Usar el panel de control de migración para migrar a Workspace ONE Access Connector 22.09

Migrar las colecciones de aplicaciones virtuales y los directorios existentes de Workspace ONE Access Connector 19.03 o 19.03.0.1 a Connector 22.09 mediante el panel de control de migración. El proceso de migración es un enfoque por etapas que permite probar el entorno con los nuevos conectores antes de completar la migración.

El proceso de migración incluye las siguientes etapas:

Instalar Connector 22.09
Instale las nuevas instancias de Connector 22.09, que contienen los servicios de sincronización de directorios, autenticación de usuario, autenticación Kerberos y aplicaciones virtuales. Como mínimo, instale el servicio de sincronización de directorios. Instale el servicio de autenticación de usuario si el método de autenticación basado en el conector está configurado en los conectores heredados. Instale el servicio de autenticación Kerberos si el método de autenticación Kerberos está configurado en los conectores heredados. Instale el servicio de aplicaciones virtuales si las colecciones de aplicaciones virtuales están configuradas en los conectores heredados.
Migrar directorios
En esta etapa, se migran todos los datos de directorios mediante el asistente de migración de directorios. La mayor parte de la información requerida se completa previamente desde el entorno, pero es necesario introducir algunos valores confidenciales, como la contraseña del usuario de enlace del directorio.
Al migrar los directorios en esta etapa, no se cambia ninguna de las configuraciones del directorio, del método de autenticación o del proveedor de identidades existentes. Se siguen utilizando los conectores antiguos. Los cambios solo surtirán efecto después de pasar a la fase de Vista previa.
Migrar colecciones de aplicaciones virtuales
En esta fase, seleccione los conectores a los que se migrarán las colecciones de aplicaciones virtuales existentes. La nueva configuración solo se aplicará después de pasar a la fase de Vista previa.
Vista previa
En la etapa de vista previa, puede obtener una vista previa del entorno con los nuevos Connector 22.09. Los nuevos servicios de sincronización de directorios, autenticación de usuario, autenticación Kerberos y aplicaciones virtuales de Connector 22.09 realizan la sincronización de directorios, la autenticación de usuarios y la sincronización de aplicaciones virtuales. Todos los métodos de autenticación, excepto Kerberos, están en modo saliente.
La etapa de vista previa está destinada a probar el entorno de forma exhaustiva con los nuevos servicios. Compruebe que la sincronización de directorios, la sincronización de aplicaciones virtuales, la autenticación de usuario y el inicio de las aplicaciones funcionen según lo esperado.
En la fase de Vista previa, no se pueden crear, editar ni eliminar directorios, métodos de autenticación, proveedores de identidades ni colecciones de aplicaciones virtuales.
Desde la etapa de vista previa, puede revertir al uso de los conectores antiguos. Cuando revierta, se conservarán los datos de directorios que migró en la etapa anterior. Si posteriormente realiza algún cambio en cualquiera de sus directorios, métodos de autenticación o proveedores de identidades existentes, asegúrese de volver a migrar los datos de directorios.
Completar migración
Cuando esté satisfecho con la prueba del nuevo entorno, complete la migración. Después de completar la migración, no podrá revertir al uso de los conectores antiguos.

Requisitos previos

Revise los requisitos indicados en Requisitos para migrar a Workspace ONE Access Connector 22.09.
Compruebe que todas las instancias de Connector de su entorno sean de la versión 19.03.x. Si hay alguna instancia de Connector con una versión anterior, actualícela a 19.03.x antes de empezar la migración.
Prepare uno o varios servidores de Windows para los Connector 22.09.
Consulte Requisitos para migrar a Workspace ONE Access Connector 22.09 para obtener más información.
Si utiliza un dispositivo virtual local de Workspace ONE Access, actualícelo a 22.09 antes de migrar los conectores.
Si va a instalar el servicio de autenticación de usuario, asegúrese de que el entorno no contenga ninguna instancia de servicio de autenticación de usuario 22.05, 21.x o 20.x. Como parte de la migración, instalará Connector 22.09. Todas las instancias del servicio de autenticación de usuario del entorno deben ser de la versión 22.09. La migración no puede continuar si tiene versiones mixtas del servicio de autenticación de usuario.
Si el método de autenticación RSA SecurID está configurado en instancia de Connector 19.03.x:
- Compruebe que utiliza un dispositivo RSA Authentication Manager versión 8.2 SP1 o posterior. Workspace ONE Access Connector 22.09 es compatible con el dispositivo RSA Authentication Manager 8.2 SP1 y versiones posteriores.
- Si ha implementado varias instancias del servidor RSA Authentication Manager, debe configurarlas detrás de un equilibrador de carga para que la integración con Workspace ONE Access funcione. Asegúrese de cumplir los requisitos indicados en Requisitos de Workspace ONE Access para el equilibrador de carga RSA SecurID en la guía Administrar métodos de autenticación de usuario en Workspace ONE Access.
- En la consola de seguridad de RSA, verifique que Connector se agrega como agente de autenticación mediante el nombre de dominio completo (FQDN), por ejemplo, servidor_connector.ejemplo.com. Si ya agregó el conector como agente de autenticación con el nombre de NetBIOS en lugar del FQDN, agregue otra entrada con el FQDN. Deje el campo de dirección IP vacío para la nueva entrada. No elimine la entrada antigua.
- Como parte del proceso de migración, se configura el método de autenticación RSA SecurID. La información necesaria para configurar el método de autenticación incluye el nombre de host del servidor del equilibrador de carga o RSA Authentication Manager, el puerto de comunicación, la clave de acceso y el certificado SSL del servidor del equilibrador de carga o RSA Authentication Manager si el servidor utiliza un certificado autofirmado. Dado que se obtiene parte de la información de la consola de seguridad RSA, también necesita las credenciales de la consola de seguridad.
- Si un servidor proxy está configurado con el conector, el puerto de comunicación que está configurado para el servidor RSA Authentication Manager debe estar abierto en el servidor proxy.
Además, si va a instalar el servicio de autenticación de usuario en un nuevo servidor Windows, agregue el servidor Windows como agente en el servidor RSA Authentication Manager antes de iniciar la migración de Connector.
(Solo instalaciones locales de Workspace ONE Access) Si algún IDP está asociado con varios directorios, modifique la configuración para que cada IDP solo esté asociado con un directorio.
Asegúrese de que el proceso de sincronización de directorios no se esté ejecutando en ninguno de los directorios antes de iniciar el proceso de migración.
Si ha habilitado la función People Search, asegúrese de que el proceso de sincronización de fotos no se esté ejecutando en ninguno de los directorios antes de iniciar el proceso de migración.
Si va a migrar Connector 19.03.x sin un directorio asociado, tenga en cuenta que, cuando se selecciona la opción Versión más reciente de Workspace ONE Access Connector en el paso 5, se considera que la migración ha finalizado y Connector 19.03.x se elimina del arrendatario. Si posteriormente decide utilizar conectores heredados y cambia la selección de conectores mediante el botón Restablecer selección de Connector, Connector 19.03.x no aparecerá. Tendrá que volver a instalar Connector 19.03.x para reactivarlo con el servicio.

Procedimiento

En la consola de Workspace ONE Access, seleccione Integraciones > Conectores (heredados) para ir a la página Conectores heredados.
En la página Conectores heredados, haga clic en el botón Restablecer selección de Connector y haga clic en Continuar en la ventana emergente de confirmación.
En el cuadro de diálogo Confirmación de uso de Connector, seleccione Versión más reciente de Workspace ONE Access Connector, haga clic en Aceptar y confirme la selección.
Seleccione Integraciones > Directorios para ir a la página Directorios.
Aparecerá la página Migración de directorios y aplicaciones virtuales.
Haga clic en Iniciar migración.
Aparecerá el panel de control de migración. El panel de control muestra los pasos que se realizarán para completar la migración. Revise la información de la página.
En el panel de control de migración, en la sección Instale las versiones más recientes de Workspace ONE Access Connector, haga clic en Comenzar.

Aparece la página Conectores.
En la página Conectores, haga clic en Nuevo.
Siga el asistente Agregar nuevo conector para descargar el instalador del conector y el archivo de configuración necesario; a continuación, instale la nueva instancia de Connector.

Para obtener información sobre la instalación, consulte la guía Instalar VMware Workspace ONE Access Connector 22.09.
Cuando instale el conector, asegúrese de instalar el servicio de sincronización de directorios. Instale el servicio de autenticación de usuario si el método de autenticación basado en el conector está configurado en los conectores heredados. El servicio de autenticación Kerberos solo es necesario si el método de autenticación Kerberos está configurado en cualquiera de los conectores heredados. Instale el servicio de aplicaciones virtuales si las colecciones de aplicaciones virtuales están configuradas en los conectores heredados o si tiene pensado configurarlas en el nuevo conector.
Precaución:
- Cuando genere el archivo de configuración para el conector en la consola de Workspace ONE Access, asegúrese de crear una contraseña que cumpla las reglas.
  La contraseña debe tener un mínimo de 14 caracteres e incluir al menos un número, un carácter en mayúscula y un carácter especial. Solo se permiten los siguientes caracteres especiales:
  @ ! , # $ { } ( ) _ + . < > ? *
  Todos los caracteres deben ser caracteres ASCII visibles imprimibles.
- En la instalación se muestra la opción para habilitar el modo FIPS en la página Especificar archivo de configuración del instalador. No seleccione la opción Habilitar FIPS. No se admite el modo FIPS cuando se migra de los conectores heredados a Connector 22.09.
- Al final del proceso de instalación, es posible que se le solicite reiniciar el sistema. No reinicie el sistema si va a instalar la nueva instancia de Connector en un servidor de Connector 19.03.x. Reinicie el sistema solo después de que se complete todo el proceso de migración del conector.
- Si va a instalar el servicio de autenticación de usuario, asegúrese de que todas las instancias del servicio de autenticación de usuario en el entorno sean de la versión 22.09 y de que no haya ninguna instancia de servicio de autenticación de usuario 22.05, 21.x o 20.x. No puede continuar con la migración si tiene versiones mixtas del servicio de autenticación de usuario.
Cuando la instalación del conector se haya completado correctamente, vaya a la página Integraciones > Directorios en la consola de administración y haga clic en Continuar migración.
En la sección Migrar directorios del panel de control de migración, migre todos los directorios, uno por uno.

La sección Migrar directorios incluye todos los directorios de Active Directory y LDAP de su arrendatario. Debe migrar todos los directorios enumerados antes de poder completar la migración.
Nota: Al migrar los directorios en este paso, no se cambia ninguna de las configuraciones del directorio, el método de autenticación o el proveedor de identidades existentes, y solo se aplicará después de obtener una vista previa de los cambios en el siguiente paso.
1. Haga clic en el botón Migrar situado junto al directorio.
  Aparece el asistente de migración de directorios. El asistente se personaliza según el directorio que va a migrar. Aparecen páginas adicionales para los métodos de autenticación que se configuran en el directorio.
2. En la página Directorio, introduzca la contraseña de usuario de enlace para el directorio.
  La lista Hosts de sincronización de directorios muestra los nuevos hosts de Connector 22.09 que tienen el servicio de sincronización de directorios instalado. Seleccione uno o más hosts para usarlos para la sincronización del directorio.
3. (Aparece solo si el método de autenticación Kerberos está configurado) En la página Kerberos, especifique la información necesaria para migrar el método de autenticación Kerberos.
  - Conector de origen: el conector de origen está preseleccionado. Puede seleccionar otro conector si el conector preseleccionado no está disponible.
  - Hosts de autenticación Kerberos: la lista muestra los nuevos hosts del Connector 22.09 que tienen el servicio de autenticación Kerberos instalado. Seleccione uno o más hosts para usarlos en la autenticación Kerberos.
4. En la página Contraseña, especifique la información necesaria para migrar el método de autenticación de contraseña.
  - Conector de origen: el conector de origen está preseleccionado. Puede seleccionar otro conector si el conector preseleccionado no está disponible.
  - Contraseña de enlace: introduzca la contraseña de usuario de enlace para el directorio.
  - Hosts de autenticación de usuario: la lista muestra los nuevos hosts del Connector 22.09 que tienen el servicio de autenticación de usuario instalado. Seleccione uno o más hosts para utilizarlos en la autenticación de contraseña.
5. (Aparece solo si el método de autenticación RADIUS está configurado) En la página RADIUS, especifique la información necesaria para migrar el método de autenticación RADIUS.
  - Conector de origen: el conector de origen está preseleccionado. Puede seleccionar otro conector si el conector preseleccionado no está disponible.
  - Secreto compartido: secreto compartido del servidor RADIUS.
  - Hosts de autenticación de usuario: la lista muestra los nuevos hosts del Connector 22.09 que tienen el servicio de autenticación de usuario instalado. Seleccione uno o más hosts para usarlos en la autenticación RADIUS.
6. (Aparece solo si el método de autenticación RSA SecurID está configurado) En la página SecurId, especifique la información necesaria para migrar el método de autenticación RSA SecurID.
  - Conector de origen: el conector de origen está preseleccionado. Puede seleccionar otro conector si el conector preseleccionado no está disponible.
  - Número de intentos de autenticación permitidos: Introduzca el número máximo de intentos de inicio de sesión fallidos al utilizar el token RSA SecurID. El valor predeterminado es cinco intentos.
    Nota: Si va a migrar varios directorios que usan la autenticación RSA SecurID, configure Número de intentos de autenticación permitidos con el mismo valor para cada configuración de RSA SecurID. Si el valor es distinto, se produce un error en la autenticación SecurID.
  - Nombre de host del servidor SecurID: Introduzca el nombre de host del servidor RSA Authentication Manager, por ejemplo, miservidor.ejemplo.com. Si configuró varias instancias del servidor RSA Authentication Manager detrás de un equilibrador de carga, introduzca el nombre de host del equilibrador de carga, alternativamente. Por ejemplo, lb.ejemplo.com.
  - Puerto de comunicación del servidor SecurID: Introduzca el puerto de comunicación de la instancia de RSA Authentication Manager. El puerto predeterminado es 5555. Para obtener el número de puerto de comunicación, inicie sesión en la consola de seguridad RSA, navegue a la página Configuración > Configuración del sistema > API de autenticación de RSA SecurID y copie el Puerto de comunicación.
  - Clave de acceso del servidor SecurID: Introduzca la clave de acceso de la instancia de RSA Authentication Manager. Para obtener la clave de acceso, inicie sesión en la consola de seguridad RSA, navegue a la página Configuración > Configuración del sistema > API de autenticación de RSA SecurID y copie la Clave de acceso indicada bajo Credenciales de agente.
  - Certificado de CA / SSL del servidor SecurID: Si el servidor RSA Authentication Manager o el servidor del equilibrador de carga tienen un certificado autofirmado, copie y pegue el certificado en el cuadro de texto. Si el servidor tiene un certificado firmado por una entidad de certificación pública, no es necesario cargar un certificado.
  - Tiempo de espera del método de autenticación en segundos: Introduzca el número de segundos durante los cuales el intento de autenticación debe estar disponible. Después de eso, se agota el tiempo de espera del intento de autenticación. El valor predeterminado es 180 segundos.
  - Hosts de autenticación de usuario: la lista muestra los nuevos hosts del Connector 22.09 que tienen el servicio de autenticación de usuario instalado. Seleccione uno o más hosts para usarlos en la autenticación RSA SecurID.
7. (Aparece solo si la autenticación Kerberos está configurada) En la página Proveedor de identidades, introduzca el FQDN del equilibrador de carga del conector que se va a utilizar para el nuevo proveedor de identidades que se creará para la autenticación Kerberos durante la migración.
  El FQDN del equilibrador de carga actual se muestra como referencia. Este es el valor Nombre de host de IdP en la página del proveedor de identidades del directorio.
  
  Si solo tiene un Connector 22.09 y no tiene ningún equilibrador de carga configurado, introduzca el FQDN del conector.
8. En la página Resumen, verifique sus selecciones y haga clic en Guardar.
  Se guardan los datos de migración del directorio. Para ver la configuración, haga clic en el botón Revisar junto al directorio en el panel de control de migración de directorios.
  
  Si desea realizar cambios en la información introducida, haga clic en Comenzar otra vez en la página Resumen. Se descartarán los datos de migración introducidos para el directorio y se podrá volver a migrar el directorio.
9. Migre el resto de los directorios.
En la sección Migrar colecciones de aplicaciones virtuales, seleccione los conectores a los que desea migrar las colecciones de aplicaciones virtuales.
1. Haga clic en Migrar.
2. En la ventana Migrar colecciones de aplicaciones virtuales, seleccione la instancia de Connector 22.09 que se utilizará para cada colección de aplicaciones virtuales. Todos los conectores que tienen instalado el servicio de aplicaciones virtuales aparecen en el menú desplegable. Seleccione un conector que tenga el servicio de aplicaciones virtuales en estado Activo. El estado se muestra junto al nombre del conector. Puede agregar varios conectores para obtener alta disponibilidad. Si agrega varios conectores, organícelos en orden de conmutación por recuperación.
  
  Nota: Debe migrar todas las colecciones de aplicaciones virtuales al mismo tiempo. No puede seleccionar colecciones específicas para migrar.
3. Haga clic en Guardar.
Por ejemplo:

Las colecciones de aplicaciones virtuales se migrarán cuando vaya a la fase de Vista previa.

Nota: Puede agregar más conectores después de completar la migración, también puede cambiar los conectores que seleccionó para las colecciones de aplicaciones virtuales.
En la sección Completar migración, haga clic en Iniciar vista previa para iniciar el proceso de migración.
En la etapa de vista previa, se utilizan los nuevos Connector 22.09. La sincronización de directorios se realiza mediante el nuevo servicio de sincronización de directorios, la autenticación de usuarios se realiza mediante el nuevo servicio de autenticación de usuarios, la autenticación Kerberos se realiza mediante el nuevo servicio de autenticación Kerberos y la sincronización de aplicaciones virtuales se realiza mediante el nuevo servicio de aplicaciones virtuales. En la fase de Vista previa, no puede realizar ningún cambio en los directorios, los métodos de autenticación, los proveedores de identidad o las colecciones de aplicaciones virtuales, ni crear otros nuevos. Puede ver los proveedores de identidades convertidos en la página Integraciones > Proveedores de identidades y los métodos de autenticación convertidos en la página Integraciones > Métodos de autenticación del conector. Todos los métodos de autenticación, excepto Kerberos, están en modo saliente.
Tenga en cuenta las siguientes consideraciones:
- Cuando sincroniza un directorio por primera vez después de la migración, ya sea manualmente o con una sincronización programada, se actualizan todos los usuarios. Si la configuración de los elementos de protección del directorio impide que se actualicen todos los usuarios, la sincronización no se realizará correctamente. Asegúrese de realizar la primera sincronización después de la migración, ya sea sin elementos de protección o, si se sincroniza con elementos de protección, con la configuración del elemento de protección Se está actualizando más de un x % de usuarios de Workspace ONE Access actuales establecido en un valor vacío.
  Para sincronizar un directorio sin protecciones, seleccione Sincronizar > Sincronización sin elementos de protección en la página del directorio. Para cambiar la configuración de los elementos de protección de un directorio, haga clic en Configuración de sincronización en la página del directorio, seleccione la pestaña Elementos de protección y realice los cambios.
- Tenga en cuenta que la primera sincronización de directorio después de la migración al servicio de sincronización de directorios tarda mucho tiempo porque actualiza todos los usuarios que se han sincronizado con el servicio de Workspace ONE Access.
- Si People Search está habilitado en la implementación, debe sincronizar manualmente los directorios sin los ajustes de protección. Para sincronizar un directorio sin protecciones, seleccione Sincronizar > Sincronización sin elementos de protección en la página del directorio.
Importante: Pruebe el entorno minuciosamente en la etapa de vista previa y compruebe que funcione según lo esperado. Compruebe que la sincronización de directorios, la sincronización de aplicaciones virtuales, el inicio de sesión de los usuarios y el inicio de las aplicaciones funcionen según lo esperado.
Si determina que el entorno no funciona correctamente, o si desea realizar cambios en los directorios, los métodos de autenticación, los proveedores de identidades o las colecciones de aplicaciones virtuales, salga de la etapa de vista previa y vuelva a utilizar los conectores anteriores.
Vaya a la página Integraciones > Directorios, haga clic en Continuar migración y, en el panel de control Migración de directorios, haga clic en Anular en la sección Completar migración.

Si realiza cambios en los directorios, los métodos de autenticación o los proveedores de identidades posteriormente, asegúrese de volver a migrar los directorios en la sección Migrar directorios.
Cuando haya verificado que el entorno funciona según lo esperado en la etapa de la versión previa y ya está listo para completar la migración, vuelva al panel de control de migración de directorios dirigiéndose a la página Integración > Directorios y haga clic en Continuar migración.

Precaución: Después de completar la migración, no podrá revertir a los conectores antiguos.

Haga clic en Completar para completar la migración.

Resultados

Todos los directorios y las colecciones de aplicaciones virtuales se migran a las nuevas instancias de Connector 22.09. Los nuevos servicios de sincronización de directorios, autenticación de usuario, autenticación Kerberos y aplicaciones virtuales ahora realizan la sincronización de directorios, la autenticación de usuarios y la sincronización de aplicaciones virtuales.

Se crean nuevos proveedores de identidades para cada directorio y aparecen en la página Proveedores de identidades con el nombre IDP migrados para el directorio. Los nuevos proveedores de identidades son de tipo integrado. Para la autenticación Kerberos, se crea un proveedor de identidades independiente de tipo Workspace_IDP.

Todos los métodos de autenticación, excepto los de Kerberos, se convierten en métodos salientes y se les cambia el nombre con el sufijo (implementación en la nube). Por ejemplo, se cambia el nombre del método de autenticación Contraseña a Contraseña (implementación en la nube). Puede ver y administrar los nuevos métodos de autenticación desde la página Métodos de autenticación del conector.

Qué hacer a continuación

Una vez completada la migración, puede desinstalar las instancias de Connector 19.03.x anteriores de los servidores en los que están instalados.
Si migró colecciones de aplicaciones virtuales de ThinApp, puede desinstalar los conectores de Linux.
Una vez finalizada la migración, ya no necesitará Integration Broker para las integraciones de Citrix. La funcionalidad requerida ahora forma parte del servicio de aplicaciones virtuales.
Para las integraciones de Horizon y Horizon Cloud, asegúrese de que las instancias de Horizon Connection Server, o los servidores de Horizon subyacentes a los arrendatarios de Horizon Cloud, tengan certificados válidos firmados por una entidad de certificación (CA) de confianza. Si los servidores de Horizon tienen certificados autofirmados, debe cargar la cadena de certificados en las instancias de Workspace ONE Access Connector en las que está instalado el servicio de aplicaciones virtuales para establecer confianza entre las instancias de Connector y los servidores de Horizon. Este es un nuevo requisito a partir de Workspace ONE Access Connector 21.08. Los certificados se cargan mediante el instalador del conector. Para obtener más información, consulte Instalar VMware Workspace ONE Access Connector 22.09. Asegúrese de reiniciar los servicios de Connector después de cargar los certificados.