适用于 Linux 的 VMware Identity Manager 3.2.0.1 | 2018 年 5 月 | 内部版本 8435214

适用于 Windows 的 VMware Identity Manager 3.2.0.1 | 2018 年 5 月 | 内部版本 VMware_Identity_Manager_3.2.0.1_Full_Install.exe

VMware Identity Manager Connector 2018.1.1.1 | 2018 年 5 月 | 内部版本 8435207

VMware Enterprise Systems Connector 2018.1.1.1 | 2018 年 5 月 | 内部版本 VMware Enterprise Systems Connector Installer.exe

VMware Identity Manager Integration Broker 3.2 | 2018 年 3 月 | 内部版本 8365776

VMware Identity Manager Desktop 3.2 | 2018 年 3 月 | 内部版本 7952055

发行日期:2018 年 5 月 10 日

发行说明内容

本发行说明包括以下主题:

VMware Identity Manager 服务 3.2.0.1 中的新增功能

  • 适用于 VMware Identity Manager 的 Windows Installer
    • 为 VMware Identity Manager 创建了一个单独的 Windows Installer 以便更快速地进行下载和安装。
    • 从安装程序中移除了某些配置步骤。现在,您可以在安装完成后使用 Web 浏览器配置 Identity Manager 服务。
    • 如果您使用的是适用于 Windows 的 VMware Identity Manager 3.1 或更低版本,请升级到此版本以获得 3.2 版本的功能和错误修复。
  • 增强了 Configurator UI
    • 可以通过 Configurator UI 而不是命令行生成群集文件并配置代理设置。
  • Citrix 集成
    • Windows 2016 Server 上现在支持 Integration Broker
    • 通过 Storefront API 选项启动 Citrix 应用程序不再需要配置 ICA。
  • 改进了故障诊断功能
    • 在“系统诊断仪表板”上添加了以下运行状况检查,以便能够更快速地确定和解决问题。
      • SSL 直通证书
      • 访问控制服务 (ACS) 运行状况
      • Configurator 中所安装的证书列表
      • 数据库验证失败原因
      • 节点的磁盘空间使用情况
      • 弹性搜索运行状况和其他详细信息
  • 客户体验提升计划
    • VMware 客户体验提升计划(简称“CEIP”)将提供相关信息,以帮助 VMware 改进我们的产品和服务、解决问题,并向您建议如何以最佳方式部署和使用我们的产品。有关更多详细信息,请参阅 https://www.vmware.com/cn/solutions/trustvmware/ceip.html

VMware Identity Manager 3.2 的新增功能

Workspace ONE 用户体验

  • 提升了需要 VMware Tunnel 的应用程序和功能的体验
    • 这一改进通过更好地向用户告知应用程序是否依赖于 Tunnel 应用程序,从而增强了用户体验。将以一种直观的方式指导用户完成下载 Tunnel 应用程序和初始化 Tunnel 服务的过程。发布适用于 Android 的 Workspace ONE 应用程序版本 3.2.1 后,将可以在 Android 设备上执行 Tunnel 安装和重定向。
  • 如果未将任何应用程序加入书签,用户会登录到“目录”选项卡
    • 如果未将任何应用程序加入书签,用户启动 Workspace ONE 时,将显示“目录”选项卡,而不是空的“书签”选项卡。至少将一个应用程序加入书签后,用户启动 Workspace ONE 时,便会登录到“书签”选项卡。
  • 能够在 Workspace ONE 中隐藏“目录”或“书签”选项卡
    • 管理员可以在 Workspace ONE 中隐藏“目录”或“书签”选项卡,以便提供最符合最终用户需求的体验。这些设置位于“目录”>“设置”>“用户门户配置”页面中。隐藏选项卡后,用户便看不到用于将任何应用程序加入书签的选项。
  • 管理员定义的加入书签的应用程序
    • 管理员可以通过提供一组现成的首选应用程序,管理用户的首次体验。管理员可以选择最终用户在 Workspace ONE 门户或应用程序的“书签”页面中看到的应用程序。要实现此操作,需要先将应用程序标记为建议的应用程序。然后,在“目录”>“设置”>“用户门户配置”页面中,选择在“书签”选项卡中显示建议的应用程序选项。注意:不会显示以前曾由用户取消加入书签的应用程序,即使将这些应用程序标记为建议的应用程序并且启用了此功能也是如此。

VMware Identity Manager 服务 3.2 中的新增功能

  • 管理控制台中目录和访问策略的新用户体验
  • 管理员基于角色的访问控制 (RBAC)
    • 有三个默认的管理员角色可用。超级管理员拥有完全访问和控制权限。只读管理员拥有只读访问权限,可以查看控制台信息,例如报告。目录管理员能够管理用户、组和目录。
    • 现在,您可以在管理控制台中创建其他具有不同级别访问权限的管理员角色。例如,您可以创建如下管理员角色:能够管理目录资源,但不能授权用户访问资源,也不能创建访问策略。
    • 要了解有关 RBAC 的更多信息,请参阅博文《在 VMware Identity Manager 3.2 中引入基于角色的访问控制》
  • 集成 F5 APM 以启动 Horizon 7 资源
    • 如果您部署了 F5 APM(而不是 VMware Unified Access Gateway),并且想要使用 VMware Identity Manager 启动 Horizon 应用程序和桌面,则可以在 DMZ 中将 F5 APM 配置为经过身份验证的代理。请参阅 F5 文档,以了解此功能的版本兼容性要求。
  • 目录中的 OpenID Connect (OIDC) 应用程序
    • 除了使用 SAML 作为对应用程序进行单点登录 (SSO) 的协议之外,您现在还可以使用 OIDC 作为对应用程序进行 SSO 的协议。您可以采用与 SAML 应用程序相同的方式,为 OIDC 应用程序分配用户和访问策略。
  • 重置 Horizon Cloud 和 Horizon 7 桌面
    • 现在,用户可以通过 Workspace ONE 门户或应用程序重置 Horizon Cloud 或 Horizon 7 桌面。重置远程桌面相当于在物理计算机上按下重置按钮来强制重新启动计算机。当桌面操作系统没有响应时,可以使用重置操作。
  • 增强的策略操作
    • 在为默认访问策略或应用程序特定的访问策略创建新的策略规则时,您可以选择操作(如“身份验证方式”、“拒绝访问”和“允许访问而不进行其他身份验证”)以根据条件(如网络范围、设备类型以及用户所属的组)控制最终用户访问。以前,支持定义如何对最终用户进行身份验证的功能,但在 3.2 版中,管理员可以灵活地创建精细的策略定义。注意:默认访问策略的策略规则不支持“允许访问而不进行其他身份验证”选项。

国际化

VMware Identity Manager 3.2 提供了以下语言版本。

  • 英语
  • 法语
  • 德语
  • 西班牙语
  • 日语
  • 简体中文
  • 韩语
  • 繁体中文
  • 俄语
  • 意大利语
  • 葡萄牙语(巴西)
  • 荷兰语

兼容性、安装和升级

VMware vCenter™ 和 VMware ESXi™ 的兼容性

VMware Identity Manager 支持以下版本的 vSphere 和 ESXi。

  • 5.5、6.0 及更高版本

组件兼容性

VMware 产品互操作性列表提供了有关 VMware 产品和组件(如 VMware vCenter Server、VMware ThinApp 和 Horizon 7)的当前版本和以前版本的兼容性的详细信息。

VMware Identity Manager 管理控制台的浏览器兼容性

最新版本的 Mozilla Firefox、Google Chrome、Safari、Microsoft Edge 和 Internet Explorer 11

有关其他系统要求,请参阅《安装和配置 VMware Identity Manager》指南。

Intel 安全漏洞 Spectre 和 Meltdown

针对 Spectre 和 Meltdown 漏洞进行了安全修复。如果您正在将虚拟设备用于连接器或服务器,请立即将您的环境升级到 Identity Manager 版本 3.2,该版本会在设备中包含更新的 Linux 内核,可缓解安全漏洞 CVE-2017-5753、CVE-2017-5715 (Spectre) 和 CVE-2017-5754 (Meltdown)。请参阅 http://www.vmware.com/cn/security/advisories/VMSA-2018-0007.html

升级到适用于 Linux 的 VMware Identity Manager 3.2.0.1

要升级到适用于 Linux 的 VMware Identity Manager 3.2.0.1,请参阅升级到 VMware Identity Manager。在升级过程中,所有服务都将停止,因此如果仅配置了一个连接器,请在计划升级时考虑可能出现的停机。

在升级到 3.2.0.1 之前,请先升级到 3.1。您运行的必须是 VMware Identity Manager 3.1 或 3.2,才能升级到 VMware Identity Manager 3.2.0.1。

如果将 Citrix 发布的资源与 VMware Identity Manager 集成,请升级到最新版本的 Integration Broker。必须将 Integration Broker 3.2 与 VMware Identity Manager 最新版本服务一起运行。

升级连接器

您可以从 2017.8.1.0、2017.12.1.0 和 2018.1.1.0 版本升级到最新的连接器版本 2018.1.1.1。

从 2016.11.1 连接器升级。必须先将 2016.11.1 版本的连接器升级到 2017.12.1.99,然后才能升级到最新的连接器版本 2018.1.1.1。请参阅知识库文章 2149179《从 VMware Identity Manager Connector 2016.11.1 升级》。

从 VMware Identity Manager 2.7.1 升级

要将 VMware Identity Manager 2.7.1 升级到 3.2,必须先升级到 2.9.2.x,然后再升级到 3.1。请参阅知识库文章 2151825《从 VMware Identity Manager 2.7.1 升级到 VMware Identity Manager 3.1》。

升级到适用于 Windows 的 VMware Identity Manager 3.2.0.1

从适用于 Windows 的 VMware Identity Manager 3.2.0.1 开始,AirWatch 安装程序 EXE 安装文件中不再包含安装 VMware Identity Manager。单独的 VMware Identity Manager EXE 安装文件可以从 My VMware 下载页面下载获得。

对于 AirWatch 版本 9.2.2 到 9.3.x,VMware Identity Manager 3.1(Windows 版本)作为 AirWatch 的一部分进行安装。
要升级到版本 3.2.0.1,VMware Identity Manager 必须为适用于 Windows 的 3.1 版本。

升级到适用于 Windows 的 3.2.0.1 时,VMware Identity Manager 安装目录将从 AirWatch 目录结构迁移到服务器上的转储目录,还将卸载 AirWatch 目录,并升级到适用于 Windows 的 VMware Identity Manager 3.2.0.1。 

请参阅 VMware Identity Manager 文档中心中的《迁移适用于 Windows 的 VMware Identity Manager》指南。

VMware Identity Manager 2.6 及更高版本默认禁用传输层安全 (Transport Layer Security, TLS) 1.0

从 VMware Identity Manager 2.6 开始,将禁用 TLS 1.0。我们建议您更新产品配置以使用 TLS 1.1 或 1.2。

现在已知道禁用 TLS 1.0 后会发生外部产品问题。如果 VMware Identity Manager 中的 Horizon、Horizon Air、Citrix 或负载平衡器实现依赖于 TLS 1.0,或者您使用 Office 365 活动流,请按照知识库文章 2144805 中的说明启用 TLS 1.0。

默认情况下,Windows 2008 R2、2012 和 Windows 7 操作系统不会启用 TLS1.1 和 1.2。在连接到 VMware Identity Manager 2.8 时,这可能会导致出现问题。请参阅 Microsoft 文章《更新以允许将 TLS 1.1 和 TLS 1.2 作为默认安全协议》

文档

VMware Identity Manager 3.2 文档(包括适用于 3.2.0.1 的更新)位于 VMware Identity Manager 文档中心

已知问题

  • 管理员基于角色的访问控制 (RBAC) 的已知问题
    •  要管理 VMware Verify,管理员角色将需要“身份和访问管理”服务以及“管理用户”服务。
    • 只有超级管理员角色才能管理 ThinApp 授权。
    • 必须具备超级管理员角色,才能开始使用“虚拟应用程序集合”功能。首次选择“目录”>“虚拟应用程序”>“虚拟应用程序配置”选项卡时,会显示“‘虚拟应用程序集合’简介”链接,此时您需要单击“开始”才能显示“虚拟应用程序配置”页面。此初始入门流程要求具备超级管理员角色。之后,具有“目录”服务的管理员角色便可以管理虚拟应用程序集合页面。
    • 只有组中用户数量少于 500 个的组才能提升为管理员角色。

    解决办法:无

  • 管理控制台中目录页面和访问策略页面的新用户体验的已知问题
    • 尚未为 Socialcast、GoogleApps、Mozy 和 vCHS 启用置备适配器。
    • 对于 Office 365,向 Web 目录中添加应用程序后,置备适配器不可访问。要访问“置备”,请选择“编辑”。
    • “导入”功能在目录页面中不可用。
    • Web 应用程序无法按类别进行筛选。

    解决办法:无

  • 仅当在 Windows Server 上启用了 SMB1 时,才支持将 ThinApp 与 VMware Identity Manager 集成

    要将 ThinApp 与 VMware Identity Manager 集成,必须在 Windows Server 上启用 SMB1。

    解决办法:无

  • 将较低版本的连接器与 VMware Identity Manager 3.2 一起使用时,Citrix 应用程序启动失败

    对于 Citrix 集成,必须将 Connector 版本 2018.1.1.0 与 VMware Identity Manager 3.2 一起使用。如果使用较低版本的连接器,内部网络中的用户启动应用程序时会失败。此问题发生在 3.2 中新设置的 Citrix 集成上。现有集成将会继续正常工作。

    解决办法

    编辑所有内部网络范围,并将内部网络范围的客户端访问 URL 端口更新为 Citrix XML 端口。
    1.选择“目录”>“虚拟应用程序”选项卡。
    2.单击“虚拟应用程序设置”,然后选择“网络设置”。
    3.单击网络范围,更新相应端口,然后单击“完成”。

  • 现有的 Horizon Cloud 应用程序未与任何访问策略相关联。

    在将 VMware Identity Manager 升级到 3.2 后,现有的 Horizon Cloud 应用程序未与访问策略相关联。

    解决办法:编辑应用程序,选择要与其关联的正确访问策略。如果重新同步应用程序,默认访问策略将会自动与应用程序相关联。

  • 在群集环境中无法立即看到对 AirWatch 设置的更改

    将 AirWatch 与 VMware Identity Manager 集成并对 AirWatch 配置进行更改后,对 AirWatch 配置所做的更改只反映在管理员请求所到达的节点上。如果最终用户访问其他节点,他们可能看不到 AirWatch 应用程序,因为其他节点上没有更新后的 AirWatch 配置。不会立即更新所有节点上的状态(缓存)。缓存将在 24 小时后进行更新。

    解决办法:做出更改后,重新启动每个 VMware Identity Manager 节点。

check-circle-line exclamation-circle-line close-line
Scroll to top icon