VMware Workspace ONE Access 21.08 pour Linux | septembre 2021 | Build 18530336

VMware Workspace ONE Access Connector 21.08 (Windows) | septembre 2021 | Build Workspace ONE Access Connector 21.08.0.0 Installer.exe

VMware Identity Manager Connector (Windows) 19.03.0.1 | octobre 2020| Build VMware Identity Manager Connector 19.03.0.1 Installer.exe

Date de publication  le 7 septembre 2021

Mis à jour il y a 

  • samedi 17 décembre 2021
  • vendredi 9 décembre 2021
  • jeudi 10 novembre 2021

17/12/2021 Cette version a été identifiée comme étant concernée par CVE-2021-44228 et CVE-2021-45046. Des correctifs et des solutions sont disponibles pour résoudre cette vulnérabilité. Pour plus d'informations, reportez-vous à VMware Security Advisory VMSA-2021-0028.

12/17/2021 Cette version est également concernée par CVE-2021-22056 et CVE-2021-22057. Des correctifs et des solutions sont disponibles pour résoudre cette vulnérabilité. Pour plus d'informations, reportez-vous à VMware Security Advisory VMSA-2021-0030.

Contenu des notes de mise à jour

Ces notes de mise à jour couvrent les rubriques suivantes.

Nouveautés de VMware Workspace ONE Access 21.08

Prise en charge du connecteur pour les applications virtuelles

Dans la version 21.08, Workspace ONE Access Connector inclut un nouveau service d'applications virtuelles qui prend en charge l'intégration des applications virtuelles VMware Horizon et Citrix. Cela permet de migrer les connecteurs hérités utilisés pour les applications virtuelles de la version 19.03 ou 19.03.0.1 vers la version 21.08. Les annuaires et les collections d'applications virtuelles doivent être migrés ensemble pendant ce processus unique.

Définir vers quel nom de domaine complet d'accès à Horizon Client un groupe spécifique d'utilisateurs sera dirigé 

Dans certains cas, la seule attribution de plages réseau aux noms de domaine complets d'accès à Horizon Client n'est pas optimale lorsque les utilisateurs peuvent travailler de presque n'importe où. L'exploitation de groupes d'utilisateurs accorde plus de flexibilité au lancement de postes de travail Horizon. Dans cette version de Workspace ONE Access, l'intégration des applications virtuelles Horizon permet d'attribuer les noms de domaine complets d'accès client aux groupes d'utilisateurs. Cela permet d'ajouter une nouvelle fonctionnalité qui regroupe l'utilisation des plages réseau et des groupes pour diriger les utilisateurs vers les noms de domaine complets d'accès client.

Mises à jour de RSA SecurID

Nous avons mis à jour le mode d'intégration à RSA SecurID à l'aide des REST API. Si vous utilisez actuellement RSA SecurID comme méthode d'authentification, vous pouvez ajouter un nouveau connecteur pour le service d'authentification utilisateur avant la migration pour obtenir une interruption de service minimale des connexions RSA SecurID.

Connexion chiffrée à la base de données externe

Vous pouvez désormais ajouter un chiffrement lorsque vous configurez une base de données Microsoft SQL pour la première fois ou ultérieurement. Une connexion chiffrée à la base de données augmente la sécurité des données transmises sur les réseaux. Pour activer le chiffrement, vous devez configurer Microsoft SQL Server à l'aide d'un certificat racine ou intermédiaire.

Mise à jour des règles de complexité des mots de passe pour les utilisateurs administrateurs

Les règles de complexité des mots de passe ont été modifiées pour prendre en compte au moins 8 caractères et des normes de complexité des mots de passe. Reportez-vous à la section Gérer les mots de passe du dispositif Workspace ONE Access.

Syslog sur TCP ou UDP

Vous pouvez désormais choisir entre deux protocoles standard pour la connexion aux serveurs Syslog : TCP (Transmission Control Protocol) et UDP (User Datagram Protocol). Pour utiliser TCP, vous devez activer TLS (Transport Layer Security) pour le chiffrement des données afin de fournir une communication sécurisée. TCP sur TLS est l'option par défaut.

Prise en charge d'OpenJDK 8

Le dispositif Workspace ONE Access et Workspace ONE Access Connector ont été migrés vers OpenJDK 8 et ne prennent plus en charge Oracle JDK.

Désactivation du point de terminaison d'URL Break-Glass par défaut

Le point de terminaison d'URL Break-Glass, https://<fqdn>.com/SAAS/login/0, permet aux administrateurs de domaine système de s'authentifier dans Workspace ONE Access. Pour garantir une norme de sécurité plus élevée, ce point de terminaison sera désactivé par défaut à partir de la version 21.08. Pour réactiver ce point de terminaison en cas d'urgence, reportez-vous à la section Directives des paramètres de sécurité de Workspace ONE Access.

Prise en charge sur site des fonctionnalités des services du Hub

  • Modèles de Hub 
    Avec les modèles de Hub, vous pouvez contrôler l'attribution des capacités des services du Hub à des groupes d'utilisateurs. Cela signifie que vous pouvez maintenant planifier un ralentissement du déploiement des services du Hub et de ses capacités pour vos utilisateurs. Vous n'avez plus besoin d'activer les services du Hub en une seule fois pour l'ensemble de votre personnel. Exemples de cas d'utilisation pour lesquels le modèle de Hub sera utile :
    • URL de l'onglet personnalisé différente pour les utilisateurs commerciaux et R&D 
    • Informations de marque différentes pour une filiale 
    • Capacité de notifications uniquement pour la R&D et les commerciaux en Amérique du Nord 
  • Onglet personnalisé pour le Web 
    Vous pouvez configurer et activer un onglet personnalisé pour Workspace ONE Intelligent Hub dans la vue du navigateur Web. Les administrateurs peuvent ajouter un onglet personnalisé qui permet d'établir un lien vers le site Web de leur société ou vers une autre ressource qu'ils souhaitent partager avec des utilisateurs. Pour ajouter un onglet personnalisé sur le Web, accédez à l'onglet personnalisé dans la console des services du Hub. Activez la fonctionnalité Onglet personnalisé , puis activez-la pour le Web. Les administrateurs peuvent définir le titre de l'onglet, ajouter l'URL de la destination et choisir si l'onglet personnalisé s'affiche en première ou dernière position de la barre de navigation de Workspace ONE Intelligent Hub Web. Les administrateurs peuvent également choisir d'ouvrir le lien dans un nouvel onglet du navigateur ou dans un iFrame intégré dans Intelligent Hub Web. Si les administrateurs choisissent d'ouvrir le lien dans un iFrame intégré, un aperçu de cette vue est fourni pour permettre aux administrateurs de s'assurer que le lien se charge correctement dans un iFrame. 
  • Option d'icône d'application mobile sur la page Informations de marque 
    Les administrateurs peuvent désormais personnaliser la couleur de l'icône de l'application Hub en la sélectionnant dans une liste de couleurs sur mesure pour qu'elle corresponde à la marque de votre entreprise. Pour personnaliser la couleur de l'icône, accédez à la console des services du Hub > Informations de marque > Logos > icône de l'application mobile et sélectionnez une option dans les présélections de couleurs. Une fois la modification enregistrée, les utilisateurs verront la nouvelle couleur de l'icône du Hub lors du prochain lancement de l'application Hub. 
  • Onglet Support sur le Hub Windows 
    Le Hub Windows prend désormais en charge l'onglet Support. Lorsque Libre-service des employés est activé sur la console d'administration, Workspace ONE Intelligent Hub sous Windows affichera un onglet à cet effet. Dans l'onglet Libre-service des employés ou Support de Workspace ONE Intelligent Hub, les utilisateurs peuvent accéder aux ressources et aux informations dans la section Liens utiles, et afficher et gérer leurs terminaux. 
  • Configuration des informations de marque en mode Sombre 
    Les administrateurs peuvent configurer le logo et la couleur d'accentuation du mode Sombre de leur société sur la console d'administration des services du Hub. Lorsque le mode Sombre est activé via les paramètres du terminal de l'utilisateur, les utilisateurs peuvent parcourir Workspace ONE Intelligent Hub dans une vue de thème sombre.
    Remarque : Le mode Sombre n'est actuellement pas disponible sur toutes les plates-formes. Le navigateur Web Workspace ONE Intelligent Hub ne prend pas en charge le mode Sombre pour les services du Hub sur site.

Internationalisation

VMware Workspace ONE Access est disponible dans les langues suivantes.

  • Anglais
  • Français
  • Allemand
  • Espagnol
  • Japonais
  • Chinois simplifié
  • Coréen
  • Chinois traditionnel
  • Russe
  • Italien
  • Portugais (Brésil)
  • Néerlandais

Compatibilité, installation et mise à niveau

Compatibilité avec VMware vCenter™ et VMware ESXi™

Le dispositif VMware Workspace ONE Access prend en charge les versions suivantes de vSphere et d'ESXi.

  •  7.0, 6.7 et 6.5

Compatibilité des composants

Windows Server pris en charge

  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019

Navigateur Web pris en charge

  • Mozilla Firefox, dernière version
  • Google Chrome, dernière version
  • Safari, dernière version
  • Microsoft Edge, dernière version

Base de données prise en charge

  • Microsoft SQL Server 2012, 2014, 2016, 2017 et 2019
    Important : Vous devez mettre à jour Microsoft SQL Server 2012 et 2014 à l'aide du correctif Microsoft SQL pour prendre en charge TLS 1.2.

Serveur d'annuaire pris en charge

  • Active Directory : domaine AD unique, plusieurs domaines dans une forêt AD unique ou plusieurs domaines dans plusieurs forêts AD.
  • OpenLDAP - 2.4
  • Oracle LDAP - Directory Server Enterprise Edition 11g, Release 1 (11.1.1.7.0)
  • IBM Tivoli Directory Server 6.3.1

Compatibilité du connecteur

Workspace ONE Access Connector 21.08 est compatible avec le service de cloud Workspace ONE Access et avec le dispositif virtuel Workspace ONE Access version 21.08 et versions ultérieures.

VMware Identity Manager Connector 19.03.0.1 est compatible avec le service de cloud Workspace ONE Access et avec le dispositif virtuel Workspace ONE Access version 20.10 et versions ultérieures.

Compatibilité des applications virtuelles

Workspace ONE Access Connector 21.08 prend désormais en charge les applications virtuelles (intégrations Citrix et Horizon) avec le nouveau service d'applications virtuelles. Le service d'applications virtuelles ne prend pas en charge Horizon Cloud Service on Microsoft Azure avec des intégrations de broker à espace unique, d'Horizon Cloud Service on IBM Cloud ou de ThinApp.

Les versions suivantes de Citrix sont prises en charge : Citrix Virtual Apps and Desktops 7 1912 LTSR, XenApp, XenDesktop 7.15 LTSR et XenApp and XenDesktop 7.6 LTSR. Le connecteur prend en charge l'API Citrix StoreFront, mais pas le SDK de l'interface Web Citrix.

Pour obtenir des informations sur les versions d'Horizon prises en charge, reportez-vous à la Matrice d'interopérabilité des produits VMware.

L'intégration à Horizon Cloud Service on Microsoft Azure avec Universal Broker est configurée à partir de la console d'administration d'Horizon Cloud. Workspace ONE Access Connector 21.08 ne prend pas en charge l'intégration à Horizon Cloud Service on IBM Cloud ou Horizon Cloud Service on Microsoft Azure avec un broker à espace unique.

Pour utiliser les applications virtuelles Horizon Cloud Service sur Microsoft Azure (broker à espace unique) avec Workspace ONE Access 21.08, vous devez utiliser VMware identity Manager Connector version 19.03.0.1.

Pour utiliser VMware ThinApp avec Workspace ONE Access 21.08, vous devez utiliser le dispositif VMware Identity Manager Connector version 2018.8.1.0 sous Linux.  Si vous utilisez des modules ThinApp, ne procédez pas à la mise à niveau vers les nouvelles versions de Workspace ONE Access Connector.

Matrice de compatibilité

La Matrice d'interopérabilité des produits VMware fournit des informations sur la compatibilité des versions actuelles et précédentes des produits et composants VMware, tels que VMware vCenter Server et Horizon 7.

Pour obtenir la configuration système requise, reportez-vous aux guides d'installation de VMware Workspace ONE Access pour 21.08 dans le Centre de documentation de Workspace ONE Access.

Mise à niveau vers VMware Workspace ONE Access 21.08 (Photon Linux)

Pour effectuer une mise à niveau vers Workspace ONE Access 21.08, la version actuelle doit être Workspace ONE Access 20.10.x.

Vous devez mettre à niveau les versions 19.03 ou 20.01 du dispositif VMware Identity Manager vers la version 20.10.x avant de passer à la version 21.08.

Tous les services étant arrêtés pendant la mise à niveau, vous devez planifier celle-ci en tenant compte de la durée d'indisponibilité prévue.

Important :

  • Vous devez mettre à jour Microsoft SQL Server 2012 et 2014 avec le correctif Microsoft SQL pour prendre en charge TLS 1.2 avant la mise à niveau du dispositif du service Workspace ONE Access.
  • Avant d'effectuer une mise à niveau vers la version 21.08, vérifiez que le type d'adaptateur réseau NIC sur le dispositif virtuel Workspace ONE Access est défini sur VMXNET 3. Reportez-vous à la section Mettre à jour la carte réseau d'E1000 vers VMXNET 3.

Pour obtenir plus d'informations, reportez-vous au Guide de mise à niveau vers Workspace ONE Access 21.08 dans le Centre de documentation de Workspace ONE Access.

VMware Workspace ONE Access Connector 21.08 (Windows)

VMware Workspace ONE Access Connector est un composant sur site de VMware Workspace ONE Access qui s'intègre à votre infrastructure sur site. Le connecteur est un ensemble de services d'entreprise pouvant être installés individuellement ou conjointement sur des serveurs Windows. Vous pouvez installer les composants de service suivants.

  • Service de synchronisation d'annuaires qui synchronise les utilisateurs des annuaires d'entreprise avec le service Workspace ONE Access.
  • Service d'authentification utilisateur qui inclut les méthodes d'authentification par mot de passe (Cloud), RSA SecurID (Cloud) et RADIUS (Cloud)
  • Service d'authentification Kerberos pour l'authentification Kerberos
  • Service d'applications virtuelles qui synchronise les applications virtuelles des déploiements VMware Horizon et Citrix avec le service Workspace ONE Access

Mise à niveau vers Workspace ONE Access Connector 21.08

Vous pouvez mettre à niveau Workspace ONE Access Connector versions 20.10.x et 20.01.x vers la version 21.08.

Pour plus d'informations, reportez-vous au Guide de mise à niveau vers VMware Workspace ONE Access Connector 21.08.

Migration vers Workspace ONE Access Connector 21.08

À partir de Workspace ONE Access Connector versions 19.03 et 19.03.0.1, un chemin de migration vers la version 21.08 est disponible. Le processus inclut l'installation de nouvelles instances de Connector 21.08 et la migration de vos annuaires existants et des collections d'applications virtuelles Horizon et Citrix vers les nouveaux connecteurs. La migration est un processus unique, et vous devez migrer les annuaires et les collections d'applications virtuelles conjointement.

Une fois la migration terminée, vous n'avez plus besoin d'Integration Broker pour les intégrations Citrix. La fonctionnalité requise fait désormais partie du composant du service d'applications virtuelles de Workspace ONE Access Connector.

Important : Avant toute migration, toutes les instances de Connector héritées doivent être de version 19.03.x.

Pour plus d'informations, reportez-vous au Guide de migration vers Workspace ONE Access Connector 21.08.

Certificat requis pour les collections d'applications virtuelles Horizon

Assurez-vous que les instances d'Horizon Connection Server disposent de certificats valides signés par une autorité de certification (CA) approuvée. Si les instances d'Horizon Connection Server disposent de certificats auto-signés, vous devez télécharger la chaîne de certificats vers les instances de Workspace ONE Access Connector sur lesquelles le service d'applications virtuelles est installé pour établir une relation de confiance entre les connecteurs et les instances d'Horizon Connection Server. Il s'agit d'une nouvelle condition requise de Workspace ONE Access Connector 21.08. Vous pouvez télécharger les certificats à l'aide du programme d'installation du connecteur. Pour plus d'informations, reportez-vous à la section Installation de Workspace ONE Access Connector

Conditions requises pour la méthode d'authentification RSA SecurID

L'intégration RSA SecurID présente les nouvelles conditions requises suivantes :

  • Dans la console de sécurité RSA, Workspace ONE Access Connector doit être ajouté comme agent d'authentification utilisant le nom de domaine complet (FQDN), par exemple, connectorserver.example.com. Si vous avez déjà ajouté le connecteur comme agent d'authentification à l'aide du nom NetBIOS au lieu du nom de domaine complet, ajoutez une autre entrée utilisant ce dernier. Laissez le champ Adresse IP vide pour la nouvelle entrée. Ne supprimez pas l'ancienne entrée.
  • Si vous avez déployé plusieurs instances du serveur RSA Authentication Manager, vous devez les configurer derrière un équilibrage de charge. Pour plus d'informations, reportez-vous à la section Configuration requise de Workspace ONE Access pour l'équilibrage de charge RSA SecurID.

Documentation

La documentation de VMware Workspace ONE Access 21.08 est disponible dans le Centre de documentation de VMware Workspace ONE Access.

La documentation des services du Hub se trouve dans le Centre de documentation de VMware Workspace ONE.

Problèmes résolus

  • HW-137959 : Cette version comprend le correctif des problèmes dans VMSA-2021-0016.
  • HW-131550 : Les problèmes liés aux domaines Active Directory en mode de casse mixte ont été résolus pour la création d'annuaires ainsi que pour la mise à niveau à partir des instances de Connector 19.03/19.03.0.1
  • HW-137253 : Basculement du serveur Citrix vers le serveur de réplication dans la collection
  • HW-121488 : Les droits sont supprimés et rajoutés au lieu d'être mis à jour pour les collections d'applications virtuelles Citrix et Horizon Cloud
  • HW-120278 : Ajout de la capacité de supprimer les anciennes étiquettes pour les ressources Citrix lors de la synchronisation
  • HW-130381 : Prise en charge du lancement même si l'actualisation des métadonnées échoue pour certaines instances d'Horizon Connection Server
  • HW-127229 : Synchronisation du basculement vers le nœud de connecteur secondaire lorsque le nœud principal est en panne dans les environnements sur site
  • HW-121412 : Basculement d'Horizon Server vers des espaces non principaux dans la collection
  • HW-100498 : Ajout de la prise en charge de la synchronisation simultanée de plusieurs collections d'applications virtuelles
  • HW-95770 : Prise en charge des intégrations Citrix dont les utilisateurs/groupes sont autorisés à utiliser également AD sur l'annuaire LDAP à partir de plusieurs domaines
  • HW-124523 : Ajout d'un filtre sur les détails de la synchronisation et mise à jour du texte explicatif pour l'intégration d'annuaire 
  • HW-124652 : Les journaux d'accès localhost catalina de Tomcat sont activés 
  • HW-126823 : Correction de l'attribution d'applications Web pour plus de 50 groupes  
  • HW-129121 : Correction de l'avertissement de mot de passe de l'utilisateur Horizon sur hznEncrypt pour autoriser les modifications de runtime-config.properties
  • HW-127231 : Suppression de rsyslogd de la liste des utilisateurs racine
  • HW-135286 : reconfiguration de la stratégie de sécurité du contenu pour les en-têtes des URL sélectionnées 
  • HW-135872 : Suppression de l'option permettant d'attribuer le groupe ALL_USERS à n'importe quel rôle d'administrateur 
  • HW-138657 : Correction du nom de domaine complet de client pour les applications disposant d'un droit global  
  • HW-139279 : Correction de l'état des messages de l'interface utilisateur de synchronisation d'annuaires pour les conditions de sécurité intégrée  
  • HW-143003 : Correction de l'expiration des mots de passe pour vPostgres
  • HW-130944 : La correction des notifications du Hub (Pour vous) ne fonctionne pas dans Workspace ONE Access avec Microsoft SQL Server en mode d'authentification Windows

Problèmes connus

  • NOUVEAU : erreur de mot de passe expiré lors de l'installation du dispositif virtuel Workspace ONE Access

    Pendant le processus d'installation du dispositif virtuel Workspace ONE Access, vous ne pouvez pas utiliser l'assistant de configuration à l'adresse https://WorkspaceONEAccessFQDN pour effectuer des tâches de configuration. L'assistant vous invite à modifier le mot de passe de l'utilisateur racine à l'aide de la notification suivante : « Le mot de passe du dispositif pour l'utilisateur racine a expiré. Modifiez-le à partir de la console de la machine virtuelle ».

    Solution : Ce problème est résolu dans la version de Workspace ONE Access 21.08.0.1. Pour plus d'informations, reportez-vous aux Notes de mise à jour de la version 21.08.0.1.

  • Les utilisateurs peuvent ne pas être en mesure de lancer des applications et des postes de travail Horizon 7.13 ou une version ultérieure dans un navigateur

    Lorsqu'Horizon 7.13 ou une version ultérieure est intégré à Workspace ONE Access, les utilisateurs voient toujours l'option dans Intelligent Hub pour lancer des applications ou des postes de travail dans un navigateur. Toutefois, le lancement de celui-ci échoue si HTML Access n'est pas installé sur les instances d'Horizon Connection Server.

    Solution : Si vous utilisez Horizon 7.13 ou versions ultérieures, installez HTML Access sur les instances d'Horizon Connection Server pour réussir le lancement du navigateur. Pour plus d'informations, reportez-vous à la documentation de VMware Horizon HTML Access.

  • Problème de catalogue global avec la synchronisation des applications virtuelles Citrix

    Si le catalogue global est activé sur Active Directory, les droits de groupes ne sont pas synchronisés pour les intégrations Citrix. Les droits d'utilisateurs sont synchronisés.

    Solution : Utilisez les solutions suivantes.

    1. Utilisez plusieurs annuaires LDAP au lieu d'utiliser le catalogue global.
    2. Créez des droits d'utilisateurs plutôt que des droits de groupes pour des ressources Citrix.
  • Le chargement du catalogue d'applications cloud prend beaucoup de temps après un redémarrage du service

    Lorsque vous configurez un proxy authentifié avec le service Workspace ONE Access et redémarrez le service la première fois après cela, le chargement du catalogue d'applications cloud peut prendre plusieurs minutes. Dans l'onglet Catalogue > Applications Web, lorsque vous cliquez sur Nouveau et que vous recherchez une application à ajouter ou cliquez sur Parcourir le catalogue, les applications peuvent ne pas s'afficher pendant plusieurs minutes. Ce problème peut également se produire chaque fois que vous désactivez et activez le proxy authentifié.

    Solution : Néant

check-circle-line exclamation-circle-line close-line
Scroll to top icon