Migre los directorios existentes a los Workspace ONE Access Connector 20.01 mediante el panel de control de migración. El proceso de migración es un enfoque por etapas que permite probar el entorno con los nuevos conectores antes de completar la migración.

El proceso de migración incluye las siguientes etapas:

  • Instalar Connector 20.01

    Instale los nuevos Connector 20.01, que contienen los servicios de sincronización de directorios, autenticación de usuarios y autenticación Kerberos. Como mínimo, instale el servicio de sincronización de directorios y el servicio de autenticación de usuarios. Si tiene configurado el método de autenticación Kerberos, instale el servicio de autenticación Kerberos.

  • Migrar a nuevos conectores

    En esta etapa, se migran todos los datos de directorios mediante el asistente de migración de directorios. La mayor parte de la información requerida se completa previamente desde el entorno, pero es necesario introducir algunos valores confidenciales, como la contraseña del usuario de enlace del directorio.

    Al migrar los directorios en esta etapa, no se cambia ninguna de las configuraciones del directorio, del método de autenticación o del proveedor de identidades existentes. Se siguen utilizando los conectores antiguos. Los cambios se aplicarán solo después de avanzar a la etapa de vista previa del siguiente paso.

  • Vista previa

    En la etapa de vista previa, puede obtener una vista previa del entorno con los nuevos Connector 20.01. Los nuevos servicios de sincronización de directorios, autenticación de usuarios y autenticación Kerberos de los Connector 20.01 realizan la sincronización de directorios y la autenticación de usuarios. Todos los métodos de autenticación, excepto Kerberos, están en modo saliente.

    La etapa de vista previa está destinada a probar el entorno de forma exhaustiva con los nuevos servicios. Compruebe que la sincronización de directorios, la autenticación de usuarios y el inicio de las aplicaciones funcionen según lo esperado.

    En la etapa de vista previa, no puede realizar ningún cambio en los directorios, los métodos de autenticación ni los proveedores de identidades, ni tampoco agregar otros nuevos.

    Desde la etapa de vista previa, puede revertir al uso de los conectores antiguos. Cuando revierta, se conservarán los datos de directorios que migró en la etapa anterior. Si posteriormente realiza algún cambio en cualquiera de sus directorios, métodos de autenticación o proveedores de identidades existentes, asegúrese de volver a migrar los datos de directorios.

  • Completar migración

    Cuando esté satisfecho con la prueba del nuevo entorno, complete la migración. Después de completar la migración, no podrá revertir al uso de los conectores antiguos.

Las prácticas recomendadas para la migración incluyen:

  • Asegúrese de que el proceso de sincronización de directorios no se esté ejecutando en ninguno de los directorios antes de iniciar el proceso de migración.
  • Si tiene People Search habilitado, asegúrese de que el proceso de sincronización de fotos no se esté ejecutando en ninguno de los directorios antes de iniciar el proceso de migración.

Requisitos previos

  • Consulte los requisitos en Migración a los VMware Workspace ONE Access Connector 20.01.
  • Compruebe que todos los conectores de su entorno sean de la versión 19.03. Si alguno de los conectores tiene una versión anterior, actualícelos a 19.03.
  • Prepare uno o varios servidores de Windows para los Connector 20.01. Estos servidores deben ser diferentes de los servidores de Connector 19.03.

    Consulte Requisitos de los sistemas en Instalar Workspace ONE Access Connector 20.01.

  • Si tiene una instancia local del servicio de Workspace ONE Access, actualícela a 20.01 antes de migrar los conectores.
  • Si tiene el método de autenticación RSA SecurID configurado para cualquiera de sus directorios, borre el secreto del nodo en la consola de seguridad de RSA.
  • Si algún IDP está asociado con varios directorios, modifique la configuración para que cada IDP solo esté asociado con un directorio.

Procedimiento

  1. Haga clic en la pestaña Administración de acceso e identidad.
    Aparece la página de migración.
    Página de migración
  2. Revise los requisitos y haga clic en .
    Aparecerá el panel de control de migración de directorios.
  3. En el panel de control migración de directorios, haga clic en el vínculo Comenzar en la sección Instalar Connector 20.01.

    Panel Instalar conectores nuevos en el panel de control de migración de directorios
  4. En la página Conectores, haga clic en Nuevo.
    Aparece la página Conectores.
  5. En el cuadro emergente Confirmación de uso de aplicaciones virtuales, seleccione Usar Workspace ONE Access Connector 20.01 si no piensa usar aplicaciones virtuales (integraciones de Citrix, Horizon Cloud y Citrix).
    Si desea utilizar aplicaciones virtuales, seleccione Usar conectores heredados para salir del proceso de migración.
    Pregunta de uso de aplicaciones virtuales
  6. Siga el asistente Agregar nuevo conector para descargar el instalador del conector y el archivo de configuración necesario; a continuación, instale el Connector 20.01.
    Para obtener información sobre la instalación, consulte Instalar Workspace ONE Access Connector 20.01. En concreto, consulte Requisitos previos e Instalación de Workspace ONE Access Connector.
    Importante: Cuando instale el conector, asegúrese de instalar el servicio de sincronización de directorios y el servicio de autenticación de usuarios. El servicio de autenticación Kerberos solo es necesario si tiene el método de autenticación Kerberos configurado en cualquiera de los conectores heredados.
  7. Cuando la instalación del conector se complete correctamente, vuelva al panel de control de migración de directorios en la consola de servicios de Workspace ONE Access.
  8. En la sección Migrar a nuevos conectores, migre todos los directorios, uno por uno.
    Sección Migrar directorios del panel de control de migración
    La sección Migrar a nuevos conectores incluye todos los directorios de Active Directory y LDAP de su tenant. Debe migrar todos los directorios enumerados antes de poder completar la migración.
    Nota: Al migrar los directorios en este paso, no se cambia ninguna de las configuraciones del directorio, el método de autenticación o el proveedor de identidades existentes, y solo se aplicará después de obtener una vista previa de los cambios en el siguiente paso.
    1. Haga clic en el botón Migrar situado junto al directorio.
      Aparece el asistente de migración de directorios. El asistente se personaliza según el directorio que va a migrar. Aparecen páginas adicionales para los métodos de autenticación que se configuran en el directorio.
    2. En la página Directorio, introduzca la contraseña de usuario de enlace para el directorio.
      La lista Hosts de sincronización de directorios muestra los nuevos Connector 20.01 que tienen el servicio de sincronización de directorios instalado. Seleccione uno o más hosts para usarlos para la sincronización del directorio.
      Asistente de migración de directorios: página de directorio
    3. (Aparece solo si el método de autenticación Kerberos está configurado) En la página Kerberos, especifique la información necesaria para migrar el método de autenticación Kerberos.
      • Conector de origen: el conector de origen está preseleccionado. Puede seleccionar otro conector si el conector preseleccionado no está disponible.
      • Hosts de autenticación Kerberos: la lista muestra los nuevos hosts del Connector 20.01 que tienen el servicio de autenticación Kerberos instalado. Seleccione uno o más hosts para usarlos en la autenticación Kerberos.

      Migrar directorio: página Kerberos

    4. En la página Contraseña, especifique la información necesaria para migrar el método de autenticación de contraseña.
      • Conector de origen: el conector de origen está preseleccionado. Puede seleccionar otro conector si el conector preseleccionado no está disponible.
      • Contraseña de enlace: introduzca la contraseña de usuario de enlace para el directorio.
      • Hosts de autenticación de usuario: la lista muestra los nuevos hosts del Connector 20.01 que tienen el servicio de autenticación de usuario instalado. Seleccione uno o más hosts para utilizarlos en la autenticación de contraseña.

      MigrateDirectoryPassword

    5. (Aparece solo si el método de autenticación RADIUS está configurado) En la página RADIUS, especifique la información necesaria para migrar el método de autenticación RADIUS.
      • Conector de origen: el conector de origen está preseleccionado. Puede seleccionar otro conector si el conector preseleccionado no está disponible.
      • Secreto compartido: secreto compartido del servidor RADIUS.
      • Hosts de autenticación de usuario: la lista muestra los nuevos hosts del Connector 20.01 que tienen el servicio de autenticación de usuario instalado. Seleccione uno o más hosts para usarlos en la autenticación RADIUS.

      Migrar directorio: página Radius

    6. (Aparece solo si el método de autenticación RSA SecurID está configurado) En la página SecurId, especifique la información necesaria para migrar el método de autenticación RSA SecurID.
      • Conector de origen: el conector de origen está preseleccionado. Puede seleccionar otro conector si el conector preseleccionado no está disponible.
      • Hosts de autenticación de usuario: la lista muestra los nuevos hosts del Connector 20.01 que tienen el servicio de autenticación de usuario instalado. Seleccione uno o más hosts para usarlos en la autenticación RSA SecurID.

      Migrar directorio: página SecurID

    7. (Aparece solo si la autenticación Kerberos está configurada) En la página Proveedor de identidades, introduzca el FQDN del equilibrador de carga del conector que se va a utilizar para el nuevo proveedor de identidades que se creará para la autenticación Kerberos durante la migración.
      El FQDN del equilibrador de carga actual se muestra como referencia. Este es el valor Nombre de host de IdP en la página del proveedor de identidades del directorio.
      Si solo tiene un Connector 20.01 y no tiene ningún equilibrador de carga, introduzca el FQDN del conector.
      Página Proveedor de identidades de asistente de migración de directorios
    8. En la página Resumen, verifique sus selecciones y haga clic en Guardar.
      Se guardan los datos de migración del directorio. Para ver la configuración, haga clic en el botón Resumen junto al directorio en el panel de control de migración de directorios.
      El panel Migración del panel de control muestra el botón Resumen
      Si desea realizar cambios en la información introducida, haga clic en Comenzar otra vez en la página Resumen. Se descartarán los datos de migración introducidos para el directorio y se podrá volver a migrar el directorio.
      DirectorySummary
    9. Migre el resto de los directorios.
    Después de migrar todos los directorios, se habilita el paso Completar migración.
  9. En la sección Completar migración, haga clic en Iniciar vista previa para iniciar el proceso de migración.
    Panel de control de migración: Iniciar vista previa
    En la etapa de vista previa, se utilizan los nuevos Connector 20.01. La sincronización de directorios se realiza mediante el nuevo servicio de sincronización de directorios, el nuevo servicio de autenticación de usuarios realiza la autenticación de usuarios y la autenticación Kerberos se realiza mediante el nuevo servicio de autenticación Kerberos. No puede realizar ningún cambio en los directorios, los métodos de autenticación ni los proveedores de identidades, ni tampoco crear otros nuevos. Puede ver los proveedores de identidades convertidos en la pestaña Proveedores de identidades y los métodos de autenticación convertidos en la pestaña Métodos de autenticación empresarial. Todos los métodos de autenticación, excepto Kerberos, están en modo saliente.
    Importante: Pruebe el entorno minuciosamente en la etapa de vista previa y compruebe que funcione según lo esperado. Compruebe que funcione la sincronización de directorios, el inicio de sesión de usuarios y el inicio de aplicaciones.
  10. Si determina que el entorno no funciona correctamente, o si desea realizar cambios en los directorios, los métodos de autenticación o los proveedores de identidades, salga de la etapa de vista previa y vuelva a utilizar los conectores anteriores.
    Vaya a la página Administración de acceso e identidad > Administrar > Directorios, haga clic en Continuar migración y, a continuación, haga clic en Anular en la sección Completar migración del panel de control migración de directorios.
    Panel Completar migración
    Si realiza cambios en los directorios, los métodos de autenticación o los proveedores de identidades posteriormente, asegúrese de volver a migrar los directorios en la sección Migrar a nuevos conectores.
  11. Cuando haya verificado que el entorno funciona según lo esperado en la etapa de la versión previa y ya está listo para completar la migración, vuelva al panel de control de migración de directorios dirigiéndose a la página Administración de acceso e identidad > Administrar > y haga clic en Continuar migración.
    Precaución: Después de completar la migración, no podrá revertir a los conectores antiguos.

    Haga clic en Completar para completar la migración.

    Panel de control de migración: sección Completar migración

Resultados

Todos los directorios se migran a los nuevos Connector 20.01. Los nuevos servicios de sincronización de directorios, autenticación de usuarios y autenticación Kerberos ahora realizan la sincronización de directorios y la autenticación de usuarios.

Se crean nuevos proveedores de identidades para cada directorio y aparecen en la pestaña Proveedores de identidades con el nombre IDP migrados para el directorio. Los nuevos proveedores de identidades son de tipo integrado. Para la autenticación Kerberos, se crea un proveedor de identidades independiente de tipo Workspace_IDP.

Todos los métodos de autenticación, excepto los de Kerberos, se convierten en métodos salientes y se les cambia el nombre con el sufijo (implementación en la nube). Por ejemplo, se cambia el nombre del método de autenticación Contraseña a Contraseña (implementación en la nube). Puede ver y administrar los nuevos métodos de autenticación desde la pestaña Métodos de autenticación empresarial.

Qué hacer a continuación

Una vez completada la migración, puede desinstalar los Connector 19.03 anteriores de los servidores en los que están instalados.