Para actualizar Workspace ONE Access Connector 21.08.x, 20.10.x o 20.01.x basado en Windows a la versión 22.05, descargue el nuevo instalador desde VMware Customer Connect al servidor del Connector y ejecute el instalador. No es necesario que desinstale la versión anterior de Connector.

Durante la actualización, los servicios de sincronización de directorios, autenticación de usuario, autenticación Kerberos y aplicaciones virtuales se encuentran suspendidos. Los servicios de se reinician automáticamente una vez finalizada la actualización.

Consideraciones importantes

  • Workspace ONE Access Connector 22.05 solo es compatible con la versión de nube de Workspace ONE Access. No es compatible con el dispositivo virtual local de Workspace ONE Access.
  • Cuando se actualiza a la versión 22.05, el conector actualizado se ejecuta en modo no FIPS. No se puede habilitar el modo FIPS después de la actualización. Si desea utilizar el modo FIPS, debe realizar una instalación nueva de la versión 22.05 en lugar de una actualización. Consulte Actualizar a VMware Workspace ONE Access Connector 22.05 (solo Workspace ONE Access en la nube) para obtener más información.
  • Si va a actualizar desde la versión 20.01.x o 20.10.x y pretende instalar el servicio de aplicaciones virtuales durante o después de la actualización, debe descargar y utilizar una nueva instancia de es-config.json desde la consola de Workspace ONE Access para establecer la conexión entre el servicio de Workspace ONE Access y el conector. Si no tiene pensado instalar el servicio de aplicaciones virtuales, no necesita un nuevo archivo de configuración. La instancia de Connector actualizada puede utilizar el mismo archivo de configuración que utiliza la instancia de Connector existente.

    Si va a actualizar desde la versión 21.08. x y generó un archivo de configuración es-config.json después de la versión de nube de septiembre de 2021, no necesita generar un nuevo archivo es-config.json.

    Independientemente de la versión desde la que va a actualizar, si la contraseña del archivo de configuración existente es-config.json contiene los caracteres & o %, genere un nuevo archivo de configuración con una contraseña que no contenga estos caracteres. Los caracteres & y % no son compatibles.

  • La configuración del método de autenticación RSA SecurID (implementación en la nube) cambió a partir de la versión 21.08. Si va a actualizar desde una versión 20.10. x o una versión anterior que tiene configurado el método de autenticación RSA SecurID (implementación en la nube), debe eliminar el método de autenticación de las directivas de acceso antes de actualizar todas las instancias del servicio de autenticación de usuario y, a continuación, volver a configurarlo después de la actualización. Dado que esto da como resultado un tiempo de inactividad del inicio de sesión basado en RSA SecurID, planifique el momento de la actualización según corresponda.

    Los pasos de nivel general para realizar la actualización son:

    1. Compruebe que está utilizando un dispositivo RSA Authentication Manager 8.2 SP1 o una versión posterior, que son las versiones compatibles con Workspace ONE Access Connector 21.08 y versiones posteriores.
    2. Antes de actualizar Connector, elimine el método de autenticación RSA SecurID (implementación en la nube) de las directivas de acceso en las que se utiliza.
    3. Actualice todas las instancias de Connector en las que está instalado el servicio de autenticación de usuario a la versión 22.05.
    4. Si un servidor proxy está configurado con los conectores, el puerto de comunicación que está configurado para el servidor RSA Authentication Manager está abierto en el servidor proxy.
    5. Si ha implementado varias instancias del servidor RSA Authentication Manager, debe configurarlas detrás de un equilibrador de carga y cumplir con los requisitos de Workspace ONE Access para el equilibrador de carga.
    6. En la consola de seguridad de RSA, verifique que Connector se agrega como agente de autenticación mediante el nombre de dominio completo (FQDN), por ejemplo, servidor_connector.ejemplo.com.
    7. Actualice la configuración del método de autenticación RSA SecurID (implementación en la nube).
    8. Agregue el método de autenticación RSA SecurID (implementación en la nube) a las directivas de acceso.
  • Asegúrese de actualizar todas las instancias de Connector en las que esté instalado el servicio de autenticación de usuario a la versión 22.05. Workspace ONE Access no admite la combinación de las versiones 22.05, 21.08 y 20.x del servicio de autenticación de usuario.
  • Workspace ONE Access Connector 22.05 admite los siguientes tipos de proxies:
    • Proxies HTTP sin autenticar
    • Proxies no autenticados HTTPS (SSL)
    • Proxies HTTPS autenticados (SSL)

Requisitos previos

  • Revise Actualizar a VMware Workspace ONE Access Connector 22.05 (solo Workspace ONE Access en la nube).
  • Si la instalación de Connector se encuentra en un servidor Windows virtual, realice una instantánea de la máquina virtual antes de actualizar.
  • Si tiene pensado instalar el servicio de autenticación Kerberos o el servicio de aplicaciones virtuales, asegúrese de unir el servidor de Connector al dominio.
  • Si configuró el método de autenticación RSA SecurID (implementación en la nube), asegúrese de utilizar un dispositivo RSA Authentication Manager 8.2 SP1 o posterior.
  • Si va a actualizar desde una versión 20.10.x o una versión anterior que tenga configurado el método de autenticación RSA SecurID (implementación en la nube), elimine el método de autenticación de las directivas de acceso antes de actualizar todas las instancias del conector que tengan la autenticación de usuario servicio instalado.
    1. En la consola de Workspace ONE Access, con la opción Nueva navegación activada, desplácese a la página Recursos > Políticas.

      En la navegación anterior, la ubicación de la página es Administración de acceso e identidad > Administrar > Directivas.

    2. Revise cada directiva y elimine el método de autenticación RSA SecurID (implementación en la nube) si forma parte de la directiva.

      Tome nota de los cambios que realice para tener la información necesaria para volver a agregar el método de autenticación después de actualizar Connector.

  • Si va a actualizar desde la versión 20.01. x y ha configurado un directorio de tipo Active Directory mediante autenticación de Windows integrada (IWA), anule la selección de la opción STARTTLS en la configuración del directorio en la consola de Workspace ONE Access antes de actualizar a la versión 22.05. Después de la actualización, la funcionalidad de Active Directory a través de IWA será incompatible con la opción STARTTLS.

    Para editar la configuración del directorio, vaya a la página Administración de acceso e identidad > Administrar > Directorios, seleccione el directorio, desmarque la casilla de verificación Este directorio requiere que todas las conexiones usen STARTTLS y haga clic en Guardar.

    Nota: Si aplicó la revisión descrita en el artículo 77158 de la base de conocimientos a Connector 20.01 o actualizó a Connector 20.01.0.1 o 20.10, es posible que ya haya anulado la selección de la opción STARTTLS para Active Directory mediante IWA. Compruebe que se haya anulado la selección del ajuste.
  • En la consola de Workspace ONE Access, suspenda todos los servicios del conector.
    1. Vaya a la página Integraciones > Conectores.

      En la navegación anterior, la ubicación de la página es Administración de acceso e identidad > Configurar > Conectores.

    2. Seleccione el conector y haga clic en Administrar.
    3. Haga clic en la opción junto a cada nombre de servicio para suspender el servicio.
  • Necesita la siguiente información de la cuenta:
    • Credenciales de VMware Customer Connect
    • Si el servicio de autenticación Kerberos ya está instalado, las credenciales de usuario de dominio que se utilizan para ejecutar el servicio
    • Si tiene pensado instalar el servicio de autenticación Kerberos o el servicio de aplicaciones virtuales durante la actualización, necesita una cuenta de usuario de dominio para ejecutar estos servicios. Si bien estos servicios se ejecutan con privilegios de cuenta de usuario de dominio, los servicios de sincronización de directorios y autenticación de usuario se ejecutan con privilegios más bajos.
    • Si utiliza el método de autenticación RSA SecurID (implementación en la nube), necesitará las credenciales de la consola de seguridad RSA para obtener la información necesaria para volver a configurar el método de autenticación en la consola de Workspace ONE Access después de actualizar todas las instancias de Connector.

Procedimiento

  1. Si es necesario, genere un nuevo archivo de configuración en la consola de Workspace ONE Access.
    1. Inicie sesión en la consola de Workspace ONE Access como administrador del dominio del sistema.
      Sugerencia: En las implementaciones de nube, el administrador del dominio del sistema es el administrador cuyas credenciales se reciben al obtener el arrendatario de Workspace ONE Access.
    2. Vaya a la página Integraciones > Conectores.
    3. Haga clic en Nuevo.
    4. En el asistente Agregar nuevo conector, haga clic en Siguiente.
    5. En la página Descargar archivo de configuración, genere el archivo de configuración creando una contraseña y haciendo clic en Descargar archivo de configuración.
      La contraseña debe tener 14 caracteres (como mínimo) e incluir un carácter en mayúscula, otro en minúscula, un dígito numérico y un carácter especial. No utilice los caracteres & o %. Todos los caracteres deben ser caracteres ASCII visibles imprimibles.
      El archivo de configuración se utiliza para establecer la comunicación entre los servicios empresariales que se instalen y el arrendatario de Workspace ONE Access. El nombre predeterminado del archivo es es-config.json.
      Precaución: El archivo de configuración contiene información confidencial, como la URL de arrendatario, el identificador de arrendatario, el identificador de cliente y el secreto de cliente para cada uno de los servicios empresariales, así como el hash de contraseña. Es fundamental que no comparta el archivo ni lo exponga públicamente.
    6. Transfiera el archivo de confguración en el servidor Windows en el que se instaló la versión anterior de Connector.
  2. Descargue Workspace ONE Access Connector 22.05 desde VMware Customer Connect.
    1. Inicie sesión en https://customerconnect.vmware.com/.
    2. Desplácese hasta la página de Descargas de Workspace ONE Access Connector.
    3. Descargue Workspace-ONE-Access-Connector-Installer-22.05.exe.
  3. Guarde el archivo del instalador en el servidor Windows en el que se instaló la versión anterior de Connector.
  4. Haga doble clic en el archivo Workspace-ONE-Access-Connector-Installer-22.05.exe para ejecutar el instalador.
    El instalador detecta que se necesita una actualización y le guía por el proceso de actualización.
    ""
  5. Siga los pasos del asistente para actualizar Connector.
    • Si la página Especificar configuración aparece durante la actualización, seleccione el archivo de configuración nuevo o existente y especifique su contraseña. El nombre predeterminado del archivo es es-config.json.
    • Durante la actualización, aparece la página Instalar certificados raíz de confianza y puede cargar certificados raíz de confianza en el almacén de confianza. El conector puede establecer conexiones seguras con los servidores y los clientes cuya cadena de certificados incluye cualquiera de los certificados cargados en el almacén de confianza. Los escenarios en los que se requieren certificados raíz de confianza son:
      • (Solo el servicio de autenticación Kerberos) Si implementa varias instancias del servicio de autenticación Kerberos detrás de un equilibrador de carga, debe instalar el certificado de CA raíz del equilibrador de carga en las instancias del conector para establecer la confianza entre los conectores y el equilibrador de carga.
      • (Solo servicio de aplicaciones virtuales) Si crea colecciones de aplicaciones virtuales para integrarlas con VMware Horizon, Horizon Cloud Service on Microsoft Azure con agente de pod único u Horizon Cloud Service on IBM Cloud, y los servidores de Horizon tienen certificados autofirmados, debe cargar la cadena de certificados en las instancias del conector en las que está instalado el servicio de aplicaciones virtuales para establecer la confianza entre los conectores y los servidores de Horizon. Si los servidores de Horizon tienen certificados firmados por una CA pública, no es necesario que cargue los certificados en el almacén de confianza del conector. Se recomienda encarecidamente utilizar certificados firmados por una CA pública.

      Si carga certificados durante la actualización, asegúrese de reiniciar los servicios una vez completada la actualización.

      La carga de certificados es un paso opcional para la actualización. También puede cargar certificados después de la actualización si vuelve a ejecutar el instalador.

      Asistente de instalación: Página de certificados raíz de confianza
    • Durante la actualización, el instalador instala OpenJDK 11.
    • Durante la actualización, puede modificar cualquiera de los ajustes de los servicios existentes. También puede instalar otros servicios. Por ejemplo, si la instalación existente incluye solo el servicio de sincronización de directorios y desea instalar el servicio de autenticación de usuario y el servicio de autenticación Kerberos, puede hacerlo durante la actualización.

      Consulte Instalar VMware Workspace ONE Access Connector 22.05 para obtener información sobre los requisitos, el tamaño, la instalación y la configuración.

    • Con Connector 22.05, puede especificar varios servidores syslog externos para almacenar mensajes de eventos en el nivel de la aplicación, en lugar de limitarse a un servidor. Puede introducir los servidores syslog en la página Especificar información del servidor syslog del asistente durante la actualización.

      Utilice el siguiente formato:

      host:puerto,host:puerto,host:puerto

      donde host es el nombre de dominio completo o la dirección IP del servidor syslog y puerto es el número de puerto. Por ejemplo:

      syslog1.example.com:514,syslog2.example.com:601,syslog3.example.com:163

  6. Una vez completada correctamente la actualización, compruebe que los servicios actualizados se ejecuten en el servidor Windows.
    Los servicios de Connector tienen los siguientes nombres:
    • Servicio de sincronización de directorios de VMware
    • Servicio de autenticación de usuario de VMware
    • Servicio de autenticación Kerberos de VMware
    • Servicio de aplicaciones virtuales de VMware

    Los servicios muestran el estado En ejecución.

Resultados

Se completó la actualización de Connector. Para verificar que la nueva versión de Connector está instalada, desplácese hasta Panel de control > Programas > Programas y funciones en el servidor Windows y compruebe la versión de Connector que se muestra en la lista.

Qué hacer a continuación

  • En la consola de Workspace ONE Access, haga clic en el icono de actualización en la página Integración > Conectores y compruebe que los servicios actualizados estén activos y que su estado sea correcto.
    Por ejemplo:
    La página Conectores muestra un conector con los servicios de sincronización de directorios, autenticación de usuario y aplicaciones virtuales instalados. Los servicios están activos y muestran una casilla de verificación verde en la columna Estado.
  • Si el método de autenticación RSA SecurID (implementación en la nube) se configuró en la instalación original y se eliminó antes de la actualización de Connector, vuelva a configurar el método de autenticación después de actualizar todas las instancias de Connector que tengan instalado el servicio de autenticación de usuario.
    1. Si ha implementado varias instancias del servidor RSA Authentication Manager, debe configurarlas detrás de un equilibrador de carga y cumplir con los requisitos de Workspace ONE Access para el equilibrador de carga. Consulte Requisitos de Workspace ONE Access para el equilibrador de carga de RSA SecurID.
    2. Si un servidor proxy está configurado con los conectores, el puerto de comunicación que está configurado para el servidor RSA Authentication Manager está abierto en el servidor proxy.
    3. En la consola de seguridad de RSA, verifique que Connector se agrega como agente de autenticación mediante el nombre de dominio completo (FQDN), por ejemplo, servidor_connector.ejemplo.com. Si ya agregó el conector como agente de autenticación con el nombre de NetBIOS en lugar del FQDN, agregue otra entrada con el FQDN. Deje el campo de dirección IP vacío para la nueva entrada. No elimine la entrada antigua.
    4. Actualice la configuración del método de autenticación RSA SecurID (implementación en la nube) para todos los directorios que lo incluyeron en la instalación original.

      Consulte Configurar la autenticación RSA SecurID en Workspace ONE Access para obtener información sobre la nueva configuración.

    5. Agregue el método de autenticación RSA SecurID (implementación en la nube) a todas las directivas de acceso que lo incluyeron en la instalación original.

      Puede editar las directivas de acceso desde la página Recursos > Directivas. Si la opción Nueva navegación está desactivada en la consola administrativa, la ubicación de la página es Administración de acceso e identidad > Administrar > Políticas.