Durchführen des Upgrades auf Workspace ONE Access Connector 23.09

Für das Upgrade des Windows-basierten Workspace ONE Access Connector auf Version 23.09, laden Sie das neue Installationsprogramm von VMware Customer Connect auf Ihren Konnektorserver herunter und führen das Installationsprogramm aus. Sie müssen die alte Version des Connectors nicht deinstallieren.

Während des Upgrades werden die vorhandenen Dienste „Verzeichnissynchronisierung“, „Benutzerauthentifizierung“, „Kerberos-Authentifizierung“ und „Virtuelle App“ ausgesetzt. Die-Dienste werden nach Abschluss des Upgrades automatisch neu gestartet.

Hinweis: In diesem Dokument wird beschrieben, wie Sie ein Upgrade des Konnektors mithilfe der grafischen Benutzeroberfläche durchführen. Informationen zum Upgrade des Konnektors mithilfe der Hintergrundinstallation finden Sie unter Ausführen des Workspace ONE Access Connector-Installationsprogramms im unbeaufsichtigten Modus.

Wichtige Überlegungen

FIPS-Modus
Wenn Sie ein Upgrade von einer Installation der Version 22.05 oder 22.09 durchführen, bei der der FIPS-Modus aktiviert war, wird der aktualisierte Konnektor im FIPS-Modus ausgeführt. Wenn Sie ein Upgrade von einer Installation von Version 22.05 oder 22.09 ohne aktivierten FIPS-Modus oder von einer älteren Version als 22.05 durchführen, wird der aktualisierte Konnektor im Nicht-FIPS-Modus ausgeführt. Sie können den FIPS-Modus während oder nach dem Upgrade nicht aktivieren oder deaktivieren. Zum Ändern der Einstellung für den FIPS-Modus müssen Sie eine Neuinstallation durchführen. In Upgrade auf VMware Workspace ONE Access Connector 23.09 erhalten Sie weitere Informationen.
es-config.json-Datei
Die Konfigurationsdatei es-config.json stellt die Verbindung zwischen dem Workspace ONE Access-Dienst und dem Konnektor her. In den meisten Fällen kann der aktualisierte Konnektor dieselbe Konfigurationsdatei verwenden, die vom vorhandenen Konnektor verwendet wird. In einigen Fällen müssen Sie jedoch eine neue es-config.json-Datei über die Workspace ONE Access-Konsole generieren.
- Wenn Sie ein Upgrade von Version 20.01.x oder 20.10.x durchführen und Sie beabsichtigen, den Dienst „Virtuelle App“ während oder nach dem Upgrade zu installieren, müssen Sie eine neue es-config.json-Konfigurationsdatei generieren und verwenden. Wenn Sie den Dienst „Virtuelle App“ nicht installieren möchten, benötigen Sie keine neue Konfigurationsdatei. Der aktualisierte Konnektor kann dieselbe Konfigurationsdatei verwenden, die auch vom vorhandenen Konnektor verwendet wird.
- Wenn Sie ein Upgrade von Version 21.08.x oder 22.05 durchführen und nach der Workspace ONE Access 21.08-Version oder Cloud-Version vom September 2021 eine Konfigurationsdatei vom Typ es-config.json erzeugt haben, müssen Sie keine neue Datei vom Typ es-config.json erstellen.
- Wenn das Kennwort Ihrer vorhandenen es-config.json-Konfigurationsdatei nicht den aktuellen Kennwortregeln entspricht, müssen Sie unabhängig von der Version, von der Sie aktualisieren, eine neue Konfigurationsdatei mit einem Kennwort erstellen, das den Regeln entspricht.
  Das Kennwort muss mindestens 14 Zeichen lang sein und mindestens eine Zahl, einen Großbuchstaben und ein Sonderzeichen enthalten. Nur die folgenden Sonderzeichen sind zulässig:
  @ ! , # $ { } ( ) _ + . < > ? *
  Alle Zeichen müssen sichtbar sein, wobei ASCII-Zeichen gedruckt werden.
- Wenn Sie das Kennwort für Ihre vorhandene Konfigurationsdatei vergessen haben, generieren Sie eine neue Konfigurationsdatei und verwenden Sie sie während des Upgrades.
Um eine neue Datei zu generieren, wechseln Sie in der Workspace ONE Access-Konsole zu Integrationen > Konnektoren, klicken Sie auf Neu und erstellen Sie eine neue Datei auf der Seite „Konfigurationsdatei herunterladen“ des Assistenten.

Vorsicht: Die Konfigurationsdatei enthält vertrauliche Informationen wie z. B. die Mandanten-URL, die Mandanten-ID, die Client-ID und den Clientschlüssel für jeden Unternehmensdienst sowie den Kennwort-Hash. Es ist wichtig, dass Sie die Datei nicht teilen oder öffentlich verfügbar machen.
Die Konfiguration der Authentifizierungsmethode „RSA SecurID (Cloud-Bereitstellung)“ wurde ab Version 21.08 geändert. Wenn Sie ein Upgrade von einem 20.10.x oder früheren Connector durchführen, für den die Authentifizierungsmethode „RSA SecurID (Cloud-Bereitstellung)“ konfiguriert wurde, müssen Sie die Authentifizierungsmethode aus den Zugriffsrichtlinien löschen, bevor Sie alle Instanzen des Benutzerauthentifizierungsdiensts aktualisieren. Führen Sie dann nach dem Upgrade eine Neukonfiguration durch. Da dies zu einer Ausfallzeit der RSA SecurID-basierten Anmeldung führt, planen Sie den Zeitpunkt Ihres Upgrades entsprechend.
Die allgemeinen Schritte zum Durchführen des Upgrades sind:
1. Stellen Sie sicher, dass Sie die RSA Authentication Manager-Appliance 8.2 SP1 oder höher verwenden. Dies sind die Versionen, die von Workspace ONE Access Connector 21.08 und höher unterstützt werden.
2. Bevor Sie den Konnektor aktualisieren, entfernen Sie die Authentifizierungsmethode „RSA SecurID (Cloud-Bereitstellung)“ aus den Zugriffsrichtlinien, in denen sie verwendet wird.
3. Aktualisieren Sie alle Konnektoren, auf denen der Benutzerauthentifizierungsdienst installiert ist, auf Version 23.09.
4. Wenn ein Proxy-Server mit den Konnektoren konfiguriert ist, stellen Sie sicher, dass der für den RSA Authentication Manager-Server konfigurierte Kommunikationsport auf dem Proxy-Server geöffnet ist.
5. Wenn Sie mehrere RSA Authentication Manager-Serverinstanzen bereitgestellt haben, müssen Sie diese hinter einem Lastausgleichsdienst konfigurieren und die Workspace ONE Access-Anforderungen für den Lastausgleichsdienst erfüllen.
6. Stellen Sie in der RSA-Sicherheitskonsole sicher, dass der Connector mithilfe des vollqualifizierten Domänennamens (FQDN), wie z. B. connectorserver.example.com, als Authentifizierungsagent hinzugefügt wird.
7. Aktualisieren Sie die Konfiguration der RSA SecurID-Authentifizierungsmethode (Cloud-Bereitstellung).
8. Fügen Sie die Authentifizierungsmethode „RSA SecurID (Cloud-Bereitstellung)“ hinzu, um auf Richtlinien zuzugreifen.
Stellen Sie sicher, dass Sie alle Connector-Instanzen, auf denen der Benutzerauthentifizierungsdienst installiert ist, auf Version 23.09 aktualisieren. Workspace ONE Access bietet keine Unterstützung für gemischte Versionen des Benutzerautorisierungsdiensts.
Workspace ONE Access Connector 23.09 unterstützt die folgenden Proxytypen:
- Nicht authentifizierte HTTP-Proxys
- Nicht authentifizierte HTTPS (SSL)-Proxys
- Authentifizierte HTTPS (SSL)-Proxys

Voraussetzungen

Weitere Informationen hierzu finden Sie unter Upgrade auf VMware Workspace ONE Access Connector 23.09.
Wenn sich die Konnektorinstallation auf einem virtuellen Windows Server befindet, erstellen Sie vor dem Upgrade einen Snapshot der virtuellen Maschine.
Wenn Sie den Kerberos-Authentifizierungsdienst oder den Dienst „Virtuelle App“ installieren möchten, stellen Sie sicher, dass Sie den Konnektorserver der Domäne hinzufügen.
Wenn Sie die Authentifizierungsmethode „RSA SecurID (Cloud-Bereitstellung)“ konfiguriert haben, stellen Sie sicher, dass Sie die RSA Authentication Manager-Appliance Version 8.2 SP1 oder höher verwenden.
Wenn Sie ein Upgrade von einem 20.10.x oder früheren Connector durchführen, für den die Authentifizierungsmethode „RSA SecurID (Cloud-Bereitstellung)“ konfiguriert wurde, entfernen Sie die Authentifizierungsmethode aus den Zugriffsrichtlinien, bevor Sie alle Connector-Instanzen aktualisieren, auf denen der Benutzerauthentifizierungsdienst installiert ist.
1. Navigieren Sie in der Workspace ONE Access-Konsole zu Ressourcen > Richtlinien.
2. Überprüfen Sie jede Richtlinie und entfernen Sie die Authentifizierungsmethode „RSA SecurID (Cloud-Bereitstellung)“, wenn sie Teil der Richtlinie ist.
  Notieren Sie sich die vorgenommenen Änderungen, sodass Sie über die erforderlichen Informationen verfügen, um die Authentifizierungsmethode nach dem Upgrade des Konnektors wieder hinzuzufügen.
Wenn Sie ein Upgrade von Version 20.01.x durchführen und ein Verzeichnis vom Typ Active Directory über die integrierte Windows-Authentifizierung (IWA) konfiguriert haben, deaktivieren Sie die Option STARTTLS in der Verzeichniskonfiguration in der Workspace ONE Access-Konsole, bevor Sie ein Upgrade durchführen. Nach dem Upgrade wird die Funktionalität von Active Directory über IWA mit der Option STARTTLS inkompatibel.
Um die Verzeichniskonfiguration zu bearbeiten, navigieren Sie zur Seite Integrationen > Verzeichnisse, wählen Sie das Verzeichnis aus, deaktivieren Sie das Kontrollkästchen Dieses Verzeichnis erfordert für alle Verbindungen die Verwendung von STARTTLS und klicken Sie auf Speichern.

Hinweis: Wenn Sie den in Knowledgebase-Artikel 77158 beschriebenen-Hotfix auf Connector 20.01 angewendet oder ein Upgrade auf Connector 20.01.0.1 oder höher durchgeführt haben, haben Sie die Option STARTTLS für Active Directory über IWA möglicherweise bereits deaktiviert. Stellen Sie sicher, dass die Einstellung deaktiviert ist.
Halten Sie in der Workspace ONE Access-Konsole alle Connector-Dienste an.
1. Wählen Sie Integrationen > Konnektoren aus.
2. Wählen Sie den Konnektor aus und klicken Sie auf Verwalten.
3. Klicken Sie auf die Umschaltoption neben jedem Dienstnamen, um den Dienst anzuhalten.
Stellen Sie sicher, dass Sie über die folgenden Kontoinformationen verfügen:
- Ihre VMware Customer Connect-Anmeldedaten
- Wenn Ihre vorhandene Installation den Kerberos-Authentifizierungsdienst oder den Dienst „Virtuelle App“ enthält, benötigen Sie die Domänenbenutzeranmeldedaten, die zum Ausführen des Diensts verwendet werden.
- Wenn Sie den Kerberos-Authentifizierungsdienst oder den Dienst für „Virtuelle App“ während des Upgrades installieren möchten, benötigen Sie ein Domänenbenutzerkonto, um diese Dienste auszuführen. Während diese Dienste mit Berechtigungen für das Domänenbenutzerkonto ausgeführt werden, werden die Dienste für die Verzeichnissynchronisierung und die Benutzerauthentifizierung mit niedrigeren Berechtigungen ausgeführt.
- Wenn Sie die Authentifizierungsmethode „RSA SecurID (Cloud-Bereitstellung)“ verwenden, benötigen Sie die Anmeldedaten der RSA-Sicherheitskonsole, um die Informationen abzurufen, die zum Neukonfigurieren der Authentifizierungsmethode in der Workspace ONE Access-Konsole nach dem Upgrade aller Konnektorinstanzen erforderlich sind.

Prozedur

Erzeugen Sie bei Bedarf eine neue Konfigurationsdatei in der Workspace ONE Access-Konsole.
1. Melden Sie sich bei der Workspace ONE Access-Konsole als Systemdomänen-Admin an.
  
  Tipp: In Cloud-Bereitstellungen ist der Systemdomänen-Admin der Admin-Benutzer, dessen Anmeldedaten Sie erhalten, wenn Sie den Workspace ONE Access-Mandanten abrufen. In lokalen Bereitstellungen ist der Systemdomänen-Admin der Admin-Benutzer, der erstellt wird, wenn Sie eine Workspace ONE Access-Instanz installieren.
2. Wählen Sie Integrationen > Konnektoren aus.
3. Klicken Sie auf Neu.
4. Klicken Sie im Assistenten „Neuen Konnektor hinzufügen“ auf Weiter.
5. Generieren Sie auf der Seite „Konfigurationsdatei herunterladen“ die Konfigurationsdatei, indem Sie ein Kennwort erstellen und auf Konfigurationsdatei herunterladen klicken.
  
  Das Kennwort muss mindestens 14 Zeichen lang sein und mindestens eine Zahl, einen Großbuchstaben und ein Sonderzeichen enthalten. Nur die folgenden Sonderzeichen sind zulässig:
  
  @ ! , # $ { } ( ) _ + . < > ? *
  
  Alle Zeichen müssen sichtbar sein, wobei ASCII-Zeichen gedruckt werden.
  
  Die Konfigurationsdatei wird verwendet, um die Verbindung zwischen den von Ihnen installierten Unternehmensdiensten und dem Workspace ONE Access-Mandanten herzustellen. Der Name der Datei lautet standardmäßig es-config.json.
  
  Vorsicht: Die Konfigurationsdatei enthält vertrauliche Informationen wie z. B. die Mandanten-URL, die Mandanten-ID, die Client-ID und den Clientschlüssel für jeden Unternehmensdienst sowie den Kennwort-Hash. Es ist wichtig, dass Sie die Datei nicht teilen oder öffentlich verfügbar machen.
6. Übertragen Sie die Konfigurationsdatei auf den Windows-Server, auf dem die frühere Version des Konnektors installiert ist.
Laden Sie Workspace ONE Access Connector 23.09 aus VMware Customer Connect herunter.
1. Melden Sie sich bei https://customerconnect.vmware.com/ an.
2. Navigieren Sie zur Workspace ONE Access Connector-Downloadseite.
3. Laden Sie Workspace-ONE-Access-Connector-Installer-23.09.0.0.exe herunter.
Speichern Sie die Installationsdatei auf dem Windows Server, auf dem die frühere Version des Connectors installiert ist.
Doppelklicken Sie auf die Datei Workspace-ONE-Access-Connector-Installer-23.09.0.0.exe, um das Installationsprogramm auszuführen.
Das Installationsprogramm erkennt, dass ein Upgrade erforderlich ist, und leitet Sie durch den Upgrade-Vorgang.
Führen Sie die Anweisungen des Assistenten durch, um den Konnektor zu aktualisieren.
- Wenn während des Upgrades die Seite „Konfiguration angeben“ angezeigt wird, wählen Sie die neue oder vorhandene Konfigurationsdatei aus und geben Sie ihr Kennwort an. Der Standardname der Datei ist es-config.json.
- Während des Upgrades wird die Seite „Vertrauenswürdige Rootzertifikate installieren“ angezeigt. Sie können vertrauenswürdige Rootzertifikate in den Truststore hochladen. Der Connector kann sichere Verbindungen mit Servern und Clients herstellen, deren Zertifikatskette alle zertifikate enthält, die in den Truststore hochgeladen wurden. Folgende Szenarien erfordern vertrauenswürdige Rootzertifikate:
  - (Nur lokale Installationen) Wenn Ihre lokale Workspace ONE Access-Dienstinstanz ein selbstsigniertes Zertifikat aufweist, müssen Sie das Rootzertifikat und ggf. ein Zwischenzertifikat hochladen, um eine Vertrauensstellung zwischen den Unternehmensdiensten und der Workspace ONE Access-Dienstinstanz einzurichten.
  - (Nur Kerberos-Authentifizierungsdienst) Wenn Sie mehrere Instanzen des Kerberos-Authentifizierungsdiensts hinter einem Lastausgleichsdienst bereitstellen, müssen Sie das Root-CA-Zertifikat des Lastausgleichsdiensts auf den Konnektor-Instanzen installieren, um eine Vertrauensstellung zwischen den Konnektoren und dem Lastausgleichsdienst einzurichten.
  - (Nur Dienst „Virtuelle App“) Wenn Sie Sammlungen virtueller Apps erstellen, die in VMware Horizon, Horizon Cloud Service on Microsoft Azure mit Einzel-Pod-Broker oder Horizon Cloud Service on IBM Cloud integriert werden sollen, und die Horizon-Server über selbstsignierte Zertifikate verfügen, müssen Sie die Zertifikatskette auf die Connector-Instanzen hochladen, auf denen der Dienst „Virtuelle App“ installiert ist, um eine Vertrauensstellung zwischen den Konnektoren und den Horizon-Servern herzustellen. Wenn die Horizon-Server über Zertifikate verfügen, die von einer öffentlichen Zertifizierungsstelle signiert wurden, müssen Sie die Zertifikate nicht in den Connector-Truststore hochladen. Es wird dringend empfohlen, von einer öffentlichen Zertifizierungsstelle signierte Zertifikate zu verwenden.
  Wenn Sie Zertifikate während des Upgrades hochladen, stellen Sie sicher, dass Sie die Dienste nach Abschluss des Upgrades neu starten.
  Das Hochladen von Zertifikaten ist ein optionaler Schritt für das Upgrade. Sie können Zertifikate auch nach dem Upgrade hochladen, indem Sie das Installationsprogramm erneut ausführen.
- Während des Upgrades installiert das Installationsprogramm OpenJDK 11.
- Während des Upgrades können Sie alle Einstellungen für vorhandene Dienste ändern. Sie können auch andere Dienste installieren. Beispiel: Wenn Ihre vorhandene Installation nur den Verzeichnissynchronisierungsdienst enthält und Sie den Benutzerauthentifizierungsdienst und den Kerberos-Authentifizierungsdienst installieren möchten, können Sie dies auch während des Upgrades tun.
  Unter Installieren von VMware Workspace ONE Access Connector 23.09 finden Sie Informationen zu Anforderungen, Dimensionierung, Installation und Einstellungen.
- (Nur Dienst „Virtuelle App“) Die neue Seite „Citrix-Konfiguration“ wird während des Upgrades angezeigt, wenn Sie den benutzerdefinierten Installationsablauf verwenden. Die Optionen auf der Seite gelten für die Workspace ONE Access-Integration mit einer Citrix-Umgebung, für die die Aggregation mehrerer Sites oder die Schlüsselwortfilterung konfiguriert ist.
  Weitere Informationen finden Sie unter Konfigurieren von Citrix Multi-Site-Aggregation und Schlüsselwortfilterung in Workspace ONE Access in Einrichten von Ressourcen in Workspace ONE Access und Installieren des Workspace ONE Access Connector.
  Sie können die Optionen während des Upgrades konfigurieren, oder Sie können sie nach dem Upgrade konfigurieren, indem Sie das Connector-Installationsprogramm erneut ausführen.
- Mit dem 23.09 Connector können Sie mehrere externe Syslog-Server zum Speichern von Ereignismeldungen auf Anwendungsebene angeben, anstatt auf einen Server beschränkt zu sein. Sie können die Syslog-Server auf der Seite „Syslog-Serverinformationen angeben“ des Assistenten während des Upgrades eingeben.
  Verwenden Sie folgendes Format:
  host:port,host:port,host:port
  wobei Host den vollqualifizierten Domänennamen oder die IP-Adresse des Syslog-Servers enthält und Port die Portnummer ist. Beispiel:
  syslog1.example.com:514,syslog2.example.com:601,syslog3.example.com:163
Nachdem das Upgrade erfolgreich abgeschlossen wurde, überprüfen Sie, ob die aktualisierten Dienste auf dem Windows-Server ausgeführt werden.
Wenn die Dienste nicht ausgeführt werden, starten Sie sie.
Die Konnektordienste weisen die folgenden Namen auf:
- VMware-Dienst „Verzeichnissynchronisierung“
- VMware-Dienst „Benutzerauthentifizierung“
- VMware-Dienst „„Kerberos-Authentifizierung“
- VMware-Dienst „Virtuelle App“

Ergebnisse

Das Upgrade des Connectors ist abgeschlossen. Sie können überprüfen, ob die neue Version des Konnektors installiert ist, indem Sie auf dem Windows-Server zu Systemsteuerung > Programme > Programme und Funktionen navigieren und die aufgelistete Version des Konnektors überprüfen.

Nächste Maßnahme

Klicken Sie in der Workspace ONE Access-Konsole auf das Aktualisierungssymbol auf der Seite Integrationen > Konnektoren und stellen Sie sicher, dass die aktualisierten Dienste aktiv sind und ein grüner Integritätsstatus vorliegt.
Beispiel:

Wenn der Integritätsstatus rot ist, starten Sie die Dienste neu.
Wenn die Authentifizierungsmethode „RSA SecurID (Cloud-Bereitstellung)“ in Ihrer ursprünglichen Installation konfiguriert und vor dem Connector-Upgrade entfernt wurde, führen Sie eine Neukonfiguration der Authentifizierungsmethode nach dem Upgrade aller Connector-Instanzen, auf denen der Benutzerauthentifizierungsdienst installiert ist.
1. Wenn Sie mehrere RSA Authentication Manager-Serverinstanzen bereitgestellt haben, müssen Sie diese hinter einem Lastausgleichsdienst konfigurieren und die Workspace ONE Access-Anforderungen für den Lastausgleichsdienst erfüllen. Weitere Informationen finden Sie unter Workspace ONE Access-Anforderungen für den RSA SecurID-Lastausgleichsdienst.
2. Wenn ein Proxy-Server mit den Konnektoren konfiguriert ist, stellen Sie sicher, dass der für den RSA Authentication Manager-Server konfigurierte Kommunikationsport auf dem Proxy-Server geöffnet ist.
3. Stellen Sie in der RSA-Sicherheitskonsole sicher, dass der Connector mithilfe des vollqualifizierten Domänennamens (FQDN), wie z. B. connectorserver.example.com, als Authentifizierungsagent hinzugefügt wird. Wenn Sie den Connector bereits als Authentifizierungsagent hinzugefügt haben und dabei den NetBIOS-Namen statt des FQDN verwendet haben, fügen Sie einen weiteren Eintrag mit dem FQDN hinzu. Lassen Sie das IP-Adressfeld für den neuen Eintrag leer. Löschen Sie den alten Eintrag nicht.
4. Aktualisieren Sie die Konfiguration der Authentifizierungsmethode „RSA SecurID (Cloud-Bereitstellung)“ für alle Verzeichnisse, die sie in der ursprünglichen Installation enthalten haben.
  Informationen zur neuen Konfiguration finden Sie unter Konfigurieren der RSA SecurID-Authentifizierung in Workspace ONE Access.
5. Fügen Sie die Authentifizierungsmethode „RSA SecurID (Cloud-Bereitstellung)“ zu allen Zugriffsrichtlinien hinzu, die diese in der ursprünglichen Installation enthalten haben.
  Sie können die Zugriffsrichtlinien auf der Seite Ressourcen > Richtlinien bearbeiten.