Migrieren Sie mithilfe des Dashboards „Migration“ Ihre vorhandenen Verzeichnisse auf die Workspace ONE Access 20.10 Connector-Versionen. Der Migrationsvorgang ist ein stufenweiser Ansatz, mit dem Sie Ihre Umgebung mit den neuen Konnektoren testen können, bevor Sie die Migration abschließen.
Der Migrationsprozess umfasst folgende Schritte:
- Installieren von 20.10 Connector
Installieren Sie die neuen 20.10 Connector, die die Verzeichnissynchronisierungs-, die Benutzerauthentifizierungs- und die Kerberos-Authentifizierungsdienste enthalten. Installieren Sie mindestens den Verzeichnissynchronisierungs- und den Benutzerauthentifizierungsdienst. Installieren Sie den Kerberos-Authentifizierungsdienst, wenn Sie die Kerberos-Authentifizierungsmethode konfiguriert haben.
- Migrieren auf neue Konnektoren
In dieser Phase migrieren Sie alle Ihre Verzeichnisdaten mit dem Assistenten „Verzeichnis migrieren“. Die meisten der erforderlichen Informationen sind bereits in Ihrer Umgebung vorhanden, aber Sie geben einige vertrauliche Werte ein, z. B. das BIND-Benutzerkennwort für das Verzeichnis.
Durch das Migrieren der Verzeichnisse in dieser Phase werden keine Ihrer vorhandenen Verzeichnis-, Authentifizierungs- oder Identitätsanbieterkonfigurationen geändert. Sie verwenden weiterhin die alten Konnektoren. Die Änderungen werden erst dann wirksam, wenn Sie im nächsten Schritt zur Vorschauphase wechseln.
- Vorschau
In der Vorschauphase zeigen Sie eine Vorschau Ihrer Umgebung mit den neuen 20.10 Connector an. Die neuen Verzeichnissynchronisierungs-, Benutzerauthentifizierungs- und Kerberos-Authentifizierungsdienste von den 20.10 Connector führen die Verzeichnissynchronisierung und die Benutzerauthentifizierung durch. Alle Authentifizierungsmethoden mit Ausnahme von Kerberos befinden sich im ausgehenden Modus.
Die Vorschauphase dient dazu, Ihre Umgebung mit den neuen Diensten gründlich zu testen. Stellen Sie sicher, dass die Verzeichnissynchronisierung, die Benutzerauthentifizierung und der Anwendungsstart erwartungsgemäß funktionieren.
In der Vorschauphase können Sie keine Änderungen an Ihren Verzeichnissen, Authentifizierungsmethoden oder Identitätsanbietern vornehmen oder neue hinzufügen.
In der Vorschauphase können Sie ein Rollback auf die Verwendung der alten Konnektoren durchführen. Wenn Sie ein Rollback durchführen, werden die Verzeichnisdaten, die Sie in der vorherigen Phase migriert haben, weiterhin beibehalten. Wenn Sie zu einem späteren Zeitpunkt Änderungen an Ihren vorhandenen Verzeichnissen, Authentifizierungsmethoden oder Identitätsanbietern vornehmen, stellen Sie sicher, dass Sie die Verzeichnisdaten erneut migrieren.
- Migration abschließen
Wenn Sie mit den Testergebnissen Ihrer neuen Umgebung zufrieden sind, schließen Sie die Migration ab. Nach Abschluss der Migration können Sie kein Rollback auf die Verwendung der alten Konnektoren durchführen.
Voraussetzungen
- Überprüfen Sie die Anforderungen unter Migrieren auf VMware Workspace ONE Access 20.10 Connector-Versionen.
- Stellen Sie sicher, dass alle Konnektoren in Ihrer Umgebung die Version 19.03.x haben. Wenn es sich bei einem der Konnektoren um eine ältere Version handelt, aktualisieren Sie sie auf 19.03.x.
- Bereiten Sie einen oder mehrere Windows-Server für die neuen 20.10 Connector-Versionen vor. Weitere Informationen finden Sie unter Dimensionierungsrichtlinien in Installieren von Workspace ONE Access Connector 20.10 .
Sie können den Connector 20.10 entweder auf einem neuen Server oder auf dem älteren 19.03 x Connector installieren. Wenn jedoch die Kerberos-Authentifizierung auf Ihrem älteren Konnektor konfiguriert ist, müssen Sie einen separaten Windows-Server verwenden, um den 20.10 Kerberos-Authentifizierungsdienst zu installieren. Installieren Sie den neuen Kerberos-Authentifizierungsdienst nicht auf dem 19.03.x Connector-Server. Workspace ONE Access bietet keine Unterstützung für mehrere Instanzen von Kerberos auf demselben Server.
Wenn auf dem alten Konnektor keine Kerberos-Authentifizierung konfiguriert ist und Sie den neuen 20.10 Connector auf dem alten 19.03.x Connector-Server installieren möchten, finden Sie Informationen zu zusätzlichen Anforderungen unter Migrieren auf den neuesten Konnektor auf einem Windows-Server unter Workspace ONE Access 19.03.x.
- Wenn Sie über eine lokale Workspace ONE Access-Dienstinstanz verfügen, führen Sie ein Upgrade auf 20.10 durch, bevor Sie die Connector migrieren.
- Wenn Sie die RSA SecurID-Authentifizierungsmethode für eines Ihrer Verzeichnisse konfiguriert haben, löschen Sie den Knotenschlüssel in der RSA-Sicherheitskonsole.
Wenn Sie den Benutzerauthentifizierungsdienst auf einem neuen Windows-Server installieren, fügen Sie den Windows-Server als Agent im SecurID-Server hinzu, bevor Sie mit der Konnektormigration beginnen.
- Wenn irgendwelche IDPs mit mehreren Verzeichnissen verknüpft sind, ändern Sie die Konfiguration so, dass jeder IDP nur mit einem Verzeichnis verknüpft ist.
- Stellen Sie sicher, dass der Verzeichnissynchronisierungsprozess für keines der Verzeichnisse ausgeführt wird, bevor Sie den Migrationsvorgang starten.
- Wenn Sie die People Search-Funktion aktiviert haben, stellen Sie sicher, dass der Fotosynchronisierungsprozess für keines der Verzeichnisse ausgeführt wird, bevor Sie den Migrationsvorgang starten.
- Beachten Sie beim Migrieren eines 19.03.x Connector ohne verknüpftes Verzeichnis, dass bei Auswahl der Option Workspace ONE Access Connector 20.10 in Schritt 5 die Migration als vollständig betrachtet und der 19.03.x Connector aus dem Dienst gelöscht wird. Wenn Sie sich später entscheiden, dass Sie ältere Konnektoren verwenden möchten, und Ihre Konnektorauswahl unter Verwendung der Schaltfläche Nutzung von virtuellen Apps zurücksetzen verwenden, wird 19.03.x Connector wird nicht angezeigt. Sie müssen den 19.03.x Connector, um ihn mit dem Dienst zu reaktivieren.
Prozedur
- Klicken Sie auf die Registerkarte Identitäts- und Zugriffsverwaltung.
Die Seite „Migration“ wird angezeigt.
- Lesen Sie die Anforderungen und klicken Sie dann auf Ja.
Das Dashboard „Verzeichnismigration“ wird angezeigt.
- Klicken Sie im Dashboard „Verzeichnismigration“ auf den Link Erste Schritte im Abschnitt 20.01 Connector installieren.
- Klicken Sie auf der Seite „Konnektoren“ auf Neu.
- Wählen Sie im Popup-Fenster „Bestätigung der Nutzung virtueller Apps“ die Option Workspace ONE Access Connector 20.10 aus, wenn Sie keine virtuellen Apps verwenden möchten (Horizon-, Horizon Cloud- und Citrix-Integrationen).
Wenn Sie virtuelle Apps verwenden möchten, wählen Sie
Ältere Konnektoren aus, um den Migrationsvorgang zu beenden. Virtuelle Apps werden nur mit älteren Konnektoren unterstützt.
Wichtig: Treffen Sie Ihre Wahl sorgfältig unter Berücksichtigung Ihrer geschäftlichen Bedürfnisse. Wenn Sie Ihre Auswahl zu einem späteren Zeitpunkt ändern möchten, können Sie dies nur bis zu einem bestimmten Zeitpunkt im Migrationsprozess durchführen. Siehe
Zurücksetzen der Nutzung virtueller Apps in Workspace ONE Access.
- Folgen Sie dem Assistenten zum Hinzufügen eines neuen Konnektors, um das Konnektor-Installationsprogramm und die erforderliche Konfigurationsdatei herunterzuladen, und installieren Sie dann den neuen Konnektor.
Wichtig: Wenn Sie den Konnektor installieren, stellen Sie sicher, dass Sie den Verzeichnissynchronisierungsdienst und den Benutzerauthentifizierungsdienst installieren. Der Kerberos-Authentifizierungsdienst ist nur erforderlich, wenn Sie die Kerberos-Authentifizierungsmethode auf einem Ihrer älteren Konnektoren konfiguriert haben.
- Wenn die Konnektorinstallation erfolgreich abgeschlossen wurde, kehren Sie zum Dashboard „Verzeichnismigration“ in der Workspace ONE Access-Dienstkonsole zurück.
- Migrieren Sie im Abschnitt Auf neue Konnektoren migrieren alle Ihre Verzeichnisse nacheinander.
Im Abschnitt „Auf neue Konnektoren migrieren“ werden alle Active Directory- und LDAP-Verzeichnisse in Ihrem Mandanten aufgelistet. Sie müssen alle aufgeführten Verzeichnisse migrieren, bevor Sie die Migration abschließen können.
Hinweis: Durch das Migrieren der Verzeichnisse in diesem Schritt werden keine Ihrer vorhandenen Verzeichnis-, Authentifizierungs- oder Identitätsanbieterkonfigurationen geändert und erst nach einer Vorschau der Änderungen im nächsten Schritt wirksam.
- Klicken Sie auf die Schaltfläche Migrieren neben dem Verzeichnis.
Der Assistent „Verzeichnis migrieren“ wird angezeigt. Der Assistent ist an das Verzeichnis angepasst, das Sie migrieren. Für die Authentifizierungsmethoden, die für das Verzeichnis konfiguriert sind, werden zusätzliche Seiten angezeigt.
- Geben Sie auf der Seite „Verzeichnis“ das BIND-Benutzerkennwort für das Verzeichnis ein.
In der Liste
Host(s) für die Verzeichnissynchronisierung werden die neuen 20.10 Connector-Hosts angezeigt, auf denen der Verzeichnissynchronisierungsdienst installiert ist. Wählen Sie einen oder mehrere Hosts aus, die für die Synchronisierung des Verzeichnisses verwendet werden sollen.
- (Wird nur angezeigt, wenn die Kerberos-Authentifizierungsmethode konfiguriert ist) Geben Sie auf der Seite „Kerberos“ die Informationen an, die für die Migration der Kerberos-Authentifizierungsmethode erforderlich sind.
- Quellkonnektor: Der Quellkonnektor ist vorausgewählt. Sie können einen anderen Konnektor auswählen, wenn der vorgewählte Konnektor nicht verfügbar ist.
- Kerberos-Authentifizierungshost(s): In der Liste werden die neuen 20.10 Connector Hosts angezeigt, auf denen der Kerberos-Authentifizierungsdienst installiert ist. Wählen Sie einen oder mehrere Hosts aus, die für die Kerberos-Authentifizierung verwendet werden sollen.
- Geben Sie auf der Seite „Kennwort“ die Informationen an, die für die Migration der Kennwortauthentifizierungsmethode erforderlich sind.
- Quellkonnektor: Der Quellkonnektor ist vorausgewählt. Sie können einen anderen Konnektor auswählen, wenn der vorgewählte Konnektor nicht verfügbar ist.
- BIND-Kennwort: Geben Sie das BIND-Benutzerkennwort für das Verzeichnis ein.
- Host(s) für die Benutzerauthentifizierung: In der Liste werden die neuen 20.10 Connector Hosts angezeigt, auf denen der Benutzerauthentifizierungsdienst installiert ist. Wählen Sie einen oder mehrere Hosts aus, die für die Kennwortauthentifizierung verwendet werden sollen.
- (Wird nur angezeigt, wenn die RADIUS-Authentifizierungsmethode konfiguriert ist) Geben Sie auf der Seite „Radius“ die Informationen an, die für die Migration der RADIUS-Authentifizierungsmethode erforderlich sind.
- Quellkonnektor: Der Quellkonnektor ist vorausgewählt. Sie können einen anderen Konnektor auswählen, wenn der vorgewählte Konnektor nicht verfügbar ist.
- Gemeinsamer geheimer Schlüssel: Der gemeinsame geheime Schlüssel für den RADIUS-Server.
- Host(s) für die Benutzerauthentifizierung: In der Liste werden die neuen 20.10 Connector Hosts angezeigt, auf denen der Benutzerauthentifizierungsdienst installiert ist. Wählen Sie einen oder mehrere Hosts aus, die für die RADIUS-Authentifizierung verwendet werden sollen.
- (Wird nur angezeigt, wenn die RSA SecurID-Authentifizierungsmethode konfiguriert ist) Geben Sie auf der Seite „SecurID“ die Informationen an, die für die Migration der RSA SecurID-Authentifizierungsmethode erforderlich sind.
- Quellkonnektor: Der Quellkonnektor ist vorausgewählt. Sie können einen anderen Konnektor auswählen, wenn der vorgewählte Konnektor nicht verfügbar ist.
- Host(s) für die Benutzerauthentifizierung: In der Liste werden die neuen 20.10 Connector Hosts angezeigt, auf denen der Benutzerauthentifizierungsdienst installiert ist. Wählen Sie einen oder mehrere Hosts aus, die für die RSA SecurID-Authentifizierung verwendet werden sollen.
- (Wird nur angezeigt, wenn die Kerberos-Authentifizierung konfiguriert ist) Geben Sie auf der Seite „Identitätsanbieter“ den FQDN des Konnektor-Lastausgleichsdiensts ein, der für den neuen Identitätsanbieter verwendet werden soll, der während der Migration für die Kerberos-Authentifizierung erstellt wird.
Der aktuelle FQDN des Lastausgleichsdiensts wird als Referenz angezeigt. Dies ist der aktuelle Wert für
IdP-Hostname auf der Seite „Identitätsanbieter“ des Verzeichnisses.
Wenn nur ein 20.10 Connector und kein Lastausgleichsdienst vorhanden sind, geben Sie den FQDN des Konnektors ein.
- Überprüfen Sie auf der Seite „Übersicht“ Ihre Auswahl und klicken Sie auf Speichern.
Die Verzeichnismigrationsdaten werden gespeichert. Sie können die Einstellungen anzeigen, indem Sie auf die Schaltfläche
Übersicht neben dem Verzeichnis im Dashboard „Verzeichnismigration“ klicken.
Wenn Sie Änderungen an den von Ihnen eingegebenen Informationen vornehmen möchten, klicken Sie auf der Seite „Übersicht“ auf
Neu starten. Dadurch werden die von Ihnen für das Verzeichnis eingegebenen Migrationsdaten verworfen und Sie können das Verzeichnis erneut migrieren.
- Migrieren Sie die restlichen Verzeichnisse.
Nachdem alle Verzeichnisse migriert wurden, ist Schritt
Migration abschließen aktiviert.
- Klicken Sie im Abschnitt Migration abschließen auf Vorschau starten, um den Migrationsvorgang zu starten.
In der Vorschauphase werden die neuen 20.10 Connector verwendet. Die Verzeichnissynchronisierung wird vom neuen Verzeichnissynchronisierungsdienst, die Benutzerauthentifizierung vom neuen Benutzer-Authentifizierungsdienst und die Kerberos-Authentifizierung vom neuen Kerberos-Authentifizierungsdienst durchgeführt. Sie können keine Änderungen an Ihren Verzeichnissen, Authentifizierungsmethoden oder Identitätsanbietern vornehmen oder neue erstellen. Sie können die konvertierten Identitätsanbieter auf der Registerkarte
Identitätsanbieter und die konvertierten Authentifizierungsmethoden auf den Registerkarten
Methoden der Enterprise-Authentifizierung anzeigen. Alle Authentifizierungsmethoden mit Ausnahme von Kerberos befinden sich im ausgehenden Modus.
Wenn die People Search in Ihrer Bereitstellung des Workspace ONE Access-Diensts aktiviert wurde, müssen Sie die Verzeichnisse manuell synchronisieren, ohne die Einstellungen für die Schutzmaßnahmen zu verwenden. Wählen Sie in der Workspace ONE Access-Konsole das Verzeichnis auf der Seite „Identitäts- und Zugriffsmanagement“ > „Verzeichnisse“ und klicken Sie auf Synchronisieren > Ohne Schutzmaßnahmen synchronisieren.
Wichtig: Testen Sie Ihre Umgebung gründlich in der Vorschauphase und stellen Sie sicher, dass sie wie erwartet funktioniert. Stellen Sie sicher, dass die Verzeichnissynchronisierung, die Benutzeranmeldung und der Anwendungsstart funktionieren.
- Wenn Sie feststellen, dass Ihre Umgebung nicht ordnungsgemäß funktioniert, oder wenn Sie Änderungen an Ihren Verzeichnissen, Authentifizierungsmethoden oder Identitätsanbietern vornehmen möchten, beenden Sie die Vorschauphase und kehren Sie zur Verwendung der alten Konnektoren zurück.
Wechseln Sie zur Seite „Identitäts- und Zugriffsmanagement“ > „Verwalten“ > „Verzeichnisse“, klicken Sie auf
Migration fortsetzen und klicken Sie dann im Dashboard „Verzeichnismigration“ im Abschnitt
Migration abschließen auf
Abbruch.
Wenn Sie Änderungen an Ihren Verzeichnissen, Authentifizierungsmethoden oder Identitätsanbietern nachträglich vornehmen, stellen Sie sicher, dass Sie die Verzeichnisse im Abschnitt
Auf neue Konnektoren migrieren erneut migrieren.
- Wenn Sie sichergestellt haben, dass Ihre Umgebung in der Vorschauphase wie erwartet funktioniert, und Sie bereit sind, die Migration abzuschließen, kehren Sie zum Dashboard „Verzeichnismigration“ zurück, indem Sie zur Seite „Identitäts- und Zugriffsmanagement“ > „Verwalten“ > „Verzeichnisse“ wechseln und auf Migration fortsetzen klicken.
Vorsicht: Nach Abschluss der Migration können Sie kein Rollback auf die alten Konnektoren durchführen.
Klicken Sie auf Abschließen, um die Migration abzuschließen.
Ergebnisse
Alle Verzeichnisse werden auf die neuen 20.10 Connector migriert. Die neuen Verzeichnissynchronisierungs-, Benutzer- und Kerberos-Authentifizierungsdienste führen jetzt eine Verzeichnissynchronisierung und eine Benutzerauthentifizierung durch.
Neue Identitätsanbieter werden für jedes Verzeichnis erstellt und auf der Registerkarte Identitätsanbieter mit dem Namen Migrierter IDP für Verzeichnis angezeigt. Die neuen Identitätsanbieter sind vom Typ „Integriert“. Für die Kerberos-Authentifizierung wird ein separater Identitätsanbieter vom Typ „Workspace_IDP“ erstellt.
Alle Authentifizierungsmethoden mit Ausnahme von Kerberos werden in ausgehende Methoden konvertiert und mit dem Suffix (Cloud-Bereitstellung) umbenannt. Beispielsweise wird die Authentifizierungsmethode Kennwort in Kennwort (Cloud-Bereitstellung) umbenannt. Sie können die neuen Authentifizierungsmethoden über die Registerkarte Enterprise-Authentifizierungsmethoden anzeigen und verwalten.
Nächste Maßnahme
Wenn die Migration abgeschlossen ist, können Sie die alten 19.03.x Connector von den Servern deinstallieren, auf denen Sie installiert sind.