VMware Identity Manager 3.3.3 | 2020 年 10 月 | 内部版本 17121420 VMware Identity Manager (Windows) 3.3.3 | 2020 年 10 月 | 内部版本 VMware Identity Manager Connector Installer.exe 发行日期：2020 年 11 月 更新日期： 2021 年 12 月 17 日 2021 年 1 月 25 日 2020 年 12 月 18 日 2020 年 12 月 8 日

2021 年 12 月 17 日 已确定此版本受 CVE-2021-44228 和 CVE-2021-45046 影响。提供了一些修订和解决方法来解决此漏洞。有关更多信息，请参阅 VMware 安全公告 VMSA-2021-0028。

2021 年 12 月 17 日 此版本还受 CVE-2021-22056 影响。提供了一些修订和解决方法来解决此漏洞。有关更多信息，请参阅 VMware 安全公告 VMSA-2021-0030。

2020 年 12 月 8 日 已确定此版本受 CVE-2020-4006 影响。提供了一些修订和解决方法来解决此漏洞。有关更多信息，参阅 VMSA-2020-0027。

发行说明内容

本发行说明包含以下主题。

• 可以升级到 VMware Identity Manager 3.3.3 的产品
• 3.3.3 版的新增功能
• 国际化
• 兼容性、安装和升级
• 文档
• 已知问题

可以升级到 VMware Identity Manager 3.3.3 的 VMware 产品

• VMware vRealize 产品，如 vRealize Automation、vRealize Suite Lifecycle Manager (vRSLCM)、vRealize Operations、vRealize Business、vRealize Log insight 以及适用于身份验证和 SSO 的 vRealize Network Insight

  • 通过 vRealize Suite Lifecycle Manager 部署和管理的 vRealize 产品只能使用 VMware Identity Manager 3.3.1、3.3.2 或 3.3.3。

  • vRealize Suite Lifecycle Manager 现在可以处理 VMware Identity Manager 3.3.3 的全新安装，也可以处理从 VMware Identity Manager 3.3.1 或 3.3.2 到 3.3.3 的升级。

• 适用于身份验证和 SSO 的 VMware NSX-T Data Center
  • 可以使用 VMware Identity Manager 部署 NSX-T
  • 3.3.3 或从 VMware Identity Manager 3.3.1 或 3.3.2 升级到 3.3.3。

VMware Identity Manager 3.3.3 的新增功能

• Photon OS 迁移

  在 VMware Identity Manager 3.3.3 中，底层操作系统已从 SUSE Linux 11 SP4 迁移到 VMware Photon 3.0。Photon 3.0 解决了已知的安全漏洞，是一个更新的软件堆栈。 

• 支持将租户从 vRA 7.5/vRA 7.6 迁移到 VMware Identity Manager
• 默认部署配置更改

  可以在部署时根据需求选择不同的 CPU 和内存大小选项

  • 100 GB 硬盘
  • 8 GB RAM
  • 4 个 vCPU
  • 超小型：4 个 CPU/8 GB 内存
  • 小型：6 个 CPU/10 GB 内存
  • 中型：8 个 CPU/16 GB 内存
  • 大型：10 个 CPU/16 GB 内存
  • 超大型：12 个 CPU/32 GB 内存
  • 2021 年 1 月 25 日更新：超特大型：14 个 CPU/48 GB 内存
• 支持 4096 位密钥证书

  现在，我们对服务和连接器提供了 4096 位密钥 SSL 证书支持。通过此实施，我们增加了 SSL 证书的加密强度。

• 将 IWA/Kerberos 用例从嵌入式连接器迁移到外部连接器

  更新日期：2020 年 12 月 18 日：VMware Identity Manager 3.3.3 不支持将 IWA（集成 Windows 身份验证）与嵌入式 Linux 连接器结合使用。将 LDAP 或 IWA 与外部 Windows 连接器结合使用的 vRA 8.x 客户不受影响。有关更多详细信息，请参阅 https://kb.vmware.com/s/article/82013。

• 操作员可以使用 hznAdminTool 命令重置控制台密码（或操作员密码）：

   /usr/sbin/hznAdminTool setOperatorPassword

国际化

VMware Identity Manager 3.3 提供了以下语言版本。

• 英语
• 法语
• 德语
• 西班牙语
• 日语
• 简体中文
• 韩语
• 繁体中文
• 俄语
• 意大利语
• 葡萄牙语（巴西）
• 荷兰语

兼容性、安装和升级

VMware vCenter™ 和 VMware ESXi™ 的兼容性

VMware Identity Manager 设备支持以下版本的 vSphere 和 ESXi。

• 6.5 U3、6.7 U2、6.7 U3、7

组件兼容性

支持的 Windows Server

• Windows Server 2012 R2
• Windows Server 2016

支持的 Web 浏览器

• Mozilla Firefox，最新版本
• Google Chrome 42.0 或更高版本
• Internet Explorer 11
• Safari 6.2.8 或更高版本
• Microsoft Edge，最新版本

支持的数据库

• Postgres 9.6.19
• MS SQL 2012、2014 和 2016

支持的目录服务器

• Windows Server 2012 R2、2016 和 2019 上的 Active Directory（域功能级别和林功能级别为 Windows 2003 及更高版本）。
• OpenLDAP - 2.4.42
• Oracle LDAP - Directory Server Enterprise Edition 11g 版本 1 (11.1.1.7.0)
• IBM Tivoli LDAP - IBM Security Directory Server 6.3.1

更新：不再支持的组件版本

• Windows Server 2008 R2
• Windows Server 2012

这会影响可能在这些 Windows Server 版本上安装的 Workspace ONE Access Connector 或数据库。如果 Active Directory 在这些较低版本的 Windows Server 上运行，这会对其产生影响。

VMware 产品互操作性列表提供了有关 VMware 产品和组件的当前版本和以前版本的兼容性的详细信息。

有关其他系统要求，请参阅 VMware Workspace ONE Access 文档中心的《VMware Identity Manager 3.3 安装指南》。

升级到 VMware Identity Manager 3.3.3

注意：

• 要访问 Workspace ONE Access 控制台中的“设备设置”页面，请确保为您分配了默认租户的“操作员”角色。
• 要配置 SMTP 设置，您必须以默认租户的操作员用户身份从系统域登录，而不是以管理员租户身份登录。
  • 非默认租户的租户管理员无权配置 SMTP 设置。
• 将 VMware vRealize Automation 7.5 或 7.6 业务组迁移到 vRealize 版本 8.2

要升级到 VMware Identity Manager 3.3.3，请参阅 VMware Workspace ONE Access 文档中心的《将 VMware Identity Manager 升级到 3.3.3》。在升级过程中，所有服务都将停止，因此如果仅配置了一个连接器，请在计划升级时考虑可能出现的停机。

您可以将 VMware Identity Manager 从版本 3.3.1 或 3.3.2 直接升级到 3.3.3。要从更低版本进行升级，请先升级到 3.3.1，然后再从 3.3.1 升级到 3.3.3。

注意：在升级到适用于 Linux 的 VMware Identity Manager 3.3.2 时，如果看到以下错误消息，并且升级被中止，请执行以下步骤更新证书。更新证书后，请重新开始升级。

“在升级之前，需要更新租户 <tenantName> 的证书身份验证配置。预更新检查失败，正在中止升级”(Certificate auth configuration update required for tenant <tenantName> prior to upgrade. Pre-update check failed, aborting upgrade)。

1. 登录到 VMware Identity Manager 控制台。
2. 导航到身份和访问管理 > 设置。
3. 在连接器页面中，单击工作线程列中的链接
4. 单击身份验证适配器选项卡，然后单击 CertificateAuthAdapter。
5. 在上载的 CA 证书部分中，单击证书旁边红色的 X 以将其移除。
6. 在根 CA 证书和中间 CA 证书部分中，单击选择文件以重新添加证书。
7. 单击保存。

将 VMware vRealize Automation 7.5 或 7.6 业务组迁移到 vRealize 版本 8.2

要将业务组从 VMware vRealize Automation 7.5 或 7.6 迁移到版本 8.2，您必须按照以下过程所述逐一将租户从嵌入式 VMware Identity Manager 3.1 服务迁移到外部 VMware Identity Manager 3.3.3 服务。
背景

• VMware Identity Manager 是 vRealize Automation 7.5 和 7.6 中的嵌入式服务
• 从 vRealize Automation 8.0 开始，VMware Identity Manager 成为外部服务
• vRealize Automation 8.0 和 8.1 仅支持全新安装
• vRealize Automation 8.2 支持从 vRealize Automation 7.5 或 7.6 迁移业务组。为完成业务组迁移，VMware Identity Manager 3.3.3 会将每个租户从 vRA 上的 VMware Identity Manager 迁移到 3.3.3

必备条件

• 需要为要迁移的 vRealize Automation 7.5 和 7.6 租户的所有本地用户设置有效的电子邮件
•  支持通过远程连接访问 vRA 数据库。对于自定义组迁移，仅从 vIDM 计算机读取用户 ID
• 必须在 VMware Identity Manager 服务中配置要迁移的租户的 SMTP 服务器信息。需要此信息才能接收有关如何为所有本地用户重置密码的电子邮件说明。

过程

您可以使用 vRealize Lifecycle Manager 在 VMware Identity Manager 3.3.3 中逐一迁移租户。通过 vRealize Lifecycle Manager 用户界面，可以使用 VMware Identity Manager 3.3.3 租户迁移 REST API 逐一迁移租户。请参阅使用 vRealize Suite Lifecycle Manager 迁移租户。

VMware Identity Manager 3.3.3 租户迁移 REST API 可将以下配置从 vRealize Automation 7.5 或 7.6 迁移到 VMware Identity Manager 3.3.3。

• 租户配置
• 用户属性映射配置
• 目录配置，如本地、LDAP、IWA、OpenLDAP 和 JIT
• 默认情况下，绑定用户将作为迁移租户中的只读管理员列出
• 第三方身份提供程序配置
• 访问策略和网络范围配置
• 自定义组配置
• 角色和规则集配置

VMware Identity Manager 3.3.3 中的租户迁移限制

• 身份验证适配器：租户迁移过程将仅迁移 PasswordIdpAdapter。如果 vRealize Automation 7.5 或 7.6 中配置了其他身份验证适配器，则必须在 VMware Identity Manager 3.3.3 中手动配置这些适配器。
• 第三方身份提供程序迁移：租户迁移过程可以迁移第三方身份提供程序配置。但是，迁移后，必须手动将 VMware Identity Manager 服务提供程序元数据复制到外部第三方身份提供程序。

VMware Identity Manager Connector 3.3.3 (Windows)

如果您使用 vRealize Suite Lifecycle Manager 安装了适用于 Windows 的 VMware Identity Manager Connector 3.3.1 和 3.3.2，则无法升级到 3.3.3。  您必须安装 3.3.3 版本的新连接器。

如果已使用 .exe 安装程序安装了适用于 Windows 的 VMware Identity Manager Connector 3.3.1 或 3.3.2，则可以将连接器升级到 3.3.3。

文档

VMware Workspace ONE Access 文档中心提供了 VMware Identity Manager 3.3 文档。可以在 VMware Identity Manager 3.3 中的“安装与架构”部分中找到 3.3.3 升级指南。

已知问题

• 在具有嵌入式连接器的 VMware Identity Manager 3.3.3 多站点环境中，无法从辅助站点保存身份提供程序配置

  在多站点环境中将嵌入式连接器与 VMware Identity Manager 服务结合使用时，如果使用嵌入式连接器，则无法在辅助站点中保存身份提供程序配置。

  解决办法：为辅助站点使用外部连接器。

• 升级到 VMware Identity Manager 3.3.3 后，同步失败

  从 VMware Identity Manager 3.3.2 升级到 3.3.3 后，如果将嵌入式连接器与通过 IWA 访问的 Active Directory 一起使用，则用户可以登录，但在将嵌入式连接器迁移到 Windows Server 上的 VMware Identity Manager 外部连接器之前，目录同步将失败。

  解决办法：没有解决办法。您必须将目录从嵌入式连接器迁移到 VMware Identity Manager 外部连接器。