Durchführen des Upgrades auf Workspace ONE Access Connector 21.08

Für das Upgrade des Windows-basierten Workspace ONE Access Connector 20.10.x oder 20.01.x auf Version 21.08 laden Sie das neue Installationsprogramm von My VMware auf Ihren Konnektorserver herunter und führen das Installationsprogramm aus. Sie müssen die alte Version des Connectors nicht deinstallieren.

Während des Upgrades werden der vorhandenen Dienste „Verzeichnissynchronisierung“, „Benutzerauthentifizierung“ und „Kerberos-Authentifizierung“ ausgesetzt. Die-Dienste werden nach Abschluss des Upgrades automatisch neu gestartet.

Wichtige Überlegungen

Wenn Sie den Dienst „Virtuelle App“ installieren möchten, müssen Sie eine neue es-config.json-Konfigurationsdatei von der Workspace ONE Access-Konsole herunterladen und verwenden, um die Verbindung zwischen dem Workspace ONE Access-Dienst und dem Konnektor herzustellen. Wenn Sie den Dienst „Virtuelle App“ nicht installieren, benötigen Sie keine neue Konfigurationsdatei. Der aktualisierte Konnektor kann dieselbe Konfigurationsdatei verwenden, die auch vom vorhandenen Konnektor verwendet wird.
Hinweis: Wenn das Kennwort Ihrer vorhandenen Konfigurationsdatei es-config.json die Zeichen & oder % enthält, generieren Sie eine neue Konfigurationsdatei mit einem Kennwort, in dem diese Zeichen nicht enthalten sind. Die Zeichen & und % werden nicht unterstützt.
Die Konfiguration der Authentifizierungsmethode „RSA SecurID (Cloud-Bereitstellung)“ wurde in Version 21.08 geändert. Wenn Sie die Authentifizierungsmethode „RSA SecurID (Cloud-Bereitstellung)“ konfiguriert haben, müssen Sie sie vor dem Upgrade aller Benutzerauthentifizierungsdienst-Instanzen aus den Zugriffsrichtlinien löschen und nach dem Upgrade neu konfigurieren. Da dies zu einer Ausfallzeit der RSA SecurID-basierten Anmeldung führt, planen Sie den Zeitpunkt Ihres Upgrades entsprechend.
Die allgemeinen Schritte zum Durchführen des Upgrades sind:
1. Stellen Sie sicher, dass Sie die RSA Authentication Manager-Appliance 8.2 SP1 oder höher verwenden. Dies sind die Versionen, die von Workspace ONE Access Connector 21.08 unterstützt werden.
2. Bevor Sie den Konnektor aktualisieren, entfernen Sie die Authentifizierungsmethode „RSA SecurID (Cloud-Bereitstellung)“ aus den Zugriffsrichtlinien, in denen sie verwendet wird.
3. Aktualisieren Sie alle Konnektoren, auf denen der Benutzerauthentifizierungsdienst installiert ist, auf Version 21.08.
4. Wenn ein Proxy-Server mit den Konnektoren konfiguriert ist, stellen Sie sicher, dass der für den RSA Authentication Manager-Server konfigurierte Kommunikationsport auf dem Proxy-Server geöffnet ist.
5. Wenn Sie mehrere RSA Authentication Manager-Serverinstanzen bereitgestellt haben, müssen Sie diese hinter einem Lastausgleichsdienst konfigurieren und die Workspace ONE Access-Anforderungen für den Lastausgleichsdienst erfüllen.
6. Stellen Sie in der RSA-Sicherheitskonsole sicher, dass der Connector mithilfe des vollqualifizierten Domänennamens (FQDN), wie z. B. connectorserver.example.com, als Authentifizierungsagent hinzugefügt wird.
7. Aktualisieren Sie die Konfiguration der RSA SecurID-Authentifizierungsmethode (Cloud-Bereitstellung).
8. Fügen Sie die Authentifizierungsmethode „RSA SecurID (Cloud-Bereitstellung)“ hinzu, um auf Richtlinien zuzugreifen.
Stellen Sie sicher, dass Sie alle Konnektorinstanzen, auf denen der Benutzerauthentifizierungsdienst installiert ist, auf 21.08 aktualisieren. Workspace ONE Access unterstützt nicht das Mischen der Versionen 21.08 und 20.x des Benutzerauthentifizierungsdiensts.
Workspace ONE Access Connector 21.08 unterstützt die folgenden Proxytypen:
- Nicht authentifizierte HTTP-Proxys
- Nicht authentifizierte HTTPS (SSL)-Proxys
- Authentifizierte HTTPS (SSL)-Proxys

Voraussetzungen

Weitere Informationen hierzu finden Sie unter Upgrade auf VMware Workspace ONE Access Connector 21.08.
Wenn sich die Konnektorinstallation auf einem virtuellen Windows Server befindet, erstellen Sie vor dem Upgrade einen Snapshot der virtuellen Maschine.
Wenn Sie den Kerberos-Authentifizierungsdienst oder den Dienst „Virtuelle App“ installieren möchten, stellen Sie sicher, dass Sie den Konnektorserver der Domäne hinzufügen.
Wenn Sie die Authentifizierungsmethode „RSA SecurID (Cloud-Bereitstellung)“ konfiguriert haben, stellen Sie sicher, dass Sie die RSA Authentication Manager-Appliance Version 8.2 SP1 oder höher verwenden.
Wenn Sie die Authentifizierungsmethode „RSA SecurID (Cloud-Bereitstellung)“ konfiguriert haben, entfernen Sie die Authentifizierungsmethode aus den Zugriffsrichtlinien, bevor Sie alle Konnektorinstanzen aktualisieren, auf denen der Benutzerauthentifizierungsdienst installiert ist.
1. Navigieren Sie in der Workspace ONE Access-Konsole zur Seite Identitäts- und Zugriffsmanagement > Verwalten > Richtlinien.
2. Überprüfen Sie jede Richtlinie und entfernen Sie die Authentifizierungsmethode „RSA SecurID (Cloud-Bereitstellung)“, wenn sie Teil der Richtlinie ist.
  Notieren Sie sich die vorgenommenen Änderungen, sodass Sie über die erforderlichen Informationen verfügen, um die Authentifizierungsmethode nach dem Upgrade des Konnektors wieder hinzuzufügen.
Wenn Sie ein Upgrade von Version 20.01.x durchführen und ein Verzeichnis vom Typ Active Directory über die integrierte Windows-Authentifizierung (IWA) konfiguriert haben, deaktivieren Sie die Option STARTTLS in der Verzeichniskonfiguration in der Workspace ONE Access-Konsole, bevor Sie ein Upgrade auf den Connector 21.08 durchführen. Nach dem Upgrade wird die Funktionalität von Active Directory über IWA mit der Option STARTTLS inkompatibel.
Um die Verzeichniskonfiguration zu bearbeiten, navigieren Sie zur Seite Identitäts-und Zugriffsmanagement > Verwalten > Verzeichnisse, wählen Sie das Verzeichnis aus, deaktivieren Sie das Kontrollkästchen Dieses Verzeichnis erfordert für alle Verbindungen die Verwendung von STARTTLS und klicken Sie auf Speichern.

Hinweis: Wenn Sie den in Knowledgebase-Artikel 77158 beschriebenen-Hotfix auf Connector 20.01 angewendet oder ein Upgrade auf Connector 20.01.0.1 oder 20.10 durchgeführt haben, haben Sie die Option STARTTLS für Active Directory über IWA möglicherweise bereits deaktiviert. Stellen Sie sicher, dass die Einstellung deaktiviert ist.
Halten Sie in der Workspace ONE Access-Konsole die aktuell installierten Konnektordienste an.
1. Navigieren Sie zur Seite „Identitäts- und Zugriffsmanagement > Einrichten > Konnektoren“.
2. Wählen Sie den Konnektor aus und klicken Sie auf Verwalten.
3. Klicken Sie auf die Umschaltoption neben jedem Dienstnamen, um den Dienst anzuhalten.
Sie benötigen die folgenden Kontoinformationen:
- My VMware-Anmeldedaten
- Wenn der Kerberos-Authentifizierungsdienst bereits installiert ist, müssen die Anmeldedaten des Domänenbenutzers, die zur Ausführung des Dienstes verwendet werden, angegeben werden.
- Wenn Sie den Kerberos-Authentifizierungsdienst oder den Dienst für „Virtuelle App“ während des Upgrades installieren möchten, benötigen Sie ein Domänenbenutzerkonto, um diese Dienste auszuführen. Während diese Dienste mit Berechtigungen für das Domänenbenutzerkonto ausgeführt werden, werden die Dienste für die Verzeichnissynchronisierung und die Benutzerauthentifizierung mit niedrigeren Berechtigungen ausgeführt.
- Wenn Sie die Authentifizierungsmethode „RSA SecurID (Cloud-Bereitstellung)“ verwenden, benötigen Sie die Anmeldedaten der RSA-Sicherheitskonsole, um die Informationen abzurufen, die zum Neukonfigurieren der Authentifizierungsmethode in der Workspace ONE Access-Konsole nach dem Upgrade aller Konnektorinstanzen erforderlich sind.

Prozedur

Wenn Sie eine neue Konfigurationsdatei benötigen, generieren Sie sie über die Workspace ONE Access-Konsole.
1. Melden Sie sich bei der Workspace ONE Access-Konsole als Systemdomänen-Admin an.
  
  Tipp: In Cloud-Bereitstellungen ist der Systemdomänen-Admin der Admin-Benutzer, dessen Anmeldedaten Sie erhalten, wenn Sie den Workspace ONE Access-Mandanten abrufen. In lokalen Bereitstellungen ist der Systemdomänen-Admin der Admin-Benutzer, der erstellt wird, wenn Sie eine Workspace ONE Access-Instanz installieren.
2. Navigieren Sie zur Seite Identitäts- und Zugriffsmanagement > Einrichten > Konnektoren.
3. Klicken Sie auf Neu.
4. Klicken Sie im Assistenten „Neuen Konnektor hinzufügen“ auf Weiter.
5. Generieren Sie auf der Seite „Konfigurationsdatei herunterladen“ die Konfigurationsdatei, indem Sie ein Kennwort erstellen und auf Konfigurationsdatei herunterladen klicken.
  Das Kennwort muss mindestens 14 Zeichen lang sein und aus einem Großbuchstaben, einem Kleinbuchstaben, einer numerischen Ziffer und einem Sonderzeichen bestehen. Die Zeichen & und % dürfen nicht verwendet werden. Alle Zeichen müssen sichtbar sein, wobei ASCII-Zeichen gedruckt werden.
  
  Die Konfigurationsdatei wird verwendet, um die Verbindung zwischen den von Ihnen installierten Unternehmensdiensten und dem Workspace ONE Access-Mandanten herzustellen. Der Name der Datei lautet standardmäßig es-config.json.
  
  Vorsicht: Die Konfigurationsdatei enthält vertrauliche Informationen wie z. B. die Mandanten-URL, die Mandanten-ID, die Client-ID und den Clientschlüssel für jeden Unternehmensdienst sowie den Kennwort-Hash. Es ist wichtig, dass Sie die Datei nicht teilen oder öffentlich verfügbar machen.
6. Übertragen Sie die Konfigurationsdatei auf den Connector-Server.
Laden Sie Workspace ONE Access Connector 21.08.0.0 von My VMware herunter.
1. Melden Sie sich bei https://my.vmware.com an.
2. Navigieren Sie zur Downloadseite für VMware Workspace ONE Access 21.08.
3. Laden Sie Workspace ONE Access Connector 21.08.0.0 herunter.
Speichern Sie die Installationsdatei auf dem Windows Server, auf dem die frühere Version des Connectors installiert ist.
Doppelklicken Sie auf die Datei Workspace One Access Connector Installer.exe, um das Installationsprogramm herunterzuladen.
Das Installationsprogramm erkennt, dass ein Upgrade erforderlich ist, und leitet Sie durch den Upgrade-Vorgang.
Führen Sie die Anweisungen des Assistenten durch, um den Konnektor zu aktualisieren.
Beachten Sie beim Aktualisieren Folgendes:
- Während des Upgrades installiert das Installationsprogramm OpenJDK 8.
- Während des Upgrades können Sie alle Einstellungen für vorhandene Dienste ändern. Sie können auch andere Dienste installieren. Beispielsweise können Sie den neuen Dienst „Virtuelle App“ installieren. Wenn Ihre vorhandene Installation nur den Verzeichnissynchronisierungsdienst enthält und Sie den Benutzerauthentifizierungsdienst und den Kerberos-Authentifizierungsdienst installieren möchten, können Sie dies auch während des Upgrades tun.
  Unter Installieren von VMware Workspace ONE Access Connector 21.08 finden Sie Informationen zu Anforderungen, Dimensionierung, Installation und Einstellungen.
- Mit dem 21.08 Connector können Sie mehrere externe Syslog-Server zum Speichern von Ereignismeldungen auf Anwendungsebene angeben, anstatt auf einen Server beschränkt zu sein. Sie können die Syslog-Server auf der Seite „Syslog-Serverinformationen angeben“ des Assistenten während des Upgrades eingeben.
  Verwenden Sie folgendes Format:
  host:port,host:port,host:port
  wobei Host den vollqualifizierten Domänennamen oder die IP-Adresse des Syslog-Servers enthält und Port die Portnummer ist. Beispiel:
  syslog1.example.com:514,syslog2.example.com:601,syslog3.example.com:163
Nachdem das Upgrade erfolgreich abgeschlossen wurde, überprüfen Sie, ob die aktualisierten Dienste auf dem Windows-Server ausgeführt werden.
Die Konnektordienste weisen die folgenden Namen auf:
- VMware-Dienst „Verzeichnissynchronisierung“
- VMware-Dienst „Benutzerauthentifizierung“
- VMware-Dienst „„Kerberos-Authentifizierung“
- VMware-Dienst „Virtuelle App“

Ergebnisse

Das Upgrade des Connectors ist abgeschlossen. Sie können überprüfen, ob die neue Version des Konnektors installiert ist, indem Sie auf dem Windows-Server zu Systemsteuerung > Programme > Programme und Funktionen navigieren und die aufgelistete Version des Konnektors überprüfen.

Nächste Maßnahme

Klicken Sie in der Workspace ONE Access-Konsole auf das Aktualisierungssymbol auf der Seite „Identitäts- und Zugriffsmanagement“ > „Einrichten“> „Konnektoren“ und überprüfen Sie, ob die aktualisierten Dienste grün markiert sind und der Integritätsstatus in Ordnung ist.
Beispiel:
Wenn die Authentifizierungsmethode „RSA SecurID (Cloud-Bereitstellung)“ in Ihrer ursprünglichen Installation konfiguriert wurde, konfigurieren Sie die Authentifizierungsmethode nach dem Upgrade aller Konnektorinstanzen, auf denen der Benutzerauthentifizierungsdienst installiert ist, neu.
1. Wenn Sie mehrere RSA Authentication Manager-Serverinstanzen bereitgestellt haben, müssen Sie diese hinter einem Lastausgleichsdienst konfigurieren und die Workspace ONE Access-Anforderungen für den Lastausgleichsdienst erfüllen. Weitere Informationen finden Sie unter Workspace ONE Access-Anforderungen für den RSA SecurID-Lastausgleichsdienst.
2. Wenn ein Proxy-Server mit den Konnektoren konfiguriert ist, stellen Sie sicher, dass der für den RSA Authentication Manager-Server konfigurierte Kommunikationsport auf dem Proxy-Server geöffnet ist.
3. Stellen Sie in der RSA-Sicherheitskonsole sicher, dass der Connector mithilfe des vollqualifizierten Domänennamens (FQDN), wie z. B. connectorserver.example.com, als Authentifizierungsagent hinzugefügt wird. Wenn Sie den Connector bereits als Authentifizierungsagent hinzugefügt haben und dabei den NetBIOS-Namen statt des FQDN verwendet haben, fügen Sie einen weiteren Eintrag mit dem FQDN hinzu. Lassen Sie das IP-Adressfeld für den neuen Eintrag leer. Löschen Sie den alten Eintrag nicht.
4. Aktualisieren Sie die Konfiguration der Authentifizierungsmethode „RSA SecurID (Cloud-Bereitstellung)“ für alle Verzeichnisse, die sie in der ursprünglichen Installation enthalten haben.
  Informationen zur neuen Konfiguration finden Sie unter Konfigurieren der RSA SecurID-Authentifizierung in Workspace ONE Access.
5. Fügen Sie die Authentifizierungsmethode „RSA SecurID (Cloud-Bereitstellung)“ zu allen Zugriffsrichtlinien hinzu, die diese in der ursprünglichen Installation enthalten haben.
  Sie können Zugriffsrichtlinien auf der Seite Identitäts- und Zugriffsmanagement > Verwalten > Richtlinien bearbeiten.