Pour mettre à niveau Workspace ONE Access Connector versions 22.05, 21.08.x, 20.10.x ou 20.01.x basé sur Windows vers la version 22.09, téléchargez le nouveau programme d'installation de VMware Customer Connect vers votre serveur Connector, puis exécutez le programme d'installation. Il n'est pas nécessaire de désinstaller l'ancienne version du connecteur.

Lors de la mise à niveau, les services de synchronisation d'annuaire, d'authentification utilisateur, d'authentification Kerberos et d'applications virtuelles existants sont interrompus. Les services sont redémarrés automatiquement à la fin de la mise à niveau.

Considérations importantes

  • Mode FIPS

    Si vous effectuez une mise à niveau à partir d'une installation de la version 22.05 avec le mode FIPS activé, le connecteur mis à niveau s'exécute en mode FIPS. Si vous effectuez une mise à niveau à partir d'une installation de version 22.05 sans le mode FIPS activé ou d'une version antérieure à 22.05, le connecteur mis à niveau s'exécute en mode non-FIPS. Vous ne pouvez ni sélectionner ni désélectionner le mode FIPS pendant ou après la mise à niveau. Pour modifier le paramètre de mode FIPS, vous devez effectuer une nouvelle installation. Voir Mise à niveau vers VMware Workspace ONE Access Connector 22.09 pour plus d'informations.

  • Fichier es-config.json

    Le fichier de configuration es-config.json établit la connexion entre le service Workspace ONE Access et le connecteur. Dans la plupart des cas, le connecteur mis à niveau peut utiliser le même fichier de configuration que celui utilisé par le connecteur existant. Pourtant, dans certains cas, vous devez générer un fichier es-config.json à partir de la console Workspace ONE Access.

    • Si vous effectuez une mise à niveau à partir de la version 20.01.x ou 20.10.x et que vous prévoyez d'installer le service d'applications virtuelles pendant ou après la mise à niveau, vous devez générer le fichier de configuration es-config.json et l'utiliser. Si vous ne prévoyez pas d'installer le service d'applications virtuelles, vous n'avez pas besoin d'un nouveau fichier de configuration. Le connecteur mis à niveau peut utiliser le même fichier de configuration que celui utilisé par le connecteur existant.
    • Si vous effectuez une mise à niveau à partir de la version 21.08.x ou 22.05 et que vous avez généré un fichier de configuration es-config.json après la publication de Workspace ONE Access 21.08 ou du cloud de septembre 2021, vous n'avez pas besoin de générer un fichier es-config.json.
    • Quelle que soit la version à partir de laquelle vous effectuez la mise à niveau, si le mot de passe du fichier de configuration es-config.json existant n'est pas conforme aux règles du mot de passe actuel, vous devez générer un fichier de configuration avec un mot de passe conforme aux règles.

      Le mot de passe doit comporter 14 caractères au minimum et inclure au moins un chiffre, une majuscule et un caractère spécial. Seuls les caractères spéciaux suivants sont autorisés :

      @ ! , # $ { } ( ) _ + . < > ? *

      Tous les caractères doivent être des caractères d'impression ASCII visibles.

    • Si vous avez oublié le mot de passe de votre fichier de configuration existant, générez un fichier de configuration et utilisez-le pendant la mise à niveau.

    Pour générer un fichier, dans la console Workspace ONE Access, accédez à Intégrations > Connecteurs, cliquez sur Nouveau, puis créez un fichier sur la page Télécharger le fichier de configuration de l'assistant.

    Attention : Le fichier de configuration contient des informations sensibles telles que l'URL du locataire, l'ID du locataire, l'ID client et la clé secrète du client pour chacun des services d'entreprise, ainsi que le hachage de mot de passe. Il est essentiel de ne pas partager le fichier ou de l'exposer publiquement.
  • La configuration de la méthode d'authentification RSA SecurID (déploiement de cloud) a été modifiée à partir de la version 21.08. Si vous effectuez une mise à niveau à partir d'une instance de Connector 20.10.x ou version antérieure sur laquelle la méthode d'authentification RSA SecurID (déploiement de cloud) est configurée, vous devez supprimer la méthode d'authentification des stratégies d'accès avant de mettre à niveau toutes les instances du service d'authentification utilisateur, puis la reconfigurer après la mise à niveau. Comme cela entraîne une interruption de service de la connexion basée sur RSA SecurID, planifiez l'horaire de la mise à niveau en conséquence.

    Les étapes générales pour effectuer la mise à niveau sont les suivantes :

    1. Vérifiez que vous utilisez le dispositif RSA Authentication Manager 8.2 SP1 ou version ultérieure, qui sont les versions prises en charge par Workspace ONE Access Connector 21.08 et versions ultérieures.
    2. Avant de mettre à niveau le connecteur, supprimez la méthode d'authentification RSA SecurID (déploiement de cloud) des stratégies d'accès dans lesquelles elle est utilisée.
    3. Mettez à niveau tous les connecteurs sur lesquels le service d'authentification utilisateur est installé vers la version 22.09.
    4. Si un serveur proxy est configuré avec les connecteurs, vérifiez que le port de communication configuré pour le serveur RSA Authentication Manager est ouvert sur le serveur proxy.
    5. Si vous avez déployé plusieurs instances du serveur RSA Authentication Manager, vous devez les configurer derrière un équilibrage de charge et répondre aux conditions requises de Workspace ONE Access pour l'équilibrage de charge.
    6. Dans la console RSA Security, vérifiez que le connecteur est ajouté comme agent d'authentification à l'aide du nom de domaine complet (FQDN), par exemple, connectorserver.example.com.
    7. Mettez à jour la configuration de la méthode d'authentification RSA SecurID (déploiement de cloud).
    8. Ajoutez la méthode d'authentification RSA SecurID (déploiement de cloud) pour accéder aux stratégies.
  • Assurez-vous de mettre à niveau toutes les instances de connecteur sur lesquelles le service d'authentification utilisateur est installé vers la version 22.09. Workspace ONE Access ne prend pas en charge le mélange des versions 22.09, 22.05, 21.08 et 20.x du service d'authentification utilisateur.
  • Workspace ONE Access Connector 22.09 prend en charge les types de proxys suivants :
    • Proxys HTTP non authentifiés
    • Proxys HTTPS (SSL) non authentifiés
    • Proxys HTTPS (SSL) authentifiés

Conditions préalables

  • Consultez Mise à niveau vers VMware Workspace ONE Access Connector 22.09.
  • Si votre installation de connecteur se trouve sur un serveur Windows virtuel, prenez un snapshot de la machine virtuelle avant la mise à niveau.
  • Si vous prévoyez d'installer le service d'authentification Kerberos ou le service d'applications virtuelles, assurez-vous de joindre le serveur de connecteur au domaine.
  • Si vous avez configuré la méthode d'authentification RSA SecurID (déploiement de cloud), assurez-vous d'utiliser le dispositif RSA Authentication Manager version 8.2 SP1 ou ultérieure.
  • Si vous effectuez une mise à niveau à partir d'une instance de Connector 20.10.x ou version antérieure sur laquelle la méthode d'authentification RSA SecurID (déploiement de cloud) est configurée, supprimez la méthode d'authentification des stratégies d'accès avant de mettre à niveau toutes les instances de connecteur sur lesquelles le service d'authentification utilisateur est installé.
    1. Dans la console Workspace ONE Access, accédez à Ressources > Stratégies.
    2. Vérifiez chaque stratégie et supprimez la méthode d'authentification RSA SecurID (déploiement de cloud) si elle fait partie de la stratégie.

      Notez les modifications que vous apportez afin de disposer des informations requises pour rajouter la méthode d'authentification après la mise à niveau du connecteur.

  • Si vous effectuez une mise à niveau à partir de la version 20.01.x et que vous avez configuré un annuaire de type Active Directory via l'authentification Windows intégrée (IWA), désélectionnez l'option STARTTLS dans la configuration de l'annuaire de la console Workspace ONE Access avant toute mise à niveau. Après la mise à niveau, la fonctionnalité d'Active Directory sur IWA sera incompatible avec l'option STARTTLS.

    Pour modifier la configuration de l'annuaire, accédez à la page Intégrations > Annuaires, sélectionnez l'annuaire, décochez la case Cet annuaire requiert toutes les connexions pour pouvoir utiliser STARTTLS, puis cliquez sur Enregistrer.

    Note : Si vous avez appliqué le correctif décrit dans l'article 77158 de la base de connaissances à Connector 20.01 ou si vous avez effectué une mise à niveau vers Connector 20.01.0.1 ou version ultérieure, vous avez peut-être déjà désélectionné l'option STARTTLS pour Active Directory sur IWA. Vérifiez que le paramètre est désélectionné.
  • Dans la console Workspace ONE Access, interrompez tous les services du connecteur.
    1. Sélectionnez Intégrations > Connecteurs.
    2. Sélectionnez le connecteur, puis cliquez sur Gérer.
    3. Cliquez sur le bouton bascule en regard de chaque nom de service pour interrompre le service.
  • Assurez-vous que vous disposez des informations de compte suivantes :
    • Vos informations d'identification VMware Customer Connect
    • Si votre installation existante inclut le service d'authentification Kerberos ou le service d'applications virtuelles, vous avez besoin des informations d'identification utilisateur de domaine utilisées pour exécuter le service.
    • Si vous prévoyez d'installer le service d'authentification Kerberos ou le service d'applications virtuelles pendant la mise à niveau, vous avez besoin d'un compte d'utilisateur de domaine pour exécuter ces services. Bien que ces services s'exécutent avec des privilèges de compte d'utilisateur de domaine, les services de synchronisation d'annuaire et d'authentification utilisateur s'exécutent avec des privilèges inférieurs.
    • Si vous utilisez la méthode d'authentification RSA SecurID (déploiement de cloud), vous devez disposer des informations d'identification de la console de sécurité RSA pour obtenir les informations nécessaires à la reconfiguration de la méthode d'authentification dans la console Workspace ONE Access après la mise à niveau de toutes les instances du connecteur.

Procédure

  1. Si nécessaire, générez un fichier de configuration dans la console Workspace ONE Access.
    1. Connectez-vous à la console Workspace ONE Access en tant qu'administrateur du domaine système.
      Info-bulle : Dans les déploiements de cloud, l'administrateur du domaine système est l'administrateur dont vous recevez les informations d'identification lorsque vous obtenez le locataire Workspace ONE Access. Dans les déploiements sur site, l'administrateur du domaine système est l'utilisateur Admin qui est créé lorsque vous installez une instance de Workspace ONE Access.
    2. Sélectionnez Intégrations > Connecteurs.
      Note : Dans un locataire de cloud Workspace ONE Access sur lequel l'option Nouvelle navigation est désactivée, l'emplacement de la page Connecteurs est Gestion des identités et des accès > Configuration > Connecteurs.
    3. Cliquez sur Nouveau.
    4. Dans l'assistant Ajouter un nouveau connecteur, cliquez sur Suivant.
    5. Sur la page Télécharger le fichier de configuration, générez celui-ci en créant un mot de passe et en cliquant sur Télécharger le fichier de configuration.

      Le mot de passe doit comporter 14 caractères au minimum et inclure au moins un chiffre, une majuscule et un caractère spécial. Seuls les caractères spéciaux suivants sont autorisés :

      @ ! , # $ { } ( ) _ + . < > ? *

      Tous les caractères doivent être des caractères d'impression ASCII visibles.

      Le fichier de configuration est utilisé pour établir la communication entre les services d'entreprise que vous installez et le locataire Workspace ONE Access. Le fichier est nommé es-config.json par défaut.
      Attention : Le fichier de configuration contient des informations sensibles telles que l'URL du locataire, l'ID du locataire, l'ID client et la clé secrète du client pour chacun des services d'entreprise, ainsi que le hachage de mot de passe. Il est essentiel de ne pas partager le fichier ou de l'exposer publiquement.
    6. Transférez le fichier de configuration vers le serveur Windows sur lequel la précédente version du connecteur est installée.
  2. Téléchargez Workspace ONE Access Connector 22.09 à partir de VMware Customer Connect.
    1. Connectez-vous à https://customerconnect.vmware.com/.
    2. Accédez à la page Téléchargement de Workspace ONE Access Connector.
    3. Téléchargez Workspace-ONE-Access-Connector-Installer-22.09.0.0.exe.
  3. Enregistrez le fichier du programme d'installation sur le serveur Windows sur lequel la précédente version du connecteur est installée.
  4. Double-cliquez sur le fichier Workspace-ONE-Access-Connector-Installer-22.09.0.0.exe pour exécuter le programme d'installation.
    Le programme d'installation détecte qu'une mise à niveau est nécessaire et vous guide tout au long du processus de mise à niveau.
    ""
  5. Suivez l'assistant de mise à niveau du connecteur.
    • Si la page Spécifier le fichier de configuration s'affiche pendant la mise à niveau, sélectionnez le nouveau fichier de configuration ou l'actuel et spécifiez son mot de passe. Le nom par défaut du fichier est es-config.json.
    • Pendant la mise à niveau, la page Installer des certificats racines approuvés s'affiche. Vous pouvez alors télécharger des certificats racines approuvés dans le magasin d'approbations. Le connecteur peut établir des connexions sécurisées aux serveurs et aux clients dont la chaîne de certificats inclut l'un des certificats téléchargés dans le magasin d'approbations. Scénarios dans lesquels des certificats racines approuvés sont requis :
      • (Installations sur site uniquement) Si votre instance du service Workspace ONE Access sur site dispose d'un certificat auto-signé, vous devez charger sa racine et, si nécessaire, le certificat intermédiaire afin d'établir une relation de confiance entre les services d'entreprise et l'instance du service Workspace ONE Access.
      • (Service d'authentification Kerberos uniquement) Si vous déployez plusieurs instances du service d'authentification Kerberos derrière un équilibrage de charge, vous devez installer le certificat d'autorité de certification racine de l'équilibrage de charge sur les instances du connecteur afin d'établir une relation de confiance entre les connecteurs et l'équilibrage de charge.
      • (Service d'applications virtuelles uniquement) Si vous créez des collections d'applications virtuelles à intégrer à VMware Horizon, Horizon Cloud Service on Microsoft Azure avec un broker à espace unique ou Horizon Cloud Service on IBM Cloud, et que les instances d'Horizon Server disposent de certificats auto-signés, vous devez télécharger la chaîne de certificats vers les instances de connecteur sur lesquelles le service d'applications virtuelles est installé pour établir la relation de confiance entre les connecteurs et les instances d'Horizon Server. Toutes les instances d'Horizon Server disposent de certificats signés par une autorité de certification publique. Vous n'avez pas besoin de télécharger les certificats vers le magasin d'approbations du connecteur. Il est fortement recommandé d'utiliser des certificats signés par une autorité de certification publique.

      Si vous chargez des certificats pendant la mise à niveau, assurez-vous de redémarrer les services une fois la mise à niveau terminée.

      Le chargement de certificats est une étape facultative pour la mise à niveau. Vous pouvez également télécharger des certificats après la mise à niveau en réexécutant le programme d'installation.

      Page d'installation - page Certificats racines approuvés
    • Pendant la mise à niveau, le programme d'installation installe OpenJDK 11.
    • Pendant la mise à niveau, vous pouvez modifier les paramètres des services existants. Vous pouvez également installer d'autres services. Si votre installation existante comprend, par exemple, uniquement le service de synchronisation d'annuaire et que vous souhaitez installer le service d'authentification utilisateur et le service d'authentification Kerberos, vous pouvez le faire pendant la mise à niveau.

      Pour plus d'informations sur la configuration requise, le dimensionnement, l'installation et les paramètres, reportez-vous à la section Installation de VMware Workspace ONE Access Connector 22.09.

    • (Service d'applications virtuelles uniquement) Une nouvelle page Configuration de Citrix s'affiche lors de la mise à niveau si vous utilisez le flux d'installation personnalisé. Les options de la page s'appliquent à l'intégration de Workspace ONE Access à un environnement Citrix sur lequel l'agrégation multisite ou le filtrage par mots clés est configuré.

      Aucune des options de configuration de Citrix n'est sélectionnée.

      Pour plus d'informations, reportez-vous à la section Configuration de l'agrégation multisite et du filtrage par mots clés Citrix dans Workspace ONE Access dans Configuration des ressources dans Workspace ONE Access et Installation de Workspace ONE Access Connector.

      Vous pouvez configurer les options pendant la mise à niveau ou les configurer après la mise à niveau en réexécutant le programme d'installation du connecteur.

    • Avec Connector 22.09, vous pouvez spécifier plusieurs serveurs Syslog externes plutôt que de vous limiter à un seul serveur, pour stocker les messages d'événement au niveau de l'application. Vous pouvez entrer les serveurs Syslog sur la page Spécifier les informations sur le serveur Syslog de l'assistant lors de la mise à niveau.

      Utilisez le format suivant :

      host:port,host:port,host:port

      host est le nom de domaine complet ou l'adresse IP du serveur Syslog et port est le numéro de port. Par exemple :

      syslog1.example.com:514,syslog2.example.com:601,syslog3.example.com:163

  6. Une fois la mise à niveau terminée, vérifiez que les services mis à niveau sont en cours d'exécution sur le serveur Windows.
    Les noms des services du connecteur sont les suivants :
    • Service de synchronisation d'annuaire VMware
    • Service d'authentification utilisateur VMware
    • Service d'authentification Kerberos VMware
    • Service d'applications virtuelles VMware

    Les services affichent l'état En cours d'exécution.

Résultats

La mise à niveau du connecteur est terminée. Pour vérifier que le nouvelle version du connecteur est installée, accédez à Panneau de configuration > Programmes > Programmes et fonctionnalités sur le serveur Windows et cliquez sur la version de connecteur répertoriée.

Que faire ensuite

  • Dans la console Workspace ONE Access, cliquez sur l'icône d'actualisation sur la page Intégrations > Connecteurs et vérifiez que les services mis à niveau sont actifs et que l'état de santé est en vert.
    Par exemple :
    la page Connecteurs répertorie un seul connecteur avec les services de synchronisation d'annuaire, d'authentification utilisateur et d'applications virtuelles. Les services sont actifs et affichent une case à cocher verte dans la colonne Santé.
  • Si la méthode d'authentification RSA SecurID (déploiement de cloud) a été configurée dans votre installation d'origine et que vous l'avez supprimée avant la mise à niveau du connecteur, reconfigurez-la après la mise à niveau de toutes les instances de connecteur sur lesquelles le service Authentification utilisateur est installé.
    1. Si vous avez déployé plusieurs instances du serveur RSA Authentication Manager, vous devez les configurer derrière un équilibrage de charge et répondre aux conditions requises de Workspace ONE Access pour l'équilibrage de charge. Reportez-vous à la section Configuration requise de Workspace ONE Access pour l'équilibrage de charge RSA SecurID.
    2. Si un serveur proxy est configuré avec les connecteurs, vérifiez que le port de communication configuré pour le serveur RSA Authentication Manager est ouvert sur le serveur proxy.
    3. Dans la console RSA Security, vérifiez que le connecteur est ajouté comme agent d'authentification à l'aide du nom de domaine complet (FQDN), par exemple, connectorserver.example.com. Si vous avez déjà ajouté le connecteur comme agent d'authentification à l'aide du nom NetBIOS au lieu du nom de domaine complet, ajoutez une autre entrée utilisant ce dernier. Laissez le champ Adresse IP vide pour la nouvelle entrée. Ne supprimez pas l'ancienne entrée.
    4. Mettez à jour la configuration de la méthode d'authentification RSA SecurID (déploiement de cloud) pour tous les annuaires qui l'incluaient dans l'installation d'origine.

      Pour plus d'informations sur la nouvelle configuration, reportez-vous à la section Configurer l'authentification RSA SecurID dans Workspace ONE Access.

    5. Ajoutez la méthode d'authentification RSA SecurID (déploiement de cloud) à toutes les stratégies d'accès qui l'incluaient dans l'installation d'origine.

      Vous pouvez modifier les stratégies d'accès sur la page Ressources > Stratégies.