Migrieren Sie Ihre vorhandenen Verzeichnisse und Sammlungen virtueller Apps von Workspace ONE Access 19.03 oder 19.03.0.1 Connectors mithilfe des Dashboards „Migration“ auf 22.09 Connectors. Der Migrationsvorgang ist ein stufenweiser Ansatz, mit dem Sie Ihre Umgebung mit den neuen Konnektoren testen können, bevor Sie die Migration abschließen.
Migrationsphasen
Der Migrationsprozess umfasst folgende Schritte:
- Installieren von 22.09 Connector
Installieren Sie die neuen 22.09 Connector, die die Dienste „Verzeichnissynchronisierung“, „Benutzerauthentifizierung“, „Kerberos-Authentifizierung“ und „Virtuelle App“ enthalten. Installieren Sie mindestens den Verzeichnissynchronisierungsdienst. Installieren Sie den Benutzerauthentifizierungsdienst, wenn die Konnektor-basierte Authentifizierung auf den älteren Konnektoren konfiguriert ist. Installieren Sie den Kerberos-Authentifizierungsdienst, wenn die Kerberos-Authentifizierungsmethode auf den älteren Konnektoren konfiguriert ist. Installieren Sie den Dienst „Virtuelle App“, wenn Sammlungen virtueller Apps auf den älteren Konnektoren konfiguriert sind.
- Migrieren von Verzeichnissen
In dieser Phase migrieren Sie alle Ihre Verzeichnisdaten mit dem Assistenten „Verzeichnis migrieren“. Die meisten der erforderlichen Informationen sind bereits in Ihrer Umgebung vorhanden, aber Sie geben einige vertrauliche Werte ein, z. B. das BIND-Benutzerkennwort für das Verzeichnis.
Durch das Migrieren der Verzeichnisse in dieser Phase werden keine Ihrer vorhandenen Verzeichnis-, Authentifizierungs- oder Identitätsanbieterkonfigurationen geändert. Sie verwenden weiterhin die alten Konnektoren. Die Änderungen werden erst dann wirksam, wenn Sie zur Vorschauphase wechseln.
- Migrieren von Sammlungen virtueller Apps
In dieser Phase wählen Sie die Konnektoren aus, auf die Ihre vorhandenen Sammlungen virtueller Apps migriert werden sollen. Die neuen Einstellungen werden erst nach dem Wechsel zur Vorschauphase wirksam.
- Vorschau
In der Vorschauphase zeigen Sie eine Vorschau Ihrer Umgebung mit den neuen 22.09 Connector an. Die neuen Dienste „Verzeichnissynchronisierung“, „Benutzerauthentifizierung“, „Kerberos-Authentifizierung“ und „Virtuelle App“ der 22.09-Connectors führen die Verzeichnissynchronisierung, die Benutzerauthentifizierung und die Synchronisierung virtueller Apps durch. Alle Authentifizierungsmethoden mit Ausnahme von Kerberos befinden sich im ausgehenden Modus.
Die Vorschauphase dient dazu, Ihre Umgebung mit den neuen Diensten gründlich zu testen. Stellen Sie sicher, dass die Verzeichnissynchronisierung, die Synchronisierung virtueller Apps, die Benutzerauthentifizierung und der Anwendungsstart erwartungsgemäß funktionieren.
In der Vorschau können Sie keine Verzeichnisse, Authentifizierungsmethoden, Identitätsanbieter oder Sammlungen virtueller Apps erstellen, bearbeiten oder löschen.
In der Vorschauphase können Sie ein Rollback auf die Verwendung der alten Konnektoren durchführen. Wenn Sie ein Rollback durchführen, werden die Verzeichnisdaten, die Sie in der vorherigen Phase migriert haben, weiterhin beibehalten. Wenn Sie zu einem späteren Zeitpunkt Änderungen an Ihren vorhandenen Verzeichnissen, Authentifizierungsmethoden oder Identitätsanbietern vornehmen, stellen Sie sicher, dass Sie die Verzeichnisdaten erneut migrieren.
- Migration abschließen
Wenn Sie mit den Testergebnissen Ihrer neuen Umgebung zufrieden sind, schließen Sie die Migration ab. Nach Abschluss der Migration können Sie kein Rollback auf die Verwendung der alten Konnektoren durchführen.
Voraussetzungen
- Überprüfen Sie die unter Anforderungen für die Migration auf Workspace ONE Access Connector 22.09 aufgeführten Anforderungen.
- Stellen Sie sicher, dass alle Konnektoren in Ihrer Umgebung die Version 19.03.x haben. Wenn es sich bei einem der Konnektoren um eine ältere Version handelt, aktualisieren Sie sie auf 19.03.x, bevor Sie mit der Migration beginnen.
- Bereiten Sie einen oder mehrere Windows-Server für die 22.09 Connector-Instanzen vor.
In Anforderungen für die Migration auf Workspace ONE Access Connector 22.09 erhalten Sie weitere Informationen.
- Wenn Sie eine lokale virtuelle Workspace ONE Access-Appliance verwenden, führen Sie ein Upgrade auf 22.09 durch, bevor Sie die Connector migrieren.
- Wenn Sie den Benutzerauthentifizierungsdienst installieren, stellen Sie sicher, dass Ihre Umgebung keine 22.05- und 21-Versionen enthält.x oder 20.x-Instanzen für den Benutzerauthentifizierungsdienst. Im Rahmen der Migration installieren Sie 22.09 Connectors. Alle Instanzen des Benutzerauthentifizierungsdiensts in Ihrer Umgebung müssen die Version 22.09 aufweisen. Die Migration kann nicht fortgesetzt werden, wenn Sie über gemischte Versionen des Benutzerauthentifizierungsdiensts verfügen.
- Gehen Sie wie folgt vor, wenn die RSA SecurID-Authentifizierungsmethode auf dem 19.03.x-Connector konfiguriert ist:
- Stellen Sie sicher, dass Sie die RSA Authentication Manager-Appliance Version 8.2 SP1 oder höher verwendet. Workspace ONE Access Connector 22.09 unterstützt RSA Authentication Manager-Appliance 8.2 SP1 und höher.
- Wenn Sie mehrere Instanzen des RSA Authentication Manager-Servers bereitgestellt haben, müssen Sie diese hinter einem Lastausgleichsdienst konfigurieren, damit die Integration mit Workspace ONE Access funktioniert. Stellen Sie sicher, dass die unter Workspace ONE Access-Anforderungen für den RSA SecurID-Lastausgleichsdienst im Handbuch Verwalten von Benutzerauthentifizierungsmethoden in Workspace ONE Access aufgeführten Anforderungen erfüllt sind.
- Stellen Sie in der RSA-Sicherheitskonsole sicher, dass der Connector mithilfe des vollqualifizierten Domänennamens (FQDN), wie z. B. connectorserver.example.com, als Authentifizierungsagent hinzugefügt wird. Wenn Sie den Connector bereits als Authentifizierungsagent hinzugefügt haben und dabei den NetBIOS-Namen statt des FQDN verwendet haben, fügen Sie einen weiteren Eintrag mit dem FQDN hinzu. Lassen Sie das IP-Adressfeld für den neuen Eintrag leer. Löschen Sie den alten Eintrag nicht.
- Im Rahmen des Migrationsvorgangs konfigurieren Sie die RSA SecurID-Authentifizierungsmethode. Zu den Informationen, die zum Konfigurieren der Authentifizierungsmethode erforderlich sind, gehören der Hostname des RSA Authentication Manager oder der Hostname des Lastausgleichsservers, der Kommunikationsport, der Zugriffsschlüssel und das SSL-Zertifikat des RSA Authentication Manager- oder Lastausgleichsservers, wenn der Server ein selbstsigniertes Zertifikat verwendet. Da Sie einige der Informationen von der RSA-Sicherheitskonsole erhalten, benötigen Sie auch die Anmeldedaten für die Sicherheitskonsole.
- Wenn ein Proxy-Server mit dem Konnektor konfiguriert ist, muss der für den RSA Authentication Manager-Server konfigurierte Kommunikationsport auf dem Proxy-Server geöffnet sein.
- Wenn Sie den Benutzerauthentifizierungsdienst auf einem neuen Windows-Server installieren, fügen Sie den Windows-Server als RSA Authentication Manager-Server hinzu, bevor Sie mit der Konnektormigration beginnen.
- (Nur lokale Workspace ONE Access-Installationen) Wenn beliebige IDPs mit mehreren Verzeichnissen verknüpft sind, ändern Sie die Konfiguration so, dass jeder IDP mit nur einem Verzeichnis verknüpft ist.
- Aktivieren Sie vor der Migration von Verzeichnissen die Option Gruppenmitglieder beim Hinzufügen einer Gruppe mit dem Verzeichnis synchronisieren und stellen Sie sicher, dass Benutzer, Gruppen und Gruppenmitgliedschaften ordnungsgemäß synchronisiert werden.
- Wählen Sie in der Workspace ONE Access-Konsole die Optionen aus.
- Klicken Sie auf Bearbeiten, aktivieren Sie das Kontrollkästchen Gruppenmitglieder beim Hinzufügen einer Gruppe mit dem Verzeichnis synchronisieren und klicken Sie auf Speichern.
- Navigieren Sie zur Registerkarte Synchronisierungseinstellungen des Verzeichnisses, erweitern Sie den Abschnitt Groups und klicken Sie auf Speichern. Erweitern Sie dann den Abschnitt Benutzer und klicken Sie auf Speichern.
Wichtig: Mit diesem Schritt stellen Sie sicher, dass dass die Änderung auf der Seite „Anmeldeeinstellungen“ wirksam wird.
- Warten Sie, bis einige Verzeichnissynchronisierungen erfolgreich abgeschlossen wurden, wobei die richtigen Benutzer, Gruppen und Gruppenmitgliedschaften mit Workspace ONE Access synchronisiert werden.
- Stellen Sie sicher, dass die Verzeichnissynchronisierung für keines der Verzeichnisse ausgeführt wird, bevor Sie den Migrationsvorgang starten.
- Wenn Sie die People Search-Funktion aktiviert haben, stellen Sie sicher, dass der Fotosynchronisierungsprozess für keines der Verzeichnisse ausgeführt wird, bevor Sie den Migrationsvorgang starten.
- Beachten Sie beim Migrieren eines 19.03.x Connector ohne verknüpftes Verzeichnis, dass bei Auswahl der Option Neuester Workspace ONE Access Connector in Schritt 5 die Migration als vollständig betrachtet und der 19.03.x Connector aus dem Mandanten gelöscht wird. Wenn Sie sich später entscheiden, dass Sie ältere Konnektoren verwenden möchten, und Ihre Konnektorauswahl unter Verwendung der Schaltfläche Konnektorauswahl zurücksetzen verwenden, wird der 19.03.x Connector nicht angezeigt. Sie müssen den 19.03.x Connector erneut installieren, um ihn mit dem Dienst zu reaktivieren.
Prozedur
Ergebnisse
Alle Ihre Verzeichnisse und Sammlungen virtueller Apps werden auf die neuen 22.09 Connectors migriert. Die neuen Dienste „Verzeichnissynchronisierung“, „Benutzerauthentifizierung“, „Kerberos-Authentifizierung“ und „Virtuelle App“ führen jetzt Verzeichnissynchronisierung, Benutzerauthentifizierung und Synchronisierung virtueller Apps durch.
Neue Identitätsanbieter werden für jedes Verzeichnis erstellt und auf der Seite Identitätsanbieter mit dem Namen Migrierter IDP für Verzeichnis angezeigt. Die neuen Identitätsanbieter sind vom Typ „Integriert“. Für die Kerberos-Authentifizierung wird ein separater Identitätsanbieter vom Typ „Workspace_IDP“ erstellt.
Alle Authentifizierungsmethoden mit Ausnahme von Kerberos werden in ausgehende Methoden konvertiert und mit dem Suffix (Cloud-Bereitstellung) umbenannt. Beispielsweise wird die Authentifizierungsmethode Kennwort in Kennwort (Cloud-Bereitstellung) umbenannt. Sie können die neuen Authentifizierungsmethoden über die Seite Methode für Konnektor-Authentifizierung anzeigen und verwalten.
Nächste Maßnahme
- Nach Abschluss der Migration müssen Sie die alten 19.03.x Connector-Instanzen auf den entsprechenden Servern deinstallieren.
Wenn Sie Sammlungen virtueller ThinApp-Apps migriert haben, deinstallieren Sie die Linux-Konnektoren.
- Nach Abschluss der Migration benötigen Sie den Integration Broker für Citrix-Integrationen nicht mehr. Die erforderliche Funktion ist jetzt Teil des Diensts „Virtuelle App“.
- Stellen Sie für Horizon- und Horizon Cloud-Integrationen sicher, dass die Horizon Connection Server oder die zugrunde liegenden Horizon-Server des Horizon Cloud-Mandanten über gültige Zertifikate verfügen, die von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiert wurden. Wenn die Horizon-Server über selbstsignierte Zertifikate verfügen, müssen Sie die Zertifikatskette auf die Workspace ONE Access Connector-Instanzen hochladen, auf denen der Dienst „Virtuelle App“ installiert ist, um eine Vertrauensstellung zwischen den Konnektoren und den Horizon-Servern herzustellen. Dies ist eine neue Anforderung, die mit Workspace ONE Access Connector 21.08 beginnt. Sie laden die Zertifikate mithilfe des Connector-Installationsprogramms hoch. Weitere Informationen finden Sie unter Installieren von VMware Workspace ONE Access Connector 22.09. Stellen Sie sicher, dass die Connector-Dienste nach dem Hochladen der Zertifikate neu gestartet werden.