Notas de versão do VMware Identity Manager 3.3.3

VMware Identity Manager 3.3.3 | Outubro de 2020 | Compilação 17121420

VMware Identity Manager (Windows) 3.3.3 | Outubro de 2020 | Compilação VMware Identity Manager Connector Installer.exe

Data de lançamento: Novembro de 2020

Atualizado:

sábado, 17 de dezembro de 2021
segunda-feira, 25 de janeiro de 2021
sábado, 18 de dezembro de 2020
quinta-feira, 8 de dezembro de 2020

17/12/2021 Esta versão foi determinada como afetada pelo CVE-2021-44228 e CVE-2021-45046. Correções e soluções alternativas estão disponíveis para solucionar essa vulnerabilidade. Para obter mais informações, consulte o VMware Security Advisory VMSA-2021-0028.

17/12/2021 Esta versão também é afetada pelo CVE-2021-22056. Correções e soluções alternativas estão disponíveis para solucionar essa vulnerabilidade. Para obter mais informações, consulte o VMware Security Advisory VMSA-2021-0030.

08/12/2020 Esta versão foi considerada afetada pelo CVE-2020-4006. Correções e soluções alternativas estão disponíveis para solucionar essa vulnerabilidade. Para obter mais informações, consulte VMSA-2020-0027.

Conteúdo das notas de versão

As notas da versão abrangem os seguintes tópicos:

Produtos que podem fazer upgrade para o VMware Identity Manager 3.3.3
Novidades na versão 3.3.3
Internacionalização
Compatibilidade, instalação e atualização
Documentação
Problemas conhecidos

Produtos VMware que podem fazer upgrade para o VMware Identity Manager 3.3.3

Produtos VMware vRealize, como vRealize Automation, vRealize Suite Lifecycle Manager (vRSLCM), vRealize Operations, vRealize Business, vRealize Log Insight e vRealize Network Insight para autenticação e SSO
- Produtos vRealize que são implantados e gerenciados por meio do vRealize Suite Lifecycle Manager podem consumir o VMware Identity Manager 3.3.1, 3.3.2 ou 3.3.3.
- O vRealize Suite Lifecycle Manager agora pode lidar com uma instalação de uma nova marca do VMware Identity Manager 3.3.3 ou um upgrade para 3.3.3 do VMware Identity Manager 3.3.1 ou 3.3.2.
VMware NSX-T Data Center para autenticação e SSO
- O NSX-T pode ser implantado com o VMware Identity Manager
- 3.3.3 ou em um upgrade para a 3.3.3 do VMware Identity Manager 3.3.1 ou 3.3.2.

Novidades do VMware Identity Manager 3.3.3

Migração para o Photon OS
No VMware Identity Manager 3.3.3, o sistema operacional subjacente foi migrado do SUSE Linux 11 SP4 para o VMware Photon 3.0. O Photon 3.0 aborda vulnerabilidades de segurança conhecidas e é uma pilha de software atualizada.
Suporte à migração de tenants do vRA 7.5/vRA 7.6 para o VMware Identity Manager
Alterações na configuração de implantação padrão
Diferentes opções de dimensionamento para CPU e memória estão disponíveis para escolha no momento da implantação, com base nos requisitos
- Disco rígido de 100 GB
- 8 GB de RAM
- 4 vCPUs
- Extrapequena: 4CPUs/8 GB de memória
- Pequena: 6 CPUs/10 GB de memória
- Média: 8 CPUs/16 GB de memória
- Grande: 10 CPUs/16 GB de Memória
- Extragrande: 12 CPUs/32 GB de memória
- Atualizado em 25 de janeiro de 2021 Extra extragrande: 14 CPUs/48 GB de Memória
Suporte a 4096 certificados de chave
Agora oferecemos suporte a certificados SSL de chave de 4096 bits para o serviço e o conector. Com essa implementação, aumentamos o nível de criptografia para os certificados SSL.
Migração do conector externo para casos de uso de IWA/Kerberos
Atualizado em 18 de dezembro de 2020, o VMware Identity Manager 3.3.3 não oferece suporte para a IWA (Autenticação Integrada do Windows) com o conector integrado do Linux. Os clientes do vRA 8.x que usam LDAP ou IWA com o conector externo do Windows não são afetados. Para obter mais detalhes, consulte https://kb.vmware.com/s/article/82013.

O operador pode redefinir a senha do console (ou senha do operador) usando o comando hznAdminTool:
```
 /usr/sbin/hznAdminTool setOperatorPassword
```

Internacionalização

O VMware Identity Manager 3.3 está disponível nos idiomas abaixo.

Inglês
Francês
Alemão
Espanhol
Japonês
Chinês simplificado
Coreano
Chinês tradicional
Russo
Italiano
Português (Brasil)
Holandês

Compatibilidade, instalação e atualização

Compatibilidade com o VMware vCenter™ e o VMware ESXi™

O appliance do VMware Identity Manager oferece suporte para as seguintes versões do vSphere e do ESXi.

6.5 U3, 6.7 U2, 6.7 U3, 7

Compatibilidade de componentes

Com suporte para Windows Server

Windows Server 2012 R2
Windows Server 2016

Com suporte para navegador da Web

Mozilla Firefox, versão mais recente
Google Chrome 42.0 ou posterior
Internet Explorer 11
Safari 6.2.8 ou posterior
Microsoft Edge, versão mais recente

Com suporte a banco de dados

Postgres 9.6.19
MS SQL 2012, 2014 e 2016

Com suporte a servidor de diretório

Active Directory no Windows Server 2012 R2, 2016 e 2019, com um nível funcional de Domínio e nível funcional de Floresta do Windows 2003 e posterior.
OpenLDAP - 2.4.42
Oracle LDAP - Directory Server Enterprise Edition 11g, Versão 1 (11.1.1.7.0)
IBM Tivoli LDAP - IBM Security Directory Server 6.3.1

Atualização: Não há mais suporte para as versões de componente

Windows Server 2008 R2
Windows Server 2012

Isso afeta o Workspace ONE Access Connector ou o banco de dados que podem ser instalados nessas versões do servidor Windows. Isso afeta o Active Directory se ele está sendo executado nessas versões mais antigas de um servidor Windows.

A Matriz de interoperabilidade de produtos da VMware fornece detalhes sobre a compatibilidade das versões atuais e anteriores de produtos e componentes da VMware.

Para outros requisitos do sistema, consulte os guias de Instalação do VMware Identity Manager para a versão 3.3 no Centro de documentação do VMware Workspace ONE Access .

Fazendo upgrade para o VMware Identity Manager 3.3.3

Observação:

Para acessar a página Configurações do Dispositivo no console do Workspace ONE Access, verifique se foi atribuída a você a função de Operador para o tenant padrão.
Para definir as configurações de SMTP, você deve estar conectado como usuário operador do tenant padrão do domínio do sistema, não como o tenant de administrador.
- Os administradores de tenants não padrão não estão autorizados a definir configurações de SMTP.
Migrar grupos de negócios do VMware vRealize Automation 7.5 ou 7.6 para o vRealize versão 8.2

Para fazer upgrade para o VMware Identity Manager 3.3.3, consulte Fazer upgrade do VMware Identity Manager 3.3.3 no Centro de documentação do VMware Workspace ONE Access. Durante a atualização, todos os serviços são interrompidos. Portanto, se apenas um conector for configurado, planeje a atualização levando em consideração o tempo de inatividade esperado.

Você pode atualizar o VMware Identity Manager da versão 3.3.1 ou 3.3.2 diretamente para a versão 3.3.3. Para fazer upgrade de versões anteriores, atualize para a 3.3.1 primeiro e, em seguida, atualize a 3.3.1 para a 3.3.3.

Observação: Quando você faz upgrade para o VMware Identity Manager 3.3.2 para Linux, se você vir a seguinte mensagem de erro e o upgrade for cancelado, siga estas etapas para atualizar o certificado. Após a atualização do certificado, reinicie a atualização.

"Atualização de configuração de autenticação necessária para o tenant do certificado <tenantName> antes da atualização. Falha na verificação de pré-atualização, cancelando a atualização."

Faça login no console do VMware Identity Manager.
Acesse Gerenciamento de Identidade e Acesso > Instalação.
Na página Conectores, clique no link na coluna Trabalhador
Clique em Adaptadores de Autenticação e depois em CertificateAuthAdapter.
Na seção Certificados CA Carregados, clique no X vermelho ao lado do certificado para removê-lo.
Na seção Certificados da CA raiz e intermediária, clique em Selecionar arquivo para adicionar novamente o certificado.
Clique em Salvar.

Migrar grupos de negócios do VMware vRealize Automation 7.5 ou 7.6 para o vRealize versão 8.2

Para migrar os grupos de negócios do VMware vRealize Automation 7.5 ou 7.6 para a versão 8.2, você deve migrar um tenant por vez do serviço do VMware Identity Manager 3.1 incorporado para o serviço do VMware Identity Manager 3.3.3 externo, conforme descrito no procedimento a seguir.
Informações

O VMware Identity Manager é um serviço incorporado no vRealize Automation 7.5 e 7.6
A partir do vRealize Automation 8.0, o VMware Identity Manager se tornou um serviço externo
O vRealize Automation 8.0 e 8.1 dá suporte somente a novas instalações
O vRealize Automation 8.2 dá suporte à migração de grupos de negócios do vRealize Automation 7.5 ou 7.6. Para realizar a migração de grupos de negócios, o VMware Identity Manager 3.3.3 migra cada tenant do VMware Identity Manager no vRA para a 3.3.3

Pré-requisito

Um email válido precisa ser definido para todos os usuários locais do tenant do vRealize Automation 7.5 e 7.6 que precisam ser migrados
Ative a conexão remota com o banco de dados do vRA para acessá-lo. SOMENTE da máquina do vIDM para ler Ids de usuário para migração de grupo personalizada
As informações do servidor SMTP do tenant que está sendo migrado devem ser configuradas no serviço do VMware Identity Manager. Essas informações são necessárias para receber instruções por e-mail a fim de redefinir a senha para todos os usuários locais.

Procedimento

Você executa a migração de tenant por tenant no VMware Identity Manager 3.3.3 usando o vRealize Lifecycle Manager. O vRealize Lifecycle Manager fornece a interface de usuário para aproveitar as REST APIs de migração do tenant do VMware Identity Manager 3.3.3 para a migração de tenant por tenant. Consulte Migrar tenants usando o vRealize Suite Lifecycle Manager.

As REST APIs de migração de tenant do VMware Identity Manager 3.3.3 se encarregam da migração das configurações a seguir do vRealize Automation 7.5 ou 7.6 para VMware Identity Manager o 3.3.3.

Configuração do tenant
Configuração de mapeamento de atributos do usuário
Configuração de diretório, como local, LDAP, IWA, OpenLDAP e JIT
Por padrão, o usuário de vínculo será listado como administrador somente leitura nos tenants migrados
Configuração de provedor de identidade de terceiros
Configuração de política de acesso e intervalo de rede
Configuração de grupos personalizados
Configuração de função e conjunto de regras

Limitações da migração de tenants no VMware Identity Manager 3.3.3

Adaptadores de autenticação: O processo de migração do tenant migra apenas o PasswordIdpAdapter. Se outros adaptadores de autenticação forem configurados no vRealize Automation 7.5 ou 7.6, você deverá configurá-los manualmente no VMware Identity Manager 3.3.3.
Migração de provedor de identidade de terceiros: O processo de migração do tenant migra as configurações do provedor de identidade de terceiros. Após a migração, você deve copiar manualmente os metadados do provedor de serviços do VMware Identity Manager para o provedor de identidade externo de terceiros.

VMware Identity Manager Connector 3.3.3 (Windows)

Se você tiver instalado o VMware Identity Manager Connector para Windows 3.3.1 e 3.3.2 com o vRealize Suite Lifecycle Manager, não poderá fazer upgrade para 3.3.3. Você deve instalar a nova versão 3.3.3 do Connector.

Se você tiver instalado o VMware Identity Manager Connector para Windows 3.3.1 ou 3.3.2 usando o instalador .exe, poderá fazer upgrade do seu Connector para 3.3.3.

Documentação

A documentação do VMware Identity Manager 3.3 encontra-se no Centro de documentação do VMware Workspace ONE Access. O guia de upgrade do 3.3.3 pode ser encontrado no VMware Identity Manager 3.3 na seção Instalação e Arquitetura.

Problemas conhecidos

A configuração do Provedor de Identidade não pode ser salva em ambientes multissite do VMware Identity Manager 3.3.3 com conectores incorporados do site secundário
Ao usar um conector integrado com o VMware Identity Manager em um ambiente de vários sites, você não poderá salvar a configuração do provedor de identidade no site secundário se estiver usando um conector integrado.

Solução alternativa: Use um conector externo para o site secundário.
Falha na sincronização após o upgrade para o VMware Identity Manager 3.3.3
Após a atualização do VMware Identity Manager 3.3.2 para a versão 3.3.3, se o conector incorporado estiver sendo usado com o Active Directory sobre IWA, os usuários poderão fazer login, mas a sincronização de diretório falhará até que o conector incorporado seja migrado para um conector externo do VMware Identity Manager em um Windows Server.

Solução. Nenhuma solução alternativa. Você deve migrar o diretório do conector incorporado para um VMware Identity Manager Connector externo.