Migrez vos annuaires et collections d'applications virtuelles existants à partir des instances de Workspace ONE Access Connector 19.03 ou 19.03.0.1 vers des instances de Connector 21.08 à l'aide du Tableau de bord de migration. Le processus de migration est une approche intermédiaire qui vous permet de tester votre environnement avec les nouveaux connecteurs avant de terminer la migration.

Le processus de migration inclut les étapes suivantes :

  • Installer les nouvelles instances de Connector 21.08

    Installez les nouvelles instances de Connector 21.08, qui contiennent les services de synchronisation d'annuaire, d'authentification utilisateur, d'authentification Kerberos et d'application virtuelle. Installez au minimum le service de synchronisation d'annuaire. Installez le service d'authentification utilisateur si l'authentification basée sur le connecteur est configurée sur les connecteurs hérités. Installez le service Authentification Kerberos si la méthode d'authentification Kerberos est configurée sur les connecteurs hérités. Installez le service d'applications virtuelles si des collections d'applications virtuelles sont configurées sur les connecteurs hérités.

  • Migrer les annuaires

    Lors de cette étape, migrez toutes vos données d'annuaire à l'aide de l'assistant Migrer l'annuaire. La plupart des informations requises sont préremplies à partir de votre environnement. Entrez des valeurs sensibles, telles que le mot de passe de l'utilisateur Bind de l'annuaire.

    La migration des annuaires à ce stade ne modifie pas les configurations d'annuaire, de méthode d'authentification ou de fournisseur d'identité existantes. Vous utilisez toujours les anciens connecteurs. Les modifications ne prendront effet qu'après l'accès à l'étape Aperçu.

  • Migrer les collections d'applications virtuelles

    À ce stade, sélectionnez les connecteurs vers lesquels migrer vos collections d'applications virtuelles existantes. Les nouveaux paramètres ne prendront effet qu'après l'accès à l'étape Aperçu.

  • Aperçu

    Dans l'étape Aperçu, prévisualisez votre environnement avec les nouvelles instances de Connector 21.08. Les nouveaux services de synchronisation d'annuaire, d'authentification utilisateur, d'authentification Kerberos et d'applications virtuelles des instances de Connector 21.08 effectuent la synchronisation d'annuaire, l'authentification utilisateur et la synchronisation des applications virtuelles. Toutes les méthodes d'authentification, à l'exception de Kerberos, sont en mode sortant.

    L'étape Aperçu permet de tester votre environnement de manière approfondie avec les nouveaux services. Vérifiez que la synchronisation d'annuaire, la synchronisation des applications virtuelles, l'authentification utilisateur et le lancement d'applications fonctionnent comme prévu.

    Dans l'étape Aperçu, vous ne pouvez pas créer, modifier ou supprimer des annuaires, des méthodes d'authentification, des fournisseurs d'identité ou des collections d'applications virtuelles.

    Depuis l'étape Aperçu, vous pouvez revenir à l'utilisation des anciens connecteurs. Lorsque vous effectuez une restauration, les données d'annuaire que vous avez migrées à l'étape précédente sont toujours conservées. Si vous apportez des modifications ultérieurement à l'un de vos annuaires, méthodes d'authentification ou fournisseurs d'identité existants, assurez-vous de migrer à nouveau les données d'annuaire.

  • Terminer la migration

    Une fois que vous êtes satisfait du test de votre nouvel environnement, terminez la migration. Une fois la migration terminée, vous ne pouvez pas revenir à l'utilisation des anciens connecteurs.

Conditions préalables

  • Vérifiez les conditions requises répertoriées dans Conditions requises de migration vers Workspace ONE Access Connector 21.08.
  • Vérifiez que tous les connecteurs de votre environnement sont de version 19.03.x. Si des connecteurs sont d'une version antérieure, mettez-les à niveau vers la version 19.03.x afin de les migrer.
  • Préparez un ou plusieurs serveurs Windows pour les nouvelles instances de Connector 21.08. Reportez-vous aux recommandations de dimensionnement dans la section Installation de Workspace ONE Access Connector 21.08.

    Vous pouvez installer Connector 21.08 sur un nouveau serveur ou sur le serveur Connector 19.03.x hérité. Cependant, si l'authentification Kerberos est configurée sur votre connecteur hérité, vous devez utiliser un serveur Windows distinct pour installer le service Authentification Kerberos 21.08. N'installez pas le nouveau service Authentification Kerberos sur le serveur Connector 19.03.x. Workspace ONE Access ne prend pas en charge plusieurs instances de Kerberos sur le même serveur.

    Si l'authentification Kerberos n'est pas configurée sur votre connecteur hérité et que vous souhaitez installer la nouvelle instance de Connector 21.08 sur le serveur Connector x 19.03, reportez-vous à la section Migration vers la dernière instance de Connector sur un serveur Windows exécutant Workspace ONE Access 19.03.x pour connaître les conditions requises et les recommandations supplémentaires.

  • Si vous disposez d'une instance du service Workspace ONE Access sur site, mettez-la à niveau vers la version 21.08 avant de migrer les connecteurs.
  • Si vous installez le service d'authentification utilisateur, assurez-vous que votre environnement ne contient pas 20.Instances du service d'authentification utilisateur x. Dans le cadre de la migration, vous allez installer des instances de Connector 21.08. Toutes les instances du service d'authentification utilisateur doivent être de version 21.08. La migration ne peut pas se poursuivre si vous disposez de versions mixtes du service d'authentification utilisateur.
  • Si la méthode d'authentification RSA SecurID est configurée sur les instances de Connector 19.03.x :
    • Vérifiez que vous utilisez le dispositif RSA Authentication Manager version 8.2 SP1 ou ultérieure. Workspace ONE Access Connector 21.08 prend en charge le dispositif RSA Authentication Manager 8.2 SP1 et versions ultérieures.
    • Si vous avez déployé plusieurs instances du serveur RSA Authentication Manager, vous devez les configurer derrière un équilibrage de charge pour que l'intégration à Workspace ONE Access fonctionne. Assurez-vous de respecter les conditions requises répertoriées dans la section Configurations requises de Workspace ONE Access pour l'équilibrage de charge RSA SecurID du Guide de gestion des méthodes d'authentification utilisateur de Workspace ONE Access.
    • Dans le cadre du processus de migration, configurez la méthode d'authentification RSA SecurID. Les informations requises pour configurer la méthode d'authentification incluent le nom d'hôte du serveur d'équilibrage de charge ou RSA Authentication Manager, le port de communication, la clé d'accès et le certificat SSL du serveur d'équilibrage de charge ou RSA Authentication Manager si le serveur utilise un certificat auto-signé. Étant donné que vous obtenez certaines informations à partir de la console de sécurité RSA, vous avez également besoin des informations d'identification de la console de sécurité.
    • Si un serveur proxy est configuré avec le connecteur, le port de communication configuré pour le serveur RSA Authentication Manager doit être ouvert sur le serveur proxy.
  • Si vous installez le service d'authentification utilisateur sur un nouveau serveur Windows, ajoutez celui-ci en tant qu'agent dans le serveur RSA Authentication Manager avant de démarrer la migration du connecteur.
  • Si des fournisseurs d'identité sont associés à plusieurs annuaires, modifiez la configuration afin que chaque fournisseur d'identité soit uniquement associé à un seul annuaire.
  • Assurez-vous que le processus de synchronisation d'annuaire n'est pas en cours d'exécution pour l'un des annuaires avant de démarrer le processus de migration.
  • Si vous avez activé la fonctionnalité People Search, assurez-vous que le processus de synchronisation des photos n'est pas en cours d'exécution pour l'un des annuaires avant de démarrer le processus de migration.
  • Si vous migrez une instance de Connector 19.03.x sans annuaire qui lui est associé, sachez que lorsque vous sélectionnez Workspace ONE Access Connector 21.08 à l'étape 5, la migration est considérée comme terminée et Connector 19.03.x est supprimé du service. Si vous décidez ultérieurement d'utiliser des connecteurs hérités et de modifier la sélection du connecteur à l'aide du bouton Réinitialiser la sélection du connecteur, Connector 19.03.x ne s'affiche pas. Vous devrez réinstaller Connector 19.03.x pour le réactiver avec le service.

Procédure

  1. Cliquez sur l'onglet Gestion des identités et des accès.
    La page de migration s'affiche. Présentation du Tableau de bord de migration
  2. Examinez les conditions requises et cliquez sur Mise en route.
    Le Tableau de bord de migration s'affiche. La page affiche les différentes étapes que vous allez effectuer pour terminer la migration.
  3. Dans ce dernier, cliquez sur le lien Mise en route dans la section Installer les instances de Connector 21.08.
    Le volet Installer les instances de Connector 21.08 du tableau de bord affiche un bouton Mise en route.
  4. Sur la page Connecteurs, cliquez sur Nouveau.

    L'image affiche la page Connecteurs, qui comporte un bouton Nouveau.
  5. Dans la fenêtre Sélectionner le connecteur, vérifiez les informations et sélectionnez l'option Workspace ONE Access Connector 21.08.
    Attention : Workspace ONE Access Connector 21.08 ne prend pas en charge l'intégration à Horizon Cloud Service on IBM Cloud ou Horizon Cloud Service on Microsoft Azure avec un broker à espace unique ou ThinApp. Si vous prévoyez d'intégrer ces types d'applications virtuelles, sélectionnez Connecteurs hérités pour quitter le processus de migration. Seuls les connecteurs hérités prennent en charge ces types d'applications virtuelles.
    Important : Faites votre choix judicieusement, en tenant compte des besoins de votre entreprise. Si vous souhaitez modifier votre sélection ultérieurement, vous pouvez le faire jusqu'à un certain point du processus de migration. Reportez-vous la section Réinitialisation de la sélection du connecteur dans Workspace ONE Access.
  6. Suivez l'assistant Ajouter un connecteur pour télécharger le programme d'installation du connecteur et le fichier de configuration requis, puis installez le nouveau connecteur.
    Pour plus d'informations sur l'installation, reportez-vous à la section Installation de VMware Workspace ONE Access Connector 21.08. En particulier, reportez-vous aux sections « Conditions préalables à l'installation de Workspace ONE Access Connector » et « Installation de Workspace ONE Access Connector ».
    Lorsque vous installez le connecteur, veillez à installer le service de synchronisation d'annuaire. Installez le service d'authentification utilisateur si l'authentification basée sur le connecteur est configurée sur les connecteurs hérités. Le service d'authentification Kerberos est requis uniquement si la méthode d'authentification Kerberos est configurée sur l'un de vos connecteurs hérités. Installez le service d'applications virtuelles si des collections d'applications virtuelles sont configurées sur les connecteurs hérités ou si vous prévoyez de les configurer sur le nouveau connecteur.
    Attention : À la fin du processus d'installation, vous pouvez recevoir une invite pour redémarrer le système. Ne redémarrez pas le système si vous installez Connector 21.08 sur un serveur Connector 19.03.x. Redémarrez le système uniquement une fois le processus complet de migration du connecteur terminé.
    Attention : Si vous installez le service d'authentification utilisateur, assurez-vous que toutes les instances du service d'authentification utilisateur de votre environnement sont de version 21.08 et qu'il n'existe aucune version 20.Instances du service d'authentification utilisateur  x. Vous ne pouvez pas poursuivre la migration si vous disposez de versions mixtes du service d'authentification utilisateur.
  7. Une fois l'installation du connecteur terminée, revenez au Tableau de bord de migration dans la console du service Workspace ONE Access.
  8. Dans la section Migrer vers les nouveaux connecteurs, migrez tous vos annuaires, un par un.

    Le volet Migrer les annuaires du Tableau de bord de migration répertorie deux annuaires, avec un bouton Migrer en regard de chacun d'eux.
    La section Migrer les annuaires répertorie tous les annuaires Active Directory et LDAP de votre locataire. Vous devez migrer tous les annuaires répertoriés avant de pouvoir effectuer la migration.
    Note : La migration des annuaires à cette étape ne modifie pas les configurations existantes de l'annuaire, de la méthode d'authentification ou du fournisseur d'identité, et ne prend effet qu'après avoir effectué un aperçu des modifications à l'étape suivante.
    1. Cliquez sur le bouton Migrer en regard de l'annuaire.
      L'assistant Migrer l'annuaire s'affiche. L'assistant est personnalisé pour l'annuaire que vous migrez. Des pages supplémentaires s'affichent pour les méthodes d'authentification qui sont configurées sur l'annuaire.
    2. Sur la page Annuaire, entrez le mot de passe de l'utilisateur Bind pour l'annuaire.
      La liste Hôte(s) de synchronisation d'annuaire affiche les nouveaux hôtes de Connector 21.08 sur lesquels le service de synchronisation d'annuaire est installé. Sélectionnez un ou plusieurs hôtes à utiliser pour synchroniser l'annuaire.
      Assistant Migrer l'annuaire - page Annuaire
    3. (S'affiche uniquement si la méthode d'authentification Kerberos est configurée) Sur la page Kerberos, spécifiez les informations requises pour migrer la méthode d'authentification Kerberos.
      • Connecteur source : le connecteur source est présélectionné. Vous pouvez sélectionner un autre connecteur si le connecteur présélectionné n'est pas disponible.
      • La liste Hôte(s) d'authentification Kerberos affiche les nouveaux hôtes de Connector 21.08 sur lesquels le service d'authentification Kerberos est installé. Sélectionnez un ou plusieurs hôtes à utiliser pour l'authentification Kerberos.

      Page Migrer l'annuaire - Kerberos

    4. Sur la page Mot de passe, spécifiez les informations requises pour migrer la méthode d'authentification Mot de passe.
      • Connecteur source : le connecteur source est présélectionné. Vous pouvez sélectionner un autre connecteur si le connecteur présélectionné n'est pas disponible.
      • Mot de passe Bind : entrez le mot de passe de l'utilisateur Bind pour l'annuaire.
      • La liste Hôte(s) d'authentification utilisateur affiche les nouveaux hôtes de Connector 21.08 sur lesquels le service d'authentification utilisateur est installé. Sélectionnez un ou plusieurs hôtes à utiliser pour l'authentification Mot de passe.

      Migrer l'annuaire - Mot de passe

    5. (S'affiche uniquement si la méthode d'authentification RADIUS est configurée) Sur la page RADIUS, spécifiez les informations requises pour migrer la méthode d'authentification RADIUS.
      • Connecteur source : le connecteur source est présélectionné. Vous pouvez sélectionner un autre connecteur si le connecteur présélectionné n'est pas disponible.
      • Secret partagé : secret partagé pour le serveur RADIUS.
      • La liste Hôte(s) d'authentification utilisateur affiche les nouveaux hôtes de Connector 21.08 sur lesquels le service d'authentification utilisateur est installé. Sélectionnez un ou plusieurs hôtes à utiliser pour l'authentification RADIUS.

      Page Migrer l'annuaire - RADIUS

    6. (S'affiche uniquement si la méthode d'authentification RSA SecurID est configurée) Sur la page SecurId, spécifiez les informations requises pour migrer la méthode d'authentification RSA SecurID.
      • Connecteur source : le connecteur source est présélectionné. Vous pouvez sélectionner un autre connecteur si le connecteur présélectionné n'est pas disponible.
      • Nombre autorisé de méthodes d'authentification : entrez le nombre maximal d'échecs de tentatives de connexion lorsque vous utilisez le jeton RSA SecurID. La valeur par défaut est de cinq tentatives.
        Note : Si vous migrez plusieurs annuaires qui utilisent l'authentification RSA SecurID, configurez Nombre autorisé de méthodes d'authentification avec la même valeur pour chaque configuration RSA SecurID. Si la valeur est différente, l'authentification SecurID échoue.
      • Nom d'hôte du serveur SecurID : entrez le nom d'hôte du serveur RSA Authentication Manager, par exemple, myserver.example.com. Si vous avez configuré plusieurs instances du serveur RSA Authentication Manager derrière un équilibrage de charge, entrez plutôt le nom d'hôte de celui-ci. Par exemple, lb.example.com.
      • Port de communication du serveur SecurID : entrez le port de communication de l'instance de RSA Authentication Manager. Le port par défaut est 5555. Pour obtenir le numéro de port de communication, connectez-vous à la console de sécurité RSA, accédez à la page Configuration > Paramètres système > API d'authentification RSA SecurID, puis copiez le Port de communication.
      • Clé d'accès au serveur SecurID : entrez la clé d'accès à partir de l'instance de RSA Authentication Manager. Pour obtenir la clé d'accès, accédez à la page Configuration > Paramètres système > API d'authentification RSA SecurID dans la console de sécurité RSA, puis copiez la Clé d'accès répertoriée sous Informations d'identification de l'agent.
      • Certificat d'autorité de certification/SSL du serveur SecurID : si le serveur RSA Authentication Manager ou le serveur d'équilibrage de charge dispose d'un certificat auto-signé, copiez et collez ce dernier dans la zone de texte. Si le serveur dispose d'un certificat signé par une autorité de certification publique, le téléchargement d'un certificat n'est pas requis.
      • Délai d'expiration de la méthode d'authentification en secondes : entrez le nombre de secondes pendant lesquelles la tentative d'authentification doit être disponible. La tentative d'authentification expire après cela. La valeur par défaut est de 180 secondes.
      • La liste Hôte(s) d'authentification utilisateur affiche les nouveaux hôtes de Connector 21.08 sur lesquels le service d'authentification utilisateur est installé. Sélectionnez un ou plusieurs hôtes à utiliser pour l'authentification RSA SecurID.

      La page SecurID de l'assistant s'affiche.
    7. (S'affiche uniquement si l'authentification Kerberos est configurée) Sur la page Fournisseur d'identité, entrez le nom de domaine complet de l'équilibrage de charge du connecteur à utiliser pour le nouveau fournisseur d'identité qui sera créé pour l'authentification Kerberos lors de la migration.
      Le nom de domaine complet de l'équilibrage de charge actuel est affiché à titre de référence. Il s'agit de la valeur actuelle du champ Nom d'hôte IdP dans la page Fournisseur d'identité de l'annuaire.
      Si vous n'avez qu'une seule instance de Connector 21.08 et aucun équilibrage de charge, entrez le nom de domaine complet du connecteur.
      Page Fournisseur d'identité de l'assistant Migrer l'annuaire
    8. Sur la page Résumé, vérifiez vos sélections, puis cliquez sur Enregistrer.
      Les données de migration des annuaires sont enregistrées. Vous pouvez afficher les paramètres en cliquant sur le bouton Résumé en regard de l'annuaire dans le Tableau de bord de migration des annuaires. La section Migrer les annuaires du tableau de bord s'affiche en vert. Les annuaires migrés sont répertoriés et un bouton Vérifier s'affiche en regard de ces derniers.
      Si vous souhaitez apporter des modifications aux informations que vous avez entrées, cliquez sur Recommencer dans la page Résumé. Cela supprime les données de migration que vous avez entrées pour l'annuaire et vous permet de migrer à nouveau l'annuaire.
      Résumé de l'annuaire
    9. Migrez le reste des annuaires.
  9. Dans la section Migrer les collections d'applications virtuelles, sélectionnez les connecteurs vers lesquels migrer vos collections d'applications virtuelles.
    1. Cliquez sur Migrer.

      Le volet Migrer les collections d'applications virtuelles comporte un bouton Migrer.
    2. Dans la fenêtre Migrer les collections d'applications virtuelles, sélectionnez Connector 21.08 à utiliser pour chaque collection d'applications virtuelles. Tous les connecteurs sur lesquels le service d'applications virtuelles est installé s'affichent dans le menu déroulant. Sélectionnez un connecteur dont l'état du service d'applications virtuelles est Actif. L'état s'affiche en regard du nom du connecteur. Vous pouvez ajouter plusieurs connecteurs pour la haute disponibilité. Si vous ajoutez plusieurs connecteurs, organisez-les dans l'ordre de secours.
      Note : Vous devez migrer toutes les collections d'applications virtuelles en même temps. Vous ne pouvez pas sélectionner des collections spécifiques à migrer.
    3. Cliquez sur Enregistrer.
    Par exemple :
    fenêtre Migrer des applications virtuelles

    Les collections d'applications virtuelles seront migrées lorsque vous accédez à l'étape Aperçu.

    Note : Vous pouvez ajouter d'autres connecteurs après avoir terminé la migration. Vous pouvez également modifier les connecteurs sélectionnés pour les collections d'applications virtuelles.
  10. Dans la section Terminer la migration, cliquez sur Démarrer l'aperçu pour démarrer le processus de migration.

    Le volet Terminer la migration affiche un bouton Démarrer l'aperçu.
    Dans l'étape Aperçu, les nouvelles instances de Connector 21.08 sont utilisées. La synchronisation d'annuaire est effectuée par le nouveau service de synchronisation d'annuaire, l'authentification utilisateur est effectuée par le nouveau service d'authentification utilisateur, l'authentification Kerberos est effectuée par le nouveau service d'authentification Kerberos et la synchronisation des applications virtuelles est effectuée par le nouveau service d'applications virtuelles. Dans l'étape Aperçu, vous ne pouvez apporter aucune modification à vos annuaires, méthodes d'authentification, fournisseurs d'identité ou collections d'applications virtuelles ni en ajouter de nouveaux. Vous pouvez afficher les fournisseurs d'identité convertis dans l'onglet Fournisseurs d'identité et les méthodes d'authentification converties dans les onglets Méthodes d'authentification d'entreprise. Toutes les méthodes d'authentification, à l'exception de Kerberos, sont en mode sortant.
    Note : Si la fonctionnalité People Search était activée dans votre déploiement du service Workspace ONE Access, vous devez synchroniser manuellement les annuaires sans les paramètres de sécurité. Dans la console Workspace ONE Access, sélectionnez l'annuaire sur la page Gestion des identités et des accès > Annuaires et cliquez sur Synchroniser > Synchroniser sans protection.
    Important : Testez votre environnement dans la phase Aperçu et vérifiez qu'il fonctionne comme prévu. Vérifiez que la synchronisation d'annuaire, la synchronisation des applications virtuelles, la connexion utilisateur et le lancement d'applications fonctionnent.
  11. Si vous pensez que votre environnement ne fonctionne pas correctement, ou si vous souhaitez apporter des modifications à vos annuaires, méthodes d'authentification, fournisseurs d'identité ou collections d'applications virtuelles, annulez l'étape Aperçu et revenez à l'utilisation des anciens connecteurs.
    Accédez à la page Gestion des identités et des accès > Gérer > Annuaires, cliquez sur Continuer la migration et, dans le Tableau de bord de migration des annuaires, cliquez sur Abandonner dans la section Terminer la migration.
    Le volet Terminer la migration comporte un bouton Abandonner et un bouton Terminer.
    Si vous apportez des modifications à vos annuaires, méthodes d'authentification ou fournisseurs d'identité par la suite, assurez-vous de migrer à nouveau les annuaires dans la section Migrer vers les nouveaux connecteurs.
  12. Après avoir vérifié que votre environnement fonctionne comme prévu dans l'étape Aperçu et que vous êtes prêt à terminer la migration, revenez au Tableau de bord de migration des annuaires en accédant à la page Gestion des identités et des accès > Gérer > Annuaires et en cliquant sur Continuer la migration.
    Attention : Une fois la migration terminée, vous ne pouvez pas restaurer les anciens connecteurs.

    Cliquez sur Terminer pour terminer la migration.


    Le volet Terminer la migration comporte un bouton Abandonner et un bouton Terminer.

Résultats

Tous vos annuaires et toutes les collections d'applications virtuelles sont migrés vers les nouvelles instances de Connector 21.08. Les nouveaux services de synchronisation d'annuaire, d'authentification utilisateur, d'authentification Kerberos et d'applications virtuelles effectuent désormais la synchronisation d'annuaire, l'authentification utilisateur et la synchronisation des applications virtuelles.

De nouveaux fournisseurs d'identité sont créés pour chaque annuaire et s'affichent dans l'onglet Fournisseurs d'identité avec le nom IDP migré pour directory. Les nouveaux fournisseurs d'identité sont de type Intégré. Pour l'authentification Kerberos, un fournisseur d'identité distinct de type Workspace_IDP est créé.

Toutes les méthodes d'authentification, à l'exception de l'authentification Kerberos, sont converties en méthodes sortantes et sont renommées avec le suffixe (déploiement de cloud). Par exemple, la méthode d'authentification Mot de passe est renommée Mot de passe (déploiement de cloud). Vous pouvez afficher et gérer les nouvelles méthodes d'authentification à partir de l'onglet Méthodes d'authentification d'entreprise.

Que faire ensuite

Lorsque la migration est terminée, vous pouvez désinstaller les anciennes instances de Connector 19.03.x des serveurs sur lesquels ils sont installés.

Une fois la migration terminée, vous n'avez plus besoin d'Integration Broker pour les intégrations Citrix. La fonctionnalité requise fait désormais partie du service d'applications virtuelles.