Realizar la actualización a Workspace ONE Access Connector 23.09

Para actualizar Workspace ONE Access Connector basado en Windows a la versión 23.09, descargue el nuevo instalador desde VMware Customer Connect al servidor de Connector y ejecute el instalador. No es necesario que desinstale la versión anterior de Connector.

Durante la actualización, los servicios de sincronización de directorios, autenticación de usuario, autenticación Kerberos y aplicaciones virtuales se encuentran suspendidos. Los servicios de se reinician automáticamente una vez finalizada la actualización.

Nota: En este documento se describe cómo actualizar Connector mediante la interfaz gráfica de usuario. Para actualizar Connector mediante la instalación silenciosa, consulte Ejecutar el instalador de Workspace ONE Access Connector en modo silencioso.

Consideraciones importantes

Modo FIPS
Si actualiza desde una instalación de una versión 22.05 o 22.09 que tenía el modo FIPS habilitado, el conector actualizado se ejecuta en modo FIPS. Si actualiza desde una instalación de una versión 22.05 o 22.09 que no tenía el modo FIPS habilitado, o desde una versión anterior a la 22.05, el conector actualizado se ejecuta en modo no FIPS. No puede seleccionar ni anular la selección del modo FIPS durante o después de la actualización. Para cambiar la configuración del modo FIPS debe realizar una instalación nueva. Consulte Actualizar a VMware Workspace ONE Access Connector 23.09 para obtener más información.
Archivo es-config.json
El archivo de configuración es-config.json establece la conexión entre el servicio de Workspace ONE Access y Connector. En la mayoría de casos, la instancia de Connector actualizada puede utilizar el mismo archivo de configuración que utiliza la instancia de Connector existente. En algunos casos, debe generar un nuevo archivo es-config.json desde la consola de Workspace ONE Access.
- Si va a actualizar desde la versión 20.01.x o 20.10.x y pretende instalar el servicio de aplicaciones virtuales durante o después de la actualización, debe generar y utilizar un nuevo archivo de configuración es-config.json. Si no tiene pensado instalar el servicio de aplicaciones virtuales, no necesita un nuevo archivo de configuración. La instancia de Connector actualizada puede utilizar el mismo archivo de configuración que utiliza la instancia de Connector existente.
- Si va a actualizar desde la versión 21.08.x o 22.05 y generó un archivo de configuración es-config.json después de la versión de Workspace ONE Access 21.08 o la versión de nube de septiembre de 2021, no necesita generar un nuevo archivo es-config.json.
- Independientemente de la versión desde la que va a actualizar, si la contraseña del archivo de configuración existente es-config.json no cumple las reglas de contraseña actuales, debe generar un nuevo archivo de configuración con una contraseña que cumpla las reglas.
  La contraseña debe tener un mínimo de 14 caracteres e incluir al menos un número, un carácter en mayúscula y un carácter especial. Solo se permiten los siguientes caracteres especiales:
  @ ! , # $ { } ( ) _ + . < > ? *
  Todos los caracteres deben ser caracteres ASCII visibles imprimibles.
- Si olvidó la contraseña del archivo de configuración existente, genere un nuevo archivo de configuración y utilícelo durante la actualización.
Para generar un nuevo archivo, en la consola de Workspace ONE Access, vaya a Integraciones > Conectores, haga clic en Nuevo y cree un nuevo archivo en la página Descargar archivo de configuración del asistente.

Precaución: El archivo de configuración contiene información confidencial, como la URL de arrendatario, el identificador de arrendatario, el identificador de cliente y el secreto de cliente para cada uno de los servicios empresariales, así como el hash de contraseña. Es fundamental que no comparta el archivo ni lo exponga públicamente.
La configuración del método de autenticación RSA SecurID (implementación en la nube) cambió a partir de la versión 21.08. Si va a actualizar desde una versión 20.10. x o una versión anterior que tiene configurado el método de autenticación RSA SecurID (implementación en la nube), debe eliminar el método de autenticación de las directivas de acceso antes de actualizar todas las instancias del servicio de autenticación de usuario y, a continuación, volver a configurarlo después de la actualización. Dado que esto da como resultado un tiempo de inactividad del inicio de sesión basado en RSA SecurID, planifique el momento de la actualización según corresponda.
Los pasos de nivel general para realizar la actualización son:
1. Compruebe que está utilizando un dispositivo RSA Authentication Manager 8.2 SP1 o una versión posterior, que son las versiones compatibles con Workspace ONE Access Connector 21.08 y versiones posteriores.
2. Antes de actualizar Connector, elimine el método de autenticación RSA SecurID (implementación en la nube) de las directivas de acceso en las que se utiliza.
3. Actualice todas las instancias de Connector en las que está instalado el servicio de autenticación de usuario a la versión 23.09.
4. Si un servidor proxy está configurado con los conectores, el puerto de comunicación que está configurado para el servidor RSA Authentication Manager está abierto en el servidor proxy.
5. Si ha implementado varias instancias del servidor RSA Authentication Manager, debe configurarlas detrás de un equilibrador de carga y cumplir con los requisitos de Workspace ONE Access para el equilibrador de carga.
6. En la consola de seguridad de RSA, verifique que Connector se agrega como agente de autenticación mediante el nombre de dominio completo (FQDN), por ejemplo, servidor_connector.ejemplo.com.
7. Actualice la configuración del método de autenticación RSA SecurID (implementación en la nube).
8. Agregue el método de autenticación RSA SecurID (implementación en la nube) a las directivas de acceso.
Asegúrese de actualizar todas las instancias de Connector en las que esté instalado el servicio de autenticación de usuario a la versión 23.09. Workspace ONE Access no admite la combinación de versiones del servicio de autenticación de usuario.
Workspace ONE Access Connector 23.09 admite los siguientes tipos de proxies:
- Proxies HTTP sin autenticar
- Proxies no autenticados HTTPS (SSL)
- Proxies HTTPS autenticados (SSL)

Requisitos previos

Revise Actualizar a VMware Workspace ONE Access Connector 23.09.
Si la instalación de Connector se encuentra en un servidor Windows virtual, realice una instantánea de la máquina virtual antes de actualizar.
Si tiene pensado instalar el servicio de autenticación Kerberos o el servicio de aplicaciones virtuales, asegúrese de unir el servidor de Connector al dominio.
Si configuró el método de autenticación RSA SecurID (implementación en la nube), asegúrese de utilizar un dispositivo RSA Authentication Manager 8.2 SP1 o posterior.
Si va a actualizar desde una versión 20.10.x o una versión anterior que tenga configurado el método de autenticación RSA SecurID (implementación en la nube), elimine el método de autenticación de las directivas de acceso antes de actualizar todas las instancias del conector que tengan la autenticación de usuario servicio instalado.
1. En la consola de Workspace ONE Access, vaya a Recursos > Directivas.
2. Revise cada directiva y elimine el método de autenticación RSA SecurID (implementación en la nube) si forma parte de la directiva.
  Tome nota de los cambios que realice para tener la información necesaria para volver a agregar el método de autenticación después de actualizar Connector.
Si va a actualizar desde la versión 20.01.x y ha configurado un directorio de tipo Active Directory mediante autenticación de Windows integrada (IWA), anule la selección de la opción STARTTLS en la configuración de directorios de la consola Workspace ONE Access antes de actualizar. Tras la actualización, la funcionalidad de Active Directory mediante IWA será incompatible con la opción STARTTLS.
Para editar la configuración del directorio, vaya a la página Integraciones > Directorios, seleccione el directorio, desmarque la casilla de verificación Este directorio requiere que todas las conexiones usen STARTTLS y haga clic en Guardar.

Nota: Si aplicó la revisión descrita en el artículo 77158 de la base de conocimientos a Connector 20.01 o actualizó a Connector 20.01.0.1 o una versión posterior, es posible que ya haya anulado la selección de la opción STARTTLS para Active Directory mediante IWA. Compruebe que se haya anulado la selección del ajuste.
En la consola de Workspace ONE Access, suspenda todos los servicios del conector.
1. Seleccione Integraciones > Conectores.
2. Seleccione el conector y haga clic en Administrar.
3. Haga clic en la opción junto a cada nombre de servicio para suspender el servicio.
Asegúrese de tener la siguiente información de cuenta:
- Sus credenciales de VMware Customer Connect
- Si la instalación existente incluye el servicio de autenticación Kerberos o el servicio de aplicaciones virtuales, necesita las credenciales de usuario de dominio que se utilizan para ejecutar el servicio.
- Si tiene pensado instalar el servicio de autenticación Kerberos o el servicio de aplicaciones virtuales durante la actualización, necesita una cuenta de usuario de dominio para ejecutar estos servicios. Si bien estos servicios se ejecutan con privilegios de cuenta de usuario de dominio, los servicios de sincronización de directorios y autenticación de usuario se ejecutan con privilegios más bajos.
- Si utiliza el método de autenticación RSA SecurID (implementación en la nube), debe tener las credenciales de la consola de seguridad RSA para obtener la información necesaria para volver a configurar el método de autenticación en la consola de Workspace ONE Access después de actualizar todas las instancias de Connector.

Procedimiento

Si es necesario, genere un nuevo archivo de configuración en la consola de Workspace ONE Access.
1. Inicie sesión en la consola de Workspace ONE Access como administrador del dominio del sistema.
  
  Sugerencia: En las implementaciones de nube, el administrador del dominio del sistema es el administrador cuyas credenciales se reciben al obtener el arrendatario de Workspace ONE Access. En las implementaciones locales, el administrador del dominio del sistema es el usuario administrador que se crea al instalar una instancia de Workspace ONE Access.
2. Seleccione Integraciones > Conectores.
3. Haga clic en Nuevo.
4. En el asistente Agregar nuevo conector, haga clic en Siguiente.
5. En la página Descargar archivo de configuración, genere el archivo de configuración creando una contraseña y haciendo clic en Descargar archivo de configuración.
  
  La contraseña debe tener un mínimo de 14 caracteres e incluir al menos un número, un carácter en mayúscula y un carácter especial. Solo se permiten los siguientes caracteres especiales:
  
  @ ! , # $ { } ( ) _ + . < > ? *
  
  Todos los caracteres deben ser caracteres ASCII visibles imprimibles.
  
  El archivo de configuración se utiliza para establecer la comunicación entre los servicios empresariales que se instalen y el arrendatario de Workspace ONE Access. El nombre predeterminado del archivo es es-config.json.
  
  Precaución: El archivo de configuración contiene información confidencial, como la URL de arrendatario, el identificador de arrendatario, el identificador de cliente y el secreto de cliente para cada uno de los servicios empresariales, así como el hash de contraseña. Es fundamental que no comparta el archivo ni lo exponga públicamente.
6. Transfiera el archivo de confguración en el servidor Windows en el que se instaló la versión anterior de Connector.
Descargue Workspace ONE Access Connector 23.09 desde VMware Customer Connect.
1. Inicie sesión en https://customerconnect.vmware.com/.
2. Desplácese hasta la página de Descargas de Workspace ONE Access Connector.
3. Descargue Workspace-ONE-Access-Connector-Installer-23.09.0.0.exe.
Guarde el archivo del instalador en el servidor Windows en el que se instaló la versión anterior de Connector.
Haga doble clic en el archivo Workspace-ONE-Access-Connector-Installer-23.09.0.0.exe para ejecutar el instalador.
El instalador detecta que se necesita una actualización y le guía por el proceso de actualización.
Siga los pasos del asistente para actualizar Connector.
- Si la página Especificar configuración aparece durante la actualización, seleccione el archivo de configuración nuevo o existente y especifique su contraseña. El nombre predeterminado del archivo es es-config.json.
- Durante la actualización, aparece la página Instalar certificados raíz de confianza y puede cargar certificados raíz de confianza en el almacén de confianza. El conector puede establecer conexiones seguras con los servidores y los clientes cuya cadena de certificados incluye cualquiera de los certificados cargados en el almacén de confianza. Los escenarios en los que se requieren certificados raíz de confianza son:
  - (Solo instalaciones locales) Si la instancia de servicio local de Workspace ONE Access tiene un certificado autofirmado, debe cargar su certificado raíz y, si es necesario, su certificado intermedio para establecer la confianza entre los servicios empresariales y la instancia de servicio de Workspace ONE Access.
  - (Solo el servicio de autenticación Kerberos) Si implementa varias instancias del servicio de autenticación Kerberos detrás de un equilibrador de carga, debe instalar el certificado de CA raíz del equilibrador de carga en las instancias del conector para establecer la confianza entre los conectores y el equilibrador de carga.
  - (Solo servicio de aplicaciones virtuales) Si crea colecciones de aplicaciones virtuales para integrarlas con VMware Horizon, Horizon Cloud Service on Microsoft Azure con agente de pod único u Horizon Cloud Service on IBM Cloud, y los servidores de Horizon tienen certificados autofirmados, debe cargar la cadena de certificados en las instancias del conector en las que está instalado el servicio de aplicaciones virtuales para establecer la confianza entre los conectores y los servidores de Horizon. Si los servidores de Horizon tienen certificados firmados por una CA pública, no es necesario que cargue los certificados en el almacén de confianza del conector. Se recomienda encarecidamente utilizar certificados firmados por una CA pública.
  Si carga certificados durante la actualización, asegúrese de reiniciar los servicios una vez completada la actualización.
  La carga de certificados es un paso opcional para la actualización. También puede cargar certificados después de la actualización si vuelve a ejecutar el instalador.
- Durante la actualización, el instalador instala OpenJDK 11.
- Durante la actualización, puede modificar cualquiera de los ajustes de los servicios existentes. También puede instalar otros servicios. Por ejemplo, si la instalación existente incluye solo el servicio de sincronización de directorios y desea instalar el servicio de autenticación de usuario y el servicio de autenticación Kerberos, puede hacerlo durante la actualización.
  Consulte Instalar VMware Workspace ONE Access Connector 23.09 para obtener información sobre los requisitos, el tamaño, la instalación y la configuración.
- (Solo servicio de aplicaciones virtuales) Aparece una nueva página de configuración de Citrix durante la actualización si utiliza el flujo de instalación personalizado. Las opciones de la página se aplican a la integración de Workspace ONE Access con un entorno de Citrix que tenga configurada la agregación de varios sitios o el filtrado de palabras clave.
  Para obtener información, consulte Configurar la agregación de varios sitios y el filtrado de palabras clave de Citrix en Workspace ONE Access en Configurar recursos en Workspace ONE Access y Instalar Workspace ONE Access Connector.
  Puede configurar las opciones durante la actualización o puede configurarlas después de la actualización ejecutando el instalador de Connector de nuevo.
- Con Connector 23.09, puede especificar varios servidores syslog externos para almacenar mensajes de eventos en el nivel de la aplicación, en lugar de limitarse a un servidor. Puede introducir los servidores syslog en la página Especificar información del servidor syslog del asistente durante la actualización.
  Utilice el siguiente formato:
  host:puerto,host:puerto,host:puerto
  donde host es el nombre de dominio completo o la dirección IP del servidor syslog y puerto es el número de puerto. Por ejemplo:
  syslog1.example.com:514,syslog2.example.com:601,syslog3.example.com:163
Una vez completada correctamente la actualización, compruebe que los servicios actualizados se ejecuten en el servidor Windows.
Si los servicios no se están ejecutando, inícielos.
Los servicios de Connector tienen los siguientes nombres:
- Servicio de sincronización de directorios de VMware
- Servicio de autenticación de usuario de VMware
- Servicio de autenticación Kerberos de VMware
- Servicio de aplicaciones virtuales de VMware

Resultados

Se completó la actualización de Connector. Para verificar que la nueva versión de Connector está instalada, desplácese hasta Panel de control > Programas > Programas y funciones en el servidor Windows y compruebe la versión de Connector que se muestra en la lista.

Qué hacer a continuación

En la consola de Workspace ONE Access, haga clic en el icono de actualización en la página Integración > Conectores y compruebe que los servicios actualizados estén activos y que su estado sea correcto.
Por ejemplo:

Si el estado aparece de color rojo, reinicie los servicios.
Si el método de autenticación RSA SecurID (implementación en la nube) se configuró en la instalación original y se eliminó antes de la actualización de Connector, vuelva a configurar el método de autenticación después de actualizar todas las instancias de Connector que tengan instalado el servicio de autenticación de usuario.
1. Si ha implementado varias instancias del servidor RSA Authentication Manager, debe configurarlas detrás de un equilibrador de carga y cumplir con los requisitos de Workspace ONE Access para el equilibrador de carga. Consulte Requisitos de Workspace ONE Access para el equilibrador de carga de RSA SecurID.
2. Si un servidor proxy está configurado con los conectores, el puerto de comunicación que está configurado para el servidor RSA Authentication Manager está abierto en el servidor proxy.
3. En la consola de seguridad de RSA, verifique que Connector se agrega como agente de autenticación mediante el nombre de dominio completo (FQDN), por ejemplo, servidor_connector.ejemplo.com. Si ya agregó el conector como agente de autenticación con el nombre de NetBIOS en lugar del FQDN, agregue otra entrada con el FQDN. Deje el campo de dirección IP vacío para la nueva entrada. No elimine la entrada antigua.
4. Actualice la configuración del método de autenticación RSA SecurID (implementación en la nube) para todos los directorios que lo incluyeron en la instalación original.
  Consulte Configurar la autenticación RSA SecurID en Workspace ONE Access para obtener información sobre la nueva configuración.
5. Agregue el método de autenticación RSA SecurID (implementación en la nube) a todas las directivas de acceso que lo incluyeron en la instalación original.
  Puede editar las directivas de acceso desde la página Recursos > Directivas.