VMware Workspace ONE Access for Linux 20.10 | 2020 年 10 月 | 内部版本 17035009

VMware Workspace ONE Access Connector (Windows) 20.10 | 2020 年 10 月 | 内部版本 Workspace ONE Access Connector 20.10 Installer.exe

VMware Identity Manager Connector (Windows) 19.03 | 2019 年 4 月 | 内部版本 VMware Identity Manager Connector 19.03.0 Installer.exe

VMware Identity Manager Connector (Windows) 19.03.0.1 | 2020 年 10 月 | 内部版本 VMware Identity Manager Connector 19.03.0.1 Installer.exe

VMware Identity Manager Integration Broker 19.03 | 2019 年 4 月 | 内部版本 13221855

VMware Identity Manager Integration Broker 19.03.0.1 | 2020 年 10 月 | 内部版本 16975699

发行日期:2020 年 11 月 3 日

更新日期:

  • 2021 年 12 月 17 日
  • 2021 年 10 月 11 日
  • 2020 年 12 月 15 日
  • 2020 年 12 月 8 日

2021 年 12 月 17 日 已确定此版本受 CVE-2021-44228 和 CVE-2021-45046 影响。提供了一些修订和解决方法来解决此漏洞。有关更多信息,请参阅 VMware 安全公告 VMSA-2021-0028

2021 年 12 月 17 日 此版本还受 CVE-2021-22056 和 CVE-2021-22057 影响。提供了一些修订和解决方法来解决此漏洞。有关更多信息,请参阅 VMware 安全公告 VMSA-2021-0030

2020 年 12 月 8 日 已确定此版本受 CVE-2020-4006 影响。提供了一些修订和解决方法来解决此漏洞。有关更多信息,参阅 VMSA-2020-0027

发行说明内容

本发行说明包含以下主题。

VMware Workspace ONE Access 20.10 的新增功能

对 Hub 服务功能的本地支持

为了充分发挥 Hub 服务的全部潜能,并帮助我们的客户在此次疫情期间顺利完成各项工作任务并保持高效工作状态,我们很高兴地宣布 Hub 服务的通知(“用户通知”)、人员、自助服务支持以及“自定义”选项卡功能现在可用于您的内部部署。  

通知(“用户通知”)

通过一系列用户试验,我们发现了员工使用信息的明显模式。为了反映这种模式,并以一种易于发现重要信息并易于理解的方式提供通知,我们构建了四种类型的通知:优先级、可操作、信息性和紧急性。您可以通过 Intelligent Hub 视图中的“通知”页面将这些通知提供给用户。

我们还提供了立即可用的每周新应用程序通知,用于通知员工新授权的应用程序。可以使用 Hub 服务管理控制台关闭此功能。  

管理员将能够在 Hub 服务控制台中使用“通知 API”或“通知构建器”来创建通知并将其发送到不同的用户组或智能组。

注意:

  • Workspace ONE Mobile Flow 仍是一项云服务,但在此版本中不可用于集成。  
  •  对于 Windows 平台推送通知,我们不会显示通知标题和描述。请参阅 HUBW-3389 知识库文章

内部部署版 People Search

如果将 Hub 服务与 Workspace ONE Access 完全集成在一起,您可以启用对 Hub 服务人员服务的访问,以允许用户直接从 Intelligent Hub 应用或门户中搜索同事以及查看用户详细信息和组织图表。

  •     员工可以使用搜索栏查找同事的信息  
  •     通过“人员”页面上的胶囊形导航按钮,可以快速导航浏览同事、直接下属和管理人员的信息。

自助服务支持

借助支持服务,管理员将能够帮助员工查找答案并对自己的问题进行故障排除。以下是自助服务支持中的重要功能列表。

  • 自助服务选项卡名称。您可以在 Hub 服务控制台中更改该标签。选项卡名称将显示在导航栏中。  
  • 有用链接。您可以添加有用的链接,这些链接将会在“支持”选项卡下的“有用资源”部分中呈现,便于员工查看相关有用信息进行故障排除,如果仍然无法解决再联系 IT 帮助台。  
  • 联系信息。我们呈现了一个“联系人”部分,其中可以包括支持电子邮件和电话号码。您可以从 Workspace ONE UEM Console 添加联系人信息。 
  • 设备管理。您可以在 Hub 服务控制台中启用设备自助服务,以在支持页面上显示“我的设备”部分。启用此功能后,“我的设备”部分将提供有关用户设备的详细信息,并提供添加设备、安装配置文件和同步设备的功能。  

自定义选项卡

在 Hub 服务控制台中,您可以在 Workspace ONE Intelligent Hub 应用程序中添加自定义选项卡,以链接到您的公司网站或要与用户共享的其他资源。

全新的应用程序目录布局

我们很高兴能在 Web 浏览器中为 Hub 目录引入一个全新的布局。  

  • 应用程序类别现在位于目录顶部  
  • 所有应用程序视图均为响应式网格布局,不再使用应用程序列表视图  
  • 新的痕迹导航允许在应用程序类别之间轻松移动  
  • 通过简单目录改进了客户的所有应用程序布局

要了解有关这些 Hub 服务功能的更多信息,请参阅 Hub 服务文档。

Photon OS 迁移

在 Workspace ONE Access 20.10 中,底层操作系统已从 SUSE Linux 11 SP4 移至 VMware Photon 3.0。Photon 3.0 解决了已知的安全漏洞,是一个更新的软件堆栈。  

已为 SSH 登录应用强密码策略。密码必须至少为 14 个字符,并且包含以下一个或多个字符 - 大写字母、小写字母、数字和特殊字符。

注意:对于升级到 20.10 的客户,可以继续使用现有的密码。升级后,当客户更改密码时,将应用密码复杂性规则。

对于全新安装,设备部署配置的最低系统要求已提高至以下水平。

  • 100 GB 硬盘
  • 8 GB RAM
  • 4 个 vCPU

可配置的外部 ID 目录支持

与 Active Directory 集成时,用户的外部 ID 属性现在可以映射到的自定义属性,而不是 objectGUID 属性。将 Workspace ONE Access 与 VMware Workspace ONE UEM 服务集成时,将外部 ID 属性映射到自定义属性的功能会非常有用,因为 VMware Workspace ONE UEM 服务可能会使用 objectGUID 以外的其他属性作为同步用户的对象标识符。

通过 SSL/TLS 配置 SMTP

现在,我们支持使用 SSL/TLS 配置 SMTP,以便在发送电子邮件时 SMTP 服务器和 Workspace ONE Access 设备之间的通信更加安全。

对 Workspace ONE Access 设备和连接器提供 4096 密钥证书支持

现在,我们提供了对 Workspace ONE Access 服务和连接器的 4096 位密钥 SSL 证书支持。通过此实施,我们增加了 SSL 证书的加密强度。

  • 启用 FIPS 模式后,客户可以在服务中使用 4096 位 SSL 证书
  • 客户可以在 19.03.01 Connector 和企业服务连接器上上载 4096 位 SSL 证书
  • 此版本支持 4096 位 SAML 证书

支持自定义 LDAP 筛选器

我们正在引入一项新功能,以在 Workspace ONE Access 中同步用户时支持自定义 LDAP 筛选器查询。现在,当管理员在 Workspace ONE Access 中配置用户同步时,他们可以指定组织单位的标识名。管理员现在可以配置 Workspace ONE Access,通过使用查询筛选器筛选用户来优化发送到目录服务器的 LDAP 查询。

Workspace ONE Intelligent Hub 注册策略

可以配置访问策略规则,以便在将 Workspace ONE UEM 中的身份验证源设置为 Workspace ONE Access 时,将设备注册到 Workspace ONE UEM 中。此规则允许客户利用移动 SSO 在注册后登录到 Workspace ONE Intelligent Hub 应用程序,而不会影响注册流程。

此外,还可以使用设备注册策略来阻止通过旧版 Workspace ONE 应用程序进行任何进一步注册。

初始支持适用于 iOS 和 Android Hub 注册流程。

更新了管理控制台中的第三方身份提供程序页面,添加了在 SAML 中发送主题信息的选项

通过此添加的功能,可以选择允许在 SAML 请求中为第三方身份提供程序传递主题(如果可用)的选项。  默认情况下将禁用此功能。

国际化

VMware Workspace ONE Access 提供以下语言版本。

  • 英语
  • 法语
  • 德语
  • 西班牙语
  • 日语
  • 简体中文
  • 韩语
  • 繁体中文
  • 俄语
  • 意大利语
  • 葡萄牙语(巴西)
  • 荷兰语

兼容性、安装和升级

VMware vCenter™ 和 VMware ESXi™ 的兼容性

VMware Workspace ONE Access 设备支持以下版本的 vSphere 和 ESXi。

  •  7.0、7.0 U1、6.5 U3、6.7 U2、6.7 U3

组件兼容性

支持的 Windows Server

  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019

支持的 Web 浏览器

  • Mozilla Firefox,最新版本
  • Google Chrome 42.0 或更高版本
  • Internet Explorer 11
  • Safari 6.2.8 或更高版本
  • Microsoft Edge,最新版本

支持的数据库

  • MS SQL 2012、2014、2016 和 2017

支持的目录服务器

  • Active Directory - 单个 AD 域、单个 AD 林中的多个域,或多个 AD 林中的多个域。
  • OpenLDAP - 2.4.42
  • Oracle LDAP - Directory Server Enterprise Edition 11g 版本 1 (11.1.1.7.0)
  • IBM Tivoli Directory Server 6.3.1

VMware 产品互操作性列表提供了有关 VMware 产品和组件(如 VMware vCenter Server、VMware ThinApp 和 Horizon 7)的当前版本和以前版本的兼容性的详细信息。

有关系统要求,请参阅 Workspace ONE Access 文档中心内的《VMware Workspace ONE Access 20.10 安装指南》。

升级到 VMware Workspace ONE Access 20.10 (Photon Linux)

可以将 VMware Identity Manager 设备版本 19.03 或 20.01 升级到 Workspace One Access 20.10。

升级到 Workspace One Access 20.10 之前,请先将 VMware Identity Manager 3.3 升级到版本 19.03。

升级前

  • 在升级之前,为确保 Elasticsearch 数据不被删除,请对 Elasticsearch 进行升级前的准备。请参阅《升级到 VMware Workspace ONE Access 20.10》指南中的联机升级的必备条件

要升级到 Workspace ONE Access for Linux 20.10,请参阅 Workspace ONE Access 文档中心内的《升级到 VMware Workspace ONE Access 20.10 (Linux)》。在升级过程中,所有服务都将停止,因此请在计划升级时考虑可能出现的停机。

升级后

  • 请确保转至 Workspace ONE Access 控制台中的 Workspace ONE UEM 页面,然后单击 Workspace ONE UEM 配置部分中的保存以填充设备服务 URL。如果不更新设备服务 URL,则使用 UEM 的新设备注册将失败。请参阅《Workspace ONE Access 升级指南》中的升级后的配置主题中的“保存 Workspace ONE UEM 配置”部分。

将 VMware Identity Manager 从 Windows 系统迁移到 Photon Linux 20.10 上的 Workspace ONE Access

从版本 20.10 开始,只能在 Photon OS 上本地使用 Workspace ONE Access 服务。

要将 Windows 上的 VMware Identity Manager 19.03 迁移到 Workspace ONE Access 20.10,请先将其迁移到 Linux 上的 20.01 版本。请参阅《将 VMware Workspace ONE Access 20.01 从 Windows 迁移到 Linux》

然后,将 Linux 服务从 20.01 升级到 20.10。请参阅升级到 VMware Workspace ONE Access 20.10.0.0

VMware Workspace ONE Access Connector 20.10 (Windows)

VMware Workspace ONE Access Connector 是 VMware Workspace ONE Access(已集成到内部部署的基础架构)的一个内部部署组件。连接器是企业服务的集合,可在 Windows Server 上单独安装或一起安装。可以安装以下服务组件。

  • 目录同步服务,用于从企业目录同步用户
  • 用户身份验证服务,包括密码(云)、RSA SecurID(云)和 RADIUS(云)
  • Kerberos 身份验证服务,用于 Kerberos 身份验证

迁移到 Workspace ONE Access Connector 20.10

如果要从 19.03 之前的版本升级到 Workspace ONE® Access™ 20.10,以使用全新的 Workspace ONE Access 20.10 Connector,则必须执行迁移过程。该过程包括安装新的 20.10 Connector 以及将现有目录迁移到新的连接器。

无法将旧的连接器版本升级到 20.10。要从旧版连接器迁移到 20.10 Connector,需迁移您的目录。迁移目录时,将迁移所有数据,包括身份验证方法和身份提供程序。

请参阅迁移到 VMware Workspace ONE Access Connector 20.10

迁移前

  • 请确保所有旧版连接器均为 19.03

升级到 20.10

要将 Workspace ONE Access Connector 20.01 升级到 20.10,请参阅“升级到 VMware Workspace ONE Access Connector 20.10”。

虚拟应用程序

Workspace ONE Access Connector 20.10 不支持虚拟应用程序(Citrix、Horizon、Horizon Cloud 和 ThinApp 集成)。如果您的环境包含虚拟应用程序,或者您计划在将来使用虚拟应用程序,请不要迁移到 Workspace ONE Access Connector 20.10。

要在 Workspace ONE Access 20.10 中使用虚拟应用程序,您必须使用 VMware Identity Manager Connector 版本 19.03.0.1 或 19.03。

  • VMware Identity Manager Integration Broker 19.03.0.1 | 2020 年 10 月 |内部版本 16975699 仅适用于 VMware Identity Manager Connector 版本 19.03.0.1
  • VMware Identity Manager Integration Broker 19.03 | 2019 年 4 月 |内部版本 13221855 仅适用于 VMware Identity Manager Connector 版本 19.03。

要将 VMware ThinApp 与 Workspace ONE Access 20.01 结合使用,您必须使用基于 Linux 的 VMware Identity Manager Connector 设备版本 2018.8.1。  如果使用 ThinApp 软件包,则不会升级到 19.03 或 20.01 版本的 VMware Workspace ONE Access Connector。

  • VMware Identity Manager Desktop 3.2 | 2018 年 3 月 | 内部版本 7952055 可以与 ThinApp 软件包一起使用

文档

VMware Workspace ONE Access 文档中心提供了 VMware Workspace ONE Access 20.10 文档。

Hub 服务文档位于 VMware Workspace ONE 文档中心

已解决的问题

  • HW-100092     我们解决了 Workspace ONE Access 仪表板上“证书代理”的运行状态显示为“未知”的问题。证书代理是在 Workspace ONE Access 节点上运行的一项独立服务,适用于 Android 移动单点登录。

  • HW-112466     过去,在保存包含有数百条组 DN 条目的目录配置时,保存速度非常缓慢,现在已修复这一问题。

  • HW-113379     修复了搜索名称中包含特殊“[”字符的目录项失败的问题。

  • HW-114942     解决了重新引导设备导致 NTP 配置到主机时间同步的持久状态丢失的问题。

  • HW-115266     修复了 Workspace ONE Access 控制台的“虚拟应用程序集合”页面中的分页问题。现在,我们允许在控制台中查看 20 个以上的虚拟应用程序集合。  

  • HW-116967     修复了 Workspace ONE Access 服务器在高负载下崩溃的问题。以前只有在使用 Windows Workspace ONE 应用程序访问目录时,才会在高负载情况下发现此崩溃。

  • HW-117715     超过 30 天的审核事件导出失败,出现网络超时错误。此问题现已修复。但是,我们仍然限定仅可导出 10,000 条记录。如果我们尝试导出会生成超过 10,000 条记录的日期范围,审核报告将失败并显示错误。

  • HW-117906     过去,在管理员禁用了身份验证策略中所使用的身份验证方法的情况下,如果用户尝试登录将会导致 Workspace ONE Access 循环,现在已修复这一问题。

  • HW-117930     修复了当 VMware Verify 是第二因素身份验证方法时,Workspace ONE Access 中的内存泄漏问题。这曾经导致 Workspace ONE Access 变得缓慢或无响应。

  • HW-121043     虚拟应用程序配置文件会在启动同步之前自动保存,以从 Horizon 中获得更新后的详细信息。

  • HW-121048     如果同步后在 Workspace ONE Access 中更改了时区,则在“虚拟应用程序集合”页面上查看警示会引发错误。我们当前使用时间戳而不是当前区域设置来获取警示。

  • HW-122016     对于 20.10 版的连接器,我们解决了在 JRE 版本 1.8.0_261 下运行安装程序时无法验证正确密码的问题。

  • HW-123286     解决了在连接器计算机上启用 NTP 服务导致 CPU 使用率高的问题。  

  • HW-124103     用于为 VMware Verify 上载映像的 UI 应该仅在启用此功能后才会显示。但它并以前不是这样工作的,即便禁用了功能时,此 UI 也会启用,导致上载映像时会引发错误。

  • HW-124428     修复了 Workspace ONE Access 中的内存泄漏导致该应用程序变得无响应的问题。由于积聚的内存泄漏,Workspace ONE Access URL 最终停止旋转,并且永远无法呈现登录页面。唯一的解决办法就是频繁的重新引导 Workspace ONE Access 服务。

  • HW-124475     解决了在配置直通证书时证书身份验证端口未从 gateway.port 更新到自定义端口的问题。

  • HW-96225     如果输入了无效的管理员密码,则会重置 AirWatch 置备适配器的配置。

  • HW-97403     修复了以下问题:如果用户没有明确单击自动完成服务建议的国家/地区名称,则不会清除对国家/地区的搜索查询。

  • HW-97536     添加了一个 UI 验证器,以确认 Workspace ONE UEM URL 不以 /API 结尾。  它不应以 /API 结尾,因为 Greenbox 会附加 /API,即使 /API 位于 Workspace ONE Access 的 UEM URL 中也是如此。

  • 2020 年 12 月 15 日。已确认 Workspace ONE Access 20.10 内部部署虚拟设备可部署。已重新启用下载链接。

已知问题

  • 更改 externalId 的值后,同步可能不会重新添加所有用户

    更改了 externalId 字段并在更改后随即触发同步时,必须删除并重新创建所有用户。由于用户的删除和创建是异步的,因此客户可能会看到某些用户同步失败的警示。  如果在删除用户之前创建了用户,则会发生这种情况。

    解决办法:要添加缺少的用户,请单击“立即同步”以执行其他同步。

  • 无法保存包含“!”(感叹号)字符的 sshuser/root 用户密码。

    在设置或更新 sshuser/root 用户密码时,无法保存包含特殊字符“!”的密码。

    解决办法:请在密码中使用其他特殊字符,而不要使用“!”。

  • 采用 Windows 身份验证模式时,与 Microsoft SQL Server 结合使用的 Workspace ONE Access 中的 Hub 通知(“通知”)不起作用

    如果在采用 Windows 身份验证模式时,将 Workspace ONE Access 配置为与 Microsoft SQL Server 结合使用,则 Hub 通知(“通知”)不起作用。

    没有解决办法。

  • 2021 年 10 月。  用户可能无法在浏览器中启动 Horizon 7.13 或更高版本的应用程序和桌面

    将 Horizon 7.13 或更高版本与 Workspace ONE Access 集成后,Workspace ONE Intelligent Hub 会始终显示用于在浏览器中启动应用程序或桌面的选项,但如果 Horizon Connection Server 上没有安装 HTML Access,则浏览器启动将失败。

    解决办法:如果使用的是 Horizon 7.13 或更高版本,请在 Horizon Connection Server 上安装 HTML Access,以便浏览器能够成功启动。有关更多信息,请参阅 VMware Horizon HTML Access 文档

check-circle-line exclamation-circle-line close-line
Scroll to top icon