Mise à niveau vers Workspace ONE Access Connector 21.08

Pour mettre à niveau Workspace ONE Access Connector 20.10.x ou 20.01.x vers la version 21.08, téléchargez le nouveau programme d'installation de My VMware vers votre serveur de connecteur, puis exécutez le programme d'installation. Il n'est pas nécessaire de désinstaller l'ancienne version du connecteur.

Lors de la mise à niveau, les services de synchronisation d'annuaire, d'authentification utilisateur et d'authentification Kerberos existants sont interrompus. Les services sont redémarrés automatiquement à la fin de la mise à niveau.

Considérations importantes

Si vous prévoyez d'installer le service d'applications virtuelles, vous devez télécharger et utiliser un nouveau fichier de configuration es-config.json à partir de la console Workspace ONE Access pour établir la connexion entre le service Workspace ONE Access et le connecteur. Si vous n'installez pas le service d'applications virtuelles, vous n'avez pas besoin d'un nouveau fichier de configuration. Le connecteur mis à niveau peut utiliser le même fichier de configuration que celui utilisé par le connecteur existant.
Note : Si le mot de passe du fichier de configuration es-config.json existant contient les caractères & ou %, générez un fichier de configuration avec un mot de passe qui ne contient pas ces caractères. Les caractères & et % ne sont pas pris en charge.
La configuration de la méthode d'authentification RSA SecurID (déploiement de cloud) a été modifiée dans la version 21.08. Si vous avez configuré la méthode d'authentification RSA SecurID (déploiement de cloud), vous devez la supprimer des stratégies d'accès avant de mettre à niveau toutes les instances du service d'authentification utilisateur, puis la reconfigurer après la mise à niveau. Comme cela entraîne une interruption de service de la connexion basée sur RSA SecurID, planifiez l'horaire de la mise à niveau en conséquence.
Les étapes générales pour effectuer la mise à niveau sont les suivantes :
1. Vérifiez que vous utilisez le dispositif RSA Authentication Manager 8.2 SP1 ou une version ultérieure, qui sont les versions prises en charge par Workspace ONE Access Connector 21.08.
2. Avant de mettre à niveau le connecteur, supprimez la méthode d'authentification RSA SecurID (déploiement de cloud) des stratégies d'accès dans lesquelles elle est utilisée.
3. Mettez à niveau tous les connecteurs sur lesquels le service d'authentification utilisateur est installé vers la version 21.08.
4. Si un serveur proxy est configuré avec les connecteurs, vérifiez que le port de communication configuré pour le serveur RSA Authentication Manager est ouvert sur le serveur proxy.
5. Si vous avez déployé plusieurs instances du serveur RSA Authentication Manager, vous devez les configurer derrière un équilibrage de charge et répondre aux conditions requises de Workspace ONE Access pour l'équilibrage de charge.
6. Dans la console RSA Security, vérifiez que le connecteur est ajouté comme agent d'authentification à l'aide du nom de domaine complet (FQDN), par exemple, connectorserver.example.com.
7. Mettez à jour la configuration de la méthode d'authentification RSA SecurID (déploiement de cloud).
8. Ajoutez la méthode d'authentification RSA SecurID (déploiement de cloud) pour accéder aux stratégies.
Assurez-vous de mettre à niveau toutes les instances de connecteur sur lesquelles le service d'authentification utilisateur est installé vers la version 21.08. Workspace ONE Access ne prend pas en charge le mélange des versions 21.08 et 20.x du service d'authentification utilisateur.
Workspace ONE Access Connector 21.08 prend en charge les types de proxys suivants :
- Proxys HTTP non authentifiés
- Proxys HTTPS (SSL) non authentifiés
- Proxys HTTPS (SSL) authentifiés

Conditions préalables

Consultez Mise à niveau vers VMware Workspace ONE Access Connector 21.08.
Si votre installation de connecteur se trouve sur un serveur Windows virtuel, prenez un snapshot de la machine virtuelle avant la mise à niveau.
Si vous prévoyez d'installer le service d'authentification Kerberos ou le service d'applications virtuelles, assurez-vous de joindre le serveur de connecteur au domaine.
Si vous avez configuré la méthode d'authentification RSA SecurID (déploiement de cloud), assurez-vous d'utiliser le dispositif RSA Authentication Manager version 8.2 SP1 ou ultérieure.
Si vous avez configuré la méthode d'authentification RSA SecurID (déploiement de cloud), supprimez la méthode d'authentification des stratégies d'accès avant de mettre à niveau toutes les instances du connecteur sur lesquelles le service d'authentification utilisateur est installé.
1. Dans la console Workspace ONE Access, accédez à la page Gestion des identités et des accès > Gérer > Stratégies.
2. Vérifiez chaque stratégie et supprimez la méthode d'authentification RSA SecurID (déploiement de cloud) si elle fait partie de la stratégie.
  Notez les modifications que vous apportez afin de disposer des informations requises pour rajouter la méthode d'authentification après la mise à niveau du connecteur.
Si vous effectuez une mise à niveau à partir de la version 20.01.x et que vous avez configuré un annuaire de type Active Directory via l'authentification Windows intégrée (IWA), désélectionnez l'option STARTTLS dans la configuration de l'annuaire de la console Workspace ONE Access avant toute mise à niveau vers Connector 21.08. Après la mise à niveau, la fonctionnalité d'Active Directory sur IWA sera incompatible avec l'option STARTTLS.
Pour modifier la configuration de l'annuaire, accédez à la page Gestion des identités et des accès > Gérer > Annuaires, sélectionnez l'annuaire, décochez la case Cet annuaire requiert toutes les connexions pour pouvoir utiliser STARTTLS, puis cliquez sur Enregistrer.

Note : Si vous avez appliqué le correctif décrit dans l'article 77158 de la base de connaissances à Connector 20.01 ou si vous avez effectué une mise à niveau vers Connector 20.01.0.1 ou 20.10, vous ayez peut-être déjà désélectionné l'option STARTTLS pour Active Directory sur IWA. Vérifiez que le paramètre est désélectionné.
Dans la console Workspace ONE Access, interrompez les services de connecteur actuellement installés.
1. Accédez à la page Gestion des identités et des accès > Configuration > Connecteurs.
2. Sélectionnez le connecteur, puis cliquez sur Gérer.
3. Cliquez sur le bouton bascule en regard de chaque nom de service pour interrompre le service.
Vous avez besoin des informations de compte suivantes :
- Informations d'identification de My VMware
- Si le service d'authentification Kerberos est déjà installé, les informations d'identification de l'utilisateur de domaine sont utilisées pour exécuter le service
- Si vous prévoyez d'installer le service d'authentification Kerberos ou le service d'applications virtuelles pendant la mise à niveau, vous avez besoin d'un compte d'utilisateur de domaine pour exécuter ces services. Bien que ces services s'exécutent avec des privilèges de compte d'utilisateur de domaine, les services de synchronisation d'annuaire et d'authentification utilisateur s'exécutent avec des privilèges inférieurs.
- Si vous utilisez la méthode d'authentification RSA SecurID (déploiement de cloud), vous avez besoin des informations d'identification de la console de sécurité RSA pour obtenir les informations nécessaires à la reconfiguration de la méthode d'authentification dans la console Workspace ONE Access après la mise à niveau de toutes les instances du connecteur.

Procédure

Si vous avez besoin d'un nouveau fichier de configuration, générez-le à partir de la console Workspace ONE Access.
1. Connectez-vous à la console Workspace ONE Access en tant qu'administrateur du domaine système.
  
  Info-bulle : Dans les déploiements de cloud, l'administrateur du domaine système est l'administrateur dont vous recevez les informations d'identification lorsque vous obtenez le locataire Workspace ONE Access. Dans les déploiements sur site, l'administrateur du domaine système est l'utilisateur Admin qui est créé lorsque vous installez une instance de Workspace ONE Access.
2. Accédez à la page Gestion des identités et des accès > Configuration > Connecteurs.
3. Cliquez sur Nouveau.
4. Dans l'assistant Ajouter un nouveau connecteur, cliquez sur Suivant.
5. Sur la page Télécharger le fichier de configuration, générez celui-ci en créant un mot de passe et en cliquant sur Télécharger le fichier de configuration.
  Le mot de passe doit comporter au moins 14 caractères et inclure un caractère majuscule, un caractère minuscule, un chiffre et un caractère spécial. N'utilisez pas les caractères & ou %. Tous les caractères doivent être des caractères d'impression ASCII visibles.
  
  Le fichier de configuration est utilisé pour établir la communication entre les services d'entreprise que vous installez et le locataire Workspace ONE Access. Le fichier est nommé es-config.json par défaut.
  
  Attention : Le fichier de configuration contient des informations sensibles telles que l'URL du locataire, l'ID du locataire, l'ID client et la clé secrète du client pour chacun des services d'entreprise, ainsi que le hachage de mot de passe. Il est essentiel de ne pas partager le fichier ou de l'exposer publiquement.
6. Transférez le fichier de configuration vers le serveur du connecteur.
Téléchargez Workspace ONE Access Connector 21.08.0.0 depuis My VMware.
1. Connectez-vous à https://my.vmware.com.
2. Accédez à la page de téléchargement de VMware Workspace ONE Access 21.08.
3. Téléchargez Workspace ONE Access Connector 21.08.0.0.
Enregistrez le fichier du programme d'installation sur le serveur Windows sur lequel la précédente version du connecteur est installée.
Double-cliquez sur le fichier Workspace One Access Connector Installer.exe pour exécuter le programme d'installation.
Le programme d'installation détecte qu'une mise à niveau est nécessaire et vous guide tout au long du processus de mise à niveau.
Suivez l'assistant de mise à niveau du connecteur.
Lors de la mise à niveau, tenez compte des points suivants :
- Pendant la mise à niveau, le programme d'installation installe OpenJDK 8.
- Pendant la mise à niveau, vous pouvez modifier les paramètres des services existants. Vous pouvez également installer d'autres services. Par exemple, vous pouvez installer le nouveau service d'applications virtuelles. Si votre installation existante inclut uniquement le service de synchronisation d'annuaire et que vous souhaitez installer le service d'authentification utilisateur et le service d'authentification Kerberos, vous pouvez le faire également pendant la mise à niveau.
  Pour plus d'informations sur la configuration requise, le dimensionnement, l'installation et les paramètres, reportez-vous à la section Installation de VMware Workspace ONE Access Connector 21.08.
- Avec Connector 21.08, vous pouvez spécifier plusieurs serveurs Syslog externes plutôt que de vous limiter à un seul serveur, pour stocker les messages d'événement au niveau de l'application. Vous pouvez entrer les serveurs Syslog sur la page Spécifier les informations sur le serveur Syslog de l'assistant lors de la mise à niveau.
  Utilisez le format suivant :
  host:port,host:port,host:port
  où host est le nom de domaine complet ou l'adresse IP du serveur Syslog et port est le numéro de port. Par exemple :
  syslog1.example.com:514,syslog2.example.com:601,syslog3.example.com:163
Une fois la mise à niveau terminée, vérifiez que les services mis à niveau sont en cours d'exécution sur le serveur Windows.
Les noms des services du connecteur sont les suivants :
- Service de synchronisation d'annuaire VMware
- Service d'authentification utilisateur VMware
- Service d'authentification Kerberos VMware
- Service d'applications virtuelles VMware

Résultats

La mise à niveau du connecteur est terminée. Pour vérifier que le nouvelle version du connecteur est installée, accédez à Panneau de configuration > Programmes > Programmes et fonctionnalités sur le serveur Windows et cliquez sur la version de connecteur répertoriée.

Que faire ensuite

Dans la console Workspace ONE Access, cliquez sur l'icône d'actualisation sur la page Gestion des identités et des accès > Configuration > Connecteurs et vérifiez que les services mis à niveau sont actifs et que l'état de santé est vert.
Par exemple :
Si la méthode d'authentification RSA SecurID (déploiement de cloud) a été configurée dans votre installation d'origine, reconfigurez-la après la mise à niveau de toutes les instances de connecteur sur lesquelles le service Authentification utilisateur est installé.
1. Si vous avez déployé plusieurs instances du serveur RSA Authentication Manager, vous devez les configurer derrière un équilibrage de charge et répondre aux conditions requises de Workspace ONE Access pour l'équilibrage de charge. Reportez-vous à la section Configuration requise de Workspace ONE Access pour l'équilibrage de charge RSA SecurID.
2. Si un serveur proxy est configuré avec les connecteurs, vérifiez que le port de communication configuré pour le serveur RSA Authentication Manager est ouvert sur le serveur proxy.
3. Dans la console RSA Security, vérifiez que le connecteur est ajouté comme agent d'authentification à l'aide du nom de domaine complet (FQDN), par exemple, connectorserver.example.com. Si vous avez déjà ajouté le connecteur comme agent d'authentification à l'aide du nom NetBIOS au lieu du nom de domaine complet, ajoutez une autre entrée utilisant ce dernier. Laissez le champ Adresse IP vide pour la nouvelle entrée. Ne supprimez pas l'ancienne entrée.
4. Mettez à jour la configuration de la méthode d'authentification RSA SecurID (déploiement de cloud) pour tous les annuaires qui l'incluaient dans l'installation d'origine.
  Pour plus d'informations sur la nouvelle configuration, reportez-vous à la section Configurer l'authentification RSA SecurID dans Workspace ONE Access.
5. Ajoutez la méthode d'authentification RSA SecurID (déploiement de cloud) à toutes les stratégies d'accès qui l'incluaient dans l'installation d'origine.
  Vous pouvez modifier les stratégies d'accès sur la page Gestion des identités et des accès > Gérer > Stratégies.