VMware Identity Manager 3.3.4 | 2021 年 2 月 | 内部版本 17498518

VMware Identity Manager (Windows) 3.3.4 | 2021 年 2 月 | 内部版本 VMware Identity Manager Connector Installer.exe

发行日期:2021 年 2 月

更新日期:2021 年 12 月 17 日

2021 年 12 月 17 日 已确定此版本受 CVE-2021-44228 和 CVE-2021-45046 影响。提供了一些修订和解决方法来解决此漏洞。有关更多信息,请参阅 VMware 安全公告 VMSA-2021-0028

2021 年 12 月 17 日 此版本还受 CVE-2021-22056 影响。提供了一些修订和解决方法来解决此漏洞。有关更多信息,请参阅 VMware 安全公告 VMSA-2021-0030

发行说明内容

本发行说明包含以下主题。

可以升级到 VMware Identity Manager 3.3.4 的 VMware 产品

  • VMware vRealize 产品,如 vRealize Automation、vRealize Suite Lifecycle Manager (vRSLCM)、vRealize Operations、vRealize Business、vRealize Log insight 以及适用于身份验证和 SSO 的 vRealize Network Insight

    • 通过 vRealize Suite Lifecycle Manager 部署和管理的 vRealize 产品只能使用 VMware Identity Manager 3.3.1、3.3.2、3.3.3 或 3.3.4。

    • vRealize Suite Lifecycle Manager 现在可以处理 VMware Identity Manager 3.3.4 的全新安装,也可以处理从 VMware Identity Manager 3.3.1、3.3.2 或 3.3.3 到 3.3.4 的升级。

  • 适用于身份验证和 SSO 的 VMware NSX-T Data Center
    • 可以将 NSX-T 与 VMware Identity Manager 3.3.4 一起部署,也可以从 VMware Identity Manager 3.3.1、3.3.2 或 3.3.3 升级到 3.3.4。

VMware Identity Manager 3.3.4 的新增功能

支持将通过集成 Windows 身份验证 (IWA) 访问的 Active Directory 和 Kerberos 与嵌入式连接器结合使用

VMware Identity Manager 3.3.4 恢复支持将通过 IWA 访问的 Active Directory 和 Kerberos 身份验证适配器与嵌入式连接器结合使用。所有使用 LDAP 或将 IWA 与外部 Windows 连接器结合使用的客户都可以更新到 VMware Identity Manager 3.3.4。有关升级和迁移信息,请参阅升级到 VMware Identity Manager 3.3.4 (Linux)

国际化

VMware Identity Manager 3.3 提供了以下语言版本。

  • 英语
  • 法语
  • 德语
  • 西班牙语
  • 日语
  • 简体中文
  • 韩语
  • 繁体中文
  • 俄语
  • 意大利语
  • 葡萄牙语(巴西)
  • 荷兰语

兼容性、安装和升级

VMware vCenter™ 和 VMware ESXi™ 的兼容性

VMware Identity Manager 设备支持以下版本的 vSphere 和 ESXi。

  • 6.5 U3、6.7 U2、6.7 U3、7

组件兼容性

支持的 Windows Server

  • Windows Server 2012 R2
  • Windows Server 2016

支持的 Web 浏览器

  • Mozilla Firefox,最新版本
  • Google Chrome 42.0 或更高版本
  • Internet Explorer 11
  • Safari 6.2.8 或更高版本
  • Microsoft Edge,最新版本

支持的数据库

  • Postgres 9.6.19
  • MS SQL 2012、2014 和 2016

支持的目录服务器

  • Windows Server 2012 R2、2016 和 2019 上的 Active Directory(域功能级别和林功能级别为 Windows 2003 及更高版本)。
  • OpenLDAP - 2.4.42
  • Oracle LDAP - Directory Server Enterprise Edition 11g 版本 1 (11.1.1.7.0)
  • IBM Tivoli LDAP - IBM Security Directory Server 6.3.1

更新:不再支持的组件版本

  • Windows Server 2008 R2
  • Windows Server 2012

这会影响可能在这些 Windows Server 版本上安装的 Workspace ONE Access Connector 或数据库。如果 Active Directory 在这些较低版本的 Windows Server 上运行,这会对其产生影响。

VMware 产品互操作性列表提供了有关 VMware 产品和组件的当前版本和以前版本的兼容性的详细信息。

有关其他系统要求,请参阅 VMware Workspace ONE Access 文档中心的《VMware Identity Manager 3.3 安装指南》。

默认部署配置

可以在部署时根据需求选择不同的 CPU 和内存大小选项

  • 100 GB 硬盘
  • 8 GB RAM
  • 4 个 vCPU
  • 超小型:4 个 CPU/8 GB 内存
  • 小型:6 个 CPU/10 GB 内存
  • 中型:8 个 CPU/16 GB 内存
  • 大型:10 个 CPU/16 GB 内存
  • 超大型:12 个 CPU/32 GB 内存
  • 超特大型:14 个 CPU/48 GB 内存

升级到 VMware Identity Manager 3.3.4

注意:

  • 要访问 Workspace ONE Access 控制台中的“设备设置”页面,请确保为您分配了默认租户的“操作员”角色。
  • 要配置 SMTP 设置,您必须以默认租户的操作员用户身份从系统域登录,而不是以管理员租户身份登录。
    • 非默认租户的租户管理员无权配置 SMTP 设置。
  • 将 VMware vRealize Automation 7.5 或 7.6 业务组迁移到 vRealize 版本 8.3

要升级到 VMware Identity Manager 3.3.4,请参阅 VMware Workspace ONE Access 文档中心的《将 VMware Identity Manager 升级到 3.3.4》。在升级过程中,所有服务都将停止,因此如果仅配置了一个连接器,请在计划升级时考虑可能出现的停机。

您可以将 VMware Identity Manager 从版本 3.3.1、3.3.2 或 3.3.3 直接升级到 3.3.4。要从更低版本进行升级,请先升级到 3.3.1,然后再从 3.3.1 升级到 3.3.4。

注意:在升级到适用于 Linux 的 VMware Identity Manager 3.3.4 时,如果看到以下错误消息,并且升级被中止,请执行以下步骤更新证书。更新证书后,请重新开始升级。

“在升级之前,需要更新租户 <tenantName> 的证书身份验证配置。预更新检查失败,正在中止升级”(Certificate auth configuration update required for tenant <tenantName> prior to upgrade. Pre-update check failed, aborting upgrade)。
  1. 登录到 VMware Identity Manager 控制台。
  2. 导航到身份和访问管理 > 设置
  3. 连接器页面中,单击工作线程列中的链接
  4. 单击身份验证适配器选项卡,然后单击 CertificateAuthAdapter
  5. 上载的 CA 证书部分中,单击证书旁边红色的 X 以将其移除。
  6. 根 CA 证书和中间 CA 证书部分中,单击选择文件以重新添加证书。
  7. 单击保存

将 VMware vRealize Automation 7.5 或 7.6 业务组迁移到 vRealize 版本 8.3

要将业务组从 VMware vRealize Automation 7.5 或 7.6 迁移到版本 8.3,您必须按照以下过程所述逐一将租户从嵌入式 VMware Identity Manager 3.1 服务迁移到外部 VMware Identity Manager 3.3.4 服务。
背景

  • VMware Identity Manager 是 vRealize Automation 7.5 和 7.6 中的嵌入式服务
  • 从 vRealize Automation 8.0 开始,VMware Identity Manager 成为外部服务
  • vRealize Automation 8.0 和 8.1 仅支持全新安装
  • vRealize Automation 8.3 支持从 vRealize Automation 7.5 或 7.6 迁移业务组。为完成业务组迁移,VMware Identity Manager 3.3.4 会将每个租户从 vRA 上的 VMware Identity Manager 迁移到 3.3.4。

必备条件

  • 需要为要迁移的 vRealize Automation 7.5 和 7.6 租户的所有本地用户设置有效的电子邮件
  •  支持通过远程连接访问 vRA 数据库。对于自定义组迁移,仅从 vIDM 计算机读取用户 ID
  • 必须在 VMware Identity Manager 服务中配置要迁移的租户的 SMTP 服务器信息。需要此信息才能接收有关如何为所有本地用户重置密码的电子邮件说明。

过程

您可以使用 vRealize Lifecycle Manager 在 VMware Identity Manager 3.3.4 中逐一迁移租户。通过 vRealize Lifecycle Manager 用户界面,可以使用 VMware Identity Manager 3.3.4 租户迁移 REST API 逐一迁移租户。请参阅使用 vRealize Suite Lifecycle Manager 迁移租户

VMware Identity Manager 3.3.4 租户迁移 REST API 可将以下配置从 vRealize Automation 7.5 或 7.6 迁移到 VMware Identity Manager 3.3.4。

  • 租户配置
  • 用户属性映射配置
  • 目录配置,如本地、LDAP、IWA、OpenLDAP 和 JIT
  • 默认情况下,绑定用户将作为迁移租户中的只读管理员列出
  • 第三方身份提供程序配置
  • 访问策略和网络范围配置
  • 自定义组配置
  • 角色和规则集配置

VMware Identity Manager 3.3.4 中的租户迁移限制

  • 身份验证适配器:租户迁移过程将仅迁移 PasswordIdpAdapter。如果 vRealize Automation 7.5 或 7.6 中配置了其他身份验证适配器,则必须在 VMware Identity Manager 3.3.4 中手动配置这些适配器。
  • 第三方身份提供程序迁移:租户迁移过程可以迁移第三方身份提供程序配置。但是,迁移后,必须手动将 VMware Identity Manager 服务提供程序元数据复制到外部第三方身份提供程序。

VMware Identity Manager Connector 3.3.4 (Windows)

如果您使用 vRealize Suite Lifecycle Manager 安装了适用于 Windows 的 VMware Identity Manager Connector 3.3.1 和 3.3.2,则无法升级到 3.3.4。  您必须安装 3.3.4 版本的新连接器。

如果已使用 .exe 安装程序安装了适用于 Windows 的 VMware Identity Manager Connector 3.3.1、3.3.2 或 3.3.3,则可以将连接器升级到 3.3.4。

文档

VMware Workspace ONE Access 文档中心提供了 VMware Identity Manager 3.3 文档。可以在 VMware Identity Manager 3.3 中的“安装与架构”部分中找到 3.3.4 升级指南。

check-circle-line exclamation-circle-line close-line
Scroll to top icon