Migre seus diretórios e coleções de aplicativos virtuais existentes de Workspace ONE Access 19.03 ou 19.03.0.1 Connectors para 21.08 Connectors usando o Painel de Migração. O processo de migração é uma abordagem em estágios que permite testar seu ambiente com os novos conectores antes de concluir a migração.

O processo de migração inclui os seguintes estágios:

  • Instalar Connector 21.08

    Instale os novos 21.08 Connectors, que contêm os serviços de Sincronização de Diretório, Autenticação de Usuários, Autenticação Kerberos e Aplicativo Virtual. Instale pelo menos o serviço de Sincronização de Diretório. Instale o serviço de Autenticação de Usuários se a autenticação baseada em conector estiver configurada nos conectores herdados. Instale o serviço Autenticação Kerberos se o método de autenticação Kerberos estiver configurado nos conectores herdados. Instale o serviço de Aplicativo Virtual se as coleções de aplicativos virtuais estiverem configuradas nos conectores herdados.

  • Migrar Diretórios

    Neste estágio, você migra todos os dados do diretório usando o assistente para Migrar Diretório. A maioria das informações necessárias é preenchida previamente em seu ambiente, mas você insere alguns valores confidenciais, como a senha do usuário de Associação do diretório.

    A migração dos diretórios nesse estágio não altera nenhuma das configurações existentes do diretório, método de autenticação ou provedor de identidade. Você ainda está usando os conectores antigos. As alterações apenas terão efeito depois que você passar para o estágio de Visualização.

  • Migrar Coleções de Aplicativos Virtuais

    Neste estágio, você seleciona os conectores para os quais migrar suas coleções de aplicativos virtuais existentes. As novas configurações apenas terão efeito depois que você passar para o estágio de Visualização.

  • Visualizar

    No estágio de Visualização, você visualiza seu ambiente com o novo 21.08 Connector. Os novos serviços de Sincronização de Diretório, Autenticação de Usuários, Autenticação Kerberos e Aplicativo Virtual dos 21.08 Connectors executam sincronização de diretório, autenticação de usuários e sincronização de aplicativos virtuais. Todos os métodos de autenticação, exceto Kerberos, estão no modo de saída.

    O estágio de Visualização destina-se a testar completamente o ambiente com os novos serviços. Verifique se a sincronização de diretório, a sincronização de aplicativos virtuais, a autenticação do usuário e a inicialização do aplicativo estão funcionando conforme o esperado.

    No estágio de Visualização, você não pode criar, editar ou excluir diretórios, métodos de autenticação, provedores de identidade ou coleções de aplicativos virtuais.

    No estágio de Visualização, você pode reverter usando os conectores antigos. Quando você reverte, os dados do diretório que você migrou no estágio anterior ainda são mantidos. Se você fizer alterações posteriormente em qualquer um dos diretórios, métodos de autenticação ou provedores de identidade existentes, certifique-se de migrar os dados do diretório novamente.

  • Migração completa

    Quando você estiver satisfeito com o teste do novo ambiente, conclua a migração. Depois de concluir a migração, não será possível reverter para o uso dos conectores antigos.

Pré-requisitos

  • Reveja os requisitos listados em Requisitos para migrar para o Workspace ONE Access Connector 21.08.
  • Verifique se todos os conectores do seu ambiente são da versão 19.03.x. Se algum dos conectores for de uma versão mais antiga, faça upgrade para a versão 19.03.x antes de migrar.
  • Prepare um ou mais Windows Servers para o 21.08 Connector. Consulte as diretrizes de dimensionamento em Instalando o Workspace ONE Access Connector 21.08.

    Você pode instalar o 21.08 Connector em um novo servidor ou no servidor legado do 19.03.x Connector. No entanto, se a autenticação Kerberos estiver configurada no seu conector herdado, você deverá usar um Windows Server separado para instalar o serviço Autenticação Kerberos 21.08. Não instale o novo serviço Autenticação Kerberos no servidor do 19.03.x Connector. O Workspace ONE Access não é compatível com várias instâncias do Kerberos no mesmo servidor.

    Se a autenticação Kerberos não estiver configurada no seu conector legado e você quiser instalar o novo 21.08 Connector no servidor legado do 19.03.x Connector, consulte Migrando para o conector mais recente em um servidor Windows que executa o Workspace ONE Access 19.03.x para conhecer requisitos e diretrizes adicionais.

  • Se você tiver uma instância de serviço local do Workspace ONE Access, faça upgrade dela para 21.08 antes de migrar os conectores.
  • Se estiver instalando o serviço de Autenticação de Usuários, certifique-se de que seu ambiente não contenha instâncias do serviço de Autenticação de Usuários na versão 20.x. Como parte da migração, você instalará os 21.08 Connectors. Todas as instâncias do serviço de Autenticação de Usuários devem ser da versão 21.08. A migração não poderá prosseguir se você tiver versões combinadas do serviço de Autenticação de Usuários.
  • Se o método de autenticação RSA SecurID estiver configurado nos 19.03.x Connectors:
    • Verifique se você está usando o dispositivo do RSA Authentication Manager versão 8.2 SP1 ou posterior. O Workspace ONE Access Connector 21.08 é compatível com o dispositivo do RSA Authentication Manager 8.2 SP1 e versões posteriores.
    • Se você tiver implantado várias instâncias do servidor do RSA Authentication Manager, deverá configurá-las por trás de um balanceador de carga para que a integração com o Workspace ONE Access funcione. Certifique-se de atender aos requisitos listados em Requisitos do Workspace ONE Access para o balanceador de carga do RSA SecurID no guia Gerenciando métodos de autenticação de usuários no Workspace ONE Access.
    • No console do RSA Security, verifique se o conector foi adicionado como um agente de autenticação usando o nome de domínio totalmente qualificado (FQDN), por exemplo, connectorserver.exemplo.com. Se você já tiver adicionado o conector como um agente de autenticação usando o nome NetBIOS em vez do FQDN, adicione outra entrada usando o FQDN. Deixe o campo de endereço IP vazio para a nova entrada. Não exclua a entrada antiga.
    • Como parte do processo de migração, você configura o método de autenticação RSA SecurID. As informações necessárias para configurar o método de autenticação incluem o nome do host do servidor do RSA Authentication Manager ou do balanceador de carga, a porta de comunicação, a chave de acesso e o certificado SSL do servidor do RSA Authentication Manager ou do balanceador de carga se esse servidor usar um certificado autoassinado. Como você obtém algumas das informações do RSA Security Console, também precisa das credenciais do Security Console.
    • Se um servidor proxy estiver configurado com o Conector, a porta de comunicação configurada para o servidor do Gerenciador de Autenticação RSA deverá ser aberta no servidor proxy.
  • Se estiver instalando o serviço de Autenticação de Usuários em um novo servidor Windows, adicione o servidor Windows como um Agente no servidor do RSA Authentication Manager antes de iniciar a migração do conector.
  • (Somente instalações locais do Workspace ONE Access) Se qualquer um dos IDPs estiver associado a vários diretórios, modifique a configuração para que cada IDP só esteja associado a um diretório.
  • Certifique-se de que o processo de sincronização de diretório não esteja em execução para nenhum dos diretórios antes de iniciar o processo de migração.
  • Se você tiver ativado o recurso People Search, certifique-se de que o processo de sincronização de fotos não esteja em execução para nenhum dos diretórios antes de iniciar o processo de migração.
  • Se você estiver migrando um 19.03.x Connector sem diretório associado a ele, lembre-se de que, ao selecionar a opção Workspace ONE Access Connector 21.08 na Etapa 5, a migração será considerada concluída, e o 19.03.x Connector será excluído do serviço. Mais tarde, se você decidir usar conectores legados e alterar sua seleção de conector usando o botão Redefinir Seleção do Conector, o 19.03.x Connector não será exibido. Você precisará reinstalar o 19.03.x Connector para reativá-lo com o serviço.

Procedimento

  1. Clique na guia Gerenciamento de Identidade e Acesso.
    A página de migração é exibida. Introdução ao painel de Migração
    Observação: Se você tiver selecionado anteriormente a opção para usar Conectores Legados, a página de migração não será exibida. Você precisa alterar a seleção do conector. Acesse a página Gerenciamento de Identidade e Acesso > Configuração > Conectores Legados (ou Conectores), clique no botão Redefinir Seleção do Conector e selecione Workspace ONE Access Connector 21.08.
  2. Revise os requisitos e clique em Iniciar.
    O painel de Migração é exibido. A página exibe as várias etapas que você executará para concluir a migração.
  3. No painel de Migração, clique no link Iniciar na seção Instalar 21.08 Connector(s).
    O painel Instalar 21.08 Connector no painel exibe um botão Iniciar.
  4. Na página Conectores, clique em Novo.

    A imagem exibe a página Conectores, que tem um botão Novo.
  5. Na janela Selecionar o conector, reveja as informações e selecione a opção Workspace ONE Access Connector 21.08.
    Cuidado: O Workspace ONE Access Connector 21.08 não oferece suporte à integração com o Horizon Cloud Service on IBM Cloud, ao Horizon Cloud Service no Microsoft Azure com Single-Pod Broker ou ao ThinApp. Se você planeja integrar esses tipos de aplicativos virtuais, selecione Conectores Legados para sair do processo de migração. Somente conectores legados são compatíveis com esses tipos de aplicativos virtuais.
    Importante: Faça sua escolha com cuidado, considerando suas necessidades de negócios. Se quiser alterar sua seleção mais tarde, você poderá fazer isso até apenas um determinado ponto no processo de migração. Consulte Redefinindo a Seleção do Conector no Workspace ONE Access.
  6. Siga o assistente para Adicionar Novo Conector para baixar o instalador do conector e o arquivo de configuração necessário e, em seguida, instalar o novo conector.
    Para obter informações de instalação, consulte Instalando o VMware Workspace ONE Access Connector 21.08. Especificamente, consulte "Pré-requisitos para instalar o Workspace ONE Access Connector" e "Instalando o Workspace ONE Access Connector".
    Ao instalar o conector, certifique-se de instalar o serviço de Sincronização de Diretório. Instale o serviço de Autenticação de Usuários se a autenticação baseada em conector estiver configurada nos conectores legados. O serviço de Autenticação Kerberos apenas será necessário se o método de autenticação Kerberos estiver configurado em qualquer um dos seus conectores legados. Instale o serviço aplicativo virtual se as coleções de aplicativos virtuais estiverem configuradas nos conectores herdados ou se você planeja configurá-las no novo conector.
    Cuidado: No final do processo de instalação, você poderá receber uma solicitação para reiniciar o sistema. Não reinicie o sistema se você estiver instalando o 21.08 Connector em um servidor do 19.03.x connector. Reinicie o sistema somente depois que todo o processo de migração do conector for concluído.
    Cuidado: Se você estiver instalando o serviço de Autenticação de Usuários, certifique-se de que todas as instâncias desse serviço no seu ambiente sejam da versão 21.08 e que não haja instâncias dele na versão 20. x. Não será possível prosseguir com a migração se você tiver versões combinadas do serviço de Autenticação de Usuários.
  7. Quando a instalação do conector for concluída com êxito, retorne ao dashboard de Migração no console de serviço do Workspace ONE Access.
  8. Na seção Migrar para Novos Conectores, migre todos os diretórios, um por um.

    O painel Migrar Diretórios no Painel de Migração lista dois diretórios, com um botão Migrar ao lado de cada um.
    A seção Migrar Diretórios lista todos os diretórios Active Directory e LDAP no seu tenant. Você deve migrar todos os diretórios listados antes de poder concluir a migração.
    Observação: A migração dos diretórios nesta etapa não altera nenhuma das configurações existentes do diretório, método de autenticação ou provedor de identidade e só terá efeito depois que você visualizar as alterações na próxima etapa.
    1. Clique no botão Migrar ao lado do diretório.
      O assistente para Migrar Diretório é exibido. O assistente é personalizado para o diretório que você está migrando. São exibidas páginas adicionais para os métodos de autenticação configurados no diretório.
    2. Na página Diretório, insira a senha de usuário de Associação para o diretório.
      A lista de Host(s) de Sincronização de Diretório exibe o novo host do 21.08 Connector que tem o serviço Sincronização de Diretório instalado. Selecione um ou mais hosts a serem usados para sincronizar o diretório.
      Assistente para migrar diretório — página do diretório
    3. (Aparecerá somente se o método de autenticação Kerberos estiver configurado) Na página Kerberos, especifique as informações necessárias para migrar o método de autenticação Kerberos.
      • Conector de Origem: o conector de origem está pré-selecionado. Você poderá selecionar outro conector se o conector selecionado não estiver disponível.
      • Host(s) de Autenticação Kerberos: a lista exibe os novos hosts do Connector 21.08 que têm o serviço Autenticação Kerberos instalado. Selecione um ou mais hosts a serem usados para a autenticação Kerberos.

      Migrar Diretório — página Kerberos

    4. Na página Senha, especifique as informações necessárias para migrar o método de autenticação de Senha.
      • Conector de Origem: o conector de origem está pré-selecionado. Você poderá selecionar outro conector se o conector selecionado não estiver disponível.
      • Senha de Associação: insira a senha do usuário de Associação para o diretório.
      • Host(s) de Autenticação do Usuário: a lista exibe os novos hosts do Connector 21.08 que têm o serviço Autenticação do Usuário instalado. Selecione um ou mais hosts a serem usados para autenticação de Senha.

      MigrateDirectoryPassword

    5. (Aparecerá somente se o método de autenticação RADIUS estiver configurado) Na página RADIUS, especifique as informações necessárias para migrar o método de autenticação RADIUS.
      • Conector de Origem: o conector de origem está pré-selecionado. Você poderá selecionar outro conector se o conector selecionado não estiver disponível.
      • Segredo compartilhado: o segredo compartilhado do servidor RADIUS.
      • Host(s) de Autenticação do Usuário: a lista exibe os novos hosts do Connector 21.08 que têm o serviço Autenticação do Usuário instalado. Selecione um ou mais hosts a serem usados para a autenticação RADIUS.

      Migrar diretório — página Radius

    6. (Aparecerá somente se o método de autenticação RSA SecurID estiver configurado) Na página SecurId, especifique as informações necessárias para migrar o método de autenticação RSA SecurID.
      • Conector de Origem: o conector de origem está pré-selecionado. Você poderá selecionar outro conector se o conector selecionado não estiver disponível.
      • Número de tentativas de autenticação permitidas: digite o número máximo de tentativas de login com falha ao usar o token RSA SecurID. O padrão é de cinco tentativas.
        Observação: Se estiver migrando vários diretórios que usam a autenticação RSA SecurID, configure Número de tentativas de autenticação permitidas com o mesmo valor para cada configuração RSA SecurID. Se o valor não for o mesmo, haverá falha na autenticação do SecurID.
      • Nome do host do servidor SecurID: digite o nome do host do servidor do RSA Authentication Manager, por exemplo, meuservidor.exemplo.com. Se tiver configurado várias instâncias do servidor do RSA Authentication Manager atrás de um balanceador de carga, digite o nome do host do balanceador de carga. Por exemplo, lb.exemplo.com.
      • Porta de Comunicação do Servidor SecurID: digite a porta de comunicação da instância do RSA Authentication Manager. A porta padrão é 5555. Para obter o número da porta de comunicação, faça login no RSA Security Console, navegue até a página Configurar > Configurações do Sistema > API de Autenticação RSA SecurID e copie a Porta de Comunicação.
      • Chave de Acesso do Servidor SecurID: digite a Chave de Acesso da instância do RSA Authentication Manager. Para obter a chave de acesso, no RSA Security Console, navegue até a página Configurar > Configurações do Sistema > API de Autenticação RSA SecurID e copie a Chave de Acesso listada em Credenciais do Agente.
      • Certificado de CA/SSL do Servidor SecurID: se o servidor do RSA Authentication Manager ou do balanceador de carga tiver um certificado autoassinado, copie e cole esse certificado na caixa de texto. Se o servidor tiver um certificado assinado por uma Autoridade de Certificação pública, o carregamento de um certificado não será necessário.
      • Tempo Limite do Método de Autenticação em segundos: digite o número de segundos durante os quais a tentativa de autenticação deve estar disponível. A tentativa de autenticação expirará depois disso. O valor predefinido é 180 segundos.
      • Host(s) de Autenticação do Usuário: a lista exibe os novos hosts do Connector 21.08 que têm o serviço Autenticação do Usuário instalado. Selecione um ou mais hosts a serem usados para a autenticação RSA SecurID.

      A página SecurID do assistente é exibida.
    7. (Aparecerá somente se a autenticação Kerberos estiver configurada) Na página Provedor de Identidade, insira o FQDN do balanceador de carga do conector a ser usado para o novo provedor de identidade que será criado para a autenticação Kerberos durante a migração.
      O FQDN do balanceador de carga atual é exibido para referência. Este é o valor atual do Nome do host IdP na página do provedor de identidade do diretório.
      Se você tiver apenas um Connector 21.08 e nenhum balanceador de carga, insira o FQDN do conector.
      Página Provedor de Identidade do assistente para Migrar Diretório
    8. Na página Resumo, verifique suas seleções e clique em Salvar.
      Os dados de migração do diretório são salvos. Você pode visualizar as configurações clicando no botão Resumo ao lado do diretório no dashboard de Migração de Diretório. A seção Migrar Diretórios no painel é exibida em verde. Os diretórios migrados são listados, e um botão Analisar é exibido ao lado deles.
      Se você quiser fazer qualquer alteração nas informações inseridas, clique em Reiniciar na página Resumo. Isso descarta os dados de migração que você inseriu para o diretório e permite que você migre o diretório novamente.
      DirectorySummary
    9. Migre o restante dos diretórios.
  9. Na seção Migrar Coleções de Aplicativos Virtuais, selecione os conectores para os quais migrar suas coleções de aplicativos virtuais.
    1. Clique em Migrar.

      O painel Migrar Coleções de Aplicativos Virtuais tem um botão Migrar.
    2. Na janela Migrar Coleções de Aplicativos Virtuais, selecione o 21.08 Connector a ser usado para cada coleção de aplicativos virtuais. Todos os conectores que têm o serviço de Aplicativo Virtual instalado aparecem no menu suspenso. Selecione um conector que tenha o serviço de Aplicativo Virtual no estado Ativo. O estado é exibido ao lado do nome do conector. Você pode adicionar vários conectores para alta disponibilidade. Se você adicionar vários conectores, organize-os em ordem reversa.
      Observação: Você deve migrar todas as coleções de aplicativos virtuais ao mesmo tempo. Não é possível selecionar coleções específicas a serem migradas.
    3. Clique em Salvar.
    Por exemplo:
    Janela para Migrar Aplicativos Virtuais

    As coleções de aplicativos virtuais serão migradas quando você passar para o estágio de Visualização.

    Observação: Você poderá adicionar mais conectores após concluir a migração. Também poderá alterar os conectores selecionados para coleções de aplicativos virtuais.
  10. Na seção Concluir a Migração, clique em Iniciar Visualização para iniciar o processo de migração.

    O painel Concluir a Migração exibe um botão Iniciar Visualização.
    No estágio de Visualização, os novos Connector 21.08 são usados. A sincronização de diretório é realizada pelo novo serviço de Sincronização de Diretório, a autenticação do usuário é realizada pelo novo serviço de Autenticação de Usuários, a autenticação Kerberos é realizada pelo novo serviço de Autenticação Kerberos e a sincronização de aplicativos virtuais é realizada pelo novo serviço de Aplicativo Virtual. No estágio de Visualização, você não pode fazer alterações em diretórios, métodos de autenticação, provedores de identidade ou coleções de aplicativos virtuais, nem criar novas instâncias desses itens. Você pode exibir os provedores de identidade convertidos na guia Provedores de Identidade e os métodos de autenticação convertidos nas guias Métodos de Autenticação do Conector. Todos os métodos de autenticação, exceto Kerberos, estão no modo de saída.
    Observação: No dispositivo virtual local do Workspace ONE Access 21.08, a guia Métodos de Autenticação do Conector é chamada de Métodos de Autenticação Empresarial.
    Observação: Se o recurso People Search foi ativado na sua implantação do serviço Workspace ONE Access, você deverá sincronizar manualmente os diretórios sem as configurações de Proteção. No console do Workspace ONE Access, selecione o diretório na página Gerenciamento de Identidade e Acesso > Diretórios e clique em Sincronização > Sincronização sem Proteções.
    Importante: Teste seu ambiente completamente no estágio de Visualização e verifique se ele está funcionando conforme o esperado. Verifique se a sincronização de diretório, a sincronização de aplicativos virtuais, o login do usuário e a inicialização do aplicativo estão funcionando.
  11. Se você determinar que seu ambiente não está funcionando corretamente ou se quiser fazer qualquer alteração nos seus diretórios, métodos de autenticação, provedores de identidade ou coleções de aplicativos virtuais, cancele o estágio de Visualização e volte a usar os conectores antigos.
    Acesse a página Gerenciamento de Identidade e Acesso > Gerenciar > Diretórios e clique em Continuar Migração. No painel de Migração de Diretório, clique em Abortar na seção Continuar a Migração.
    O painel Continuar a Migração possui um botão Abortar e um botão Concluir.
    Se você fizer alterações em seus diretórios, métodos de autenticação ou provedores de identidade posteriormente, certifique-se de migrar os diretórios novamente na seção Migrar para Novos Conectores.
  12. Depois de verificar que o seu ambiente está funcionando conforme esperado no estágio de visualização e está pronto para concluir a migração, retorne ao dashboard de Migração de Diretório acessando a página Gerenciamento de Identidade e Acesso > Gerenciar > Diretórios e clicando em Continuar a Migração.
    Cuidado: Depois de concluir a migração, você não poderá reverter para os conectores antigos.

    Clique em Concluir para concluir a migração.


    O painel Continuar a Migração possui um botão Abortar e um botão Concluir.

Resultados

Todos os seus diretórios e coleções de aplicativos virtuais são migrados para os novos 21.08 Connectors. Os novos serviços de Sincronização de Diretório, Autenticação de Usuários, Autenticação Kerberos e Aplicativo Virtual agora executam sincronização de diretório, autenticação de usuários e sincronização de aplicativos virtuais.

Novos provedores de identidade são criados para cada diretório e aparecem na guia Provedores de Identidade com o nome IDP migrado para diretório. Os novos provedores de identidade são do tipo Integrado. Para a autenticação Kerberos, é criado um provedor de identidade separado do tipo Workspace_IDP.

Todos os métodos de autenticação, exceto o Kerberos, são convertidos em métodos de saída e são renomeados com o sufixo (implantação em nuvem). Por exemplo, o método de autenticação de Senha é renomeado para Senha (implantação em nuvem). Você pode visualizar e gerenciar os novos métodos de autenticação na guia Métodos de Autenticação do Conector.

Observação: No dispositivo virtual local do Workspace ONE Access 21.08, a guia é chamada de Métodos de Autenticação Empresarial.

O que Fazer Depois

Quando a migração estiver concluída, você poderá desinstalar o 19.03.x Connector antigo dos servidores nos quais está instalado.

Após a conclusão da migração, você não precisará mais do Integration Broker para integrações da Citrix. A funcionalidade necessária agora faz parte do serviço de Aplicativo Virtual.

Para integrações do Horizon, verifique se os Servidores de Conexão do Horizon têm certificados válidos assinados por uma Autoridade de Certificação (CA) confiável. Se os Servidores de Conexão do Horizon tiverem certificados autoassinados, você deverá carregar a cadeia de certificados para as instâncias do Workspace ONE Access Connector em que o serviço de Aplicativo Virtual está instalado para estabelecer a confiança entre os conectores e os servidores de Conexão do Horizon. Este é um novo requisito no Workspace ONE Access Connector 21.08. Carregue os certificados usando o instalador do Connector. Consulte Instalar o VMware Workspace ONE Access Connector para obter mais informações. Certifique-se de reiniciar os serviços do conector depois de carregar os certificados.