトリをセットアップします。

詳細については、『VMware Identity Manager とのディレクトリ統合』ガイドの「サービスへの Active Directory接続の構成」を参照してください。

次のガイドラインに従ってください。

n [コネクタを同期] フィールドで、インストールした VMware Identity Manager コネクタを選択します。

n [ディレクトリの同期と認証] セクションで、認証にコネクタではなくサードパーティ ID プロバイダを使用する場合を除き、[認証] に [はい] を選択します。

n 変換されたディレクトリを AirWatch ディレクトリと同様にセットアップし、ディレクトリ構造が同じになるようにします。同じドメインを選択します。同期するユーザーとグループを指定する際は AirWatch ディレクトリと同じ選択を行って、同じユーザーとグループが変換されたディレクトリに同期されるようにします。

6 ウィザードの最後のページで、[ディレクトリ同期] をクリックします。

ディレクトリが変換され、VMware Identity Manager コネクタが使用されるようにセットアップされます。Workspace Identity Provider がまだない場合は作成され、ディレクトリがそれと自動的に関連付けられます。パスワード認証方法は、ディレクトリに対してすでに有効になっています。

7 （オプション）ディレクトリに対して他の認証方法を有効にするには、以下の手順を実行します。

a [ID とアクセス管理] タブで、[セットアップ] をクリックします。

b [コネクタ] ページで、変換されたディレクトリと関連付けられているコネクタとワーカーを検索し、[ワーカー]列でのリンクをクリックします。


58 VMware, Inc.

c [ワーカー] ページで、[認証アダプタ] タブをクリックします。

d 各リンクをクリックし、構成情報を入力して、ディレクトリに使用する認証アダプタを設定して有効にします。

認証アダプタの構成については、『VMware Identity Manager の管理』を参照してください。

8 default_access_policy_set と任意のカスタムポリシーを編集し、パスワード (AirWatch Connector) の代わりにVMware Identity Manager コネクタ認証方法を選択します。[]

a [ID とアクセス管理] タブで、[ポリシー] タブをクリックします。

b [デフォルトポリシーの編集] をクリックします。

c [ポリシールール] で、ルールごとに [認証方法] 列を編集し、[パスワード (AirWatch Connector)] をVMware Identity Manager コネクタ認証方法である [パスワード] に置き換えます。

d [ポリシー] タブを再度クリックし、ある場合はカスタムポリシーを編集して、パスワード、または構成したその他の VMware Identity Manager コネクタ認証方法を使用します。

重要パスワード (Airwatch Connector) をパスワード、または別の VMware Identity Manager コネクタベースの認証方法に変更しないと、変換されたディレクトリのユーザーはログインできなくなります。

次に進む前に

AirWatch から変換されたディレクトリへのディレクトリ同期を停止します。

AirWatch から VMware Identity Manager へのディレクトリ同期の停止他のディレクトリを LDAP 経由の Active Directory または Active Directory（統合 Windows 認証）に変換し、VMwareIdentity Manager コネクタと関連付けると、VMware Identity Manager コネクタはユーザーとグループをエンタープライズディレクトリから、変換されたディレクトリに同期するために使用されます。AirWatch から VMware IdentityManager ディレクトリへのユーザーとグループの同期を停止する必要があります。

手順

1 AirWatch コンソールで、組織グループに移動します。

2 [グループと設定] - [すべての設定] - [システム] - [エンタープライズ統合] - [VMware Identity Manager] ページに移動します。

3 ページの下部にある [削除] ボタンをクリックします。

ディレクトリの変換が完了しました。これでユーザーとグループが VMware Identity Manager コネクタによってエンタープライズディレクトリから VMware Identity Manager サービスに同期されます。ユーザーは続行してアプリケーションにログインし、アクセスできます。

注意ドメイン名がドメイン NETBIOS 名と異なる場合、ディレクトリの変換後にログインページに表示されるドメイン名が異なっていることがあります。AirWatch 同期により、ドメイン NETBIOS 名が表示されます。VMware IdentityManager コネクタの同期により、ドメイン名が表示されます。

第 6 章 ACC から VMware Identity Manager Connector へのディレクトリの移行

VMware, Inc. 59


60 VMware, Inc.

インデックス

AACC インストールの確認 30ACC 管理 33ACC 証明書 35Active Directory、VMware Identity Manager 41Active Directory（統合 Windows 認証） 57AirWatch Cloud Connector更新の無効化 33サポートされる構成 17証明書統合 20データ保護 20

AirWatch Cloud Connector、AWCM との通信の確立 23

AirWatch Cloud Connector、SaaS 展開モデル 17AirWatch Cloud Connector、アーキテクチャの概

要 17AirWatch Cloud Connector、オンプレミス展開モデ

ル 18AirWatch Cloud Connector、更新 33AirWatch Cloud Connector、データルーティング 20AirWatch ディレクトリ、変換 59

EEnterprise Systems Connector の有効化 23

HHTTPS プロキシ、VMware Identity Manager

Connector 47

KKerberos 50KerberosIdpAdapter 50Kerberos 認証 50

LLDAP 経由の Active Directory 57

SSSL 証明書、主要認証局 53

VVMware Identity Manager、ディレクトリ 41VMware Identity Manager コネクタアクティブ化 40構成 39

あ

アクティベーションコード 39アップグレード、VMware Identity Manager

Connector 55

い

インストーラ 23, 25インストールプロセス 21

か

概要 7管理ページ 44

く組み込み ID プロバイダ、コネクタの追加 49

こ高可用性

Kerberos 52新しいコネクタの展開 48

更新、ACC 35更新、AirWatch Cloud Connector の無効化、

AirWatch Cloud Connector 33構成、VMware Identity Manager コネクタ 39構成設定 44コネクタの削除 55コンポーネント 22

し

自己署名証明書 44システムの要件 9冗長性 50, 54証明書

ACC 35再生成 35

証明書の追加 44

せ

セキュアチャンネル証明書 22

そ送信モード、有効 43

た

対象者 5

VMware, Inc. 61

に認証アダプタ、有効 42認証局 44

は

[はじめに] ウィザード 23パスワード、変更 46

ふ

フェイルオーバー 48, 50, 54

へ変更

sshuser パスワード 46管理者パスワード 46ルートパスワード 46

ほ他のディレクトリ、変換 57, 59

よ

用語集 5

ろ

ロードバランサ 53ロードバランサの設定 52ログの収集 47ログバンドル 47ログファイル 44, 46, 47


62 VMware, Inc.

Documents

VMware Enterprise Systems Connector€¦ · Enterprise Systems Connector サーバを作成するための基盤として次の要件を使用します。 ACC コンポーネントのみをインストールする場合は、次の要件を使用します。