Migre los directorios existentes a Workspace ONE Access Connector 20.10 mediante el panel de control de migración. El proceso de migración es un enfoque por etapas que permite probar el entorno con los nuevos conectores antes de completar la migración.

El proceso de migración incluye las siguientes etapas:

  • Instalar Connector 20.10

    Instale los nuevos Connector 20.10, que contienen los servicios de sincronización de directorios, autenticación de usuarios y autenticación Kerberos. Como mínimo, instale el servicio de sincronización de directorios y el servicio de autenticación de usuarios. Si tiene configurado el método de autenticación Kerberos, instale el servicio de autenticación Kerberos.

  • Migrar a nuevos conectores

    En esta etapa, se migran todos los datos de directorios mediante el asistente de migración de directorios. La mayor parte de la información requerida se completa previamente desde el entorno, pero es necesario introducir algunos valores confidenciales, como la contraseña del usuario de enlace del directorio.

    Al migrar los directorios en esta etapa, no se cambia ninguna de las configuraciones del directorio, del método de autenticación o del proveedor de identidades existentes. Se siguen utilizando los conectores antiguos. Los cambios se aplicarán solo después de avanzar a la etapa de vista previa del siguiente paso.

  • Vista previa

    En la etapa de vista previa, puede obtener una vista previa del entorno con los nuevos Connector 20.10. Los nuevos servicios de sincronización de directorios, autenticación de usuarios y autenticación Kerberos de los Connector 20.10 realizan la sincronización de directorios y la autenticación de usuarios. Todos los métodos de autenticación, excepto Kerberos, están en modo saliente.

    La etapa de vista previa está destinada a probar el entorno de forma exhaustiva con los nuevos servicios. Compruebe que la sincronización de directorios, la autenticación de usuarios y el inicio de las aplicaciones funcionen según lo esperado.

    En la etapa de vista previa, no puede realizar ningún cambio en los directorios, los métodos de autenticación ni los proveedores de identidades, ni tampoco agregar otros nuevos.

    Desde la etapa de vista previa, puede revertir al uso de los conectores antiguos. Cuando revierta, se conservarán los datos de directorios que migró en la etapa anterior. Si posteriormente realiza algún cambio en cualquiera de sus directorios, métodos de autenticación o proveedores de identidades existentes, asegúrese de volver a migrar los datos de directorios.

  • Completar migración

    Cuando esté satisfecho con la prueba del nuevo entorno, complete la migración. Después de completar la migración, no podrá revertir al uso de los conectores antiguos.

Requisitos previos

  • Consulte los requisitos en Migración a los VMware Workspace ONE Access Connector 20.10.
  • Compruebe que todas las instancias de Connector de su entorno sean de la versión 19.03.x. Si hay alguna instancia de Connector con una versión anterior, actualícela a 19.03.x.
  • Prepare uno o varios servidores de Windows para las instancias nuevas de Connector 20.10. Consulte Directrices de dimensionamiento en Instalar Workspace ONE Access Connector 20.10.

    Puede instalar Connector 20.10 en un servidor nuevo o en el servidor de Connector 19.03.xheredado. Sin embrago, si se configura la autenticación Kerberos en la instancia de Connector heredada, debe utilizar un servidor de Windows independiente para instalar el servicio de autenticación Kerberos 20.10. No instale el nuevo servicio de autenticación Kerberos en el servidor de Connector 19.03.x. Workspace ONE Access no admite varias instancias de Kerberos en el mismo servidor.

    Si la autenticación Kerberos no está configurada en la instancia de Connector heredada y desea instalar el nuevo Connector 20.10 en el servidor de Connector heredado 19.03.x, consulte Migrar a la versión más reciente de Connector en un servidor de Windows que ejecuta Workspace ONE Access 19.03.x para conocer los requisitos adicionales.

  • Si tiene una instancia local del servicio de Workspace ONE Access, actualícela a 20.10 antes de migrar los conectores.
  • Si tiene el método de autenticación RSA SecurID configurado para cualquiera de sus directorios, borre el secreto del nodo en la consola de seguridad de RSA.

    Además, si va a instalar el servicio de autenticación de usuario en un nuevo servidor de Windows, agregue el servidor de Windows como agente en el servidor de SecurID antes de iniciar la migración de Connector.

  • Si algún IDP está asociado con varios directorios, modifique la configuración para que cada IDP solo esté asociado con un directorio.
  • Asegúrese de que el proceso de sincronización de directorios no se esté ejecutando en ninguno de los directorios antes de iniciar el proceso de migración.
  • Si ha habilitado la función People Search, asegúrese de que el proceso de sincronización de fotos no se esté ejecutando en ninguno de los directorios antes de iniciar el proceso de migración.
  • Si va a migrar Connector 19.03.x sin un directorio asociado, tenga en cuenta que, cuando se selecciona la opción Workspace ONE Access Connector 20.10 en el paso 5, se considera que la migración ha finalizado y Connector 19.03.x se elimina del servicio. Si decide más adelante que desea utilizar instancias de Connector heredadas y cambiar la selección de Connector mediante el botón Restablecer el uso de aplicaciones virtuales, Connector 19.03.x no se mostrará. Tendrá que volver a instalar Connector 19.03.x para reactivarlo con el servicio.

Procedimiento

  1. Haga clic en la pestaña Administración de acceso e identidad.
    Aparece la página de migración.
    Página de migración
  2. Revise los requisitos y haga clic en .
    Aparecerá el panel de control de migración de directorios.
  3. En el panel de control migración de directorios, haga clic en el vínculo Comenzar en la sección Instalar Connector 20.01 o una versión posterior.

    Panel Instalar conectores nuevos en el panel de control de migración de directorios
  4. En la página Conectores, haga clic en Nuevo.
    Aparece la página Conectores.
  5. En el cuadro emergente Confirmación de uso de aplicaciones virtuales, seleccione Workspace ONE Access Connector 20.10 si no piensa usar aplicaciones virtuales (integraciones de Citrix, Horizon Cloud y Citrix).
    Si desea utilizar aplicaciones virtuales, seleccione Conectores heredados para salir del proceso de migración. Las aplicaciones virtuales solo se admiten con conectores heredados.
    Pregunta de uso de aplicaciones virtuales
    Importante: Haga la elección teniendo en cuenta las necesidades de su empresa. Si desea cambiar la selección más adelante, puede hacerlo solo hasta un determinado punto del proceso de migración. Consulte Opción de restablecimiento de uso de aplicaciones virtuales en Workspace ONE Access.
  6. Siga el asistente Agregar nuevo conector para descargar el instalador del conector y el archivo de configuración necesario; a continuación, instale la nueva instancia de Connector.
    Importante: Cuando instale el conector, asegúrese de instalar el servicio de sincronización de directorios y el servicio de autenticación de usuarios. El servicio de autenticación Kerberos solo es necesario si tiene el método de autenticación Kerberos configurado en cualquiera de los conectores heredados.
  7. Cuando la instalación de Connector se complete correctamente, vuelva al panel de control de migración de directorios en la consola de servicio de Workspace ONE Access.
  8. En la sección Migrar a nuevos conectores, migre todos los directorios, uno por uno.
    Sección Migrar directorios del panel de control de migración
    La sección Migrar a nuevos conectores incluye todos los directorios de Active Directory y LDAP de su arrendatario. Debe migrar todos los directorios enumerados antes de poder completar la migración.
    Nota: Al migrar los directorios en este paso, no se cambia ninguna de las configuraciones del directorio, el método de autenticación o el proveedor de identidades existentes, y solo se aplicará después de obtener una vista previa de los cambios en el siguiente paso.
    1. Haga clic en el botón Migrar situado junto al directorio.
      Aparece el asistente de migración de directorios. El asistente se personaliza según el directorio que va a migrar. Aparecen páginas adicionales para los métodos de autenticación que se configuran en el directorio.
    2. En la página Directorio, introduzca la contraseña de usuario de enlace para el directorio.
      La lista Hosts de sincronización de directorios muestra los nuevos hosts de Connector 20.10 que tienen el servicio de sincronización de directorios instalado. Seleccione uno o más hosts para usarlos para la sincronización del directorio.
      Asistente de migración de directorios: página de directorio
    3. (Aparece solo si el método de autenticación Kerberos está configurado) En la página Kerberos, especifique la información necesaria para migrar el método de autenticación Kerberos.
      • Conector de origen: el conector de origen está preseleccionado. Puede seleccionar otro conector si el conector preseleccionado no está disponible.
      • Hosts de autenticación Kerberos: la lista muestra los nuevos hosts del Connector 20.10 que tienen el servicio de autenticación Kerberos instalado. Seleccione uno o más hosts para usarlos en la autenticación Kerberos.

      Migrar directorio: página Kerberos

    4. En la página Contraseña, especifique la información necesaria para migrar el método de autenticación de contraseña.
      • Conector de origen: el conector de origen está preseleccionado. Puede seleccionar otro conector si el conector preseleccionado no está disponible.
      • Contraseña de enlace: introduzca la contraseña de usuario de enlace para el directorio.
      • Hosts de autenticación de usuario: la lista muestra los nuevos hosts del Connector 20.10 que tienen el servicio de autenticación de usuario instalado. Seleccione uno o más hosts para utilizarlos en la autenticación de contraseña.

      MigrateDirectoryPassword

    5. (Aparece solo si el método de autenticación RADIUS está configurado) En la página RADIUS, especifique la información necesaria para migrar el método de autenticación RADIUS.
      • Conector de origen: el conector de origen está preseleccionado. Puede seleccionar otro conector si el conector preseleccionado no está disponible.
      • Secreto compartido: secreto compartido del servidor RADIUS.
      • Hosts de autenticación de usuario: la lista muestra los nuevos hosts del Connector 20.10 que tienen el servicio de autenticación de usuario instalado. Seleccione uno o más hosts para usarlos en la autenticación RADIUS.

      Migrar directorio: página Radius

    6. (Aparece solo si el método de autenticación RSA SecurID está configurado) En la página SecurId, especifique la información necesaria para migrar el método de autenticación RSA SecurID.
      • Conector de origen: el conector de origen está preseleccionado. Puede seleccionar otro conector si el conector preseleccionado no está disponible.
      • Hosts de autenticación de usuario: la lista muestra los nuevos hosts del Connector 20.10 que tienen el servicio de autenticación de usuario instalado. Seleccione uno o más hosts para usarlos en la autenticación RSA SecurID.

      Migrar directorio: página SecurID

    7. (Aparece solo si la autenticación Kerberos está configurada) En la página Proveedor de identidades, introduzca el FQDN del equilibrador de carga del conector que se va a utilizar para el nuevo proveedor de identidades que se creará para la autenticación Kerberos durante la migración.
      El FQDN del equilibrador de carga actual se muestra como referencia. Este es el valor Nombre de host de IdP en la página del proveedor de identidades del directorio.
      Si solo tiene un Connector 20.10 y no tiene ningún equilibrador de carga, introduzca el FQDN del conector.
      Página Proveedor de identidades de asistente de migración de directorios
    8. En la página Resumen, verifique sus selecciones y haga clic en Guardar.
      Se guardan los datos de migración del directorio. Para ver la configuración, haga clic en el botón Resumen junto al directorio en el panel de control de migración de directorios.
      El panel Migración del panel de control muestra el botón Resumen
      Si desea realizar cambios en la información introducida, haga clic en Comenzar otra vez en la página Resumen. Se descartarán los datos de migración introducidos para el directorio y se podrá volver a migrar el directorio.
      DirectorySummary
    9. Migre el resto de los directorios.
    Después de migrar todos los directorios, se habilita el paso Completar migración.
  9. En la sección Completar migración, haga clic en Iniciar vista previa para iniciar el proceso de migración.
    Panel de control de migración: Iniciar vista previa
    En la etapa de vista previa, se utilizan los nuevos Connector 20.10. La sincronización de directorios se realiza mediante el nuevo servicio de sincronización de directorios, el nuevo servicio de autenticación de usuarios realiza la autenticación de usuarios y la autenticación Kerberos se realiza mediante el nuevo servicio de autenticación Kerberos. No puede realizar ningún cambio en los directorios, los métodos de autenticación ni los proveedores de identidades, ni tampoco crear otros nuevos. Puede ver los proveedores de identidades convertidos en la pestaña Proveedores de identidades y los métodos de autenticación convertidos en la pestaña Métodos de autenticación empresarial. Todos los métodos de autenticación, excepto Kerberos, están en modo saliente.

    Si la función People Search estaba habilitada en la implementación del servicio de Workspace ONE Access, debe sincronizar manualmente los directorios sin los ajustes de protección. En la consola de Workspace ONE Access, seleccione el directorio en la página Administración de acceso e identidad > Directorios y haga clic en Sincronizar > Sincronización sin protecciones.

    Importante: Pruebe el entorno minuciosamente en la etapa de vista previa y compruebe que funcione según lo esperado. Compruebe que funcione la sincronización de directorios, el inicio de sesión de usuarios y el inicio de aplicaciones.
  10. Si determina que el entorno no funciona correctamente, o si desea realizar cambios en los directorios, los métodos de autenticación o los proveedores de identidades, salga de la etapa de vista previa y vuelva a utilizar los conectores anteriores.
    Vaya a la página Administración de acceso e identidad > Administrar > Directorios, haga clic en Continuar migración y, a continuación, haga clic en Anular en la sección Completar migración del panel de control migración de directorios.
    Panel Completar migración
    Si realiza cambios en los directorios, los métodos de autenticación o los proveedores de identidades posteriormente, asegúrese de volver a migrar los directorios en la sección Migrar a nuevos conectores.
  11. Cuando haya verificado que el entorno funciona según lo esperado en la etapa de la versión previa y ya está listo para completar la migración, vuelva al panel de control de migración de directorios dirigiéndose a la página Administración de acceso e identidad > Administrar > y haga clic en Continuar migración.
    Precaución: Después de completar la migración, no podrá revertir a los conectores antiguos.

    Haga clic en Completar para completar la migración.

    Panel de control de migración: sección Completar migración

Resultados

Todos los directorios se migran a los nuevos Connector 20.10. Los nuevos servicios de sincronización de directorios, autenticación de usuarios y autenticación Kerberos ahora realizan la sincronización de directorios y la autenticación de usuarios.

Se crean nuevos proveedores de identidades para cada directorio y aparecen en la pestaña Proveedores de identidades con el nombre IDP migrados para el directorio. Los nuevos proveedores de identidades son de tipo integrado. Para la autenticación Kerberos, se crea un proveedor de identidades independiente de tipo Workspace_IDP.

Todos los métodos de autenticación, excepto los de Kerberos, se convierten en métodos salientes y se les cambia el nombre con el sufijo (implementación en la nube). Por ejemplo, se cambia el nombre del método de autenticación Contraseña a Contraseña (implementación en la nube). Puede ver y administrar los nuevos métodos de autenticación desde la pestaña Métodos de autenticación empresarial.

Qué hacer a continuación

Una vez completada la migración, puede desinstalar las instancias de Connector 19.03.x anteriores de los servidores en los que están instalados.