Migre os diretórios existentes para o Workspace ONE Access 20.10 Connector usando o Dashboard de Migração. O processo de migração é uma abordagem em estágios que permite testar seu ambiente com os novos conectores antes de concluir a migração.

O processo de migração inclui os seguintes estágios:

  • Instalar Connector 20.10

    Instale os novos Connector 20.10, que contêm os serviços Sincronização de Diretório, Autenticação do Usuário e Autenticação Kerberos. No mínimo, instale o serviço Sincronização de Diretório e Autenticação do Usuário. Instale o serviço Autenticação Kerberos se você tiver o método de autenticação Kerberos configurado.

  • Migrar para novos conectores

    Neste estágio, você migra todos os dados do diretório usando o assistente para Migrar Diretório. A maioria das informações necessárias é preenchida previamente em seu ambiente, mas você insere alguns valores confidenciais, como a senha do usuário de Associação do diretório.

    A migração dos diretórios nesse estágio não altera nenhuma das configurações existentes do diretório, método de autenticação ou provedor de identidade. Você ainda está usando os conectores antigos. As alterações só terão efeito depois que você passar para o estágio de Visualização na próxima etapa.

  • Visualizar

    No estágio de Visualização, você visualiza seu ambiente com o novo 20.10 Connector. Os novos serviços Sincronização de Diretório, Autenticação do Usuário e Autenticação Kerberos dos Connector 20.10 executam a sincronização de diretório e a autenticação do usuário. Todos os métodos de autenticação, exceto Kerberos, estão no modo de saída.

    O estágio de Visualização destina-se a testar completamente o ambiente com os novos serviços. Verifique se a sincronização de diretório, a autenticação do usuário e a inicialização do aplicativo estão funcionando conforme o esperado.

    No estágio de Visualização, você não pode fazer alterações nos diretórios, nos métodos de autenticação ou nos provedores de identidade nem adicionar novos.

    No estágio de Visualização, você pode reverter usando os conectores antigos. Quando você reverte, os dados do diretório que você migrou no estágio anterior ainda são mantidos. Se você fizer alterações posteriormente em qualquer um dos diretórios, métodos de autenticação ou provedores de identidade existentes, certifique-se de migrar os dados do diretório novamente.

  • Migração completa

    Quando você estiver satisfeito com o teste do novo ambiente, conclua a migração. Depois de concluir a migração, não será possível reverter para o uso dos conectores antigos.

Pré-requisitos

  • Revise os requisitos em Migrando para os VMware Workspace ONE Access Connector 20.10.
  • Verifique se todos os conectores do seu ambiente são da versão 19.03.x. Se qualquer conector for de uma versão mais antiga, atualize-o para a 19.03.x.
  • Prepare um ou mais Windows Servers para o 20.10 Connector. Consulte Diretrizes de dimensionamento em Instalando o Workspace ONE Access Connector 20.10.

    Você pode instalar o 20.10 Connector em um novo servidor ou no servidor do 19.03.x Connector herdado. No entanto, se a autenticação Kerberos estiver configurada no seu conector herdado, você deverá usar um Windows Server separado para instalar o serviço Autenticação Kerberos 20.10. Não instale o novo serviço Autenticação Kerberos no servidor do 19.03.x Connector. O Workspace ONE Access não é compatível com várias instâncias do Kerberos no mesmo servidor.

    Se a autenticação Kerberos não estiver configurada no seu conector herdado e você quiser instalar o novo 20.10 Connector no servidor do 19.03.x Connector herdado, consulte Migrando para o conector mais recente em um Windows Server que executa o Workspace ONE Access 19.03.x para obter requisitos adicionais.

  • Se você tiver uma instância de serviço local do Workspace ONE Access, faça upgrade dela para 20.10 antes de migrar os conectores.
  • Se você tiver o método de autenticação RSA SecurID configurado para qualquer um dos seus diretórios, limpe o Segredo do Nó no console de Segurança RSA.

    Além disso, se você estiver instalando o serviço de Autenticação do Usuário em um novo Windows Server, adicione o Windows Server como um Agente no servidor SecurID antes de iniciar a migração do conector.

  • Se qualquer um dos IDPs estiver associado a vários diretórios, modifique a configuração para que cada IDP só esteja associado a um diretório.
  • Certifique-se de que o processo de sincronização do diretório não esteja em execução para nenhum dos diretórios antes de iniciar o processo de migração.
  • Se você tiver ativado o recurso People Search, certifique-se de que o processo de sincronização de fotos não esteja em execução para nenhum dos diretórios antes de iniciar o processo de migração.
  • Se você estiver migrando um 19.03.x Connector sem diretório associado a ele, lembre-se de que, quando você selecionar a opção Workspace ONE Access Connector 20.10 na Etapa 5, a migração será considerada concluída e o 19.03.x Connector será excluído do serviço. Se você decidir mais tarde que deseja usar conectores herdados e alterar a seleção do conector usando o botão Redefinir Uso de Aplicativos Virtuais, o 19.03.x Connector não será exibido. Você precisará reinstalar o 19.03.x Connector para reativá-lo com o serviço.

Procedimento

  1. Clique na guia Gerenciamento de Identidade e Acesso.
    A página de migração é exibida.
    Página de migração
  2. Revise os requisitos e clique em Sim.
    O dashboard de Migração de Diretório é exibido.
  3. No dashboard de Migração de Diretório, clique no link Iniciar na seção Instalar 20.01 Connector ou posterior.

    Instalar o painel Novos Conectores no dashboard de Migração de Diretório
  4. Na página Conectores, clique em Novo.
    A página Conectores é exibida
  5. No pop-up Confirmação de Uso de Aplicativos Virtuais, selecione Workspace ONE Access Connector 20.10 se você não pretende usar aplicativos virtuais (Horizon, Horizon Cloud e integrações da Citrix).
    Se você quiser usar aplicativos virtuais, selecione Conectores Herdados para sair do processo de migração. Os aplicativos virtuais só são compatíveis com conectores herdados.
    Pergunta sobre uso de aplicativos virtuais
    Importante: Faça sua escolha com cuidado, considerando suas necessidades de negócios. Se quiser alterar sua seleção mais tarde, você poderá fazer isso até apenas um determinado ponto no processo de migração. Consulte o Redefinindo a opção de uso de aplicativos virtuais no Workspace ONE Access.
  6. Siga o assistente para Adicionar Novo Conector para baixar o instalador do conector e o arquivo de configuração necessário e, em seguida, instalar o novo conector.
    Importante: Ao instalar o conector, certifique-se de instalar o serviço Sincronização de Diretório e o serviço Autenticação do Usuário. O serviço Autenticação Kerberos será necessário somente se você tiver o método de autenticação Kerberos configurado em qualquer um dos seus conectores legados.
  7. Quando a instalação do conector for concluída com êxito, retorne ao dashboard de Migração de Diretório no console de serviço do Workspace ONE Access.
  8. Na seção Migrar para Novos Conectores, migre todos os diretórios, um por um.
    Seção Migrar Diretórios no Dashboard de Migração
    A seção Migrar para Novos Conectores lista todos os diretórios do Active Directory e LDAP no seu tenant. Você deve migrar todos os diretórios listados antes de poder concluir a migração.
    Observação: A migração dos diretórios nesta etapa não altera qualquer uma das configurações do diretório, do método de autenticação ou do provedor de identidade existente e entrará em vigor somente após a visualização das alterações na próxima etapa.
    1. Clique no botão Migrar ao lado do diretório.
      O assistente para Migrar Diretório é exibido. O assistente é personalizado para o diretório que você está migrando. São exibidas páginas adicionais para os métodos de autenticação configurados no diretório.
    2. Na página Diretório, insira a senha de usuário de Associação para o diretório.
      A lista de Host(s) de Sincronização de Diretório exibe o novo host do 20.10 Connector que tem o serviço Sincronização de Diretório instalado. Selecione um ou mais hosts a serem usados para sincronizar o diretório.
      Assistente para migrar diretório — página do diretório
    3. (Aparecerá somente se o método de autenticação Kerberos estiver configurado) Na página Kerberos, especifique as informações necessárias para migrar o método de autenticação Kerberos.
      • Conector de Origem: o conector de origem está pré-selecionado. Você poderá selecionar outro conector se o conector selecionado não estiver disponível.
      • Host(s) de Autenticação Kerberos: a lista exibe os novos hosts do Connector 20.10 que têm o serviço Autenticação Kerberos instalado. Selecione um ou mais hosts a serem usados para a autenticação Kerberos.

      Migrar Diretório — página Kerberos

    4. Na página Senha, especifique as informações necessárias para migrar o método de autenticação de Senha.
      • Conector de Origem: o conector de origem está pré-selecionado. Você poderá selecionar outro conector se o conector selecionado não estiver disponível.
      • Senha de Associação: insira a senha do usuário de Associação para o diretório.
      • Host(s) de Autenticação do Usuário: a lista exibe os novos hosts do Connector 20.10 que têm o serviço Autenticação do Usuário instalado. Selecione um ou mais hosts a serem usados para autenticação de Senha.

      MigrateDirectoryPassword

    5. (Aparecerá somente se o método de autenticação RADIUS estiver configurado) Na página RADIUS, especifique as informações necessárias para migrar o método de autenticação RADIUS.
      • Conector de Origem: o conector de origem está pré-selecionado. Você poderá selecionar outro conector se o conector selecionado não estiver disponível.
      • Segredo compartilhado: o segredo compartilhado do servidor RADIUS.
      • Host(s) de Autenticação do Usuário: a lista exibe os novos hosts do Connector 20.10 que têm o serviço Autenticação do Usuário instalado. Selecione um ou mais hosts a serem usados para a autenticação RADIUS.

      Migrar diretório — página Radius

    6. (Aparecerá somente se o método de autenticação RSA SecurID estiver configurado) Na página SecurId, especifique as informações necessárias para migrar o método de autenticação RSA SecurID.
      • Conector de Origem: o conector de origem está pré-selecionado. Você poderá selecionar outro conector se o conector selecionado não estiver disponível.
      • Host(s) de Autenticação do Usuário: a lista exibe os novos hosts do Connector 20.10 que têm o serviço Autenticação do Usuário instalado. Selecione um ou mais hosts a serem usados para a autenticação RSA SecurID.

      Migrar Diretório — página SecurID

    7. (Aparecerá somente se a autenticação Kerberos estiver configurada) Na página Provedor de Identidade, insira o FQDN do balanceador de carga do conector a ser usado para o novo provedor de identidade que será criado para a autenticação Kerberos durante a migração.
      O FQDN do balanceador de carga atual é exibido para referência. Este é o valor atual do Nome do host IdP na página do provedor de identidade do diretório.
      Se você tiver apenas um Connector 20.10 e nenhum balanceador de carga, insira o FQDN do conector.
      Página Provedor de Identidade do assistente para Migrar Diretório
    8. Na página Resumo, verifique suas seleções e clique em Salvar.
      Os dados de migração do diretório são salvos. Você pode visualizar as configurações clicando no botão Resumo ao lado do diretório no dashboard de Migração de Diretório.
      Painel Migração no Dashboard exibe o botão Resumo
      Se você quiser fazer qualquer alteração nas informações inseridas, clique em Reiniciar na página Resumo. Isso descarta os dados de migração que você inseriu para o diretório e permite que você migre o diretório novamente.
      DirectorySummary
    9. Migre o restante dos diretórios.
    Depois que todos os diretórios forem migrados, a etapa Concluir a Migração será ativada.
  9. Na seção Concluir a Migração, clique em Iniciar Visualização para iniciar o processo de migração.
    Dashboard de migração — Iniciar visualização
    No estágio de Visualização, os novos Connector 20.10 são usados. A sincronização de diretório é realizada pelo novo serviço Sincronização de Diretório, a autenticação do usuário é realizada pelo novo serviço Autenticação do Usuário e a autenticação Kerberos é realizada pelo novo serviço Autenticação Kerberos. Você não pode fazer alterações nos diretórios, métodos de autenticação ou provedores de identidade nem criar novos. Você pode exibir os provedores de identidade convertidos na guia Provedores de Identidade e os métodos de autenticação convertidos nas guias Métodos de Autenticação Empresarial. Todos os métodos de autenticação, exceto Kerberos, estão no modo de saída.

    Se o recurso People Search foi ativado na sua implantação do serviço Workspace ONE Access, você deverá sincronizar manualmente os diretórios sem as configurações de Proteção. No console do Workspace ONE Access, selecione o diretório na página Gerenciamento de Identidade e Acesso > Diretórios e clique em Sincronização > Sincronização sem Proteções.

    Importante: Teste seu ambiente completamente no estágio de Visualização e verifique se ele está funcionando conforme o esperado. Verifique se a sincronização de diretório, o login do usuário e a inicialização do aplicativo estão funcionando.
  10. Se você determinar que seu ambiente não está funcionando corretamente ou se quiser fazer quaisquer alterações nos diretórios, métodos de autenticação ou provedores de identidade, saia do estágio de Visualização e retorne ao uso dos conectores antigos.
    Acesse a página Gerenciamento de Identidade e Acesso > Gerenciar > Diretórios, clique em Continuar a Migração e clique em Abortar na seção Concluir a Migração do dashboard de Migração de Diretório.
    Painel Concluir a Migração
    Se você fizer alterações em seus diretórios, métodos de autenticação ou provedores de identidade posteriormente, certifique-se de migrar os diretórios novamente na seção Migrar para Novos Conectores.
  11. Depois de verificar que o seu ambiente está funcionando conforme esperado no estágio de visualização e está pronto para concluir a migração, retorne ao dashboard de Migração de Diretório acessando a página Gerenciamento de Identidade e Acesso > Gerenciar > Diretórios e clicando em Continuar a Migração.
    Cuidado: Depois de concluir a migração, você não poderá reverter para os conectores antigos.

    Clique em Concluir para concluir a migração.

    Dashboard de migração - seção Concluir a migração

Resultados

Todos os diretórios são migrados para os novos Connector 20.10. Os novos serviços Sincronização de Diretório, Autenticação do Usuário e Autenticação Kerberos agora executam a sincronização de diretório e a autenticação do usuário.

Novos provedores de identidade são criados para cada diretório e aparecem na guia Provedores de Identidade com o nome IDP migrado para diretório. Os novos provedores de identidade são do tipo Integrado. Para a autenticação Kerberos, é criado um provedor de identidade separado do tipo Workspace_IDP.

Todos os métodos de autenticação, exceto o Kerberos, são convertidos em métodos de saída e são renomeados com o sufixo (implantação em nuvem). Por exemplo, o método de autenticação de Senha é renomeado para Senha (implantação em nuvem). Você pode visualizar e gerenciar os novos métodos de autenticação na guia Métodos de Autenticação Empresarial.

O que Fazer Depois

Quando a migração estiver concluída, você poderá desinstalar o 19.03.x Connector antigo dos servidores nos quais está instalado.