Migrieren Sie mithilfe des Dashboards „Migration“ Ihre vorhandenen Verzeichnisse auf die Workspace ONE Access 20.01 Connector-Versionen. Der Migrationsvorgang ist ein stufenweiser Ansatz, mit dem Sie Ihre Umgebung mit den neuen Konnektoren testen können, bevor Sie die Migration abschließen.

Der Migrationsprozess umfasst folgende Schritte:

  • Installieren von 20.01 Connector

    Installieren Sie die neuen 20.01 Connector, die die Verzeichnissynchronisierungs-, die Benutzerauthentifizierungs- und die Kerberos-Authentifizierungsdienste enthalten. Installieren Sie mindestens den Verzeichnissynchronisierungs- und den Benutzerauthentifizierungsdienst. Installieren Sie den Kerberos-Authentifizierungsdienst, wenn Sie die Kerberos-Authentifizierungsmethode konfiguriert haben.

  • Migrieren auf neue Konnektoren

    In dieser Phase migrieren Sie alle Ihre Verzeichnisdaten mit dem Assistenten „Verzeichnis migrieren“. Die meisten der erforderlichen Informationen sind bereits in Ihrer Umgebung vorhanden, aber Sie müssen einige vertrauliche Werte eingeben, z. B. das BIND-Benutzerkennwort für das Verzeichnis.

    Durch das Migrieren der Verzeichnisse in dieser Phase werden keine Ihrer vorhandenen Verzeichnis-, Authentifizierungs- oder Identitätsanbieterkonfigurationen geändert. Sie verwenden weiterhin die alten Konnektoren. Die Änderungen werden erst dann wirksam, wenn Sie im nächsten Schritt zur Vorschauphase wechseln.

  • Vorschau

    In der Vorschauphase zeigen Sie eine Vorschau Ihrer Umgebung mit den neuen 20.01 Connector an. Die neuen Verzeichnissynchronisierungs-, Benutzerauthentifizierungs- und Kerberos-Authentifizierungsdienste von den 20.01 Connector führen die Verzeichnissynchronisierung und die Benutzerauthentifizierung durch. Alle Authentifizierungsmethoden mit Ausnahme von Kerberos befinden sich im ausgehenden Modus.

    Die Vorschauphase dient dazu, Ihre Umgebung mit den neuen Diensten gründlich zu testen. Stellen Sie sicher, dass die Verzeichnissynchronisierung, die Benutzerauthentifizierung und der Anwendungsstart erwartungsgemäß funktionieren.

    In der Vorschauphase können Sie keine Änderungen an Ihren Verzeichnissen, Authentifizierungsmethoden oder Identitätsanbietern vornehmen oder neue hinzufügen.

    In der Vorschauphase können Sie ein Rollback auf die Verwendung der alten Konnektoren durchführen. Wenn Sie ein Rollback durchführen, werden die Verzeichnisdaten, die Sie in der vorherigen Phase migriert haben, weiterhin beibehalten. Wenn Sie nachträglich Änderungen an Ihren vorhandenen Verzeichnissen, Authentifizierungsmethoden oder Identitätsanbietern vornehmen, stellen Sie sicher, dass Sie die Verzeichnisdaten erneut migrieren.

  • Migration abschließen

    Wenn Sie mit den Testergebnissen Ihrer neuen Umgebung zufrieden sind, schließen Sie die Migration ab. Nach Abschluss der Migration können Sie kein Rollback auf die Verwendung der alten Konnektoren durchführen.

Zu den empfohlenen Vorgehensweisen für die Migration gehören:

  • Stellen Sie sicher, dass der Verzeichnissynchronisierungsprozess für keines der Verzeichnisse ausgeführt wird, bevor Sie den Migrationsvorgang starten.
  • Wenn Sie People Search aktiviert haben, stellen Sie sicher, dass der Fotosynchronisierungsprozess für keines der Verzeichnisse ausgeführt wird, bevor Sie den Migrationsvorgang starten.

Voraussetzungen

  • Überprüfen Sie die Anforderungen unter Migrieren auf VMware Workspace ONE Access 20.01 Connector-Versionen.
  • Stellen Sie sicher, dass alle Konnektoren in Ihrer Umgebung Version 19.03 aufweisen. Wenn es sich bei Konnektoren um eine ältere Version handelt, führen Sie ein Upgrade auf 19.03 durch.
  • Bereiten Sie einen oder mehrere Windows-Server für die 20.01 Connector vor. Diese Server müssen sich von Ihren Servern mit 19.03 Connector unterscheiden.

    Weitere Informationen finden Sie unter Systemanforderungen in Installieren von Workspace ONE Access Connector 20.01 .

  • Wenn Sie über eine lokale Workspace ONE Access-Dienstinstanz verfügen, führen Sie ein Upgrade auf 20.01 durch, bevor Sie die Connector migrieren.
  • Wenn Sie die RSA SecurID-Authentifizierungsmethode für eines Ihrer Verzeichnisse konfiguriert haben, löschen Sie den Knotenschlüssel in der RSA-Sicherheitskonsole.
  • Wenn irgendwelche IDPs mit mehreren Verzeichnissen verknüpft sind, ändern Sie die Konfiguration so, dass jeder IDP nur mit einem Verzeichnis verknüpft ist.

Prozedur

  1. Klicken Sie auf die Registerkarte Identitäts- und Zugriffsverwaltung.
    Die Seite „Migration“ wird angezeigt.
    Seite „Migration“
  2. Lesen Sie die Anforderungen und klicken Sie auf Ja.
    Das Dashboard „Verzeichnismigration“ wird angezeigt.
  3. Klicken Sie im Dashboard „Verzeichnismigration“ auf den Link Erste Schritte im Abschnitt Installieren von 20.01 Connector.

    Bereich „Installieren von neuen Konnektoren“ im Dashboard „Verzeichnismigration“
  4. Klicken Sie auf der Seite „Konnektoren“ auf Neu.
    Die Seite „Konnektoren“ wird angezeigt
  5. Wählen Sie im Popup-Fenster „Bestätigung der Nutzung virtueller Apps“ die Option Workspace ONE Access 20.01 Connector aus, wenn Sie keine virtuellen Apps verwenden möchten (Horizon-, Horizon Cloud- und Citrix-Integrationen).
    Wenn Sie virtuelle Apps verwenden möchten, wählen Sie Ältere Konnektoren verwenden aus, um den Migrationsvorgang zu beenden.
    Frage zur Nutzung virtueller Apps
  6. Folgen Sie dem Assistenten zum Hinzufügen eines neuen Konnektors, um das Konnektor-Installationsprogramm und die erforderliche Konfigurationsdatei herunterzuladen, und installieren Sie dann den 20.01 Connector.
    Informationen zur Installation finden Sie unter Installieren von Workspace ONE Access Connector 20.01. Weitere Informationen finden Sie unter Voraussetzungen und Installieren des Workspace ONE Access Connector.
    Wichtig: Wenn Sie den Konnektor installieren, stellen Sie sicher, dass Sie den Verzeichnissynchronisierungsdienst und den Benutzerauthentifizierungsdienst installieren. Der Kerberos-Authentifizierungsdienst ist nur erforderlich, wenn Sie die Kerberos-Authentifizierungsmethode auf einem Ihrer älteren Konnektoren konfiguriert haben.
  7. Wenn die Konnektorinstallation erfolgreich abgeschlossen wurde, kehren Sie zum Dashboard „Verzeichnismigration“ in der Workspace ONE Access-Dienstkonsole zurück.
  8. Migrieren Sie im Abschnitt Auf neue Konnektoren migrieren alle Ihre Verzeichnisse nacheinander.
    Abschnitt „Verzeichnisse migrieren“ im Dashboard „Migration“
    Im Abschnitt „Auf neue Konnektoren migrieren“ werden alle Active Directory- und LDAP-Verzeichnisse in Ihrem Mandanten aufgelistet. Sie müssen alle aufgeführten Verzeichnisse migrieren, bevor Sie die Migration abschließen können.
    Hinweis: Durch das Migrieren der Verzeichnisse in diesem Schritt werden keine Ihrer vorhandenen Verzeichnis-, Authentifizierungs- oder Identitätsanbieterkonfigurationen geändert und erst nach einer Vorschau der Änderungen im nächsten Schritt wirksam.
    1. Klicken Sie auf die Schaltfläche Migrieren neben dem Verzeichnis.
      Der Assistent „Verzeichnis migrieren“ wird angezeigt. Der Assistent ist an das Verzeichnis angepasst, das Sie migrieren. Für die Authentifizierungsmethoden, die für das Verzeichnis konfiguriert sind, werden zusätzliche Seiten angezeigt.
    2. Geben Sie auf der Seite „Verzeichnis“ das BIND-Benutzerkennwort für das Verzeichnis ein.
      In der Liste Host(s) für die Verzeichnissynchronisierung werden die neuen 20.01 Connector angezeigt, auf denen der Verzeichnissynchronisierungsdienst installiert ist. Wählen Sie einen oder mehrere Hosts aus, die für die Synchronisierung des Verzeichnisses verwendet werden sollen.
      Assistent „Verzeichnis synchronisieren“ – Verzeichnisseite
    3. (Wird nur angezeigt, wenn die Kerberos-Authentifizierungsmethode konfiguriert ist) Geben Sie auf der Seite „Kerberos“ die Informationen an, die für die Migration der Kerberos-Authentifizierungsmethode erforderlich sind.
      • Quellkonnektor: Der Quellkonnektor ist vorausgewählt. Sie können einen anderen Konnektor auswählen, wenn der vorgewählte Konnektor nicht verfügbar ist.
      • Kerberos-Authentifizierungshost(s): In der Liste werden die neuen 20.01 Connector Hosts angezeigt, auf denen der Kerberos-Authentifizierungsdienst installiert ist. Wählen Sie einen oder mehrere Hosts aus, die für die Kerberos-Authentifizierung verwendet werden sollen.

      Verzeichnis migrieren – Kerberos-Seite

    4. Geben Sie auf der Seite „Kennwort“ die Informationen an, die für die Migration der Kennwortauthentifizierungsmethode erforderlich sind.
      • Quellkonnektor: Der Quellkonnektor ist vorausgewählt. Sie können einen anderen Konnektor auswählen, wenn der vorgewählte Konnektor nicht verfügbar ist.
      • BIND-Kennwort: Geben Sie das BIND-Benutzerkennwort für das Verzeichnis ein.
      • Host(s) für die Benutzerauthentifizierung: In der Liste werden die neuen 20.01 Connector Hosts angezeigt, auf denen der Benutzerauthentifizierungsdienst installiert ist. Wählen Sie einen oder mehrere Hosts aus, die für die Kennwortauthentifizierung verwendet werden sollen.

      Kennwort für die Verzeichnismigration

    5. (Wird nur angezeigt, wenn die RADIUS-Authentifizierungsmethode konfiguriert ist) Geben Sie auf der Seite „Radius“ die Informationen an, die für die Migration der RADIUS-Authentifizierungsmethode erforderlich sind.
      • Quellkonnektor: Der Quellkonnektor ist vorausgewählt. Sie können einen anderen Konnektor auswählen, wenn der vorgewählte Konnektor nicht verfügbar ist.
      • Gemeinsamer geheimer Schlüssel: Der gemeinsame geheime Schlüssel für den RADIUS-Server.
      • Host(s) für die Benutzerauthentifizierung: In der Liste werden die neuen 20.01 Connector Hosts angezeigt, auf denen der Benutzerauthentifizierungsdienst installiert ist. Wählen Sie einen oder mehrere Hosts aus, die für die RADIUS-Authentifizierung verwendet werden sollen.

      Verzeichnis migrieren – Radius-Seite

    6. (Wird nur angezeigt, wenn die RSA SecurID-Authentifizierungsmethode konfiguriert ist) Geben Sie auf der Seite „SecurID“ die Informationen an, die für die Migration der RSA SecurID-Authentifizierungsmethode erforderlich sind.
      • Quellkonnektor: Der Quellkonnektor ist vorausgewählt. Sie können einen anderen Konnektor auswählen, wenn der vorgewählte Konnektor nicht verfügbar ist.
      • Host(s) für die Benutzerauthentifizierung: In der Liste werden die neuen 20.01 Connector Hosts angezeigt, auf denen der Benutzerauthentifizierungsdienst installiert ist. Wählen Sie einen oder mehrere Hosts aus, die für die RSA SecurID-Authentifizierung verwendet werden sollen.

      Verzeichnis migrieren – SecurID-Seite

    7. (Wird nur angezeigt, wenn die Kerberos-Authentifizierung konfiguriert ist) Geben Sie auf der Seite „Identitätsanbieter“ den FQDN des Konnektor-Lastausgleichsdiensts ein, der für den neuen Identitätsanbieter verwendet werden soll, der während der Migration für die Kerberos-Authentifizierung erstellt wird.
      Der aktuelle FQDN des Lastausgleichsdiensts wird als Referenz angezeigt. Dies ist der aktuelle Wert für IdP-Hostname auf der Seite „Identitätsanbieter“ des Verzeichnisses.
      Wenn nur ein 20.01 Connector und kein Lastausgleichsdienst vorhanden sind, geben Sie den FQDN des Konnektors ein.
      Seite „Identitiätsanbieter“ des Assistenten „Verzeichnis migrieren“
    8. Überprüfen Sie auf der Seite „Übersicht“ Ihre Auswahl und klicken Sie auf Speichern.
      Die Verzeichnismigrationsdaten werden gespeichert. Sie können die Einstellungen anzeigen, indem Sie auf die Schaltfläche Übersicht neben dem Verzeichnis im Dashboard „Verzeichnismigration“ klicken.
      Im Bereich „Migration“ des Dashboards wird die Schaltfläche „Übersicht“ angezeigt
      Wenn Sie Änderungen an den von Ihnen eingegebenen Informationen vornehmen möchten, klicken Sie auf der Seite „Übersicht“ auf Neu starten. Dadurch werden die von Ihnen für das Verzeichnis eingegebenen Migrationsdaten verworfen und Sie können das Verzeichnis erneut migrieren.
      Verzeichnisübersicht
    9. Migrieren Sie die restlichen Verzeichnisse.
    Nachdem alle Verzeichnisse migriert wurden, ist Schritt „Migration abschließen“ aktiviert.
  9. Klicken Sie im Abschnitt Migration abschließen auf Vorschau starten, um den Migrationsvorgang zu starten.
    Dashboard „Migration“ – Vorschau starten
    In der Vorschauphase werden die neuen 20.01 Connector verwendet. Die Verzeichnissynchronisierung wird vom neuen Verzeichnissynchronisierungsdienst, die Benutzerauthentifizierung vom neuen Benutzer-Authentifizierungsdienst und die Kerberos-Authentifizierung vom neuen Kerberos-Authentifizierungsdienst durchgeführt. Sie können keine Änderungen an Ihren Verzeichnissen, Authentifizierungsmethoden oder Identitätsanbietern vornehmen oder neue erstellen. Sie können die konvertierten Identitätsanbieter auf der Registerkarte Identitätsanbieter und die konvertierten Authentifizierungsmethoden auf den Registerkarten Methoden der Enterprise-Authentifizierung anzeigen. Alle Authentifizierungsmethoden mit Ausnahme von Kerberos befinden sich im ausgehenden Modus.
    Wichtig: Testen Sie Ihre Umgebung gründlich in der Vorschauphase und stellen Sie sicher, dass sie wie erwartet funktioniert. Stellen Sie sicher, dass die Verzeichnissynchronisierung, die Benutzeranmeldung und der Anwendungsstart funktionieren.
  10. Wenn Sie feststellen, dass Ihre Umgebung nicht ordnungsgemäß funktioniert, oder wenn Sie Änderungen an Ihren Verzeichnissen, Authentifizierungsmethoden oder Identitätsanbietern vornehmen möchten, beenden Sie die Vorschauphase und kehren Sie zur Verwendung der alten Konnektoren zurück.
    Wechseln Sie zur Seite „Identitäts- und Zugriffsmanagement“ > „Verwalten“ > „Verzeichnisse“, klicken Sie auf Migration fortsetzen und klicken Sie dann im Dashboard „Verzeichnismigration“ im Abschnitt Migration abschließen auf Abbruch.
    Bereich „Migration abschließen“
    Wenn Sie Änderungen an Ihren Verzeichnissen, Authentifizierungsmethoden oder Identitätsanbietern nachträglich vornehmen, stellen Sie sicher, dass Sie die Verzeichnisse im Abschnitt Auf neue Konnektoren migrieren erneut migrieren.
  11. Wenn Sie sichergestellt haben, dass Ihre Umgebung in der Vorschauphase wie erwartet funktioniert, und Sie bereit sind, die Migration abzuschließen, kehren Sie zum Dashboard „Verzeichnismigration“ zurück, indem Sie zur Seite „Identitäts- und Zugriffsmanagement“ > „Verwalten“ > „Verzeichnisse“ wechseln und auf Migration fortsetzen klicken.
    Vorsicht: Nach Abschluss der Migration können Sie kein Rollback auf die alten Konnektoren durchführen.

    Klicken Sie auf Abschließen, um die Migration abzuschließen.

    Dashboard „Migration“ – Abschnitt „Migration abschließen“

Ergebnisse

Alle Verzeichnisse werden auf die neuen 20.01 Connector migriert. Die neuen Verzeichnissynchronisierungs-, Benutzer- und Kerberos-Authentifizierungsdienste führen jetzt eine Verzeichnissynchronisierung und eine Benutzerauthentifizierung durch.

Neue Identitätsanbieter werden für jedes Verzeichnis erstellt und auf der Registerkarte Identitätsanbieter mit dem Namen Migrierter IDP für Verzeichnis angezeigt. Die neuen Identitätsanbieter sind vom Typ „Integriert“. Für die Kerberos-Authentifizierung wird ein separater Identitätsanbieter vom Typ „Workspace_IDP“ erstellt.

Alle Authentifizierungsmethoden mit Ausnahme von Kerberos werden in ausgehende Methoden konvertiert und mit dem Suffix (Cloud-Bereitstellung) umbenannt. Beispielsweise wird die Authentifizierungsmethode Kennwort in Kennwort (Cloud-Bereitstellung) umbenannt. Sie können die neuen Authentifizierungsmethoden über die Registerkarte Enterprise-Authentifizierungsmethoden anzeigen und verwalten.

Nächste Maßnahme

Wenn die Migration abgeschlossen ist, können Sie die alten 19.03 Connector von den Servern deinstallieren, auf denen Sie installiert sind.