可以使用“迁移”仪表板将现有目录和虚拟应用程序集合从 Workspace ONE Access 19.03 或 19.03.0.1 Connector 迁移到 21.08 Connector。迁移过程是一种分阶段方法,您可以在完成迁移之前使用新的连接器测试环境。
迁移过程包括以下阶段:
- 安装 21.08 Connector
安装新的 21.08 Connector,其中包含目录同步、用户身份验证、Kerberos 身份验证和虚拟应用程序服务。至少安装目录同步服务。如果在旧版连接器上配置了基于连接器的身份验证,请安装用户身份验证服务。如果在旧版连接器上配置了 Kerberos 身份验证方法,请安装 Kerberos 身份验证服务。如果在旧版连接器上配置了虚拟应用程序集合,请安装虚拟应用程序服务。
- 迁移目录
在此阶段,您需要使用“迁移目录”向导迁移所有目录数据。所需的大部分信息都已从您的环境中预填充,但您还需要输入一些敏感值,例如,目录绑定用户密码。
此目录迁移阶段不会更改任何现有目录、身份验证方法或身份提供程序配置。您使用的仍然是旧连接器。只有在进入预览阶段后,这些更改才会生效。
- 迁移虚拟应用程序集合
在该阶段,您选择要将现有虚拟应用程序集合迁移到的连接器。只有在进入预览阶段后,新设置才会生效。
- 预览
在预览阶段,您将使用新的 21.08 Connector 预览环境。21.08 Connector 中的新目录同步、用户身份验证、Kerberos 身份验证和虚拟应用程序服务执行目录同步、用户身份验证和虚拟应用程序同步。除 Kerberos 以外的所有身份验证方法均处于出站模式。
预览阶段旨在让您使用新服务来对环境进行全面测试。确认目录同步、虚拟应用程序同步、用户身份验证和应用程序启动按预期方式工作。
在预览阶段,您无法创建、编辑或删除目录、身份验证方法、身份提供程序或虚拟应用程序集合。
您可以从预览阶段恢复为使用旧连接器。回滚时,仍会保留在上一阶段中迁移的目录数据。如果您之后对任何现有目录、身份验证方法或身份提供程序进行任何更改,请确保再次迁移目录数据。
- 完成迁移
如果您对新环境的测试结果感到满意,请完成迁移。完成迁移后,您将无法恢复使用旧连接器。
前提条件
- 查看迁移到 Workspace ONE Access Connector 21.08 的要求中列出的要求。
- 确认环境中的所有连接器都是版本 19.03.x。如果任何连接器是旧版本,请将它们升级到 19.03.x 以进行迁移。
- 为新的 21.08 Connector 准备一个或多个 Windows Server。请参阅安装 Workspace ONE Access Connector 21.08 中的大小调整准则。
您可以在新的服务器上或旧版 19.03.x Connector 服务器上安装 21.08 Connector。但是,如果在旧版连接器上配置了 Kerberos 身份验证,必须使用单独的 Windows Server 来安装 21.08 Kerberos 身份验证服务。请勿在 19.03.x Connector 服务器上安装新的 Kerberos 身份验证服务。Workspace ONE Access 不支持在同一服务器上使用 Kerberos 的多个实例。
如果在旧版连接器上未配置 Kerberos 身份验证,并且要在旧版 19.03.x Connector 服务器上安装新的 21.08 Connector,请参阅迁移到运行 Workspace ONE Access 19.03.x 的 Windows 服务器上的最新连接器以了解其他要求和准则。
- 如果您有内部部署 Workspace ONE Access 服务实例,请先将其升级到 21.08,然后再迁移连接器。
- 如果要安装用户身份验证服务,请确保您的环境不包含任何 20.x 用户身份验证服务实例。作为迁移的一部分,您将安装 21.08 Connector。所有用户身份验证服务实例必须是版本 21.08。如果具有混合版本的用户身份验证服务,将无法进行迁移。
- 如果在 19.03.x Connector 上配置了 RSA SecurID 身份验证方法:
- 确认您使用的是 RSA Authentication Manager 设备版本 8.2 SP1 或更高版本。Workspace ONE Access Connector 21.08 支持 RSA Authentication Manager 设备 8.2 SP1 和更高版本。
- 如果您部署了多个 RSA Authentication Manager 服务器实例,必须在负载均衡器后面配置这些实例,以使与 Workspace ONE Access 的集成正常工作。确保您满足《在 Workspace ONE Access 中管理用户身份验证方法》指南的 RSA SecurID 负载均衡器的 Workspace ONE Access 要求中列出的要求。
- 在 RSA 安全控制台中,确认已使用完全限定域名 (Fully Qualified Domain Name, FQDN) 将连接器添加为身份验证代理,例如 connectorserver.example.com。如果已使用 NetBIOS 名称(而非 FQDN)将该连接器添加为身份验证代理,请使用 FQDN 再添加一个条目。将该新条目的“IP 地址”字段留空。请不要删除旧条目。
- 在迁移过程中,您可以配置RSA SecurID身份验证方法。配置身份验证方法所需的信息包括 RSA Authentication Manager 或负载均衡器服务器主机名、通信端口、访问密钥以及 RSA Authentication Manager 或负载均衡器服务器 SSL 证书(如果服务器使用自签名证书)。由于您从 RSA 安全控制台中获取某些信息,因此,您还需要具有安全控制台凭据。
- 如果为代理服务器配置了连接器,则必须在代理服务器上打开为 RSA Authentication Manager 服务器配置的通信端口。
- 如果要在新的 Windows 服务器上安装用户身份验证服务,请将该 Windows 服务器作为代理添加到 RSA Authentication Manager 服务器中,然后再开始执行连接器迁移。
- (仅Workspace ONE Access 内部部署安装)如果有任何 IDP 与多个目录相关联,请修改配置,以便每个 IDP 仅与一个目录相关联。
- 在开始执行迁移过程之前,确保没有为任何目录运行目录同步过程。
- 如果启用了 People Search 功能,在开始执行迁移过程之前,请确保没有为任何目录运行照片同步过程。
- 如果要迁移没有关联目录的 19.03.x Connector,请记住,如果在步骤 5 中选择 Workspace ONE Access Connector 21.08 选项,则将迁移视为已完成并从该服务中删除 19.03.x Connector。如果您以后决定使用旧版连接器,并使用重置连接器选择按钮更改选择的连接器,则不会显示 19.03.x Connector。您将需要重新安装 19.03.x Connector,以使用服务重新将其激活。
过程
结果
所有目录和虚拟应用程序集合将迁移到新的 21.08 Connector。现在,由新的目录同步、用户身份验证、Kerberos 身份验证和虚拟应用程序服务执行目录同步、用户身份验证和虚拟应用程序同步。
已为每个目录创建新的身份提供程序,并显示在身份提供程序选项卡中,名称为 directory 的已迁移 IDP。新身份提供程序的类型为“内置”。对于 Kerberos 身份验证,创建一个 Workspace_IDP 类型的单独身份提供程序。
除 Kerberos 以外的所有身份验证方法都会转换为出站方法,并使用(云部署)后缀进行重命名。例如,密码身份验证方法已重命名为密码(云部署)。您可以从连接器身份验证方法选项卡中查看和管理新的身份验证方法。
下一步做什么
迁移完成后,您可以从安装了旧 19.03.x Connector 的服务器上卸载这些连接器。
迁移完成后,不再需要为 Citrix 集成使用 Integration Broker。所需的功能现在是虚拟应用程序服务的一部分。
对于 Horizon 集成,确保 Horizon Connection Server 具有由受信证书颁发机构 (CA) 签名的有效证书。如果 Horizon Connection Server 具有自签名证书,则必须将证书链上载到安装了虚拟应用程序服务的 Workspace ONE Access Connector 实例,以便在连接器与 Horizon Connection Server 之间建立信任关系。这是 Workspace ONE Access Connector 21.08 中的新要求。您可以使用连接器安装程序上载证书。有关更多信息,请参阅《安装 VMware Workspace ONE Access Connector》。确保在上载证书后重新启动连接器服务。


