VMware Workspace ONE Access for Linux 20.01 | 2020 年 1 月 | javascript:void('Brown')内部版本 15509389

VMware Workspace ONE Access Connector (Windows) 20.01 | 2020 年 1 月 | 内部版本 Workspace ONE Access Connector 20.01.0 Installer.exe

发行日期:2020 年 1 月 30 日

更新日期:2020 年 12 月 8 日

2020 年 12 月 8 日新增     已确定此版本受 CVE-2020-4006 的影响。提供了一些修订和解决方法来解决此漏洞。有关更多信息,请参阅 VMSA-2020-0027

发行说明内容

本发行说明包含以下主题。

VMware Workspace ONE Access 20.01 的新增功能

VMware Workspace ONE Access 以前称为 VMware Identity Manager

VMware Workspace ONE Access 是 VMware Identity Manager 的新名称。这次名称变更并未导致移除任何功能。

 已修改了连接器和连接器管理

  • 可单独安装连接器组件。包括以下三个组件:
    • 目录同步服务 - 将 Active Directory 或 LDAP 目录中的用户同步到 Workspace ONE Access 服务。
    • 用户身份验证服务 - 提供密码(云)、RSA SecurID(云)和 RADIUS(云)部署。
    • Kerberos 身份验证服务 - 为内部用户提供 Kerberos 身份验证。
  • 已改进并简化了连接器配置和生命周期管理
    • 目录同步服务和身份验证方法服务功能配置已移至 Workspace ONE Access 服务中。目录同步的配置位于“身份和访问管理”>“目录”页面中。用户身份验证和 Kerberos 身份验证方法的配置位于 Workspace ONE Access 控制台中的“身份和访问管理”>“企业身份验证方法”页面中。连接器中不存储任何配置详细信息。
    • 您可以根据需要轻松添加和移除连接器。
  • 目录同步
    • 已改进了稳定性并降低了资源需求。
    • 现在,目录同步是从 Workspace ONE Access 服务中驱动的。用户可以在控制台的“目录配置”页面中轻松添加更多目录同步节点,以实现同步高可用性。
    • 已移除了执行同步试运行的功能。
    • 已移除了“测试目录”按钮。保存目录配置后,目录同步服务将测试 Active Directory 中的目录配置。
    • 现在,UI 中提供了两个同步选项:有安全措施的同步和无安全措施的同步。可以从“身份和访问管理”>“目录”页面中的目录列表或从特定目录登录页面中执行这些操作。
    • 创建 IWA 目录后,在该目录的“域”选项卡中将仅显示已保存到数据库的域。管理员必须选择刷新按钮以查看与基础域具有双向信任关系的所有域。
    • 目录的“组”选项卡将显示已保存的组 DN 以及数据库中的映射组。将不会自动调用目录同步服务以提取其他详细信息(例如,容器中的组数)。您必须明确单击选择按钮才能运行 Active Directory 查询,以提取特定组 DN 的组数。
    • 保存用户属性映射、用户 DN、组 DN、安全措施和同步计划配置,并不会将这些信息发送到连接器上的目录同步服务。这些配置保存在 Workspace ONE Access 服务数据库中,因为目录同步服务是无状态的。

已通过 VMware Site Recovery Manager 简化了灾难恢复设置

支持从 Windows 19.03 到 Linux 20.01 的服务迁移

  • 可协助将配置从 Windows 19.03 迁移到 Linux 20.01。
  • VMware Identity Manager Windows 服务将于 2020 年 11 月 24 日终止一般支持 (EOGS)。请参阅终止一般支持知识库文章 2961184

支持内部部署的 Hub 目录和 Workspace ONE Intelligent Hub 应用程序

  • 在 Web 浏览器视图上,Hub 目录默认处于开启状态。
    • 升级到 20.01 的客户可以选择关闭新体验,并恢复 Workspace ONE 浏览器旧版目录体验。要关闭 Hub 目录,请转至“目录”>“Hub 配置”页面以启动“Hub 服务”控制台。  在显示的“自定义”页面上,关闭“Hub 浏览器体验”单选按钮。
    • 如果在升级后要使用 Hub 目录,并且在升级后在 VMware Identity Manager 服务中自定义了 Workspace ONE 目录页面和登录屏幕,则您需要转至“Hub 服务”控制台并自定义品牌标识页面以添加自己的徽标和颜色。请参阅在 Workspace ONE Access 部署中使用 Hub 目录
  • 支持从旧版 Workspace ONE 应用程序迁移到 Workspace ONE Intelligent Hub 中的新版目录。

Workspace ONE Access 设备设置 UI 更改

  • “设备设置”选项卡可管理 SMTP、许可证和遥测配置。
  • VA 配置已移至“系统诊断”仪表板中。单击仪表板中列出的设备的 VA 配置,以登录到该设备的“VA 配置”控制台。

国际化

VMware Workspace ONE Access 20.01 提供以下语言版本。

  • 英语
  • 法语
  • 德语
  • 西班牙语
  • 日语
  • 简体中文
  • 韩语
  • 繁体中文
  • 俄语
  • 意大利语
  • 葡萄牙语(巴西)
  • 荷兰语

兼容性、安装和升级

VMware vCenter™ 和 VMware ESXi™ 的兼容性

VMware Workspace ONE Access 设备支持以下版本的 vSphere 和 ESXi。

  •  6.5 U3、6.7 U2、6.7 U3

组件兼容性

支持的 Windows Server

  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019

支持的 Web 浏览器

  • Mozilla Firefox,最新版本
  • Google Chrome 42.0 或更高版本
  • Internet Explorer 11
  • Safari 6.2.8 或更高版本
  • Microsoft Edge,最新版本

支持的数据库

  • MS SQL 2012、2014、2016 和 2017

支持的目录服务器

  • Active Directory - 单个 AD 域、单个 AD 林中的多个域,或多个 AD 林中的多个域。
  • OpenLDAP - 2.4.42
  • Oracle LDAP - Directory Server Enterprise Edition 11g 版本 1 (11.1.1.7.0)
  • IBM Tivoli Directory Server 6.3.1

VMware 产品互操作性列表提供了有关 VMware 产品和组件(如 VMware vCenter Server、VMware ThinApp 和 Horizon 7)的当前版本和以前版本的兼容性的详细信息。

有关系统要求,请参阅 Workspace ONE Access 文档中心内的《VMware Workspace ONE Access 20.01 安装指南》。

升级到 VMware Workspace ONE Access 20.01 (Linux)

VMware Identity Manager 设备必须为版本 19.03,才能升级到 Workspace One Access 20.01。

升级到 Workspace One Access 20.01 之前,请先将 VMware Identity Manager 3.3 升级到版本 19.03。

升级前

  • 在升级之前,为确保 Elasticsearch 数据不被删除,请对 Elasticsearch 进行升级前的准备。请参阅《升级到 VMware Workspace ONE Access 20.01》指南中的联机升级的必备条件

要升级到 Workspace ONE Access for Linux 20.01,请参阅 Workspace ONE Access 文档中心内的“升级到 VMware Workspace ONE Access 20.01 (Linux)”。在升级过程中,所有服务都将停止,因此,请在计划升级时考虑可能出现的停机。

升级后

  • 请确保转至 Workspace ONE Access 控制台中的 Workspace ONE UEM 页面,然后单击 Workspace ONE UEM 配置部分中的保存以填充设备服务 URL。如果不更新设备服务 URL,则使用 UEM 的新设备注册将失败。请参阅《Workspace ONE Access 升级指南》中的升级后的配置主题中的“保存 Workspace ONE UEM 配置”部分。

将 VMware Identity Manager for Windows 迁移到 Workspace ONE Access 20.01 (Linux)

从版本 20.01 开始,只能在 Linux 上本地使用 Workspace ONE Access 服务。

要将 Windows 计算机迁移到 Workspace ONE Access 20.01 设备,请参阅 Workspace ONE Access 文档中心内的《将 VMware Workspace ONE Access 20.01 从 Windows 迁移到 Linux》指南,以了解如何完成迁移步骤。

VMware Identity Manager (Windows) 必须为版本 19.03,才能迁移到 Workspace ONE Access 20.01 (Linux)

迁移到 20.01 后

  • 如果正在使用证书(云部署)身份验证,请在迁移后更新 runtime-config.properties 文件以继续使用证书身份验证。  请参阅 Workspace ONE Access 20.01 迁移后配置中的第 4 步。

VMware Workspace ONE Access Connector 20.01.0.0 (Windows)

VMware Workspace ONE Access Connector 是 VMware Workspace ONE Access(已集成到内部部署的基础架构)的一个内部部署组件。连接器是可单独安装或在 Windows Server 上一起安装的企业服务的集合。可以安装以下服务组件。

  • 目录同步服务,用于从企业目录同步用户
  • 用户身份验证服务,包括密码(云)、RSA SecurID(云)和 RADIUS(云)
  • Kerberos 身份验证服务,用于 Kerberos 身份验证

迁移到 Workspace ONE Access Connector 20.01

升级到 Workspace ONE Access 后,要使用新的 Workspace ONE Access Connector 20.01,请安装一个或多个 20.01 连接器,然后将现有的目录和身份验证方法从 19.03 连接器迁移到新连接器。

适用于 20.01 Connector 的 Windows Server 必须与旧版连接器服务器分开。在迁移过程中,您将在使用旧连接器和新连接器之间进行切换以测试迁移。在迁移过程中,19.03 旧版连接器服务器必须处于运行状态。迁移完成之前,请勿卸载 19.03 Connector。

无法将旧的连接器版本升级到 20.01。

请参阅 Workspace ONE Access 文档中心内的《连接器迁移指南》

迁移前

  • 请确保所有旧版连接器均为 19.03 版本
  • 将 RSA SecurID 身份验证迁移到 20.01 Connector 之前,请确保在 RSA 安全控制台中清除节点密钥。

虚拟应用程序

Workspace ONE Access Connector 20.01 不支持虚拟应用程序(Citrix、Horizon、Horizon Cloud 和 ThinApp 集成)。如果您的环境包含虚拟应用程序,或者您计划在将来使用虚拟应用程序,请不要迁移到 Workspace ONE Access Connector 20.01。

要在 Workspace ONE Access 20.01 中使用虚拟应用程序,您必须使用 VMware Identity Manager Connector 版本 19.03。

  • VMware Identity Manager Integration Broker 19.03 | 2019 年 4 月 |内部版本 13221855 仅适用于 VMware Identity Manager Connector 版本 19.03。

要将 VMware ThinApp 与 Workspace ONE Access 20.01 结合使用,您必须使用基于 Linux 的 VMware Identity Manager Connector 设备版本 2018.8.1。  如果使用 ThinApp 软件包,则不会升级到 19.03 或 20.01 版本的 VMware Workspace ONE Access Connector。

  • VMware Identity Manager Desktop 3.2 | 2018 年 3 月 | 内部版本 7952055 可以与 ThinApp 软件包一起使用

文档

VMware Workspace ONE Access 文档中心提供了 VMware Workspace ONE Access 20.01 文档。

已解决的问题

  • HW-111546    已将第三方库 jackson-databind 升级到最新版本来修复漏洞。

  • HW-111493    密码(云)显示在策略身份验证方法中,无需手动编辑身份提供程序。

  • HW-111177    允许管理员配置可信的 URL,以便在 iFrame 中呈现 Workspace ONE Access 登录屏幕。

  • HW-110395    已将第三方组件升级到最新版本来修复漏洞。

  • HW-110384    解决了与请求批准应用程序有关的问题。请参阅 Workspace ONE Access 文档页面中的针对资源使用启用应用程序批准

  • HW-109900    如果第三方 IDP 正在主机名中进行身份验证,那么连接器 URL 处理不正确。此修补程序更正了 IDP URL。

  • HW-109709    无法创建用于管理某些特定资源的权利的角色。已解决了该问题。

  • HW-109099    这解决了带有文本“设置供应”的问题,该文本用于显示应用程序添加/编辑向导中的供应配置步骤,而不是实际设置应用程序的供应。已将该文本更改为“显示供应选项”,并添加了用于说明此选项用途的提示文本。

  • HW-109018    仅同步连接器在连接器列表页面中显示“同步并身份验证”。此修补程序解决了该问题。

  • HW-106922    提供了一个 REST API,用于将 19.03 或更低版本的连接器设置为目录同步连接器。

  • HW-106192    如果用户单击链接或在浏览器中输入 Workspace ONE Access URL,那么在加载页面后,焦点不在“用户名”字段中。做出此更改是为了解决该问题,因此用户可以立即开始输入用户名/密码并登录到系统,而无需单击或点击登录页面。

  • HW-106121    这涉及在 Workspace ONE Access 管理控制台中将 AirWatch 的所有引用重命名为 Workspace ONE UEM。已对 AirWatch 配置设置页面、身份验证方法列表/编辑页面、身份提供程序列表/编辑页面以及编辑策略页面进行了此更改。

  • HW-105990    这修复了 Workspace ONE Access 管理控制台中输入字段的跨站点脚本安全漏洞。特别是固定的用户名和组名输入值。

  • HW-103859    Workspace ONE Access 仪表板报告页面显示了首次打开时间(用 UTC 表示)。此修补程序将按本地时区显示该日期。

  • HW-103065    Android SSO 未使用端口 7443。更正了字符串,并且从配置器 UI 的“安装 SSL 证书”=>“直通证书”页面中移除了“此证书也可用于 Android SSO”。

  • HW-102820    在用户名登录和域选择页面中将“记住此设置”设置为默认值 false,因此在下次登录时会取消选中“记住此设置”选项。

  • HW-102616    已将基本 SLES SP4 操作系统升级到 LTSS 存储库,同时还升级了易受攻击的软件包。

  • HW-102471    通过在尝试保存审计记录之前过滤掉较旧的记录,可防止在尝试保存日期早于分析保留时间策略值 (analytics.maxQueryDays) 的审计记录时出现问题。

  • HW-102016    此修补程序将“内置 IDP”页面限制为仅允许选择 1 个用户存储库(在创建内置 IDP 时选择此项)。目前,Workspace IDP 仅允许选择 1 个用户存储库,但内置 IDP 允许使用多个用户存储库。

  • HW-101717    People Search 可以基于 msExchHideFromAddressLists 属性来过滤掉用户。

  • HW-101711    此修补程序支持以下行为更改:  从 Active Directory 加载组时显示加载图标。始终将所选组显示在顶部。将所选组计数更改为只读,并仅显示所选组计数。总计数显示在“选择更多组”模态对话框上,并且可通过 API 调用从 Active Directory 重新获取此计数。   此更改仅对基于 20.01 连接器的目录组同步列表有效。

  • HW-101708    这提供了可在采取和不采取保护措施的情况下同步目录的选项。已移除了试运行。这些更改仅对基于 20.01 连接器的目录有效。

  • HW-101684    在启动过程中跳过已禁用 SAML 的连接服务器的元数据刷新以进行优化。

  • HW-101642    此修补程序更正了“添加目录”对话框中的帮助文本和标签。

  • HW-101586    由 Workspace ONE Access 生成的自签名 SSL 证书现在包含主题备用名称。这样,Chrome 58+ 等浏览器就可以进行连接,而不会报告缺少元素

  • HW-101203    更新了 elasticsearch 配置,在集群完全重新启动后,恢复操作会等待正确数量的节点。这有助于防止集群在完全重新启动后陷入红色状态。

  • HW-100661    解决了在配置代理服务器时“角色”选项卡不起作用的问题。请参阅为 Workspace ONE Access 设置代理服务器设置

  • HW-100273    添加了对 Office 365(由 21Vianet 运营)的支持。

  • HW-95673    解决了系统诊断仪表板上错误显示“连接到应用程序时出错”状态的问题。在访问策略中使用了第三方 IDP 并且服务设备无法访问该 IDP 时,就会错误地显示此状态。

  • HW-93025    启用 PeopleSearch 不会影响与 20.01 连接器的正常目录同步。

  • HW-92353    管理员可以决定在 Workspace ONE Access 登录页面上不显示“更改为其他域”选项。

  • HW-76920    按照 Workspace ONE Access 文档页面中的配置系统日志服务器说明,可以将 Workspace ONE Access 配置为将应用程序级别的日志发送到外部系统日志服务器。  此功能允许安装 Log Insight Agent,以便将日志转发到 Log Insight 服务器。请参阅 vRealize Log Insight 文档以获取该产品的概述。

 

已知问题

  • 配置 RSA SecurID 身份验证方法偶尔会失败

    尝试在 Workspace ONE Access 控制台中保存 SecurID 配置时,您会收到一条错误消息,指出未设置 RSA 身份验证。

    1.在看到错误后,再次尝试保存配置。(多次尝试保存配置。)

    2.  如果此操作不起作用,请重新启动安装了用户身份验证服务的连接器。

  • 无法从 Workspace ONE Access 20.01 Connector 删除类型为“其他”的目录 (AirWatch Cloud Connector)

    单击“删除目录”来从 Workspace ONE Access 控制台中删除类型为“其他”的目录(通常为 AirWatch Cloud Connector 目录)时,进度条将继续移动,但不会删除该目录。

    请联系支持部门以获取用于删除目录的 API。

  • 对于使用移动网络(例如 Verizon 和 T-Mobile)的设备,对 Workspace ONE Access 执行 iOS 移动 SSO 身份验证失败

    如果您的手机套餐是使用 IPv6 地址的 Verizon 或 T-Mobile 套餐,并且使用内置 KDC 进行 iOS 移动 SSO 身份验证,那么用户将无法使用 iOS 移动 SSO 登录到应用程序。
    用户仍然可以通过企业 WIFI 或其他外部 WIFI 网络来登录。 

    要解决此问题,可以从内置 KDC 切换到 Workspace ONE Access KDC 云托管服务。请参阅使用云托管的 KDC 服务在 Workspace ONE Access 中配置 iOS 移动 SSO 身份验证主题。

    如果您不想使用云托管的 KDC 服务,那么需要配置一个 KDC 负载均衡器,以便处理 IPv6 请求并通过 IPv4 代理请求以进行身份验证。有关如何完成此操作的详细信息,请查阅您的负载均衡器文档。

     

check-circle-line exclamation-circle-line close-line
Scroll to top icon