Für das Upgrade der Windows-basierten Workspace ONE Access Connector-Version 21.08.x, 20.10.x oder 20.01.x auf Version 22.05 laden Sie das neue Installationsprogramm von VMware Customer Connect auf Ihren Connector-Server herunter und führen das Installationsprogramm aus. Sie müssen die alte Version des Connectors nicht deinstallieren.

Während des Upgrades werden die vorhandenen Dienste „Verzeichnissynchronisierung“, „Benutzerauthentifizierung“, „Kerberos-Authentifizierung“ und „Virtuelle App“ ausgesetzt. Die-Dienste werden nach Abschluss des Upgrades automatisch neu gestartet.

Wichtige Überlegungen

  • Workspace ONE Access Connector 22.05 ist nur mit Workspace ONE Access Cloud kompatibel. Es besteht keine Kompatibilität mit der lokalen virtuellen Workspace ONE Access-Appliance.
  • Wenn Sie ein Upgrade auf Version 22.05 durchführen, wird der aktualisierte Connector im Nicht-FIPS-Modus ausgeführt. Sie können den FIPS-Modus nach dem Upgrade nicht aktivieren. Wenn Sie den FIPS-Modus verwenden möchten, müssen Sie anstelle eines Upgrades eine Neuinstallation von Version 22.05 durchführen. In Upgrade auf VMware Workspace ONE Access Connector 22.05 (nur Workspace ONE Access Cloud) erhalten Sie weitere Informationen.
  • Wenn Sie ein Upgrade von Version 20.01.x oder 20.10.x durchführen und den Dienst „Virtuelle App“ während oder nach dem Upgrade installieren möchten, müssen Sie eine neue Konfigurationsdatei vom Typ es-config.json aus der Workspace ONE Access-Konsole herunterladen und verwenden, um die Verbindung zwischen dem Workspace ONE Access-Dienst und dem Connector herzustellen. Wenn Sie den Dienst „Virtuelle App“ nicht installieren möchten, benötigen Sie keine neue Konfigurationsdatei. Der aktualisierte Konnektor kann dieselbe Konfigurationsdatei verwenden, die auch vom vorhandenen Konnektor verwendet wird.

    Wenn Sie ein Upgrade von Version 21.08.x durchführen und nach der Cloud-Version vom September 2021 eine Konfigurationsdatei vom Typ es-config.json erzeugt haben, müssen Sie keine neue Datei vom Typ es-config.json erstellen.

    Wenn das Kennwort der vorhandenen Konfigurationsdatei es-config.json die Zeichen & oder % enthält, müssen Sie unabhängig von der Version, von der Sie aktualisieren, eine neue Konfigurationsdatei mit einem Kennwort erstellen, das diese Zeichen nicht enthält. Die Zeichen & und % werden nicht unterstützt.

  • Die Konfiguration der Authentifizierungsmethode „RSA SecurID (Cloud-Bereitstellung)“ wurde ab Version 21.08 geändert. Wenn Sie ein Upgrade von einem 20.10.x oder früheren Connector durchführen, für den die Authentifizierungsmethode „RSA SecurID (Cloud-Bereitstellung)“ konfiguriert wurde, müssen Sie die Authentifizierungsmethode aus den Zugriffsrichtlinien löschen, bevor Sie alle Instanzen des Benutzerauthentifizierungsdiensts aktualisieren. Führen Sie dann nach dem Upgrade eine Neukonfiguration durch. Da dies zu einer Ausfallzeit der RSA SecurID-basierten Anmeldung führt, planen Sie den Zeitpunkt Ihres Upgrades entsprechend.

    Die allgemeinen Schritte zum Durchführen des Upgrades sind:

    1. Stellen Sie sicher, dass Sie die RSA Authentication Manager-Appliance 8.2 SP1 oder höher verwenden. Dies sind die Versionen, die von Workspace ONE Access Connector 21.08 und höher unterstützt werden.
    2. Bevor Sie den Konnektor aktualisieren, entfernen Sie die Authentifizierungsmethode „RSA SecurID (Cloud-Bereitstellung)“ aus den Zugriffsrichtlinien, in denen sie verwendet wird.
    3. Aktualisieren Sie alle Connector-Instanzen, auf denen der Benutzerauthentifizierungsdienst installiert ist, auf Version 22.05.
    4. Wenn ein Proxy-Server mit den Konnektoren konfiguriert ist, stellen Sie sicher, dass der für den RSA Authentication Manager-Server konfigurierte Kommunikationsport auf dem Proxy-Server geöffnet ist.
    5. Wenn Sie mehrere RSA Authentication Manager-Serverinstanzen bereitgestellt haben, müssen Sie diese hinter einem Lastausgleichsdienst konfigurieren und die Workspace ONE Access-Anforderungen für den Lastausgleichsdienst erfüllen.
    6. Stellen Sie in der RSA-Sicherheitskonsole sicher, dass der Connector mithilfe des vollqualifizierten Domänennamens (FQDN), wie z. B. connectorserver.example.com, als Authentifizierungsagent hinzugefügt wird.
    7. Aktualisieren Sie die Konfiguration der RSA SecurID-Authentifizierungsmethode (Cloud-Bereitstellung).
    8. Fügen Sie die Authentifizierungsmethode „RSA SecurID (Cloud-Bereitstellung)“ hinzu, um auf Richtlinien zuzugreifen.
  • Stellen Sie sicher, dass Sie alle Connector-Instanzen, auf denen der Benutzerauthentifizierungsdienst installiert ist, auf 22.05 aktualisieren. Workspace ONE Access bietet keine Unterstützung für die Kombination der Versionen 22.05, 21.08 und 20.x des Benutzerauthentifizierungsdiensts.
  • Workspace ONE Access Connector 22.05 unterstützt die folgenden Proxytypen:
    • Nicht authentifizierte HTTP-Proxys
    • Nicht authentifizierte HTTPS (SSL)-Proxys
    • Authentifizierte HTTPS (SSL)-Proxys

Voraussetzungen

  • Weitere Informationen hierzu finden Sie unter Upgrade auf VMware Workspace ONE Access Connector 22.05 (nur Workspace ONE Access Cloud).
  • Wenn sich die Konnektorinstallation auf einem virtuellen Windows Server befindet, erstellen Sie vor dem Upgrade einen Snapshot der virtuellen Maschine.
  • Wenn Sie den Kerberos-Authentifizierungsdienst oder den Dienst „Virtuelle App“ installieren möchten, stellen Sie sicher, dass Sie den Konnektorserver der Domäne hinzufügen.
  • Wenn Sie die Authentifizierungsmethode „RSA SecurID (Cloud-Bereitstellung)“ konfiguriert haben, stellen Sie sicher, dass Sie die RSA Authentication Manager-Appliance Version 8.2 SP1 oder höher verwenden.
  • Wenn Sie ein Upgrade von einem 20.10.x oder früheren Connector durchführen, für den die Authentifizierungsmethode „RSA SecurID (Cloud-Bereitstellung)“ konfiguriert wurde, entfernen Sie die Authentifizierungsmethode aus den Zugriffsrichtlinien, bevor Sie alle Connector-Instanzen aktualisieren, auf denen der Benutzerauthentifizierungsdienst installiert ist.
    1. Navigieren Sie in der Workspace ONE Access-Konsole mit der aktivierten Option Neue Navigation zur Seite Ressourcen > Richtlinien.

      In der alten Navigation befindet sich der Seitenspeicherort unter Identitäts- und Zugriffsmanagement > Verwalten > Richtlinien.

    2. Überprüfen Sie jede Richtlinie und entfernen Sie die Authentifizierungsmethode „RSA SecurID (Cloud-Bereitstellung)“, wenn sie Teil der Richtlinie ist.

      Notieren Sie sich die vorgenommenen Änderungen, sodass Sie über die erforderlichen Informationen verfügen, um die Authentifizierungsmethode nach dem Upgrade des Konnektors wieder hinzuzufügen.

  • Wenn Sie ein Upgrade von Version 20.01.x durchführen und ein Verzeichnis vom Typ „Active Directory über integrierte Windows-Authentifizierung (IWA)“ konfiguriert haben, deaktivieren Sie vor dem Upgrade auf 22.05 in der Workspace ONE Access-Konsole die Option STARTTLS in der Verzeichniskonfiguration. Nach dem Upgrade ist die Funktion „Active Directory über IWA“ nicht mit der Option STARTTLS kompatibel.

    Um die Verzeichniskonfiguration zu bearbeiten, navigieren Sie zur Seite Identitäts-und Zugriffsmanagement > Verwalten > Verzeichnisse, wählen Sie das Verzeichnis aus, deaktivieren Sie das Kontrollkästchen Dieses Verzeichnis erfordert für alle Verbindungen die Verwendung von STARTTLS und klicken Sie auf Speichern.

    Hinweis: Wenn Sie den in Knowledgebase-Artikel 77158 beschriebenen-Hotfix auf Connector 20.01 angewendet oder ein Upgrade auf Connector 20.01.0.1 oder 20.10 durchgeführt haben, haben Sie die Option STARTTLS für Active Directory über IWA möglicherweise bereits deaktiviert. Stellen Sie sicher, dass die Einstellung deaktiviert ist.
  • Halten Sie in der Workspace ONE Access-Konsole alle Connector-Dienste an.
    1. Navigieren Sie zur Seite Integrationen > Konnektoren.

      In der alten Navigation befindet sich der Seitenspeicherort unter Identitäts- und Zugriffsmanagement > Einrichten > Konnektoren.

    2. Wählen Sie den Konnektor aus und klicken Sie auf Verwalten.
    3. Klicken Sie auf die Umschaltoption neben jedem Dienstnamen, um den Dienst anzuhalten.
  • Sie benötigen die folgenden Kontoinformationen:
    • VMware Customer Connect-Anmeldedaten
    • Wenn der Kerberos-Authentifizierungsdienst bereits installiert ist, müssen die Anmeldedaten des Domänenbenutzers, die zur Ausführung des Dienstes verwendet werden, angegeben werden.
    • Wenn Sie den Kerberos-Authentifizierungsdienst oder den Dienst für „Virtuelle App“ während des Upgrades installieren möchten, benötigen Sie ein Domänenbenutzerkonto, um diese Dienste auszuführen. Während diese Dienste mit Berechtigungen für das Domänenbenutzerkonto ausgeführt werden, werden die Dienste für die Verzeichnissynchronisierung und die Benutzerauthentifizierung mit niedrigeren Berechtigungen ausgeführt.
    • Wenn Sie die Authentifizierungsmethode „RSA SecurID (Cloud-Bereitstellung)“ verwenden, benötigen Sie die Anmeldedaten der RSA-Sicherheitskonsole, um die Informationen abzurufen, die zum Neukonfigurieren der Authentifizierungsmethode in der Workspace ONE Access-Konsole nach dem Upgrade aller Konnektorinstanzen erforderlich sind.

Prozedur

  1. Erzeugen Sie bei Bedarf eine neue Konfigurationsdatei in der Workspace ONE Access-Konsole.
    1. Melden Sie sich bei der Workspace ONE Access-Konsole als Systemdomänen-Admin an.
      Tipp: In Cloud-Bereitstellungen ist der Systemdomänen-Admin der Admin-Benutzer, dessen Anmeldedaten Sie erhalten, wenn Sie den Workspace ONE Access-Mandanten abrufen.
    2. Navigieren Sie zur Seite Integrationen > Konnektoren.
    3. Klicken Sie auf Neu.
    4. Klicken Sie im Assistenten „Neuen Konnektor hinzufügen“ auf Weiter.
    5. Generieren Sie auf der Seite „Konfigurationsdatei herunterladen“ die Konfigurationsdatei, indem Sie ein Kennwort erstellen und auf Konfigurationsdatei herunterladen klicken.
      Das Kennwort muss mindestens 14 Zeichen lang sein und aus einem Großbuchstaben, einem Kleinbuchstaben, einer numerischen Ziffer und einem Sonderzeichen bestehen. Die Zeichen & und % dürfen nicht verwendet werden. Alle Zeichen müssen sichtbar sein, wobei ASCII-Zeichen gedruckt werden.
      Die Konfigurationsdatei wird verwendet, um die Verbindung zwischen den von Ihnen installierten Unternehmensdiensten und dem Workspace ONE Access-Mandanten herzustellen. Der Name der Datei lautet standardmäßig es-config.json.
      Vorsicht: Die Konfigurationsdatei enthält vertrauliche Informationen wie z. B. die Mandanten-URL, die Mandanten-ID, die Client-ID und den Clientschlüssel für jeden Unternehmensdienst sowie den Kennwort-Hash. Es ist wichtig, dass Sie die Datei nicht teilen oder öffentlich verfügbar machen.
    6. Übertragen Sie die Konfigurationsdatei auf den Windows-Server, auf dem die frühere Version des Konnektors installiert ist.
  2. Laden Sie Workspace ONE Access Connector 22.05 aus VMware Customer Connect herunter.
    1. Melden Sie sich bei https://customerconnect.vmware.com/ an.
    2. Navigieren Sie zur Workspace ONE Access Connector-Downloadseite.
    3. Laden Sie die Datei Workspace-ONE-Access-Connector-Installer-22.05.exe herunter.
  3. Speichern Sie die Installationsdatei auf dem Windows Server, auf dem die frühere Version des Connectors installiert ist.
  4. Doppelklicken Sie auf die Datei Workspace-ONE-Access-Connector-Installer-22.05.exe, um das Installationsprogramm auszuführen.
    Das Installationsprogramm erkennt, dass ein Upgrade erforderlich ist, und leitet Sie durch den Upgrade-Vorgang.
    ""
  5. Führen Sie die Anweisungen des Assistenten durch, um den Konnektor zu aktualisieren.
    • Wenn während des Upgrades die Seite „Konfiguration angeben“ angezeigt wird, wählen Sie die neue oder vorhandene Konfigurationsdatei aus und geben Sie ihr Kennwort an. Der Standardname der Datei ist es-config.json.
    • Während des Upgrades wird die Seite „Vertrauenswürdige Rootzertifikate installieren“ angezeigt. Sie können vertrauenswürdige Rootzertifikate in den Truststore hochladen. Der Connector kann sichere Verbindungen mit Servern und Clients herstellen, deren Zertifikatskette alle zertifikate enthält, die in den Truststore hochgeladen wurden. Folgende Szenarien erfordern vertrauenswürdige Rootzertifikate:
      • (Nur Kerberos-Authentifizierungsdienst) Wenn Sie mehrere Instanzen des Kerberos-Authentifizierungsdiensts hinter einem Lastausgleichsdienst bereitstellen, müssen Sie das Root-CA-Zertifikat des Lastausgleichsdiensts auf den Konnektor-Instanzen installieren, um eine Vertrauensstellung zwischen den Konnektoren und dem Lastausgleichsdienst einzurichten.
      • (Nur Dienst „Virtuelle App“) Wenn Sie Sammlungen virtueller Apps erstellen, die in VMware Horizon, Horizon Cloud Service on Microsoft Azure mit Einzel-Pod-Broker oder Horizon Cloud Service on IBM Cloud integriert werden sollen, und die Horizon-Server über selbstsignierte Zertifikate verfügen, müssen Sie die Zertifikatskette auf die Connector-Instanzen hochladen, auf denen der Dienst „Virtuelle App“ installiert ist, um eine Vertrauensstellung zwischen den Konnektoren und den Horizon-Servern herzustellen. Wenn die Horizon-Server über Zertifikate verfügen, die von einer öffentlichen Zertifizierungsstelle signiert wurden, müssen Sie die Zertifikate nicht in den Connector-Truststore hochladen. Es wird dringend empfohlen, von einer öffentlichen Zertifizierungsstelle signierte Zertifikate zu verwenden.

      Wenn Sie Zertifikate während des Upgrades hochladen, stellen Sie sicher, dass Sie die Dienste nach Abschluss des Upgrades neu starten.

      Das Hochladen von Zertifikaten ist ein optionaler Schritt für das Upgrade. Sie können Zertifikate auch nach dem Upgrade hochladen, indem Sie das Installationsprogramm erneut ausführen.

      Installationsassistent – Seite „Vertrauenswürdige Rootzertifikate“
    • Während des Upgrades installiert das Installationsprogramm OpenJDK 11.
    • Während des Upgrades können Sie alle Einstellungen für vorhandene Dienste ändern. Sie können auch andere Dienste installieren. Beispiel: Wenn Ihre vorhandene Installation nur den Verzeichnissynchronisierungsdienst enthält und Sie den Benutzerauthentifizierungsdienst und den Kerberos-Authentifizierungsdienst installieren möchten, können Sie dies auch während des Upgrades tun.

      Unter Installieren von VMware Workspace ONE Access Connector 22.05 finden Sie Informationen zu Anforderungen, Dimensionierung, Installation und Einstellungen.

    • Mit dem 22.05 Connector können Sie mehrere externe Syslog-Server zum Speichern von Ereignismeldungen auf Anwendungsebene angeben, anstatt auf einen Server beschränkt zu sein. Sie können die Syslog-Server auf der Seite „Syslog-Serverinformationen angeben“ des Assistenten während des Upgrades eingeben.

      Verwenden Sie folgendes Format:

      host:port,host:port,host:port

      wobei Host den vollqualifizierten Domänennamen oder die IP-Adresse des Syslog-Servers enthält und Port die Portnummer ist. Beispiel:

      syslog1.example.com:514,syslog2.example.com:601,syslog3.example.com:163

  6. Nachdem das Upgrade erfolgreich abgeschlossen wurde, überprüfen Sie, ob die aktualisierten Dienste auf dem Windows-Server ausgeführt werden.
    Die Konnektordienste weisen die folgenden Namen auf:
    • VMware-Dienst „Verzeichnissynchronisierung“
    • VMware-Dienst „Benutzerauthentifizierung“
    • VMware-Dienst „„Kerberos-Authentifizierung“
    • VMware-Dienst „Virtuelle App“

    Die Dienste zeigen den Status „Wird ausgeführt“ an.

Ergebnisse

Das Upgrade des Connectors ist abgeschlossen. Sie können überprüfen, ob die neue Version des Konnektors installiert ist, indem Sie auf dem Windows-Server zu Systemsteuerung > Programme > Programme und Funktionen navigieren und die aufgelistete Version des Konnektors überprüfen.

Nächste Maßnahme

  • Klicken Sie in der Workspace ONE Access-Konsole auf das Aktualisierungssymbol auf der Seite Integrationen > Konnektoren und stellen Sie sicher, dass die aktualisierten Dienste aktiv sind und ein grüner Integritätsstatus vorliegt.
    Beispiel:
    Auf der Seite „Konnektoren“ wird ein Connector mit den Diensten „Verzeichnissynchronisierung“, „Benutzerauthentifizierung“, „Kerberos-Authentifizierung“ und „Virtuelle App“ aufgelistet. Die Dienste sind aktiv und zeigen ein grünes Kontrollkästchen in der Spalte „Integrität“ an.
  • Wenn die Authentifizierungsmethode „RSA SecurID (Cloud-Bereitstellung)“ in Ihrer ursprünglichen Installation konfiguriert und vor dem Connector-Upgrade entfernt wurde, führen Sie eine Neukonfiguration der Authentifizierungsmethode nach dem Upgrade aller Connector-Instanzen, auf denen der Benutzerauthentifizierungsdienst installiert ist.
    1. Wenn Sie mehrere RSA Authentication Manager-Serverinstanzen bereitgestellt haben, müssen Sie diese hinter einem Lastausgleichsdienst konfigurieren und die Workspace ONE Access-Anforderungen für den Lastausgleichsdienst erfüllen. Weitere Informationen finden Sie unter Workspace ONE Access-Anforderungen für den RSA SecurID-Lastausgleichsdienst.
    2. Wenn ein Proxy-Server mit den Konnektoren konfiguriert ist, stellen Sie sicher, dass der für den RSA Authentication Manager-Server konfigurierte Kommunikationsport auf dem Proxy-Server geöffnet ist.
    3. Stellen Sie in der RSA-Sicherheitskonsole sicher, dass der Connector mithilfe des vollqualifizierten Domänennamens (FQDN), wie z. B. connectorserver.example.com, als Authentifizierungsagent hinzugefügt wird. Wenn Sie den Connector bereits als Authentifizierungsagent hinzugefügt haben und dabei den NetBIOS-Namen statt des FQDN verwendet haben, fügen Sie einen weiteren Eintrag mit dem FQDN hinzu. Lassen Sie das IP-Adressfeld für den neuen Eintrag leer. Löschen Sie den alten Eintrag nicht.
    4. Aktualisieren Sie die Konfiguration der Authentifizierungsmethode „RSA SecurID (Cloud-Bereitstellung)“ für alle Verzeichnisse, die sie in der ursprünglichen Installation enthalten haben.

      Informationen zur neuen Konfiguration finden Sie unter Konfigurieren der RSA SecurID-Authentifizierung in Workspace ONE Access.

    5. Fügen Sie die Authentifizierungsmethode „RSA SecurID (Cloud-Bereitstellung)“ zu allen Zugriffsrichtlinien hinzu, die diese in der ursprünglichen Installation enthalten haben.

      Sie können die Zugriffsrichtlinien auf der Seite Ressourcen > Richtlinien bearbeiten. Wenn die Umschaltoption Neue Navigation in der Verwaltungskonsole deaktiviert ist, befindet sich der Speicherort der Seite unter Identitäts- und Zugriffsmanagement > Verwalten > Richtlinien.