VMware Identity Manager 3.3.3 | Octobre 2020 | Build 17121420 VMware Identity Manager (Windows) 3.3.3 | octobre 2020 | Build VMware Identity Manager Connector Installer.exe Date de publication : novembre 2020 Mise à jour : samedi 17 décembre 2021 25 janvier 2021 samedi 18 décembre 2020 8 décembre 2020

17/12/2021 Cette version a été identifiée comme étant concernée par CVE-2021-44228 et CVE-2021-45046. Des correctifs et des solutions sont disponibles pour résoudre cette vulnérabilité. Pour plus d'informations, reportez-vous à VMware Security Advisory VMSA-2021-0028.

17/12/2021 Cette version est également concernée par CVE-2021-22056. Des correctifs et des solutions sont disponibles pour résoudre cette vulnérabilité. Pour plus d'informations, reportez-vous à VMware Security Advisory VMSA-2021-0030.

08/12/2020       Cette version a été identifiée comme étant concernée par CVE-2020-4006. Des correctifs et des solutions sont disponibles pour résoudre cette vulnérabilité. Pour plus d'informations, reportez-vous à la section VMSA-2020-0027.

Contenu des notes de mise à jour

Les notes de mise à jour couvrent les rubriques suivantes.

• Produits pouvant être mis à niveau vers VMware Identity Manager 3.3.3
• Nouveautés de la version 3.3.3
• Internationalisation
• Compatibilité, installation et mise à niveau
• Documentation
• Problèmes connus

Produits VMware pouvant être mis à niveau vers VMware Identity Manager 3.3.3

• Les produits VMware vRealize tels que vRealize Automation, vRealize Suite Lifecycle Manager (vRSLCM), vRealize Operations, vRealize Business, vRealize log Insight et vRealize Network Insight pour l'authentification et SSO

  • Les produits vRealize déployés et gérés via vRealize Suite Lifecycle Manager uniquement peuvent utiliser VMware Identity Manager 3.3.1, 3.3.2 ou 3.3.3.

  • vRealize Suite Lifecycle Manager peut désormais gérer une nouvelle installation de VMware Identity Manager 3.3.3, ou une mise à niveau de VMware Identity Manager 3.3.1 ou 3.3.2 vers la version 3.3.3.

• VMware NSX-T Data Center pour l'authentification et SSO
  • Vous pouvez déployer NSX-T avec VMware Identity Manager
  • 3.3.3 ou une mise à niveau vers la version 3.3.3 à partir de VMware Identity Manager 3.3.1 ou 3.3.2.

Nouveautés de VMware Identity Manager 3.3.3

• Migration de Photon OS

  Dans VMware Identity Manager 3.3.3, le système d'exploitation sous-jacent a été migré de SUSE Linux 11 SP4 vers VMware Photon 3.0. Photon 3.0 corrige les vulnérabilités de sécurité connues et est une pile logicielle mise à jour. 

• Prise en charge de la migration des locataires de vRA 7.5/vRA 7.6 vers VMware Identity Manager
• Modifications de la configuration de déploiement par défaut

  En fonction de la configuration requise, vous pouvez choisir différentes options de taille pour le CPU et la mémoire au moment du déploiement

  • Disque dur de 100 Go
  • 8 Go RAM
  • 4 vCPU
  • Très petite : 4 CPU/8 Go de mémoire
  • Petite : 6 CPU/10 Go de mémoire
  • Moyenne : 8 CPU/16 Go de mémoire
  • Grande : 10 CPU/16 Go de mémoire
  • Très grande : 12 CPU/32 Go de mémoire
  • Mise à jour le 25 janvier 2021 Très très grande : 14 CPU/48 Go de mémoire
• Prise en charge de certificats de clés 4096

  Nous prenons désormais en charge les certificats SSL de clés 4096 bits pour le service et le connecteur. Avec cette mise en œuvre, nous améliorons la puissance de chiffrement des certificats SSL.

• Migration du connecteur intégré vers externe pour les cas d'utilisation IWA/Kerberos

  Mise à jour le 18 décembre 2020 : VMware Identity Manager 3.3.3 ne prend pas en charge l'authentification Windows intégrée (IWA, Integrated Windows Authentication) avec le connecteur Linux intégré. Les clients vRA 8.x utilisant LDAP ou IWA avec le connecteur Windows externe ne sont pas concernés. Pour plus d'informations , reportez-vous à l'adresse https://kb.vmware.com/s/article/82013.

• L'opérateur peut réinitialiser le mot de passe de la console (ou le mot de passe de l'opérateur) à l'aide de la commande hznAdminTool :

   /usr/sbin/hznAdminTool setOperatorPassword

Internationalisation

VMware Identity Manager 3.3 est disponible dans les langues suivantes.

• Anglais
• Français
• Allemand
• Espagnol
• Japonais
• Chinois simplifié
• Coréen
• Chinois traditionnel
• Russe
• Italien
• Portugais (Brésil)
• Néerlandais

Compatibilité, installation et mise à niveau

Compatibilité avec VMware vCenter™ et VMware ESXi™

Le dispositif VMware Identity Manager prend en charge les versions suivantes de vSphere et d'ESXi.

• 6.5 U3, 6.7 U2, 6.7 U3, 7

Compatibilité des composants

Windows Server pris en charge

• Windows Server 2012 R2
• Windows Server 2016

Navigateur Web pris en charge

• Mozilla Firefox, dernière version
• Google Chrome 42.0 ou version ultérieure
• Internet Explorer 11
• Safari 6.2.8 ou version ultérieure
• Microsoft Edge, dernière version

Base de données prise en charge

• Postgres 9.6.19
• MS SQL 2012, 2014 et 2016

Serveur d'annuaire pris en charge

• Active Directory sous Windows Server 2012 R2, 2016 et 2019, avec un niveau fonctionnel Domaine et un niveau fonctionnel Forêt de Windows 2003 et versions ultérieures.
• OpenLDAP : 2.4.42
• Oracle LDAP - Directory Server Enterprise Edition 11g, Release 1 (11.1.1.7.0)
• IBM Tivoli LDAP - IBM Security Directory Server 6.3.1

Mise à jour : Versions de composants obsolètes

• Windows Server 2008 R2
• Windows Server 2012

Cela a une incidence sur les instances de Workspace ONE Access Connector ou sur la base de données qui peuvent être installées sur ces versions de Windows Server. Cela a une incidence sur Active Directory si celui-ci s'exécute sur ces versions antérieures d'une instance de Windows Server.

La Matrice d'interopérabilité des produits VMware fournit des informations sur la compatibilité des versions actuelles et précédentes des produits et composants VMware.

Pour en savoir plus sur la configuration système requise, reportez-vous aux guides d'installation de VMware Identity Manager pour la version 3.3 dans le Centre de documentation de VMware Workspace ONE Access.

Mise à niveau vers VMware Identity Manager 3.3.3

Remarque :

• Pour accéder à la page Paramètres du dispositif dans la console Workspace ONE Access, assurez-vous que vous disposez du rôle Opérateur pour le locataire par défaut.
• Pour configurer les paramètres SMTP, vous devez être connecté en tant qu'utilisateur opérateur du locataire par défaut à partir du domaine système, pas en tant que locataire administrateur.
  • Les administrateurs de locataires autres que ceux par défaut ne sont pas autorisés à configurer les paramètres SMTP.
• Migrez les groupes d'activités VMware vRealize Automation 7.5 ou 7.6 vers vRealize version 8.2

Pour effectuer une mise à niveau vers VMware Identity Manager 3.3.3, reportez-vous à la section Mise à niveau de VMware Identity Manager 3.3.3 dans la Documentation de VMware Workspace ONE Access. Tous les services étant arrêtés pendant la mise à niveau, vous devez planifier celle-ci en tenant compte de la durée d'indisponibilité prévue si un seul connecteur est configuré.

Vous pouvez mettre à niveau VMware Identity Manager de la version 3.3.1 ou 3.3.2 directement vers la version 3.3.3. Pour effectuer une mise à niveau à partir de versions antérieures, commencez par la faire vers la version 3.3.1, puis mettez à niveau la version 3.3.1 vers la version 3.3.3.

Remarque : lorsque vous effectuez la mise à niveau vers VMware Identity Manager 3.3.2 pour Linux, si le message d'erreur suivant s'affiche et que la mise à niveau est abandonnée, suivez ces étapes pour mettre à jour le certificat. Une fois le certificat mis à jour, redémarrez la mise à niveau.

« Mise à jour de la configuration de l'authentification requise pour le locataire <tenantName> avant la mise à niveau. Échec de la vérification préalable à la mise à jour, abandon de la mise à jour. »

1. Connectez-vous à la console VMware Identity Manager.
2. Accédez à Gestion des identités et des accès > Configuration.
3. Sur la page Connecteurs, cliquez sur le lien dans la colonne Employé
4. Cliquez sur l'onglet Adaptateurs d'authentification, puis sur CertificateAuthAdapter.
5. Dans la section Certificats d'autorité de certification chargés, cliquez sur la croix rouge en regard du certificat afin de le supprimer.
6. Dans la section Certificats d'autorité de certification racine et intermédiaire, cliquez sur Sélectionner un fichier pour rajouter le certificat.
7. Cliquez sur Enregistrer.

Migrez les groupes d'activités VMware vRealize Automation 7.5 ou 7.6 vers vRealize version 8.2

Pour migrer les groupes d'activités de VMware vRealize Automation 7.5 ou 7.6 vers la version 8.2, vous devez migrer un locataire à la fois du service VMware Identity Manager 3.1 vers le service VMware Identity Manager 3.3.3, comme décrit dans la procédure suivante.
Arrière-plan

• VMware Identity Manager est un service intégré dans vRealize Automation 7.5 et 7.6
• À partir de vRealize Automation 8.0, VMware Identity Manager est devenu un service externe
• vRealize Automation 8.0 et 8.1 ne prennent en charge que les nouvelles installations
• vRealize Automation 8.2 prend en charge la migration des groupes d'activités à partir de vRealize Automation 7.5 ou 7.6. Pour réaliser la migration des groupes d'activités, VMware Identity Manager 3.3.3 migre chaque locataire de VMware Identity Manager sur vRA vers la version 3.3.3

Conditions préalables

• Un e-mail valide doit être défini pour tous les utilisateurs locaux du locataire vRealize Automation 7.5 et 7.6 qui doit être migré
•  Activez la connexion à distance à la base de données vRA pour y accéder. UNIQUEMENT à partir d'une machine vIDM afin de lire les ID d'utilisateur pour la migration de groupes personnalisés
• Vous devez configurer les informations sur le serveur SMTP du locataire migré dans le service VMware Identity Manager. Ces informations sont requises pour recevoir des instructions par e-mail pour réinitialiser le mot de passe de tous les utilisateurs locaux.

Procédure

Vous pouvez effectuer une migration individuelle des locataires dans VMware Identity Manager 3.3.3 à l'aide de vRealize Lifecycle Manager. Celui-ci fournit l'interface utilisateur permettant d'exploiter les REST API de VMware Identity Manager 3.3.3 pour la migration individuelle des locataires. Reportez-vous à la section Migration des locataires à l'aide de vRealize Suite Lifecycle Manager.

Les REST API de VMware Identity Manager 3.3.3 pour la migration des locataires prennent en charge la migration des configurations suivantes de vRealize Automation 7.5 ou 7.6 vers VMware Identity Manager 3.3.3.

• Configuration des locataires
• Configuration du mappage d'attribut utilisateur
• Configuration d'annuaire, telle que locale, LDAP, IWA, OpenLDAP et JIT
• Par défaut, l'utilisateur Bind est répertorié comme administrateur en lecture seule dans les locataires migrés
• Configuration des fournisseurs d'identité tiers
• Configuration des stratégies d'accès et des plages réseau
• Configuration des groupes personnalisés
• Configuration des rôles et des ensembles de règles

Limitations de la migration des locataires dans VMware Identity Manager 3.3.3

• Adaptateurs d'authentification : Le processus de migration des locataires ne migre que PasswordIdpAdapter. Si d'autres adaptateurs d'authentification ont été configurés dans vRealize Automation 7.5 ou 7.6, vous devez les configurer manuellement dans VMware Identity Manager 3.3.3.
• Migration des fournisseurs d'identité tiers : Le processus de migration des locataires migre les configurations de fournisseurs d'identité tiers. Après la migration, vous devez copier manuellement les métadonnées du fournisseur de services de VMware Identity Manager sur le fournisseur d'identité tiers externe.

VMware Identity Manager Connector 3.3.3 (Windows)

Si vous avez installé VMware Identity Manager Connector pour Windows 3.3.1 et 3.3.2 avec vRealize Suite Lifecycle Manager, vous ne pouvez pas effectuer une mise à niveau vers la version 3.3.3.  Vous devez installer la nouvelle version 3.3.3 du connecteur.

Si vous avez installé VMware Identity Manager Connector pour Windows 3.3.1 ou 3.3.2 à l'aide du programme d'installation .exe, vous pouvez effectuer une mise à niveau du connecteur vers la version 3.3.3.

Documentation

La documentation de VMware Identity Manager 3.3 est disponible dans la Documentation de VMware Workspace ONE Access. Le Guide de mise à niveau de la version 3.3.3 se trouve sous VMware Identity Manager 3.3 dans la section Installation et architecture.

Problèmes connus

• Vous ne pouvez pas enregistrer la configuration du fournisseur d'identité dans les environnements multisite VMware Identity Manager 3.3.3 avec des connecteurs intégrés à partir du site secondaire

  Lorsque vous utilisez un connecteur intégré avec le service VMware Identity Manager dans un environnement multisite, vous ne pouvez pas enregistrer la configuration du fournisseur d'identité sur le site secondaire si vous utilisez un connecteur intégré.

  Solution : Utilisez un connecteur externe pour le site secondaire.

• La synchronisation échoue après la mise à niveau vers VMware Identity Manager 3.3.3

  Après la mise à niveau de VMware Identity Manager 3.3.2 vers la version 3.3.3, si le connecteur intégré est utilisé avec Active Directory sur IWA, les utilisateurs peuvent se connecter, mais la synchronisation d'annuaire échoue jusqu'à ce que le connecteur intégré soit migré vers une instance externe de VMware Identity Manager Connector sur un serveur Windows.

  Solution. Aucune solution. Vous devez migrer l'annuaire du connecteur intégré vers une instance externe de VMware Identity Manager Connector.