Migrez vos annuaires existants vers les Workspace ONE Access 20.01 Connector à l'aide du tableau de bord de migration. Le processus de migration est une approche étape par étape qui vous permet de tester votre environnement avec les nouveaux connecteurs avant d'effectuer la migration.

Le processus de migration inclut les étapes suivantes :

  • Installer les 20.01 Connector

    Installez les nouveaux 20.01 Connector, qui contiennent les services Synchronisation de l'annuaire, Authentification utilisateur et Authentification Kerberos. Installez au minimum les services Synchronisation de l'annuaire et Authentification utilisateur. Installez le service Authentification Kerberos si la méthode d'authentification Kerberos est configurée.

  • Migrer vers les nouveaux connecteurs

    Lors de cette étape, vous migrez toutes vos données d'annuaire à l'aide de l'assistant Migrer l'annuaire. La plupart des informations requises sont préremplies à partir de votre environnement, mais vous devez entrer des valeurs sensibles, telles que le mot de passe de l'utilisateur Bind de l'annuaire.

    La migration des annuaires ne modifie aucun annuaire, méthode d'authentification ou configuration de fournisseur d'identité existant. Vous utilisez toujours les anciens connecteurs. Les modifications ne prendront effet qu'après l'étape Aperçu à l'étape suivante.

  • Aperçu

    En mode Aperçu, vous prévisualisez votre environnement avec les nouveaux 20.01 Connector. Les nouveaux services Synchronisation de l'annuaire, Authentification utilisateur et Authentification Kerberos des 20.01 Connector effectuent la synchronisation d'annuaire et l'authentification utilisateur. Toutes les méthodes d'authentification, à l'exception de Kerberos, sont en mode sortant.

    L'étape Aperçu vous permet de tester votre environnement de manière approfondie avec les nouveaux services. Vérifiez que la synchronisation de l'annuaire, l'authentification de l'utilisateur et le lancement d'application fonctionnent comme prévu.

    En mode Aperçu, vous ne pouvez apporter aucune modification à vos annuaires, méthodes d'authentification ou fournisseurs d'identité, ni en ajouter de nouveaux.

    Depuis l'étape Aperçu, vous pouvez revenir à l'utilisation des anciens connecteurs. Lorsque vous effectuez une restauration, les données d'annuaire que vous avez migrées à l'étape précédente sont toujours conservées. Si vous apportez des modifications ultérieurement à l'un de vos annuaires, méthodes d'authentification ou fournisseurs d'identité existants, assurez-vous de migrer à nouveau les données d'annuaire.

  • Terminer la migration

    Une fois que vous êtes satisfait du test de votre nouvel environnement, terminez la migration. Une fois la migration terminée, vous ne pouvez pas revenir à l'utilisation des anciens connecteurs.

Meilleures pratiques pour la migration :

  • Assurez-vous que le processus de synchronisation d'annuaire n'est pas en cours d'exécution pour l'un des annuaires avant de démarrer le processus de migration.
  • Si la fonctionnalité People Search est activée, assurez-vous que le processus de synchronisation des photos n'est pas en cours d'exécution pour l'un des annuaires avant de démarrer le processus de migration.

Conditions préalables

  • Consultez les conditions requises dans le Migration vers des VMware Workspace ONE Access 20.01 Connector.
  • Vérifiez que tous les connecteurs de votre environnement sont à la version 19.03. Si des connecteurs sont de version antérieure, mettez-les à niveau vers la version 19.03.
  • Préparez un ou plusieurs serveurs Windows pour les connecteurs 20.01. Ces serveurs doivent être différents de vos serveurs de 19.03 Connector.

    Consultez Configuration système requise dans la section Installation de Workspace ONE Access Connector 20.01.

  • Si vous disposez d'une instance de service Workspace ONE Access sur site, mettez-la à niveau vers la version 20.01 avant de migrer les connecteurs.
  • Si la méthode d'authentification RSA SecurID est configurée pour l'un de vos annuaires, effacez le champ Nœud secret dans la console de sécurité RSA.
  • Si des fournisseurs d'identité sont associés à plusieurs annuaires, modifiez la configuration afin que chaque fournisseur d'identité soit uniquement associé à un seul annuaire.

Procédure

  1. Cliquez sur l'onglet Identité et gestion de l'accès.
    La page de migration s'affiche.
    Page de migration
  2. Vérifiez les conditions requises et cliquez sur Oui.
    Le Tableau de bord de migration des annuaires s'affiche.
  3. Dans le Tableau de bord de migration des annuaires, cliquez sur le lien Mise en route dans la section Installer les 20.01 Connector.

    Volet Installer les nouveaux connecteurs du Tableau de bord de migration des annuaires
  4. Sur la page Connecteurs, cliquez sur Nouveau.
    Affichage de la page Connecteurs
  5. Dans la fenêtre contextuelle de confirmation de l'utilisation des applications virtuelles, sélectionnez Utiliser les Workspace ONE Access 20.01 Connector si vous n'envisagez pas d'utiliser des applications virtuelles (intégrations Horizon, Horizon Cloud et Citrix).
    Si vous souhaitez utiliser des applications virtuelles, sélectionnez Utiliser les connecteurs hérités pour quitter le processus de migration.
    Question sur l'utilisation des applications virtuelles
  6. Suivez l'assistant Ajouter un connecteur pour télécharger le programme d'installation du connecteur et le fichier de configuration requis, puis installez le 20.01 Connector.
    Pour plus d'informations sur l'installation, consultez Installation de Workspace ONE Access Connector 20.01. Reportez-vous aux sections Conditions préalables et Installation de Workspace ONE Access Connector.
    Important : Lorsque vous installez le connecteur, veillez à installer les services Synchronisation de l'annuaire et Authentification utilisateur. Le service Authentification Kerberos est requis uniquement si la méthode d'authentification Kerberos est configurée sur l'un de vos connecteurs hérités.
  7. Une fois l'installation du connecteur terminée, revenez au Tableau de bord de migration des annuaires dans la console du service Workspace ONE Access.
  8. Dans la section Migrer vers les nouveaux connecteurs, migrez tous vos annuaires, un par un.
    Section Migration des annuaires du tableau de bord de migration
    La section Migrer vers les nouveaux connecteurs répertorie tous les annuaires Active Directory et LDAP de votre locataire. Vous devez migrer tous les annuaires répertoriés avant de pouvoir effectuer la migration.
    Note : La migration des annuaires à cette étape ne modifie pas l'annuaire, la méthode d'authentification ou la configuration du fournisseur d'identité existant, et ne prend effet qu'après avoir effectué un aperçu des modifications à l'étape suivante.
    1. Cliquez sur le bouton Migrer en regard de l'annuaire.
      L'assistant Migrer l'annuaire s'affiche. L'assistant est personnalisé pour l'annuaire que vous migrez. Des pages supplémentaires s'affichent pour les méthodes d'authentification qui sont configurées sur l'annuaire.
    2. Sur la page Annuaire, entrez le mot de passe de l'utilisateur Bind pour l'annuaire.
      La liste Hôtes synchronisation d'annuaire affiche les nouveaux 20.01 Connector sur lesquels le service Synchronisation de l'annuaire est installé. Sélectionnez un ou plusieurs hôtes à utiliser pour synchroniser l'annuaire.
      Assistant Migrer l'annuaire - page Annuaire
    3. (S'affiche uniquement si la méthode d'authentification Kerberos est configurée) Sur la page Kerberos, spécifiez les informations requises pour migrer la méthode d'authentification Kerberos.
      • Connecteur source : le connecteur source est présélectionné. Vous pouvez sélectionner un autre connecteur si le connecteur présélectionné n'est pas disponible.
      • Hôtes de l'authentification Kerberos : la liste affiche les nouveaux hôtes du 20.01 Connector sur lesquels le service Authentification Kerberos est installé. Sélectionnez un ou plusieurs hôtes à utiliser pour l'authentification Kerberos.

      Page Migrer l'annuaire - Kerberos

    4. Sur la page Mot de passe, spécifiez les informations requises pour migrer la méthode d'authentification Mot de passe.
      • Connecteur source : le connecteur source est présélectionné. Vous pouvez sélectionner un autre connecteur si le connecteur présélectionné n'est pas disponible.
      • Mot de passe Bind : entrez le mot de passe de l'utilisateur Bind pour l'annuaire.
      • Hôtes de l'authentification utilisateur : la liste affiche les nouveaux hôtes du 20.01 Connector sur lesquels le service Authentification utilisateur est installé. Sélectionnez un ou plusieurs hôtes à utiliser pour l'authentification Mot de passe.

      Migrer l'annuaire - Mot de passe

    5. (S'affiche uniquement si la méthode d'authentification RADIUS est configurée) Sur la page RADIUS, spécifiez les informations requises pour migrer la méthode d'authentification RADIUS.
      • Connecteur source : le connecteur source est présélectionné. Vous pouvez sélectionner un autre connecteur si le connecteur présélectionné n'est pas disponible.
      • Secret partagé : secret partagé pour le serveur RADIUS.
      • Hôtes de l'authentification utilisateur : la liste affiche les nouveaux hôtes du 20.01 Connector sur lesquels le service Authentification utilisateur est installé. Sélectionnez un ou plusieurs hôtes à utiliser pour l'authentification RADIUS.

      Page Migrer l'annuaire - RADIUS

    6. (S'affiche uniquement si la méthode d'authentification RSA SecurID est configurée) Sur la page SecurId, spécifiez les informations requises pour migrer la méthode d'authentification RSA SecurID.
      • Connecteur source : le connecteur source est présélectionné. Vous pouvez sélectionner un autre connecteur si le connecteur présélectionné n'est pas disponible.
      • Hôtes de l'authentification utilisateur : la liste affiche les nouveaux hôtes du 20.01 Connector sur lesquels le service Authentification utilisateur est installé. Sélectionnez un ou plusieurs hôtes à utiliser pour l'authentification RSA SecurID.

      Page Migrer l'annuaire - SecurID

    7. (S'affiche uniquement si l'authentification Kerberos est configurée) Sur la page Fournisseur d'identité, entrez le nom de domaine complet de l'équilibrage de charge du connecteur à utiliser pour le nouveau fournisseur d'identité qui sera créé pour l'authentification Kerberos lors de la migration.
      Le nom de domaine complet de l'équilibrage de charge actuel est affiché à titre de référence. Il s'agit de la valeur actuelle du champ Nom d'hôte IdP dans la page Fournisseur d'identité de l'annuaire.
      Si vous n'avez qu'un seul 20.01 Connector et aucun équilibrage de charge, entrez le nom de domaine complet du connecteur.
      Page Fournisseur d'identité de l'assistant Migrer l'annuaire
    8. Sur la page Résumé, vérifiez vos sélections, puis cliquez sur Enregistrer.
      Les données de migration de l'annuaire sont enregistrées. Vous pouvez afficher les paramètres en cliquant sur le bouton Résumé en regard de l'annuaire dans le Tableau de bord de migration des annuaires.
      Bouton Résumé affiché dans le volet Migration du tableau de bord
      Si vous souhaitez apporter des modifications aux informations que vous avez entrées, cliquez sur Recommencer dans la page Résumé. Cela supprime les données de migration que vous avez entrées pour l'annuaire et vous permet de migrer à nouveau l'annuaire.
      Résumé de l'annuaire
    9. Migrez le reste des annuaires.
    Une fois tous les annuaires migrés, l'étape Terminer la migration est activée.
  9. Dans la section Terminer la migration, cliquez sur Démarrer l'aperçu pour démarrer le processus de migration.
    Tableau de bord de migration - Démarrer l'aperçu
    Dans la phase Aperçu, les nouveaux 20.01 Connector sont utilisés. La synchronisation d'annuaire est effectuée par le nouveau service Synchronisation de l'annuaire, l'authentification utilisateur est effectuée par le nouveau service Authentification utilisateur et l'authentification Kerberos est effectuée par le nouveau service Authentification Kerberos. Vous ne pouvez pas apporter de modifications à vos annuaires, méthodes d'authentification ou fournisseurs d'identité, ni en créer de nouveaux. Vous pouvez afficher les fournisseurs d'identité convertis dans l'onglet Fournisseurs d'identité et les méthodes d'authentification converties dans les onglets Méthodes d'authentification d'entreprise. Toutes les méthodes d'authentification, à l'exception de Kerberos, sont en mode sortant.
    Important : Testez votre environnement dans la phase Aperçu et vérifiez qu'il fonctionne comme prévu. Vérifiez que la synchronisation de l'annuaire, la connexion de l'utilisateur et le lancement d'application fonctionnent.
  10. Si vous déterminez que votre environnement ne fonctionne pas correctement, ou si vous souhaitez apporter des modifications à vos annuaires, méthodes d'authentification ou fournisseurs d'identité, quittez l'étape Aperçu et revenez à l'utilisation des anciens connecteurs.
    Accédez à la page Gestion d'identités et d'accès > Gérer > Annuaires, cliquez sur Continuer la migration, puis cliquez sur Arrêter dans la section Terminer la migration du Tableau de bord de migration des annuaires.
    Volet Terminer la migration
    Si vous apportez des modifications à vos annuaires, méthodes d'authentification ou fournisseurs d'identité par la suite, assurez-vous de migrer à nouveau les annuaires dans la section Migrer vers les nouveaux connecteurs.
  11. Une fois que vous avez vérifié que votre environnement fonctionne comme prévu dans l'étape Aperçu et que vous êtes prêt à terminer la migration, revenez au Tableau de bord de migration des annuaires en accédant à la page Gestion d'identités et d'accès > Gérer > Annuaires et en cliquant sur Continuer la migration.
    Attention : Une fois la migration terminée, vous ne pouvez pas restaurer les anciens connecteurs.

    Cliquez sur Terminer pour terminer la migration.

    Tableau de bord de migration - section Terminer la migration

Résultats

Tous les annuaires sont migrés vers les nouveaux 20.01 Connector. Les nouveaux services Synchronisation de l'annuaire, Authentification utilisateur et Authentification Kerberos effectuent désormais la synchronisation d'annuaire et l'authentification utilisateur.

De nouveaux fournisseurs d'identité sont créés pour chaque annuaire et s'affichent dans l'onglet Fournisseurs d'identité avec le nom IDP migré pour directory. Les nouveaux fournisseurs d'identité sont de type Intégré. Pour l'authentification Kerberos, un fournisseur d'identité distinct de type Workspace_IDP est créé.

Toutes les méthodes d'authentification, à l'exception de l'authentification Kerberos, sont converties en méthodes sortantes et sont renommées avec le suffixe (déploiement de cloud). Par exemple, la méthode d'authentification Mot de passe est renommée Mot de passe (déploiement de cloud). Vous pouvez afficher et gérer les nouvelles méthodes d'authentification à partir de l'onglet Méthodes d'authentification d'entreprise.

Que faire ensuite

Lorsque la migration est terminée, vous pouvez désinstaller les anciens 19.03 Connector des serveurs sur lesquels ils sont installés.