使用迁移仪表板将现有目录迁移到 Workspace ONE Access Connector 20.01。迁移过程是一种分阶段方法,您可以在完成迁移之前使用新的连接器测试环境。

迁移过程包括以下阶段:

  • 安装 20.01 Connector

    安装新的 20.01 Connector,其中包含目录同步服务、用户身份验证服务和 Kerberos 身份验证服务。至少安装目录同步服务和用户身份验证服务。如果配置了 Kerberos 身份验证方法,还要安装 Kerberos 身份验证服务。

  • 迁移至新连接器

    在此阶段,您需要使用“迁移目录”向导迁移所有目录数据。所需的大部分信息都已从您的环境中预填充,但您还需要输入一些敏感值,例如,目录绑定用户密码。

    此目录迁移阶段不会更改任何现有目录、身份验证方法或身份提供程序配置。您使用的仍然是旧连接器。只有在下一步中转到预览阶段后,更改才会生效。

  • 预览

    在预览阶段,您将使用新的 20.01 Connector 预览环境。20.01 Connector 中的新目录同步、用户身份验证和 Kerberos 身份验证服务将执行目录同步和用户身份验证。除 Kerberos 以外的所有身份验证方法均处于出站模式。

    预览阶段旨在让您使用新服务来对环境进行全面测试。确认目录同步、用户身份验证和应用程序启动均按预期运行。

    在预览阶段,您无法对目录、身份验证方法或身份提供程序进行任何更改,也不能添加新项目。

    您可以从预览阶段恢复使用旧连接器。回滚时,仍会保留在上一阶段中迁移的目录数据。如果您之后对任何现有目录、身份验证方法或身份提供程序进行任何更改,请确保再次迁移目录数据。

  • 完成迁移

    如果您对新环境的测试结果感到满意,请完成迁移。完成迁移后,您将无法恢复使用旧连接器。

迁移的最佳做法包括:

  • 确保在开始迁移过程之前,没有为任何目录运行目录同步过程。
  • 如果已启用 People Search,确保在开始迁移过程之前,没有为任何目录运行照片同步过程。

前提条件

  • 请查阅迁移到 VMware Workspace ONE Access Connector 20.01 中列出的要求。
  • 确认环境中的所有连接器均为版本 19.03。如果任何连接器的版本较低,请将其升级到 19.03。
  • 为 20.01 Connector 准备一个或多个 Windows Server。这些服务器必须与您的 19.03 Connector 服务器不同。

    请参阅《安装 Workspace ONE Access Connector 20.01》中的系统要求

  • 如果您有内部部署 Workspace ONE Access 服务实例,请先将其升级到 20.01,然后再迁移连接器。
  • 如果为任何目录配置了 RSA SecurID 身份验证方法,请在 RSA 安全控制台中清除节点密钥。
  • 如果有任何 IDP 与多个目录相关联,请修改配置,以便每个 IDP 仅与一个目录关联。

过程

  1. 单击身份和访问管理选项卡。
    此时会显示迁移页面。
    “迁移”页面
  2. 查看要求,然后单击
    此时会显示“目录迁移仪表板”。
  3. 在“目录迁移仪表板”中,单击安装 20.01 Connector 部分中的开始链接。

    “目录迁移仪表板”中的“安装新连接器”窗格
  4. 在“连接器”页面中,单击新建
    显示“连接器”页面
  5. 在“虚拟应用程序使用确认”弹出窗口中,如果不打算使用虚拟应用程序(Horizon、Horizon Cloud 和 Citrix 集成),请选择使用 Workspace ONE Access Connector 20.01
    如果要使用虚拟应用程序,请选择 使用旧版连接器以退出迁移过程。
    虚拟应用程序使用情况问题
  6. 按照“添加新连接器”向导下载连接器安装程序和所需的配置文件,然后安装 20.01 Connector。
    重要事项: 安装连接器时,请确保安装目录同步服务和用户身份验证服务。仅当您在任何旧版连接器上配置了 Kerberos 身份验证方法时,才需要安装 Kerberos 身份验证服务。
  7. 连接器安装成功完成后,返回到 Workspace ONE Access 服务控制台中的“目录迁移仪表板”。
  8. 迁移到新连接器部分中,逐个迁移所有目录。
    “迁移仪表板”中的“迁移目录”部分
    “迁移到新连接器”部分中列出了您的租户中的所有 Active Directory 和 LDAP 目录。您必须先迁移所有列出的目录,然后才能完成迁移。
    注: 此目录迁移步骤不会更改任何现有目录、身份验证方法或身份提供程序配置,并且只有在下一步预览更改后才会生效。
    1. 单击目录旁边的迁移按钮。
      此时会显示“迁移目录”向导。向导已针对您要迁移的目录进行自定义。如果在目录上配置了身份验证方法,还会显示其他页面。
    2. 在“目录”页面上,输入目录的绑定用户密码。
      目录同步主机列表中会显示安装了目录同步服务的新 20.01 Connector。选择一个或多个要用于同步目录的主机。
      “迁移目录”向导 -“目录”页面
    3. (仅当配置了 Kerberos 身份验证方法时才显示)在“Kerberos”页面上,指定迁移 Kerberos 身份验证方法所需的信息。
      • 源连接器:已预先选择源连接器。如果预先选择的连接器不可用,可以选择其他连接器。
      • Kerberos 身份验证主机:该列表显示已安装 Kerberos 身份验证服务的新 20.01 Connector 主机。选择一个或多个要用于 Kerberos 身份验证的主机。

      迁移目录 -“Kerberos”页面

    4. 在“密码”页面上,指定迁移密码身份验证方法所需的信息。
      • 源连接器:已预先选择源连接器。如果预先选择的连接器不可用,可以选择其他连接器。
      • 绑定密码:输入目录的绑定用户密码。
      • 用户身份验证主机:该列表显示已安装用户身份验证服务的新 20.01 Connector 主机。选择一个或多个要用于密码身份验证的主机。

      MigrateDirectoryPassword

    5. (仅当配置了 RADIUS 身份验证方法时才显示)在“RADIUS”页面上,指定迁移 RADIUS 身份验证方法所需的信息。
      • 源连接器:已预先选择源连接器。如果预先选择的连接器不可用,可以选择其他连接器。
      • 共享密钥:RADIUS 服务器的共享密钥。
      • 用户身份验证主机:该列表显示已安装用户身份验证服务的新 20.01 Connector 主机。选择一个或多个要用于 RADIUS 身份验证的主机。

      迁移目录 -“Radius”页面

    6. (仅当配置了 RSA SecurID 身份验证方法时才显示)在“SecurId”页面上,指定迁移 RSA SecurID 身份验证方法所需的信息。
      • 源连接器:已预先选择源连接器。如果预先选择的连接器不可用,可以选择其他连接器。
      • 用户身份验证主机:该列表显示已安装用户身份验证服务的新 20.01 Connector 主机。选择一个或多个要用于 RSA SecurID 身份验证的主机。

      迁移目录 -“SecurID”页面

    7. (仅当配置了 Kerberos 身份验证时才显示)在“身份提供程序”页面上,输入连接器负载平衡器的 FQDN,以供将在迁移期间为 Kerberos 身份验证创建的新身份提供程序使用。
      将显示当前负载平衡器的 FQDN 以供参考。这是目录的“身份提供程序”页面中的当前 IdP 主机名值。
      如果只有一个 20.01 Connector,并且没有负载平衡器,请输入连接器的 FQDN。
      “迁移目录”向导的“身份提供程序”页面
    8. 在“摘要”页面中,确认所选内容,然后单击保存
      将保存目录迁移数据。您可以通过单击“目录迁移仪表板”中目录旁边的 摘要按钮来查看设置。
      仪表板中的“迁移”窗格显示“摘要”按钮
      如果要对输入的信息进行任何更改,请单击“摘要”页面中的 重新开始。这会放弃您为目录输入的迁移数据,并允许您再次迁移目录。
      DirectorySummary
    9. 迁移其余目录。
    所有目录都迁移完后,将启用“完成迁移”步骤。
  9. 完成迁移部分中,单击开始预览以开始迁移过程。
    迁移仪表板 - 开始预览
    在预览阶段,将使用新的 20.01 Connector。目录同步由新的目录同步服务执行,用户身份验证由新的用户身份验证服务执行,Kerberos 身份验证由新的 Kerberos 身份验证服务执行。您不能对目录、身份验证方法或身份提供程序进行任何更改,也不能创建新项目。您可以在 身份提供程序选项卡中查看转换的身份提供程序,在 企业身份验证方法选项卡中查看转换的身份验证方法。除 Kerberos 以外的所有身份验证方法均处于出站模式。
    重要事项: 在预览阶段中对您的环境进行全面测试,并确认其按预期运行。确认目录同步、用户登录和应用程序启动正常运行。
  10. 如果确定您的环境无法正常工作,或者要对目录、身份验证方法或身份提供程序进行任何更改,请退出预览阶段,然后恢复使用旧连接器。
    转到“身份和访问管理”>“管理”>“目录”页面,单击 继续迁移,然后在“目录迁移仪表板”的 完成迁移部分中,单击 中止
    “完成迁移”窗格
    如果随后对目录、身份验证方法或身份提供程序进行任何更改,请确保再次在 迁移到新连接器部分中迁移目录。
  11. 如果在预览阶段中确认环境按预期运行,并且您已准备好完成迁移,则通过转到“身份和访问管理”>“管理”>“目录”页面,然后单击继续迁移,返回“目录迁移仪表板”。
    小心: 完成迁移后,您无法回滚到旧连接器。

    单击完成以完成迁移。

    迁移仪表板 -“完成迁移”部分

结果

所有目录都已迁移到新的 20.01 Connector。现在将由新的目录同步、用户身份验证和 Kerberos 身份验证服务执行目录同步和用户身份验证。

已为每个目录创建新的身份提供程序,并显示在身份提供程序选项卡中,名称为 directory 的已迁移 IDP。新身份提供程序的类型为“内置”。对于 Kerberos 身份验证,创建一个 Workspace_IDP 类型的单独身份提供程序。

除 Kerberos 以外的所有身份验证方法都会转换为出站方法,并使用(云部署)后缀进行重命名。例如,密码身份验证方法已重命名为密码(云部署)。您可以从企业身份验证方法选项卡中查看和管理新的身份验证方法。

后续步骤

迁移完成后,您可以从安装了旧 19.03 Connector 的服务器上卸载这些连接器。