Para atualizar o Workspace ONE Access Connector 20.10.x ou 20.01.x baseado no Windows para a versão 21.08, baixe o novo instalador do My VMware para o servidor do conector e execute o instalador. Não é necessário desinstalar a versão antiga do conector.

Durante o upgrade, os serviços existentes de Sincronização de Diretório, Autenticação de Usuários e Autenticação Kerberos são suspensos. Os serviços são reiniciados automaticamente após a conclusão da atualização.

Considerações importantes

  • Se você planeja instalar o serviço de Aplicativo Virtual, deve baixar e usar um novo arquivo de configuração es-config.json do console do Workspace ONE Access para estabelecer a conexão entre o serviço Workspace ONE Access e o conector. Se não estiver instalando o serviço de Aplicativo Virtual, não precisará de um novo arquivo de configuração. O conector atualizado pode usar o mesmo arquivo de configuração que está sendo usado pelo conector existente.
    Observação: Se a senha do seu arquivo de configuração es-config.json existente contiver os caracteres & ou %, gere um novo arquivo de configuração com uma senha que não contenha esses caracteres. Não há suporte para os caracteres & e %.
  • A configuração do método de autenticação RSA SecurID (implantação na nuvem) mudou na versão 21.08. Se você configurou o método de autenticação RSA SecurID (implantação na nuvem), deve excluí-lo das políticas de acesso antes de fazer upgrade de todas as instâncias do serviço de Autenticação de Usuários e reconfigurá-lo após o upgrade. Como isso resulta em tempo de inatividade do login com base no RSA SecurID, planeje o tempo de upgrade de acordo.

    As etapas genéricas para realizar o upgrade são:

    1. Verifique se você está usando o dispositivo do RSA Authentication Manager 8.2 SP1 ou posterior, que são as versões com suporte pelo Workspace ONE Access Connector 21.08.
    2. Antes de fazer upgrade do conector, remova o método de autenticação RSA SecurID (implantação na nuvem) das políticas de acesso nas quais ele é usado.
    3. Faça upgrade de todos os conectores nos quais o serviço de Autenticação de Usuários está instalado para a versão 21.08.
    4. Se um servidor proxy estiver configurado com os conectores, verifique se a porta de comunicação configurada para o servidor do Gerenciador de Autenticação RSA está aberta no servidor proxy.
    5. Se você implantou várias instâncias de servidor do RSA Authentication Manager, deve configurá-las atrás de um balanceador de carga e atender aos requisitos do Workspace ONE Access para o balanceador de carga.
    6. No console do RSA Security, verifique se o conector foi adicionado como um agente de autenticação usando o nome de domínio totalmente qualificado (FQDN), por exemplo, connectorserver.exemplo.com.
    7. Atualize a configuração do método de autenticação RSA SecurID (implantação na nuvem).
    8. Adicione o método de autenticação RSA SecurID (implantação na nuvem) para acessar políticas.
  • Certifique-se de fazer upgrade para a versão 21.08 de todas as instâncias do conector nas quais o serviço de Autenticação de Usuários está instalado. O Workspace ONE Access não oferece suporte à combinação das versões 21.08 e 20.x do serviço de Autenticação de Usuários.
  • O Workspace ONE Access Connector 21.08 oferece suporte aos seguintes tipos de proxies:
    • Proxies HTTP não autenticados
    • Proxies HTTPS (SSL) não autenticados
    • Proxies HTTPS (SSL) autenticados

Pré-requisitos

  • Revise Fazendo upgrade para o VMware Workspace ONE Access Connector 21.08.
  • Se a sua instalação do conector estiver em um Windows Server virtual, tire um snapshot da máquina virtual antes do upgrade.
  • Se você planeja instalar o serviço de Autenticação Kerberos ou Aplicativo Virtual, certifique-se de associar o servidor do conector ao domínio.
  • Se você tiver configurado o método de autenticação RSA SecurID (implantação em nuvem), certifique-se de usar o dispositivo do RSA Authentication Manager versão 8.2 SP1 ou posterior.
  • Se você tiver configurado o método de autenticação RSA SecurID (implantação na nuvem), remova o método de autenticação das políticas de acesso antes de fazer upgrade de todas as instâncias do conector que têm o serviço de Autenticação de Usuários instalado.
    1. No console do Workspace ONE Access, navegue até a página Gerenciamento de Identidade e Acesso > Gerenciar > Políticas.
    2. Revise cada política e remova o método de autenticação RSA SecurID (implementação na nuvem) se ele fizer parte da política.

      Anote as alterações feitas para ter as informações necessárias para voltar a adicionar o método de autenticação após o upgrade do conector.

  • Se você estiver atualizando da versão 20.01.x e tiver configurado um diretório do tipo Active Directory sobre Autenticação Integrada do Windows (IWA), desmarque a opção STARTTLS na configuração do diretório no console do Workspace ONE Access antes de fazer upgrade para o 21.08 Connector. Após o upgrade, a funcionalidade do Active Directory sobre IWA será incompatível com a opção STARTTLS.

    Para editar a configuração do diretório, navegue até a página Gerenciamento de Identidade e Acesso > Gerenciar > Diretórios, selecione o diretório, desmarque a caixa de seleção Esse diretório requer que todas as conexões usem STARTTLS e clique em Salvar.

    Observação: Se você aplicou o hotfix descrito no artigo da Base de Conhecimento 77158 ao Connector 20.01 ou fez upgrade para o Connector 20.01.0.1 ou 20.10, talvez já tenha desmarcado a opção STARTTLS para o Active Directory sobre IWA. Verifique se a configuração está desmarcada.
  • No console do Workspace ONE Access, suspenda os serviços do conector que estão instalados atualmente.
    1. Navegue até a página Gerenciamento de Identidade e Acesso > Configuração > Conectores.
    2. Selecione o conector e clique em Gerenciar.
    3. Clique no botão de alternância ao lado de cada nome de serviço para suspender o serviço.
  • Você precisa das seguintes informações de conta:
    • Credenciais do My VMware
    • Se o serviço de Autenticação Kerberos já estiver instalado, as credenciais de usuário do domínio que estão sendo usadas para executar o serviço
    • Se você planeja instalar o serviço de Autenticação Kerberos ou o serviço de Aplicativo Virtual durante o upgrade, precisa de uma conta de usuário de domínio para executar esses serviços. Embora esses serviços sejam executados com privilégios de conta de usuário de domínio, os serviços de Sincronização de Diretório e Autenticação de Usuários são executados com privilégios inferiores.
    • Se você usar o método de autenticação RSA SecurID (implantação na nuvem), precisará das credenciais do console de segurança RSA para obter as informações necessárias para reconfigurar o método de autenticação no console do Workspace ONE Access após o upgrade de todas as instâncias do conector.

Procedimento

  1. Se você precisar de um novo arquivo de configuração, gere-o a partir do console do Workspace ONE Access.
    1. Faça login no console do Workspace ONE Access como o administrador do domínio do sistema.
      Dica: Em implantações na nuvem, o administrador do domínio do sistema é o administrador cujas credenciais você recebe ao obter seu tenant do Workspace ONE Access. Em implantações no local, o administrador do domínio do sistema é o usuário administrador criado quando você instala uma instância do Workspace ONE Access.
    2. Navegue até a página Gerenciamento de Identidade e Acesso > Configuração > Conectores.
    3. Clique em Novo.
    4. No assistente para Adicionar Novo Conector, clique em Avançar.
    5. Na página Baixar Arquivo de Configuração, gere o arquivo de configuração criando uma senha e clicando em Baixar Arquivo de Configuração.
      A senha deve ter no mínimo 14 caracteres e incluir um caractere maiúsculo, um caractere minúsculo, um dígito numérico e um caractere especial. Não use os caracteres & ou %. Todos os caracteres devem ser caracteres ASCII visíveis, imprimíveis.
      O arquivo de configuração é usado para estabelecer a comunicação entre os serviços empresariais que você instala e o tenant do Workspace ONE Access. O nome padrão do arquivo é es-config.json.
      Cuidado: O arquivo de configuração contém informações confidenciais, como a URL do tenant, a ID do tenant, a ID do cliente e o segredo do cliente para cada um dos serviços empresariais e o hash da senha. É fundamental que você não compartilhe o arquivo nem o exponha publicamente.
    6. Transfira o arquivo de configuração para o servidor do conector.
  2. Baixe o Workspace ONE Access Connector 21.08.0.0 do My VMware.
    1. Faça login no https://my.vmware.com.
    2. Navegue até a página de Download do VMware Workspace ONE Access 21.08.
    3. Baixe o Workspace ONE Access Connector 21.08.0.0.
  3. Salve o arquivo do instalador no Windows Server em que a versão anterior do conector está instalada.
  4. Clique duas vezes no arquivo Workspace One Access Connector Installer.exe para executar o instalador.
    O instalador detecta que um upgrade é necessário e o orienta durante o processo de upgrade. O assistente exibe uma página de upgrade.
  5. Siga o assistente para fazer upgrade do conector.
    Ao fazer upgrade, tenha em mente o seguinte:
    • Durante o upgrade, o instalador instala o OpenJDK 8.
    • Durante o upgrade, você pode modificar qualquer uma das configurações para os serviços existentes. Você também pode instalar outros serviços. Por exemplo, você pode instalar o novo serviço de Aplicativo Virtual. Ou, se a sua instalação existente inclui apenas o serviço de Sincronização de Diretório e você deseja instalar o serviço de Autenticação de Usuários e o serviço de Autenticação Kerberos, é possível fazer isso durante o upgrade.

      Consulte Instalando o VMware Workspace ONE Access Connector 21.08 para obter informações sobre requisitos, dimensionamento, instalação e configurações.

    • Com o 21.08 Connector, você pode especificar vários servidores syslog externos para armazenar mensagens de evento no nível do aplicativo, em vez de serem limitados a um servidor. Você pode inserir os servidores de syslog na página Especificar Informações do Servidor de Syslog do assistente durante o upgrade.

      Use o seguinte formato:

      host:porta,host:porta,host:porta

      em que host é o nome de domínio totalmente qualificado ou o endereço IP do servidor de syslog e porta é o número da porta. Por exemplo:

      syslog1.exemplo.com:514,syslog2.exemplo.com:601,syslog3.exemplo.com:163

  6. Depois que o upgrade for concluído com êxito, verifique se os serviços estão em execução no Windows Server.
    Os serviços do conector têm os seguintes nomes:
    • Serviço de Sincronização de Diretório da VMware
    • Serviço de Autenticação do Usuário da VMware
    • Serviço de Autenticação Kerberos da VMware
    • Serviço de Aplicativo Virtual da VMware

    Os serviços exibem o status Em Execução.

Resultados

A atualização do conector é concluída. Você pode verificar se a nova versão do conector está instalada navegando até Painel de Controle > Programas > Programas e Recursos no Windows Server e verificando a versão do conector listada.

O que Fazer Depois

  • No console do Workspace ONE Access, clique no ícone de atualização na página Gerenciamento de Identidade e Acesso > Configuração > Conectores e verifique se os serviços com upgrade estão ativos e se o status de integridade está verde.
    Por exemplo:
    A página Conectores lista um conector com os serviços de Sincronização de Diretório, Autenticação de Usuários, Autenticação Kerberos e Aplicativo Virtual instalados. Todos os serviços estão Ativos e exibem uma caixa de seleção verde na coluna Integridade.
  • Se o método de autenticação RSA SecurID (implantação na nuvem) tiver sido configurado na sua instalação original, reconfigure-o depois de fazer upgrade de todas as instâncias do conector que têm o serviço de Autenticação de Usuários instalado.
    1. Se você implantou várias instâncias de servidor do RSA Authentication Manager, deve configurá-las atrás de um balanceador de carga e atender aos requisitos do Workspace ONE Access para o balanceador de carga. Consulte Requisitos do Workspace ONE Access para o balanceador de carga do RSA SecurID.
    2. Se um servidor proxy estiver configurado com os conectores, verifique se a porta de comunicação configurada para o servidor do Gerenciador de Autenticação RSA está aberta no servidor proxy.
    3. No console do RSA Security, verifique se o conector foi adicionado como um agente de autenticação usando o nome de domínio totalmente qualificado (FQDN), por exemplo, connectorserver.exemplo.com. Se você já tiver adicionado o conector como um agente de autenticação usando o nome NetBIOS em vez do FQDN, adicione outra entrada usando o FQDN. Deixe o campo de endereço IP vazio para a nova entrada. Não exclua a entrada antiga.
    4. Atualize a configuração do método de autenticação RSA SecurID (implantação na nuvem) para todos os diretórios que o incluíram na instalação original.

      Consulte Configurar a autenticação RSA SecurID no Workspace ONE Access para obter informações sobre a nova configuração.

    5. Adicione o método de autenticação RSA SecurID (implantação na nuvem) a todas as políticas de acesso que o incluíram na instalação original.

      Você pode editar as políticas de acesso na página Gerenciamento de Identidade e Acesso > Gerenciar > Políticas.