使用迁移仪表板将现有目录迁移到 Workspace ONE Access Connector 20.10。迁移过程是一种分阶段方法,您可以在完成迁移之前使用新的连接器测试环境。

迁移过程包括以下阶段:

  • 安装 20.10 Connector

    安装新的 20.10 Connector,其中包含目录同步服务、用户身份验证服务和 Kerberos 身份验证服务。至少安装目录同步服务和用户身份验证服务。如果配置了 Kerberos 身份验证方法,还要安装 Kerberos 身份验证服务。

  • 迁移至新连接器

    在此阶段,您需要使用“迁移目录”向导迁移所有目录数据。所需的大部分信息都已从您的环境中预填充,但您还需要输入一些敏感值,例如,目录绑定用户密码。

    此目录迁移阶段不会更改任何现有目录、身份验证方法或身份提供程序配置。您使用的仍然是旧连接器。只有在下一步中转到预览阶段后,更改才会生效。

  • 预览

    在预览阶段,您将使用新的 20.10 Connector 预览环境。20.10 Connector 中的新目录同步、用户身份验证和 Kerberos 身份验证服务将执行目录同步和用户身份验证。除 Kerberos 以外的所有身份验证方法均处于出站模式。

    预览阶段旨在让您使用新服务来对环境进行全面测试。确认目录同步、用户身份验证和应用程序启动均按预期运行。

    在预览阶段,您无法对目录、身份验证方法或身份提供程序进行任何更改,也不能添加新项目。

    您可以从预览阶段恢复为使用旧连接器。回滚时,仍会保留在上一阶段中迁移的目录数据。如果您之后对任何现有目录、身份验证方法或身份提供程序进行任何更改,请确保再次迁移目录数据。

  • 完成迁移

    如果您对新环境的测试结果感到满意,请完成迁移。完成迁移后,您将无法恢复使用旧连接器。

前提条件

  • 请查阅迁移到 VMware Workspace ONE Access Connector 20.10 中列出的要求。
  • 确认环境中的所有连接器都是版本 19.03.x。如果有任何连接器是旧版本,请将其升级到 19.03.x
  • 为新的 20.10 Connector 准备一个或多个 Windows Server。请参阅《安装 Workspace ONE Access Connector 20.10》中的规模调整指南

    您可以在新的服务器上或旧版 19.03.x Connector 服务器上安装 20.10 Connector。但是,如果在旧版连接器上配置了 Kerberos 身份验证,必须使用单独的 Windows Server 来安装 20.10 Kerberos 身份验证服务。请勿在 19.03.x Connector 服务器上安装新的 Kerberos 身份验证服务。Workspace ONE Access 不支持在同一服务器上使用 Kerberos 的多个实例。

    如果您的旧版连接器上未配置 Kerberos 身份验证,并且您希望在旧版 19.03.x Connector 服务器上安装新的 20.10 Connector,请参阅迁移到运行 Workspace ONE Access 19.03.x 的 Windows Server 上的最新连接器,以了解其他要求。

  • 如果您有内部部署 Workspace ONE Access 服务实例,请先将其升级到 20.10,然后再迁移连接器。
  • 如果为任何目录配置了 RSA SecurID 身份验证方法,请在 RSA 安全控制台中清除节点密钥。

    此外,如果要在新的 Windows Server 上安装用户身份验证服务,请先将 Windows Server 添加为 SecurID 服务器中的代理,然后再开始迁移连接器。

  • 如果有任何 IDP 与多个目录相关联,请修改配置,以便每个 IDP 仅与一个目录关联。
  • 确保在开始迁移过程之前,没有为任何目录运行目录同步过程。
  • 如果已启用 People Search 功能,请确保在开始迁移过程之前,没有为任何目录运行照片同步过程。
  • 如果要迁移没有关联目录的 19.03.x Connector,请注意,如果在步骤 5 中选择 Workspace ONE Access Connector 20.10 选项,则迁移将被视为已完成,并且会从服务中删除 19.03.x Connector。如果您稍后决定要使用旧版连接器,并使用重置虚拟应用程序使用情况按钮来更改连接器选择,将不显示 19.03.x Connector。您将需要重新安装 19.03.x Connector,以使用服务重新将其激活。

过程

  1. 单击身份和访问管理选项卡。
    此时会显示迁移页面。
    “迁移”页面
  2. 查看要求,然后单击
    此时会显示“目录迁移仪表板”。
  3. 在“目录迁移仪表板”中,单击安装 20.01 Connector 或更高版本部分中的开始链接。

    “目录迁移仪表板”中的“安装新连接器”窗格
  4. 在“连接器”页面中,单击新建
    显示“连接器”页面
  5. 在“虚拟应用程序使用情况确认”弹出窗口中,如果不打算使用虚拟应用程序(Horizon、Horizon Cloud 和 Citrix 集成),请选择 Workspace ONE Access Connector 20.10
    如果要使用虚拟应用程序,请选择 旧版连接器以退出迁移过程。仅旧版连接器支持虚拟应用程序。
    虚拟应用程序使用情况问题
    重要事项: 请考虑您的业务需求,仔细做出选择。如果您希望以后更改所做的选择,只能在迁移过程中的某个时间点执行此操作。请参阅 在 Workspace ONE Access 中重置虚拟应用程序使用情况选项
  6. 按照“添加新连接器”向导下载连接器安装程序和所需的配置文件,然后安装新连接器。
    重要事项: 安装连接器时,请确保安装目录同步服务和用户身份验证服务。仅当您在任何旧版连接器上配置了 Kerberos 身份验证方法时,才需要安装 Kerberos 身份验证服务。
  7. 连接器安装成功完成后,返回到 Workspace ONE Access 服务控制台中的“目录迁移仪表板”。
  8. 迁移到新连接器部分中,逐个迁移所有目录。
    “迁移仪表板”中的“迁移目录”部分
    “迁移到新连接器”部分中列出了您的租户中的所有 Active Directory 和 LDAP 目录。您必须先迁移所有列出的目录,然后才能完成迁移。
    注: 此目录迁移步骤不会更改任何现有目录、身份验证方法或身份提供程序配置,并且只有在下一步预览更改后才会生效。
    1. 单击目录旁边的迁移按钮。
      此时会显示“迁移目录”向导。向导已针对您要迁移的目录进行自定义。如果在目录上配置了身份验证方法,还会显示其他页面。
    2. 在“目录”页面上,输入目录的绑定用户密码。
      目录同步主机列表中会显示安装了目录同步服务的新 20.10 Connector 主机。选择一个或多个要用于同步目录的主机。
      “迁移目录”向导 -“目录”页面
    3. (仅当配置了 Kerberos 身份验证方法时才显示)在“Kerberos”页面上,指定迁移 Kerberos 身份验证方法所需的信息。
      • 源连接器:已预先选择源连接器。如果预先选择的连接器不可用,可以选择其他连接器。
      • Kerberos 身份验证主机:该列表显示已安装 Kerberos 身份验证服务的新 20.10 Connector 主机。选择一个或多个要用于 Kerberos 身份验证的主机。

      迁移目录 -“Kerberos”页面

    4. 在“密码”页面上,指定迁移密码身份验证方法所需的信息。
      • 源连接器:已预先选择源连接器。如果预先选择的连接器不可用,可以选择其他连接器。
      • 绑定密码:输入目录的绑定用户密码。
      • 用户身份验证主机:该列表显示已安装用户身份验证服务的新 20.10 Connector 主机。选择一个或多个要用于密码身份验证的主机。

      MigrateDirectoryPassword

    5. (仅当配置了 RADIUS 身份验证方法时才显示)在“RADIUS”页面上,指定迁移 RADIUS 身份验证方法所需的信息。
      • 源连接器:已预先选择源连接器。如果预先选择的连接器不可用,可以选择其他连接器。
      • 共享密钥:RADIUS 服务器的共享密钥。
      • 用户身份验证主机:该列表显示已安装用户身份验证服务的新 20.10 Connector 主机。选择一个或多个要用于 RADIUS 身份验证的主机。

      迁移目录 -“Radius”页面

    6. (仅当配置了 RSA SecurID 身份验证方法时才显示)在“SecurId”页面上,指定迁移 RSA SecurID 身份验证方法所需的信息。
      • 源连接器:已预先选择源连接器。如果预先选择的连接器不可用,可以选择其他连接器。
      • 用户身份验证主机:该列表显示已安装用户身份验证服务的新 20.10 Connector 主机。选择一个或多个要用于 RSA SecurID 身份验证的主机。

      迁移目录 -“SecurID”页面

    7. (仅当配置了 Kerberos 身份验证时才显示)在“身份提供程序”页面上,输入连接器负载均衡器的 FQDN,以供将在迁移期间为 Kerberos 身份验证创建的新身份提供程序使用。
      将显示当前负载均衡器的 FQDN 以供参考。这是目录的“身份提供程序”页面中的当前 IdP 主机名值。
      如果只有一个 20.10 Connector,并且没有负载均衡器,请输入连接器的 FQDN。
      “迁移目录”向导的“身份提供程序”页面
    8. 在“摘要”页面中,确认所选内容,然后单击保存
      将保存目录迁移数据。您可以通过单击“目录迁移仪表板”中目录旁边的 摘要按钮来查看设置。
      仪表板中的“迁移”窗格显示“摘要”按钮
      如果要对输入的信息进行任何更改,请单击“摘要”页面中的 重新开始。这会放弃您为目录输入的迁移数据,并允许您再次迁移目录。
      DirectorySummary
    9. 迁移其余目录。
    所有目录都迁移完后,将启用 完成迁移步骤。
  9. 完成迁移部分中,单击开始预览以开始迁移过程。
    迁移仪表板 - 开始预览
    在预览阶段,将使用新的 20.10 Connector。目录同步由新的目录同步服务执行,用户身份验证由新的用户身份验证服务执行,Kerberos 身份验证由新的 Kerberos 身份验证服务执行。您不能对目录、身份验证方法或身份提供程序进行任何更改,也不能创建新项目。您可以在 身份提供程序选项卡中查看转换的身份提供程序,在 企业身份验证方法选项卡中查看转换的身份验证方法。除 Kerberos 以外的所有身份验证方法均处于出站模式。

    如果在您的 Workspace ONE Access 服务部署中启用了 People Search 功能,则必须手动同步不含安全措施设置的目录。在 Workspace ONE Access 控制台的“身份和访问管理”>“目录”页面中选择该目录,然后单击同步 > 在没有安全措施的情况下同步

    重要事项: 在预览阶段中对您的环境进行全面测试,并确认其按预期运行。确认目录同步、用户登录和应用程序启动正常运行。
  10. 如果确定您的环境无法正常工作,或者要对目录、身份验证方法或身份提供程序进行任何更改,请退出预览阶段,然后恢复使用旧连接器。
    转到“身份和访问管理”>“管理”>“目录”页面,单击 继续迁移,然后在“目录迁移仪表板”的 完成迁移部分中,单击 中止
    “完成迁移”窗格
    如果随后对目录、身份验证方法或身份提供程序进行任何更改,请确保再次在 迁移到新连接器部分中迁移目录。
  11. 在预览阶段中确认环境按预期运行,并且您已准备好完成迁移之后,通过转到“身份和访问管理”>“管理”>“目录”页面,然后单击继续迁移,返回“目录迁移仪表板”。
    小心: 完成迁移后,您无法回滚到旧连接器。

    单击完成以完成迁移。

    迁移仪表板 -“完成迁移”部分

结果

所有目录都已迁移到新的 20.10 Connector。现在将由新的目录同步、用户身份验证和 Kerberos 身份验证服务执行目录同步和用户身份验证。

已为每个目录创建新的身份提供程序,并显示在身份提供程序选项卡中,名称为 directory 的已迁移 IDP。新身份提供程序的类型为“内置”。对于 Kerberos 身份验证,创建一个 Workspace_IDP 类型的单独身份提供程序。

除 Kerberos 以外的所有身份验证方法都会转换为出站方法,并使用(云部署)后缀进行重命名。例如,密码身份验证方法已重命名为密码(云部署)。您可以从企业身份验证方法选项卡中查看和管理新的身份验证方法。

后续步骤

迁移完成后,您可以从安装了旧 19.03.x Connector 的服务器上卸载这些连接器。