Migrar las colecciones de aplicaciones virtuales y los directorios existentes de Workspace ONE Access Connector 19.03 o 19.03.0.1 a Connector 21.08 mediante el panel de control de migración. El proceso de migración es un enfoque por etapas que permite probar el entorno con los nuevos conectores antes de completar la migración.

El proceso de migración incluye las siguientes etapas:

  • Instalar Connector 21.08

    Instale las nuevas instancias de Connector 21.08, que contienen los servicios de sincronización de directorios, autenticación de usuario, autenticación Kerberos y aplicaciones virtuales. Como mínimo, instale el servicio de sincronización de directorios. Instale el servicio de autenticación de usuario si el método de autenticación basado en el conector está configurado en los conectores heredados. Instale el servicio de autenticación Kerberos si el método de autenticación Kerberos está configurado en los conectores heredados. Instale el servicio de aplicaciones virtuales si las colecciones de aplicaciones virtuales están configuradas en los conectores heredados.

  • Migrar directorios

    En esta etapa, se migran todos los datos de directorios mediante el asistente de migración de directorios. La mayor parte de la información requerida se completa previamente desde el entorno, pero es necesario introducir algunos valores confidenciales, como la contraseña del usuario de enlace del directorio.

    Al migrar los directorios en esta etapa, no se cambia ninguna de las configuraciones del directorio, del método de autenticación o del proveedor de identidades existentes. Se siguen utilizando los conectores antiguos. Los cambios solo surtirán efecto después de pasar a la fase de Vista previa.

  • Migrar colecciones de aplicaciones virtuales

    En esta fase, seleccione los conectores a los que se migrarán las colecciones de aplicaciones virtuales existentes. La nueva configuración solo se aplicará después de pasar a la fase de Vista previa.

  • Vista previa

    En la etapa de vista previa, puede obtener una vista previa del entorno con los nuevos Connector 21.08. Los nuevos servicios de sincronización de directorios, autenticación de usuario, autenticación Kerberos y aplicaciones virtuales de Connector 21.08 realizan la sincronización de directorios, la autenticación de usuarios y la sincronización de aplicaciones virtuales. Todos los métodos de autenticación, excepto Kerberos, están en modo saliente.

    La etapa de vista previa está destinada a probar el entorno de forma exhaustiva con los nuevos servicios. Compruebe que la sincronización de directorios, la sincronización de aplicaciones virtuales, la autenticación de usuario y el inicio de las aplicaciones funcionen según lo esperado.

    En la fase de Vista previa, no se pueden crear, editar ni eliminar directorios, métodos de autenticación, proveedores de identidades ni colecciones de aplicaciones virtuales.

    Desde la etapa de vista previa, puede revertir al uso de los conectores antiguos. Cuando revierta, se conservarán los datos de directorios que migró en la etapa anterior. Si posteriormente realiza algún cambio en cualquiera de sus directorios, métodos de autenticación o proveedores de identidades existentes, asegúrese de volver a migrar los datos de directorios.

  • Completar migración

    Cuando esté satisfecho con la prueba del nuevo entorno, complete la migración. Después de completar la migración, no podrá revertir al uso de los conectores antiguos.

Requisitos previos

  • Revise los requisitos indicados en Requisitos para migrar a Workspace ONE Access Connector 21.08.
  • Compruebe que todas las instancias de Connector de su entorno sean de la versión 19.03.x. Si hay alguna instancia de Connector con una versión anterior, actualícela a 19.03.x para realizar la migración.
  • Prepare uno o varios servidores de Windows para las instancias nuevas de Connector 21.08. Consulte las directrices de dimensionamiento en Instalar Workspace ONE Access Connector 21.08.

    Puede instalar Connector 21.08 en un servidor nuevo o en el servidor de Connector 19.03.x heredado. Sin embrago, si se configura la autenticación Kerberos en la instancia de Connector heredada, debe utilizar un servidor de Windows independiente para instalar el servicio de autenticación Kerberos 21.08. No instale el nuevo servicio de autenticación Kerberos en el servidor de Connector 19.03.x. Workspace ONE Access no admite varias instancias de Kerberos en el mismo servidor.

    Si la autenticación Kerberos no está configurada en el conector heredado y desea instalar el nuevo Connector 21.08 en el servidor de Connector 19.03 x heredado, consulte Migrar a la versión más reciente del conector en Windows Server que ejecuta Workspace ONE Access 19.03.x para obtener instrucciones y requisitos adicionales.

  • Si tiene una instancia local del servicio de Workspace ONE Access, actualícela a 21.08 antes de migrar los conectores.
  • Si va a instalar el servicio de autenticación de usuario, asegúrese de que el entorno no contenga ninguna instancia de servicio de autenticación de usuario 20.x. Como parte de la migración, instalará Connector 21.08. Todas las instancias del servicio de autenticación de usuario deben ser de la versión 21.08. La migración no puede continuar si tiene versiones mixtas del servicio de autenticación de usuario.
  • Si el método de autenticación RSA SecurID está configurado en instancia de Connector 19.03.x:
    • Compruebe que utiliza un dispositivo RSA Authentication Manager versión 8.2 SP1 o posterior. Workspace ONE Access Connector 21.08 es compatible con el dispositivo RSA Authentication Manager 8.2 SP1 y versiones posteriores.
    • Si ha implementado varias instancias del servidor RSA Authentication Manager, debe configurarlas detrás de un equilibrador de carga para que la integración con Workspace ONE Access funcione. Asegúrese de cumplir los requisitos indicados en Requisitos de Workspace ONE Access para el equilibrador de carga RSA SecurID en la guía Administrar métodos de autenticación de usuario en Workspace ONE Access.
    • En la consola de seguridad de RSA, verifique que Connector se agrega como agente de autenticación mediante el nombre de dominio completo (FQDN), por ejemplo, servidor_connector.ejemplo.com. Si ya agregó el conector como agente de autenticación con el nombre de NetBIOS en lugar del FQDN, agregue otra entrada con el FQDN. Deje el campo de dirección IP vacío para la nueva entrada. No elimine la entrada antigua.
    • Como parte del proceso de migración, se configura el método de autenticación RSA SecurID. La información necesaria para configurar el método de autenticación incluye el nombre de host del servidor del equilibrador de carga o RSA Authentication Manager, el puerto de comunicación, la clave de acceso y el certificado SSL del servidor del equilibrador de carga o RSA Authentication Manager si el servidor utiliza un certificado autofirmado. Dado que se obtiene parte de la información de la consola de seguridad RSA, también necesita las credenciales de la consola de seguridad.
    • Si un servidor proxy está configurado con el conector, el puerto de comunicación que está configurado para el servidor RSA Authentication Manager debe estar abierto en el servidor proxy.
  • Además, si va a instalar el servicio de autenticación de usuario en un nuevo servidor de Windows, agregue el servidor de Windows como agente en el servidor RSA Authentication Manager antes de iniciar la migración de Connector.
  • (Solo instalaciones locales de Workspace ONE Access) Si algún IDP está asociado con varios directorios, modifique la configuración para que cada IDP solo esté asociado con un directorio.
  • Asegúrese de que el proceso de sincronización de directorios no se esté ejecutando en ninguno de los directorios antes de iniciar el proceso de migración.
  • Si ha habilitado la función People Search, asegúrese de que el proceso de sincronización de fotos no se esté ejecutando en ninguno de los directorios antes de iniciar el proceso de migración.
  • Si va a migrar Connector 19.03.x sin un directorio asociado, tenga en cuenta que, cuando se selecciona la opción Workspace ONE Access Connector 21.08 en el paso 5, se considera que la migración ha finalizado y Connector 19.03.x se elimina del servicio. Si posteriormente decide utilizar conectores heredados y cambia la selección de conectores mediante el botón Restablecer selección de Connector, Connector 19.03.x no se mostrará. Tendrá que volver a instalar Connector 19.03.x para reactivarlo con el servicio.

Procedimiento

  1. Haga clic en la pestaña Administración de acceso e identidad.
    Aparece la página de migración. Introducción al panel de control de migración
    Nota: Si seleccionó previamente la opción para usar conectores heredados, la página de migración no aparece. Debe cambiar la selección del conector. Vaya a la página Administración de acceso e identidad > Configurar > Conectores heredados (o Conectores), haga clic en el botón Restablecer selección de Connector y seleccione Workspace ONE Access Connector 21.08.
  2. Revise los requisitos y, a continuación, haga clic Comenzar.
    Aparecerá el panel de control de migración. La página muestra los diversos pasos que se realizarán para completar la migración.
  3. En el panel de control de migración, haga clic en el vínculo Comenzar en la sección Instalar Connector 21.08.
    El panel Instalar Connector 21.08 en el panel de control muestra un botón Comenzar.
  4. En la página Conectores, haga clic en Nuevo.

    La imagen muestra la página Conectores, que tiene un botón Nuevo.
  5. En la ventana Seleccionar el conector, revise la información y seleccione la opción Workspace ONE Access Connector 21.08.
    Precaución: Workspace ONE Access Connector 21.08 no admite la integración con Horizon Cloud Service on IBM Cloud, Horizon Cloud Service on Microsoft Azure con agente de pod único o ThinApp. Si tiene previsto integrar estos tipos de aplicaciones virtuales, seleccione Conectores heredados para salir del proceso de migración. Solo los conectores heredados admiten estos tipos de aplicaciones virtuales.
    Importante: Haga la elección teniendo en cuenta las necesidades de su empresa. Si desea cambiar la selección más adelante, puede hacerlo solo hasta un determinado punto del proceso de migración. Consulte Restablecer la selección del conector en Workspace ONE Access.
  6. Siga el asistente Agregar nuevo conector para descargar el instalador del conector y el archivo de configuración necesario; a continuación, instale la nueva instancia de Connector.
    Para obtener información sobre la instalación, consulte Instalar VMware Workspace ONE Access Connector 21.08. En concreto, consulte "Requisitos previos para instalar Workspace ONE Access Connector" e "Instalar Workspace ONE Access Connector".
    Cuando instale el conector, asegúrese de instalar el servicio de sincronización de directorios. Instale el servicio de autenticación de usuario si la autenticación basada en conectores está configurada en los conectores heredados. El servicio de autenticación Kerberos solo es necesario si el método de autenticación Kerberos está configurado en cualquiera de los conectores heredados. Instale el servicio de aplicaciones virtuales si las colecciones de aplicaciones virtuales están configuradas en los conectores heredados o si tiene pensado configurarlas en el nuevo conector.
    Precaución: Al final del proceso de instalación, es posible que se le solicite reiniciar el sistema. No reinicie el sistema si va a instalar Connector 21.08 en un servidor de Connector 19.03.x. Reinicie el sistema solo después de que se complete todo el proceso de migración del conector.
    Precaución: Si va a instalar el servicio de autenticación de usuario, asegúrese de que todas las instancias del servicio de autenticación de usuario en el entorno sean de la versión 21.08 y de que no haya ninguna instancia de servicio de autenticación de usuario 20. x. No puede continuar con la migración si tiene versiones mixtas del servicio de autenticación de usuario.
  7. Cuando la instalación de Connector se complete correctamente, vuelva al panel de control de migración en la consola de servicio de Workspace ONE Access.
  8. En la sección Migrar a nuevos conectores, migre todos los directorios, uno por uno.

    El panel Migrar directorios del panel de control de migración indica dos directorios, con un botón Migrar junto a cada uno.
    La sección Migrar directorios incluye todos los directorios de Active Directory y LDAP de su arrendatario. Debe migrar todos los directorios enumerados antes de poder completar la migración.
    Nota: Al migrar los directorios en este paso, no se cambia ninguna de las configuraciones del directorio, el método de autenticación o el proveedor de identidades existentes, y solo se aplicará después de obtener una vista previa de los cambios en el siguiente paso.
    1. Haga clic en el botón Migrar situado junto al directorio.
      Aparece el asistente de migración de directorios. El asistente se personaliza según el directorio que va a migrar. Aparecen páginas adicionales para los métodos de autenticación que se configuran en el directorio.
    2. En la página Directorio, introduzca la contraseña de usuario de enlace para el directorio.
      La lista Hosts de sincronización de directorios muestra los nuevos hosts de Connector 21.08 que tienen el servicio de sincronización de directorios instalado. Seleccione uno o más hosts para usarlos para la sincronización del directorio.
      Asistente de migración de directorios: página de directorio
    3. (Aparece solo si el método de autenticación Kerberos está configurado) En la página Kerberos, especifique la información necesaria para migrar el método de autenticación Kerberos.
      • Conector de origen: el conector de origen está preseleccionado. Puede seleccionar otro conector si el conector preseleccionado no está disponible.
      • Hosts de autenticación Kerberos: la lista muestra los nuevos hosts del Connector 21.08 que tienen el servicio de autenticación Kerberos instalado. Seleccione uno o más hosts para usarlos en la autenticación Kerberos.

      Migrar directorio: página Kerberos

    4. En la página Contraseña, especifique la información necesaria para migrar el método de autenticación de contraseña.
      • Conector de origen: el conector de origen está preseleccionado. Puede seleccionar otro conector si el conector preseleccionado no está disponible.
      • Contraseña de enlace: introduzca la contraseña de usuario de enlace para el directorio.
      • Hosts de autenticación de usuario: la lista muestra los nuevos hosts del Connector 21.08 que tienen el servicio de autenticación de usuario instalado. Seleccione uno o más hosts para utilizarlos en la autenticación de contraseña.

      MigrateDirectoryPassword

    5. (Aparece solo si el método de autenticación RADIUS está configurado) En la página RADIUS, especifique la información necesaria para migrar el método de autenticación RADIUS.
      • Conector de origen: el conector de origen está preseleccionado. Puede seleccionar otro conector si el conector preseleccionado no está disponible.
      • Secreto compartido: secreto compartido del servidor RADIUS.
      • Hosts de autenticación de usuario: la lista muestra los nuevos hosts del Connector 21.08 que tienen el servicio de autenticación de usuario instalado. Seleccione uno o más hosts para usarlos en la autenticación RADIUS.

      Migrar directorio: página Radius

    6. (Aparece solo si el método de autenticación RSA SecurID está configurado) En la página SecurId, especifique la información necesaria para migrar el método de autenticación RSA SecurID.
      • Conector de origen: el conector de origen está preseleccionado. Puede seleccionar otro conector si el conector preseleccionado no está disponible.
      • Número de intentos de autenticación permitidos: Introduzca el número máximo de intentos de inicio de sesión fallidos al utilizar el token RSA SecurID. El valor predeterminado es cinco intentos.
        Nota: Si va a migrar varios directorios que usan la autenticación RSA SecurID, configure Número de intentos de autenticación permitidos con el mismo valor para cada configuración de RSA SecurID. Si el valor es distinto, se produce un error en la autenticación SecurID.
      • Nombre de host del servidor SecurID: Introduzca el nombre de host del servidor RSA Authentication Manager, por ejemplo, miservidor.ejemplo.com. Si configuró varias instancias del servidor RSA Authentication Manager detrás de un equilibrador de carga, introduzca el nombre de host del equilibrador de carga, alternativamente. Por ejemplo, lb.ejemplo.com.
      • Puerto de comunicación del servidor SecurID: Introduzca el puerto de comunicación de la instancia de RSA Authentication Manager. El puerto predeterminado es 5555. Para obtener el número de puerto de comunicación, inicie sesión en la consola de seguridad RSA, navegue a la página Configuración > Configuración del sistema > API de autenticación de RSA SecurID y copie el Puerto de comunicación.
      • Clave de acceso del servidor SecurID: Introduzca la clave de acceso de la instancia de RSA Authentication Manager. Para obtener la clave de acceso, inicie sesión en la consola de seguridad RSA, navegue a la página Configuración > Configuración del sistema > API de autenticación de RSA SecurID y copie la Clave de acceso indicada bajo Credenciales de agente.
      • Certificado de CA / SSL del servidor SecurID: Si el servidor RSA Authentication Manager o el servidor del equilibrador de carga tienen un certificado autofirmado, copie y pegue el certificado en el cuadro de texto. Si el servidor tiene un certificado firmado por una entidad de certificación pública, no es necesario cargar un certificado.
      • Tiempo de espera del método de autenticación en segundos: Introduzca el número de segundos durante los cuales el intento de autenticación debe estar disponible. Después de eso, se agota el tiempo de espera del intento de autenticación. El valor predeterminado es 180 segundos.
      • Hosts de autenticación de usuario: la lista muestra los nuevos hosts del Connector 21.08 que tienen el servicio de autenticación de usuario instalado. Seleccione uno o más hosts para usarlos en la autenticación RSA SecurID.

      Se muestra la página SecurID del asistente.
    7. (Aparece solo si la autenticación Kerberos está configurada) En la página Proveedor de identidades, introduzca el FQDN del equilibrador de carga del conector que se va a utilizar para el nuevo proveedor de identidades que se creará para la autenticación Kerberos durante la migración.
      El FQDN del equilibrador de carga actual se muestra como referencia. Este es el valor Nombre de host de IdP en la página del proveedor de identidades del directorio.
      Si solo tiene un Connector 21.08 y no tiene ningún equilibrador de carga, introduzca el FQDN del conector.
      Página Proveedor de identidades de asistente de migración de directorios
    8. En la página Resumen, verifique sus selecciones y haga clic en Guardar.
      Se guardan los datos de migración del directorio. Para ver la configuración, haga clic en el botón Resumen junto al directorio en el panel de control de migración de directorios. La sección Migrar directorios del panel de control se muestra de color verde. Los directorios migrados aparecen en la lista y se muestra un botón Revisar junto a ellos.
      Si desea realizar cambios en la información introducida, haga clic en Comenzar otra vez en la página Resumen. Se descartarán los datos de migración introducidos para el directorio y se podrá volver a migrar el directorio.
      DirectorySummary
    9. Migre el resto de los directorios.
  9. En la sección Migrar colecciones de aplicaciones virtuales, seleccione los conectores a los que desea migrar las colecciones de aplicaciones virtuales.
    1. Haga clic en Migrar.

      El panel Migrar colecciones de aplicaciones virtuales tiene un botón Migrar.
    2. En la ventana Migrar colecciones de aplicaciones virtuales, seleccione la instancia de Connector 21.08 que se utilizará para cada colección de aplicaciones virtuales. Todos los conectores que tienen instalado el servicio de aplicaciones virtuales aparecen en el menú desplegable. Seleccione un conector que tenga el servicio de aplicaciones virtuales en estado Activo. El estado se muestra junto al nombre del conector. Puede agregar varios conectores para obtener alta disponibilidad. Si agrega varios conectores, organícelos en orden de conmutación por recuperación.
      Nota: Debe migrar todas las colecciones de aplicaciones virtuales al mismo tiempo. No puede seleccionar colecciones específicas para migrar.
    3. Haga clic en Guardar.
    Por ejemplo:
    Ventana Migrar aplicaciones virtuales

    Las colecciones de aplicaciones virtuales se migrarán cuando vaya a la fase de Vista previa.

    Nota: Puede agregar más conectores después de completar la migración, también puede cambiar los conectores que seleccionó para las colecciones de aplicaciones virtuales.
  10. En la sección Completar migración, haga clic en Iniciar vista previa para iniciar el proceso de migración.

    El panel Completar migración muestra un botón Iniciar vista previa.
    En la etapa de vista previa, se utilizan los nuevos Connector 21.08. La sincronización de directorios se realiza mediante el nuevo servicio de sincronización de directorios, la autenticación de usuarios se realiza mediante el nuevo servicio de autenticación de usuarios, la autenticación Kerberos se realiza mediante el nuevo servicio de autenticación Kerberos y la sincronización de aplicaciones virtuales se realiza mediante el nuevo servicio de aplicaciones virtuales. En la fase de Vista previa, no puede realizar ningún cambio en los directorios, los métodos de autenticación, los proveedores de identidad o las colecciones de aplicaciones virtuales, ni crear otros nuevos. Puede ver los proveedores de identidades convertidos en la pestaña Proveedores de identidades y los métodos de autenticación convertidos en la pestaña Métodos de autenticación del conector. Todos los métodos de autenticación, excepto Kerberos, están en modo saliente.
    Nota: En el dispositivo virtual local de Workspace ONE Access 21.08, la pestaña Métodos de autenticación del conector se denomina Métodos de autenticación empresarial.
    Nota: Si la función People Search estaba habilitada en la implementación del servicio de Workspace ONE Access, debe sincronizar manualmente los directorios sin los ajustes de protección. En la consola de Workspace ONE Access, seleccione el directorio en la página Administración de acceso e identidad > Directorios y haga clic en Sincronizar > Sincronización sin elementos de protección.
    Importante: Pruebe el entorno minuciosamente en la etapa de vista previa y compruebe que funcione según lo esperado. Compruebe que la sincronización de directorios, la sincronización de aplicaciones virtuales, el inicio de sesión de los usuarios y el inicio de las aplicaciones funcionen según lo esperado.
  11. Si determina que el entorno no funciona correctamente, o si desea realizar cambios en los directorios, los métodos de autenticación, los proveedores de identidades o las colecciones de aplicaciones virtuales, salga de la etapa de vista previa y vuelva a utilizar los conectores anteriores.
    Vaya a la página Administración de acceso e identidad > Administrar > Directorios, haga clic en Continuar migración y, en el panel de control Migración de directorios, haga clic en Anular en la sección Completar migración.
    El panel Completar migración tiene un botón Anular y un botón Completado.
    Si realiza cambios en los directorios, los métodos de autenticación o los proveedores de identidades posteriormente, asegúrese de volver a migrar los directorios en la sección Migrar a nuevos conectores.
  12. Cuando haya verificado que el entorno funciona según lo esperado en la etapa de la versión previa y ya está listo para completar la migración, vuelva al panel de control de migración de directorios dirigiéndose a la página Administración de acceso e identidad > Administrar > y haga clic en Continuar migración.
    Precaución: Después de completar la migración, no podrá revertir a los conectores antiguos.

    Haga clic en Completar para completar la migración.


    El panel Completar migración tiene un botón Anular y un botón Completado.

Resultados

Todos los directorios y las colecciones de aplicaciones virtuales se migran a las nuevas instancias de Connector 21.08. Los nuevos servicios de sincronización de directorios, autenticación de usuario, autenticación Kerberos y aplicaciones virtuales ahora realizan la sincronización de directorios, la autenticación de usuarios y la sincronización de aplicaciones virtuales.

Se crean nuevos proveedores de identidades para cada directorio y aparecen en la pestaña Proveedores de identidades con el nombre IDP migrados para el directorio. Los nuevos proveedores de identidades son de tipo integrado. Para la autenticación Kerberos, se crea un proveedor de identidades independiente de tipo Workspace_IDP.

Todos los métodos de autenticación, excepto los de Kerberos, se convierten en métodos salientes y se les cambia el nombre con el sufijo (implementación en la nube). Por ejemplo, se cambia el nombre del método de autenticación Contraseña a Contraseña (implementación en la nube). Puede ver y administrar los nuevos métodos de autenticación desde la pestaña Métodos de autenticación de conector.

Nota: En el dispositivo virtual local de Workspace ONE Access 21.08, la pestaña se denomina Métodos de autenticación empresarial.

Qué hacer a continuación

Una vez completada la migración, puede desinstalar las instancias de Connector 19.03.x anteriores de los servidores en los que están instalados.

Una vez finalizada la migración, ya no necesitará Integration Broker para las integraciones de Citrix. La funcionalidad requerida ahora forma parte del servicio de aplicaciones virtuales.

Para las integraciones de Horizon, asegúrese de que las instancias de Horizon Connection Server tengan certificados válidos firmados por una entidad de certificación (CA) de confianza. Si las instancias de Horizon Connection Server tienen certificados autofirmados, debe cargar la cadena de certificados en las instancias de Workspace ONE Access Connector en las que está instalado el servicio de aplicaciones virtuales para establecer confianza entre las instancias de Connector y las de Horizon Connection Server. Este es un nuevo requisito en Workspace ONE Access Connector 21.08. Los certificados se cargan mediante el instalador del conector. Para obtener más información, consulte Instalar VMware Workspace ONE Access Connector. Asegúrese de reiniciar los servicios de Connector después de cargar los certificados.