VMware Identity Manager 3.1 | 2017 年 12 月 7 日 | 内部版本 7291215

VMware Identity Manager Connector 2017.12.1 | 2017 年 12 月 7 日 | 内部版本 7291216

VMware Identity Manager Integration Broker 3.1 | 2017 年 12 月 7 日 | 内部版本 7245433

VMware Identity Manager Desktop 3.0 | 2017 年 9 月 21 日 | 内部版本 6585499

发行日期:2017 年 12 月 7 日

更新日期:2017 年 12 月 14 日

发行说明内容

本发行说明包括以下主题:

此版本的新增功能

Workspace ONE 用户体验

  • 支持需要 SAML 身份验证的 iOS DEP 用例

    • 在客户使用 SAML 进行用户身份验证的方案中,在 Apple DEP 注册方面长期以来一直存在问题,因为在 DEP 设备上不支持该功能。管理员现在可以暂存设备,使用 Workspace ONE 进行 SAML 身份验证,然后动态地将设备分配切换到验证的用户。接下来,将分配给验证的用户的任何应用程序、配置文件或资源推送到设备。

    • 注意:需要具有 Workspace ONE 3.2 版应用程序才能使用该功能。(计划的发行日期为 2017 年 12 月)
  • 改进了 Workspace ONE 目录中的搜索功能
    • 除了应用程序名称和类别以外,用户现在可以在应用程序说明中进行搜索。在搜索时,将在结果中突出显示搜索词。
  • 新的人员搜索应用程序
    • 您可以从 Apple App Store 下载 VMware 人员搜索应用程序。可以在 VMware Identity Manager 管理控制台中启用人员搜索以同步人员层次结构和图片。
    • 注意:如果客户在 VMware Identity Manager 3.1 版本之前的测试版中使用人员搜索,则必须重新启用人员搜索属性以生成人员搜索 OAuth2 模板。如果未创建 OAuth2 模板,则人员搜索无法正常工作。
  • 可将应用程序归类为“建议”
    • 现在,“目录”中提供了一个名为建议的预定义类别。现在可将应用程序归类为“建议”,以便让用户知道我们建议他们使用这些应用程序。您仍然可以使用包括“建议”在内的多个类别标记应用程序。归类为“建议”的应用程序将显示在 Workspace ONE“目录”页面上的“建议”筛选器中。用户可以使用该类别进行筛选,以查看建议的应用程序列表,并将建议的应用程序加入书签,从而将它们添加到“书签”页面。
  • 在 Workspace ONE 浏览器和应用程序体验中提高了性能
    • 最终用户将会发现应用程序、书签和目录选项卡的加载速度更快。

条件访问和统一目录

  • 提高了 Horizon 和 Citrix 应用程序集成的可管理性
    • 虚拟应用程序集合是一个新功能,可以提高 Horizon 和 Citrix 集成的可管理性。您现在可以在多个连接器之间拆分要同步的资源,而不是使用单个连接器同步资源。如果主连接器发生故障,它还提供了自动故障切换到辅助连接器以进行同步的功能。您现在可以同步没有建立信任关系的多个域上的资源。最后,我们提供了一个易于使用的向导,以迁移使用该新方法同步的当前 Horizon 和 Citrix 资源。
    • 在将 Citrix 资源迁移到虚拟应用程序集合后,您必须为 SSO Integration Broker 配置 HTTPS,然后才能编辑 XenApp 配置文件。
  • Citrix XenApp 应用程序和桌面可见性
    • 在将授权从 Citrix 同步到 VMware Identity Manager 时,您可以包括可见性限制以确定可通过 Workspace ONE 访问交付组中的哪些应用程序或桌面。对于应用程序,这是通过发布的应用程序的限制可见性页面和应用程序组完成的。对于桌面,这是在“桌面”页的“交付组”下面完成的。

连接器

  • 提高了连接器同步性能
    • 为了提高性能,在将 Active Directory 组添加到 Identity Manager 后,其成员不会立即添加到 VMware Identity Manager。在将资源授权给组后,其成员才会添加到 VMware Identity Manager。

VMware Identity Manager 服务

  • 提高了在 DMZ 中部署证书身份验证的灵活性。
    • 证书身份验证在 VMware Identity Manager 安装程序中不再默认使用端口 443。默认设置将为端口 7443。可以安装额外的 SSL 证书以用于证书身份验证。可以自定义证书身份验证端口。这样,就可以使用检查或终止 SSL 的负载平衡器。
      • VMware Identity Manager 设备 (Linux)。您可以从管理控制台的设备设置 > 管理配置 > 安装证书页面中更新此端口号。
      • VMware Identity Manager (Windows)。在 catalina.properties 文件中手动更改此端口号。 
        1. 停止 VMware Identity Manager 服务。 
        2. 在 catalina.properties 文件的 https.passthrough.port 属性中输入端口号,该文件位于以下路径:C:\AirWatch\VMwareIdentityManager\opt\vmware\horizon\workspace\conf。
        3. 重新启动服务。

国际化

VMware Identity Manager 3.0 提供了以下语言版本。

  • 英语
  • 法语
  • 德语
  • 西班牙语
  • 日语
  • 简体中文
  • 韩语
  • 繁体中文
  • 俄语
  • 意大利语
  • 葡萄牙语(巴西)
  • 荷兰语

兼容性、安装和升级

VMware vCenter™ 和 VMware ESXi™ 的兼容性

VMware Identity Manager 支持以下版本的 vSphere 和 ESXi。

  • 5.5、6.0 及更高版本

组件兼容性

VMware 产品互操作性列表提供了有关 VMware 产品和组件(如 VMware vCenter Server、VMware ThinApp 和 Horizon 7)的当前版本和以前版本的兼容性的详细信息。

VMware Identity Manager 管理控制台的浏览器兼容性

可以使用以下 Web 浏览器查看管理控制台:

  • 适用于 Windows 和 Mac 系统的 Mozilla Firefox 40 或更高版本
  • 适用于 Windows 和 Mac 系统的 Google Chrome 42.0 或更高版本
  • 适用于 Windows 系统的 Internet Explorer 11
  • 适用于 Mac 系统的 Safari 6.2.8 或更高版本

有关其他系统要求,请参阅《安装和配置 VMware Identity Manager》指南。

升级到 VMware Identity Manager 3.1

要升级到 3.1,请参阅《升级到 VMware Identity Manager》。在升级过程中,所有服务都将停止,因此如果仅配置了一个连接器,请在计划升级时考虑可能出现的停机。

如果将 Citrix 发布的资源与 VMware Identity Manager 集成,请考虑升级到最新版本的 Integration Broker。Integration Broker 3.1 执行了一些性能改进。注意:必须将 Integration Broker 3.1 或更高版本与 VMware Identity Manager 3.1 服务一起运行。

以下说明仅适用于从 2.9.2 或更低版本升级的情况。如果从 2.9.2.1 或 3.0 升级,则以下说明不适用。

2.9.2 连接器的对等版本是 2017.7.1.0

如果在 VMware Identity Manager 中配置了 Horizon 并在群集中设置了 VMware Identity Manager,在升级 VMware Identity Manager 时,您必须按以下方式在该服务中重新配置 Horizon。

  1. 在主 VMware Identity Manager Connector 中,移除所有 Horizon 容器并重新添加。保存并同步。
  2. 在副本连接器中,移除所有 Horizon 容器并重新添加。保存。

从 2016.11.1 连接器升级

在从 2016.11.1 连接器升级到最新的连接器之前,请参见知识库文章 2149179“从 VMware Identity Manager Connector 2016.11.1 升级”。

从 VMware Identity Manager 2.7.1 升级

要将 VMware Identity Manager 2.7.1 升级到 3.1,必须先升级到 2.9.2.x。请参见知识库文章 2151825“从 VMware Identity Manager 2.7.1 升级到 VMware Identity Manager 3.1”。

VMware Identity Manager 2.6 及更高版本默认禁用传输层安全 (Transport Layer Security, TLS) 1.0

从 VMware Identity Manager 2.6 开始,将禁用 TLS 1.0。我们建议您更新产品配置以使用 TLS 1.1 或 1.2。

现在已知道禁用 TLS 1.0 后会发生外部产品问题。如果 VMware Identity Manager 中的 Horizon、Horizon Air、Citrix 或负载平衡器实现依赖于 TLS 1.0,或者您使用 Office 365 活动流,请按照知识库文章 2144805 中的说明启用 TLS 1.0。

默认情况下,Windows 2008 R2、2012 和 Windows 7 操作系统不会启用 TLS1.1 和 1.2。在连接到 VMware Identity Manager 2.8 时,这可能会导致出现问题。请参阅 Microsoft 文章《更新以允许将 TLS 1.1 和 TLS 1.2 作为默认安全协议》

Windows 上的 VMware Identity Manager 的 Java 升级

VMware Identity Manager 不支持自动更新 Windows 上的 Java (Java Update),因为在移除旧版本的 Java 时,还会移除 JAVA_HOME/lib/security/cacerts 中存储的证书。

如果在 Windows 上安装了 VMware Identity Manager 3.1 及更高版本,则用户可以运行 reloadInstallRootCerts.bat 脚本以更新 Windows 上的 Java。对于 3.1,此操作会将 Java 更新为 JRE 8 152。

1.停止 VMware Identity Manager、证书代理和弹性搜索服务。

2.更新 JAVA_HOME 环境变量,以使其指向新的 JRE。

3.在 %JAVA_HOME%/lib/security 中设置 crypto.policy=unlimited

4.以管理员身份,通过 cmd 命令提示符运行 <INSTALL_DIR>\VMwareIdentityManager\usr\local\horizon\scripts\reloadInstalledRootCerts.bat

5.启动 VMware Identity Manager、证书代理和弹性搜索服务。

文档

VMware Workspace ONE 文档中心提供了 VMware Identity Manager 3.1 文档。

已解决的问题

  • 在创建 Workspace 身份提供程序时,不会保存配置的 IDP 名称。 

    配置新的 Workspace 身份提供程序并为其提供唯一名称后,该 IDP 会使用名称 Workspace _IDP2 进行保存,而不使用配置的唯一名称。

  • 在升级到最新的 Identity Manager Desktop Client 时,未移除 Identity Manager Desktop 的快捷方式。

    在安装较新版本的 Identity Manager Desktop Client 时,将在“所有程序”视图中添加一个快捷方式链接,但不会移除旧版本(称为 Identity Manager Desktop)。

  • 从目录中导出应用程序时缺少图标

    从 VMware Identity Manager 目录中导出应用程序时,zip 文件不包含该应用程序的图标。

  • 安装 Windows IDM 后,Jira HW-74884 无法更新 jdbc 字符串

    安装 VMware Identity Manager 并且数据库需要设置为“始终同步”后,jbdc 字符串应当进行更改以反映 multiSubnetFailover=true。有一个语法错误会阻止其自动更改为 true。

  • 解决了在 iOS 设备上的 Workspace ONE 中启动 XenApp 时出现的问题

    解决了在重新启动 Workspace ONE 应用程序后启动 Horizon/Citrix 资源时,提示用户输入密码的问题。

已知问题

  • 没有为测试版客户创建人员搜索 OAuth2 模板。

    如果客户在 VMware Identity Manager 3.1 版本之前的测试版中使用人员搜索,则无法使用人员搜索 OAuth2 模板。必须创建该模板。

    要为人员搜索创建 OAuth2 模板,请在 VMware Identity Manager 管理控制台的“目录 > 设置 > 人员搜索”页中重新启用人员搜索应用程序。

  • 目录同步未从该服务中移除所有预期的组。

    在运行目录同步以移除大量组时(如超过 50% 的组),同步可能不会移除所有组。

    再次启动目录同步。

  • 对 ThinApp 软件包的请求不会更改为“待处理”

    在 Workspace ONE 应用程序门户中,当用户请求 ThinApp 软件包时,请求链接不会更改为“待处理”。

    用户必须再次登录到其门户。然后,将为 ThinApp 软件包显示“待处理”状态。

  • 配置文件同步试运行结果不包括提供更多详细信息的链接

    用户配置文件页面不包括显示完整详细信息以及添加/删除/更新结果的链接。

    没有解决办法。

  • 在安装证书以在 Windows 环境中的负载平衡器上终止 SSL 时,VMware Identity Manager 服务未启动。

    如果使用 openssl s_client-connect xx.xx.xx.xxx - showcerts 命令生成一个证书,然后在管理控制台中保存该证书,该服务将会停止。在重新启动后,不会安装该证书。

    在安装证书以在负载平衡器上支持 SSL 终止时,需要手动重新启动 VMware Identity Manager 服务。

  • 授权组使用 Horizon 应用程序后,不会同步 Horizon 应用程序授权

    如果用户最初是在为组提供 Horizon 应用程序授权时同步的,则不会将用户的 Horizon 应用程序用户级别授权添加到 VMware Identity Manager 中。

    添加单个用户。配置用户 DN 并同步单个用户。

  • 在 Windows 中安装 VMware Identity Manager 时出现错误的 connector.api.version 值

    在 Windows 环境中升级到 VMware Identity Manager 3.1 时,connector.api 版本的值不会更新,而仍保留设置为 3。正确的版本应为 5。 

    对于 Windows,在从较低版本升级到 VMware Identity Manager 3.1 时,请在升级后将
    “InstallPath\usr\local\horizon\conf\runtime-config.properties”中的 connector.api.version 属性更新为 5。

check-circle-line exclamation-circle-line close-line
Scroll to top icon