VMware Identity Manager 3.2 | 2018 年 3 月 | 内部版本 7986444

VMware Identity Manager Connector 2018.1.1 |  2018 年 3 月 | 内部版本 7986908

VMware Identity Manager Integration Broker 3.2 | 2018 年 3 月 | 内部版本 7724548

VMware Identity Manager Desktop 3.2 | 2018 年 3 月 | 内部版本 7952055

发行日期:2018 年 3 月 15 日

发行说明内容

本发行说明包括以下主题:

此版本的新增功能

Workspace ONE 用户体验

  • 提升了需要 VMware Tunnel 的应用程序和功能的体验
    • 这一改进通过更好地向用户告知应用程序是否依赖于 Tunnel 应用程序,从而增强了用户体验。将以一种直观的方式指导用户完成下载 Tunnel 应用程序和初始化 Tunnel 服务的过程。发布适用于 Android 的 Workspace ONE 应用程序版本 3.2.1 后,将可以在 Android 设备上执行 Tunnel 安装和重定向。
  • 如果未将任何应用程序加入书签,用户会登录到“目录”选项卡
    • 如果未将任何应用程序加入书签,用户启动 Workspace ONE 时,将显示“目录”选项卡,而不是空的“书签”选项卡。至少将一个应用程序加入书签后,用户启动 Workspace ONE 时,便会登录到“书签”选项卡。
  • 能够在 Workspace ONE 中隐藏“目录”或“书签”选项卡
    • 管理员可以在 Workspace ONE 中隐藏“目录”或“书签”选项卡,以便提供最符合最终用户需求的体验。这些设置位于“目录”>“设置”>“用户门户配置”页面中。隐藏选项卡后,用户便看不到用于将任何应用程序加入书签的选项。
  • 管理员定义的加入书签的应用程序
    • 管理员可以通过提供一组现成的首选应用程序,管理用户的首次体验。管理员可以选择最终用户在 Workspace ONE 门户或应用程序的“书签”页面中看到的应用程序。要实现此操作,需要先将应用程序标记为建议的应用程序。然后,在“目录”>“设置”>“用户门户配置”页面中,选择在“书签”选项卡中显示建议的应用程序选项。注意:不会显示以前曾由用户取消加入书签的应用程序,即使将这些应用程序标记为建议的应用程序并且启用了此功能也是如此。

VMware Identity Manager 服务的新增功能

  • 管理控制台中目录和访问策略的新用户体验
  • 管理员基于角色的访问控制 (RBAC)
    • 有三个默认的管理员角色可用。超级管理员拥有完全访问和控制权限。只读管理员拥有只读访问权限,可以查看控制台信息,例如报告。目录管理员能够管理用户、组和目录。
    • 现在,您可以在管理控制台中创建其他具有不同级别访问权限的管理员角色。例如,您可以创建如下管理员角色:能够管理目录资源,但不能授权用户访问资源,也不能创建访问策略。
    • 要了解有关 RBAC 的更多信息,请参阅博文《在 VMware Identity Manager 3.2 中引入基于角色的访问控制》
  • 集成 F5 APM 以启动 Horizon 7 资源
    • 如果您部署了 F5 APM(而不是 VMware Unified Access Gateway),并且想要使用 VMware Identity Manager 启动 Horizon 应用程序和桌面,则可以在 DMZ 中将 F5 APM 配置为经过身份验证的代理。请参阅 F5 文档,以了解此功能的版本兼容性要求。
  • 目录中的 OpenID Connect (OIDC) 应用程序
    • 除了使用 SAML 作为对应用程序进行单点登录 (SSO) 的协议之外,您现在还可以使用 OIDC 作为对应用程序进行 SSO 的协议。您可以采用与 SAML 应用程序相同的方式,为 OIDC 应用程序分配用户和访问策略。
  • 重置 Horizon Cloud 和 Horizon 7 桌面
    • 现在,用户可以通过 Workspace ONE 门户或应用程序重置 Horizon Cloud 或 Horizon 7 桌面。重置远程桌面相当于在物理计算机上按下重置按钮来强制重新启动计算机。当桌面操作系统没有响应时,可以使用重置操作。
  • 增强的策略操作
    • 在为默认访问策略或应用程序特定的访问策略创建新的策略规则时,您可以选择操作(如“身份验证方式”、“拒绝访问”和“允许访问而不进行其他身份验证”)以根据条件(如网络范围、设备类型以及用户所属的组)控制最终用户访问。以前,支持定义如何对最终用户进行身份验证的功能,但在 3.2 版中,管理员可以灵活地创建精细的策略定义。注意:默认访问策略的策略规则不支持“允许访问而不进行其他身份验证”选项。

国际化

VMware Identity Manager 3.2 提供了以下语言版本。

  • 英语
  • 法语
  • 德语
  • 西班牙语
  • 日语
  • 简体中文
  • 韩语
  • 繁体中文
  • 俄语
  • 意大利语
  • 葡萄牙语(巴西)
  • 荷兰语

兼容性、安装和升级

VMware vCenter™ 和 VMware ESXi™ 的兼容性

VMware Identity Manager 支持以下版本的 vSphere 和 ESXi。

  • 5.5、6.0 及更高版本

组件兼容性

VMware 产品互操作性列表提供了有关 VMware 产品和组件(如 VMware vCenter Server、VMware ThinApp 和 Horizon 7)的当前版本和以前版本的兼容性的详细信息。

VMware Identity Manager 管理控制台的浏览器兼容性

最新版本的 Mozilla Firefox、Google Chrome、Safari、Microsoft Edge 和 Internet Explorer 11

有关其他系统要求,请参阅《安装和配置 VMware Identity Manager》指南。

Intel 安全漏洞 Spectre 和 Meltdown

针对 Spectre 和 Meltdown 漏洞进行了安全修复。如果您正在将虚拟设备用于连接器或服务器,请立即将您的环境升级到 Identity Manager 版本 3.2,该版本会在设备中包含更新的 Linux 内核,可缓解安全漏洞 CVE-2017-5753、CVE-2017-5715 (Spectre) 和 CVE-2017-5754 (Meltdown)。

升级到 VMware Identity Manager 3.2

要升级到 3.2,请参阅《升级到 VMware Identity Manager》。在升级过程中,所有服务都将停止,因此如果仅配置了一个连接器,请在计划升级时考虑可能出现的停机。

在升级到 3.2 之前,请先升级到 3.1。您运行的必须是 VMware Identity Manager 3.1,才能升级到 VMware Identity Manager 3.2。

如果将 Citrix 发布的资源与 VMware Identity Manager 集成,请升级到最新版本的 Integration Broker。必须将 Integration Broker 3.2 与 VMware Identity Manager 3.2 服务一起运行

升级连接器

您可以从 2017.8.1.0 和 2017.12.1.99 升级到最新的连接器版本 2018.1.1.0。

从 2016.11.1 连接器升级。必须先将 2016.11.1 版本的连接器升级到 2017.12.1.99,然后才能升级到最新的连接器版本 2018.1.1.0。请参见知识库文章 2149179“从 VMware Identity Manager Connector 2016.11.1 升级”。

从 VMware Identity Manager 2.7.1 升级

要将 VMware Identity Manager 2.7.1 升级到 3.2,必须先升级到 2.9.2.x,然后再升级到 3.1。请参阅知识库文章 2151825《从 VMware Identity Manager 2.7.1 升级到 VMware Identity Manager 3.1》。

VMware Identity Manager 2.6 及更高版本默认禁用传输层安全 (Transport Layer Security, TLS) 1.0

从 VMware Identity Manager 2.6 开始,将禁用 TLS 1.0。我们建议您更新产品配置以使用 TLS 1.1 或 1.2。

现在已知道禁用 TLS 1.0 后会发生外部产品问题。如果 VMware Identity Manager 中的 Horizon、Horizon Air、Citrix 或负载平衡器实现依赖于 TLS 1.0,或者您使用 Office 365 活动流,请按照知识库文章 2144805 中的说明启用 TLS 1.0。

默认情况下,Windows 2008 R2、2012 和 Windows 7 操作系统不会启用 TLS1.1 和 1.2。在连接到 VMware Identity Manager 2.8 时,这可能会导致出现问题。请参阅 Microsoft 文章《更新以允许将 TLS 1.1 和 TLS 1.2 作为默认安全协议》

文档

VMware Identity Manager 3.2 文档位于 VMware Identity Manager 文档中心

已解决的问题

  • 对 ThinApp 软件包的请求不会更改为“待处理”

    在 Workspace ONE 应用程序门户中,在用户请求 ThinApp 软件包时,请求链接未更改为“待处理”。

     

  • 配置文件同步试运行结果不包括提供更多详细信息的链接

    用户配置文件页面不包括显示完整详细信息以及添加/删除/更新结果的链接。

     

  • 在安装证书以在 Windows 环境中的负载平衡器上终止 SSL 时,VMware Identity Manager 服务未启动。

    如果使用 openssl s_client-connect xx.xx.xx.xxx - showcerts 命令生成一个证书,然后在管理控制台中保存该证书,该服务将会停止。在重新启动后,不会安装该证书。

     

  • 目录同步未从该服务中移除所有预期的组。

    在运行目录同步以移除大量组时(如超过 50% 的组),同步可能不会移除所有组。

     

  • 没有为测试版客户创建人员搜索 OAuth2 模板。

    如果客户在 VMware Identity Manager 3.1 版本之前的测试版中使用人员搜索,则无法使用人员搜索 OAuth2 模板。必须创建该模板。

     

  • 授权组使用 Horizon 应用程序后,不会同步 Horizon 应用程序授权

    如果用户最初是在为组提供 Horizon 应用程序授权时同步的,则不会将用户的 Horizon 应用程序用户级别授权添加到 VMware Identity Manager 中。

     

  • 在 Windows 中安装 VMware Identity Manager 时出现错误的 connector.api.version 值

    在 Windows 环境中升级到 VMware Identity Manager 3.1 时,connector.api 版本的值不会更新,而仍保留设置为 3。正确的版本应为 5。 

已知问题

  • 管理员基于角色的访问控制 (RBAC) 的已知问题

     要管理 VMware Verify,管理员角色将需要“身份和访问管理”服务,以及“管理用户和组”与“管理用户”服务。

    • 只有超级管理员角色才能管理 ThinApp 授权。
    • 必须具备超级管理员角色,才能开始使用“虚拟应用程序集合”功能。首次选择“目录”>“虚拟应用程序”>“虚拟应用程序配置”选项卡时,会显示“‘虚拟应用程序集合’简介”链接,此时您需要单击“开始”才能显示“虚拟应用程序配置”页面。此初始入门流程要求具备超级管理员角色。之后,具有“目录”服务的管理员角色便可以管理虚拟应用程序集合页面。

    解决办法:无

  • 管理控制台中目录页面和访问策略页面的新用户体验的已知问题
    • 尚未为 Socialcast、GoogleApps、Mozy 和 vCHS 启用置备适配器。
    • 对于 Office 365,向 Web 目录中添加应用程序后,置备适配器不可访问。要访问“置备”,请选择“编辑”。
    • “导入”功能在目录页面中不可用。
    • Web 应用程序无法按类别进行筛选。

    解决办法:恢复到旧用户界面。租户可以请求关闭新的 UI 标记。

  • 仅当在 Windows Server 上启用了 SMB1 时,才支持将 ThinApp 与 VMware Identity Manager 集成

    要将 ThinApp 与 VMware Identity Manager 集成,必须在 Windows Server 上启用 SMB1。

    解决办法:无

  • 将较低版本的连接器与 VMware Identity Manager 3.2 一起使用时,Citrix 应用程序启动失败

    对于 Citrix 集成,必须将 Connector 版本 2018.1.1.0 与 VMware Identity Manager 3.2 一起使用。如果使用较低版本的连接器,内部网络中的用户启动应用程序时会失败。此问题发生在 3.2 中新设置的 Citrix 集成上。现有集成将会继续正常工作。

    解决办法

    编辑所有内部网络范围,并将内部网络范围的客户端访问 URL 端口更新为 Citrix XML 端口。
    1.选择“目录”>“虚拟应用程序”选项卡。
    2.单击“虚拟应用程序设置”,然后选择“网络设置”。
    3.单击网络范围,更新相应端口,然后单击“完成”。

  • 现有的 Horizon Cloud 应用程序未与任何访问策略相关联。

    在将 VMware Identity Manager 升级到 3.2 后,现有的 Horizon Cloud 应用程序未与访问策略相关联。

    解决办法:编辑应用程序,选择要与其关联的正确访问策略。如果重新同步应用程序,默认访问策略将会自动与应用程序相关联。

check-circle-line exclamation-circle-line close-line
Scroll to top icon