可以使用“迁移”仪表板将现有目录和虚拟应用程序集合从 Workspace ONE Access 19.03 或 19.03.0.1 Connector 迁移到 21.08 Connector。迁移过程是一种分阶段方法,您可以在完成迁移之前使用新的连接器测试环境。

迁移过程包括以下阶段:

  • 安装 21.08 Connector

    安装新的 21.08 Connector,其中包含目录同步、用户身份验证、Kerberos 身份验证和虚拟应用程序服务。至少安装目录同步服务。如果在旧版连接器上配置了基于连接器的身份验证,请安装用户身份验证服务。如果在旧版连接器上配置了 Kerberos 身份验证方法,请安装 Kerberos 身份验证服务。如果在旧版连接器上配置了虚拟应用程序集合,请安装虚拟应用程序服务。

  • 迁移目录

    在此阶段,您需要使用“迁移目录”向导迁移所有目录数据。所需的大部分信息都已从您的环境中预填充,但您还需要输入一些敏感值,例如,目录绑定用户密码。

    此目录迁移阶段不会更改任何现有目录、身份验证方法或身份提供程序配置。您使用的仍然是旧连接器。只有在进入预览阶段后,这些更改才会生效。

  • 迁移虚拟应用程序集合

    在该阶段,您选择要将现有虚拟应用程序集合迁移到的连接器。只有在进入预览阶段后,新设置才会生效。

  • 预览

    在预览阶段,您将使用新的 21.08 Connector 预览环境。21.08 Connector 中的新目录同步、用户身份验证、Kerberos 身份验证和虚拟应用程序服务执行目录同步、用户身份验证和虚拟应用程序同步。除 Kerberos 以外的所有身份验证方法均处于出站模式。

    预览阶段旨在让您使用新服务来对环境进行全面测试。确认目录同步、虚拟应用程序同步、用户身份验证和应用程序启动按预期方式工作。

    在预览阶段,您无法创建、编辑或删除目录、身份验证方法、身份提供程序或虚拟应用程序集合。

    您可以从预览阶段恢复为使用旧连接器。回滚时,仍会保留在上一阶段中迁移的目录数据。如果您之后对任何现有目录、身份验证方法或身份提供程序进行任何更改,请确保再次迁移目录数据。

  • 完成迁移

    如果您对新环境的测试结果感到满意,请完成迁移。完成迁移后,您将无法恢复使用旧连接器。

前提条件

  • 查看迁移到 Workspace ONE Access Connector 21.08 的要求中列出的要求。
  • 确认环境中的所有连接器都是版本 19.03.x。如果任何连接器是旧版本,请将它们升级到 19.03.x 以进行迁移。
  • 为新的 21.08 Connector 准备一个或多个 Windows Server。请参阅安装 Workspace ONE Access Connector 21.08 中的大小调整准则

    您可以在新的服务器上或旧版 19.03.x Connector 服务器上安装 21.08 Connector。但是,如果在旧版连接器上配置了 Kerberos 身份验证,必须使用单独的 Windows Server 来安装 21.08 Kerberos 身份验证服务。请勿在 19.03.x Connector 服务器上安装新的 Kerberos 身份验证服务。Workspace ONE Access 不支持在同一服务器上使用 Kerberos 的多个实例。

    如果在旧版连接器上未配置 Kerberos 身份验证,并且要在旧版 19.03.x Connector 服务器上安装新的 21.08 Connector,请参阅迁移到运行 Workspace ONE Access 19.03.x 的 Windows 服务器上的最新连接器以了解其他要求和准则。

  • 如果您有内部部署 Workspace ONE Access 服务实例,请先将其升级到 21.08,然后再迁移连接器。
  • 如果要安装用户身份验证服务,请确保您的环境不包含任何 20.x 用户身份验证服务实例。作为迁移的一部分,您将安装 21.08 Connector。所有用户身份验证服务实例必须是版本 21.08。如果具有混合版本的用户身份验证服务,将无法进行迁移。
  • 如果在 19.03.x Connector 上配置了 RSA SecurID 身份验证方法:
    • 确认您使用的是 RSA Authentication Manager 设备版本 8.2 SP1 或更高版本。Workspace ONE Access Connector 21.08 支持 RSA Authentication Manager 设备 8.2 SP1 和更高版本。
    • 如果您部署了多个 RSA Authentication Manager 服务器实例,必须在负载均衡器后面配置这些实例,以使与 Workspace ONE Access 的集成正常工作。确保您满足《在 Workspace ONE Access 中管理用户身份验证方法》指南的 RSA SecurID 负载均衡器的 Workspace ONE Access 要求中列出的要求。
    • 在迁移过程中,您可以配置RSA SecurID身份验证方法。配置身份验证方法所需的信息包括 RSA Authentication Manager 或负载均衡器服务器主机名、通信端口、访问密钥以及 RSA Authentication Manager 或负载均衡器服务器 SSL 证书(如果服务器使用自签名证书)。由于您从 RSA 安全控制台中获取某些信息,因此,您还需要具有安全控制台凭据。
    • 如果为代理服务器配置了连接器,则必须在代理服务器上打开为 RSA Authentication Manager 服务器配置的通信端口。
  • 如果要在新的 Windows 服务器上安装用户身份验证服务,请将该 Windows 服务器作为代理添加到 RSA Authentication Manager 服务器中,然后再开始执行连接器迁移。
  • 如果有任何 IDP 与多个目录相关联,请修改配置,以便每个 IDP 仅与一个目录关联。
  • 在开始执行迁移过程之前,确保没有为任何目录运行目录同步过程。
  • 如果启用了 People Search 功能,在开始执行迁移过程之前,请确保没有为任何目录运行照片同步过程。
  • 如果要迁移没有关联目录的 19.03.x Connector,请记住,如果在步骤 5 中选择 Workspace ONE Access Connector 21.08 选项,则将迁移视为已完成并从该服务中删除 19.03.x Connector。如果您以后决定使用旧版连接器,并使用重置连接器选择按钮更改选择的连接器,则不会显示 19.03.x Connector。您将需要重新安装 19.03.x Connector,以使用服务重新将其激活。

过程

  1. 单击身份和访问管理选项卡。
    此时会显示迁移页面。 “迁移”仪表板简介
  2. 查看要求,然后单击开始使用
    将显示“迁移”仪表板。该页面显示完成迁移所需的各种步骤。
  3. 在“迁移”仪表板中,单击安装 21.08 Connector 部分中的开始使用链接。
    仪表板中的“安装 21.08 Connector”窗格显示“开始使用”按钮。
  4. 在“连接器”页面中,单击新建

    该图显示“连接器”页面,其中包含一个“新建”按钮。
  5. 选择连接器窗口中,查看信息并选择 Workspace ONE Access Connector 21.08 选项。
    小心: Workspace ONE Access Connector 21.08 不支持与 Horizon Cloud Service on IBM Cloud、具有单容器代理的 Horizon Cloud Service on Microsoft Azure 或 ThinApp 的集成。如果您计划集成这些类型的虚拟应用程序,请选择 旧版连接器以退出迁移过程。仅旧版连接器支持这些类型的虚拟应用程序。
    重要事项: 请考虑您的业务需求,仔细做出选择。如果您希望以后更改所做的选择,只能在迁移过程中的某个时间点执行此操作。请参阅 在 Workspace ONE Access 中重置连接器选择
  6. 按照“添加新连接器”向导下载连接器安装程序和所需的配置文件,然后安装新连接器。
    有关安装信息,请参阅 《安装 VMware Workspace ONE Access Connector 21.08》。具体来说,请参阅“安装 Workspace ONE Access Connector 的先决条件”和“安装 Workspace ONE Access Connector”。
    安装连接器时,请确保安装目录同步服务。如果在旧版连接器上配置了基于连接器的身份验证,请安装用户身份验证服务。只有在任何旧版连接器上配置了 Kerberos 身份验证方法时,才需要使用 Kerberos 身份验证服务。如果在旧版连接器上配置了虚拟应用程序集合,或者计划在新连接器上配置它们,请安装虚拟应用程序服务。
    小心: 在安装过程结束时,您可能会收到重新启动系统的提示。如果要在 19.03.x Connector 服务器上安装 21.08 Connector,请不要重新启动系统。只有在整个连接器迁移过程完成后,才应重新启动系统。
    小心: 如果要安装用户身份验证服务,请确保环境中的所有用户身份验证服务实例为版本 21.08,并且没有 20. x 用户身份验证服务实例。如果您具有混合版本的用户身份验证服务,则无法进行迁移。
  7. 在成功完成连接器安装后,返回到 Workspace ONE Access 服务控制台中的“迁移”仪表板。
  8. 迁移到新连接器部分中,逐个迁移所有目录。

    “迁移”仪表板中的“迁移目录”窗格列出两个目录,每个目录旁边具有一个“迁移”按钮。
    “迁移目录”部分列出租户中的所有 Active Directory 和 LDAP 目录。您必须先迁移所有列出的目录,然后才能完成迁移。
    注: 在该步骤中迁移目录并不会更改任何现有的目录、身份验证方法或身份提供程序配置,在下一步中预览更改后,这些更改才会生效。
    1. 单击目录旁边的迁移按钮。
      此时会显示“迁移目录”向导。向导已针对您要迁移的目录进行自定义。如果在目录上配置了身份验证方法,还会显示其他页面。
    2. 在“目录”页面上,输入目录的绑定用户密码。
      目录同步主机列表中会显示安装了目录同步服务的新 21.08 Connector 主机。选择一个或多个要用于同步目录的主机。
      “迁移目录”向导 -“目录”页面
    3. (仅当配置了 Kerberos 身份验证方法时才显示)在“Kerberos”页面上,指定迁移 Kerberos 身份验证方法所需的信息。
      • 源连接器:已预先选择源连接器。如果预先选择的连接器不可用,可以选择其他连接器。
      • Kerberos 身份验证主机:该列表显示已安装 Kerberos 身份验证服务的新 21.08 Connector 主机。选择一个或多个要用于 Kerberos 身份验证的主机。

      迁移目录 -“Kerberos”页面

    4. 在“密码”页面上,指定迁移密码身份验证方法所需的信息。
      • 源连接器:已预先选择源连接器。如果预先选择的连接器不可用,可以选择其他连接器。
      • 绑定密码:输入目录的绑定用户密码。
      • 用户身份验证主机:该列表显示已安装用户身份验证服务的新 21.08 Connector 主机。选择一个或多个要用于密码身份验证的主机。

      MigrateDirectoryPassword

    5. (仅当配置了 RADIUS 身份验证方法时才显示)在“RADIUS”页面上,指定迁移 RADIUS 身份验证方法所需的信息。
      • 源连接器:已预先选择源连接器。如果预先选择的连接器不可用,可以选择其他连接器。
      • 共享密钥:RADIUS 服务器的共享密钥。
      • 用户身份验证主机:该列表显示已安装用户身份验证服务的新 21.08 Connector 主机。选择一个或多个要用于 RADIUS 身份验证的主机。

      迁移目录 -“Radius”页面

    6. (仅当配置了 RSA SecurID 身份验证方法时才显示)在“SecurId”页面上,指定迁移 RSA SecurID 身份验证方法所需的信息。
      • 源连接器:已预先选择源连接器。如果预先选择的连接器不可用,可以选择其他连接器。
      • 允许的身份验证方法数量:输入在使用 RSA SecurID 令牌时的最大失败登录尝试次数。默认为尝试 5 次。
        注: 如果要迁移多个使用 RSA SecurID 身份验证的目录,请将每个 RSA SecurID 配置的 允许的身份验证尝试次数配置为相同的值。如果该值不相同,则 SecurID 身份验证会失败。
      • SecurID 服务器主机名:输入 RSA Authentication Manager 服务器主机名,例如 myserver.example.com。如果在负载均衡器后面配置了多个 RSA Authentication Manager 服务器实例,请改为输入负载均衡器主机名。例如,lb.example.com。
      • SecurID 服务器通信端口:输入 RSA Authentication Manager 实例的通信端口。默认端口是 5555。要获取通信端口号,请登录到 RSA 安全控制台,导航到设置 > 系统设置 > RSA SecurID 身份验证 API 页面,然后复制通信端口
      • SecurID 服务器访问密钥:输入 RSA Authentication Manager 实例中的访问密钥。要获取访问密钥,请在 RSA 安全控制台中导航到设置 > 系统设置 > RSA SecurID 身份验证 API 页面,然后复制代理凭据下面列出的访问密钥
      • SecurID 服务器 CA/SSL 证书:如果 RSA Authentication Manager 服务器或负载均衡器服务器具有自签名证书,请复制该证书并粘贴到文本框中。如果服务器具有由公共证书颁发机构签名的证书,则不需要上载证书。
      • 身份验证方法超时(以秒为单位):输入应该能够执行身份验证尝试的秒数。在该时间过后,身份验证尝试将超时。默认值为 180 秒。
      • 用户身份验证主机:该列表显示已安装用户身份验证服务的新 21.08 Connector 主机。选择一个或多个要用于 RSA SecurID 身份验证的主机。

      显示向导的 SecurID 页面。
    7. (仅当配置了 Kerberos 身份验证时才显示)在“身份提供程序”页面上,输入连接器负载均衡器的 FQDN,以供将在迁移期间为 Kerberos 身份验证创建的新身份提供程序使用。
      将显示当前负载均衡器的 FQDN 以供参考。这是目录的“身份提供程序”页面中的当前 IdP 主机名值。
      如果只有一个 21.08 Connector,并且没有负载均衡器,请输入连接器的 FQDN。
      “迁移目录”向导的“身份提供程序”页面
    8. 在“摘要”页面中,确认所选内容,然后单击保存
      将保存目录迁移数据。您可以通过单击“目录迁移仪表板”中目录旁边的 摘要按钮来查看设置。 仪表板上的“迁移目录”部分显示为绿色。列出了迁移的目录,并在它们旁边显示一个“查看”按钮。
      如果要对输入的信息进行任何更改,请单击“摘要”页面中的 重新开始。这会放弃您为目录输入的迁移数据,并允许您再次迁移目录。
      DirectorySummary
    9. 迁移其余目录。
  9. 迁移虚拟应用程序集合部分中,选择要将虚拟应用程序集合迁移到的连接器。
    1. 单击迁移

      “迁移虚拟应用程序集合”窗格具有一个“迁移”按钮。
    2. 在“迁移虚拟应用程序集合”窗口中,选择要用于每个虚拟应用程序集合的 21.08 Connector。将在下拉菜单中显示安装了虚拟应用程序服务的所有连接器。选择一个具有处于活动状态的虚拟应用程序服务的连接器。状态显示在连接器名称旁边。您可以添加多个连接器以实现高可用性。如果添加多个连接器,请按回退顺序排列它们。
      注: 您必须同时迁移所有虚拟应用程序集合。您不能选择特定的集合以进行迁移。
    3. 单击保存
    例如:
    “迁移虚拟应用程序”窗口

    在进入预览阶段时,将迁移虚拟应用程序集合。

    注: 您可以在完成迁移后添加更多连接器。您也可以更改为虚拟应用程序集合选择的连接器。
  10. 完成迁移部分中,单击开始预览以开始迁移过程。

    “完成迁移”窗格显示一个“开始预览”按钮。
    在预览阶段,将使用新的 21.08 Connector。目录同步由新的目录同步服务执行;用户身份验证由新的用户身份验证服务执行;Kerberos 身份验证由新的 Kerberos 身份验证服务执行;虚拟应用程序同步由新的虚拟应用程序服务执行。在预览阶段,您无法对目录、身份验证方法、身份提供程序或虚拟应用程序集合进行任何更改,也无法创建新的目录、身份验证方法、身份提供程序或虚拟应用程序集合。您可以在 身份提供程序选项卡中查看转换的身份提供程序,在 企业身份验证方法选项卡中查看转换的身份验证方法。除 Kerberos 以外的所有身份验证方法均处于出站模式。
    注: 如果在您的 Workspace ONE Access 服务部署中启用了 People Search 功能,则必须手动同步不含安全措施设置的目录。在 Workspace ONE Access 控制台的“身份和访问管理”>“目录”页面中选择该目录,然后单击 同步 > 在没有安全措施的情况下同步
    重要事项: 在预览阶段中对您的环境进行全面测试,并确认其按预期运行。确认目录同步、虚拟应用程序同步、用户登录和应用程序启动正常工作。
  11. 如果确定您的环境无法正常工作,或者要对目录、身份验证方法、身份提供程序或虚拟应用程序集合进行任何更改,请取消预览阶段,然后恢复使用旧连接器。
    转到“身份和访问管理”>“管理”>“目录”页面,单击 继续迁移,然后在“目录迁移”仪表板中单击 完成迁移部分中的 中止
    “完成迁移”窗格具有一个“中止”按钮和一个“完成”按钮。
    如果随后对目录、身份验证方法或身份提供程序进行任何更改,请确保再次在 迁移到新连接器部分中迁移目录。
  12. 在预览阶段中确认环境按预期运行,并且您已准备好完成迁移之后,通过转到“身份和访问管理”>“管理”>“目录”页面,然后单击继续迁移,返回“目录迁移仪表板”。
    小心: 完成迁移后,您无法回滚到旧连接器。

    单击完成以完成迁移。


    “完成迁移”窗格具有一个“中止”按钮和一个“完成”按钮。

结果

所有目录和虚拟应用程序集合将迁移到新的 21.08 Connector。现在,由新的目录同步、用户身份验证、Kerberos 身份验证和虚拟应用程序服务执行目录同步、用户身份验证和虚拟应用程序同步。

已为每个目录创建新的身份提供程序,并显示在身份提供程序选项卡中,名称为 directory 的已迁移 IDP。新身份提供程序的类型为“内置”。对于 Kerberos 身份验证,创建一个 Workspace_IDP 类型的单独身份提供程序。

除 Kerberos 以外的所有身份验证方法都会转换为出站方法,并使用(云部署)后缀进行重命名。例如,密码身份验证方法已重命名为密码(云部署)。您可以从企业身份验证方法选项卡中查看和管理新的身份验证方法。

下一步做什么

迁移完成后,您可以从安装了旧 19.03.x Connector 的服务器上卸载这些连接器。

迁移完成后,不再需要为 Citrix 集成使用 Integration Broker。所需的功能现在是虚拟应用程序服务的一部分。