Migrez vos annuaires existants vers les instances de Workspace ONE Access 20.10 Connector à l'aide du tableau de bord de migration. Le processus de migration est une approche intermédiaire qui vous permet de tester votre environnement avec les nouveaux connecteurs avant de terminer la migration.

Le processus de migration inclut les étapes suivantes :

  • Installer les nouvelles instances de 20.10 Connector

    Installez les nouvelles instances de 20.10 Connector, qui contiennent les services Synchronisation d'annuaire, Authentification utilisateur et Authentification Kerberos. Installez au minimum les services Synchronisation d'annuaire et Authentification utilisateur. Installez le service Authentification Kerberos si la méthode d'authentification Kerberos est configurée.

  • Migrer vers les nouveaux connecteurs

    Lors de cette étape, migrez toutes vos données d'annuaire à l'aide de l'assistant Migrer l'annuaire. La plupart des informations requises sont préremplies à partir de votre environnement. Entrez des valeurs sensibles, telles que le mot de passe de l'utilisateur Bind de l'annuaire.

    La migration des annuaires à ce stade ne modifie aucun annuaire, méthode d'authentification ou configuration de fournisseur d'identité existant. Vous utilisez toujours les anciens connecteurs. Les modifications ne prendront effet qu'après l'étape Aperçu à l'étape suivante.

  • Aperçu

    En mode Aperçu, prévisualisez votre environnement avec les nouvelles instances de 20.10 Connector. Les nouveaux services Synchronisation d'annuaire, Authentification utilisateur et Authentification Kerberos des instances de 20.10 Connector effectuent la synchronisation d'annuaire et l'authentification utilisateur. Toutes les méthodes d'authentification, à l'exception de Kerberos, sont en mode sortant.

    L'étape Aperçu permet de tester votre environnement de manière approfondie avec les nouveaux services. Vérifiez que la synchronisation d'annuaire, l'authentification de l'utilisateur et le lancement d'application fonctionnent comme prévu.

    En mode Aperçu, vous ne pouvez apporter aucune modification à vos annuaires, méthodes d'authentification ou fournisseurs d'identité, ni en ajouter de nouveaux.

    Depuis l'étape Aperçu, vous pouvez revenir à l'utilisation des anciens connecteurs. Lorsque vous effectuez une restauration, les données d'annuaire que vous avez migrées à l'étape précédente sont toujours conservées. Si vous apportez des modifications ultérieurement à l'un de vos annuaires, méthodes d'authentification ou fournisseurs d'identité existants, assurez-vous de migrer à nouveau les données d'annuaire.

  • Terminer la migration

    Une fois que vous êtes satisfait du test de votre nouvel environnement, terminez la migration. Une fois la migration terminée, vous ne pouvez pas revenir à l'utilisation des anciens connecteurs.

Conditions préalables

  • Consultez les conditions requises dans le Migration vers des instances de VMware Workspace ONE Access 20.10 Connector.
  • Vérifiez que tous les connecteurs de votre environnement sont de version 19.03.x. Si des connecteurs sont d'une version antérieure, mettez-les à niveau vers la version 19.03.x.
  • Préparez un ou plusieurs serveurs Windows pour les nouvelles instances de 20.10 Connector. Consultez Recommandations sur le dimensionnement dans la section Installation de Workspace ONE Access Connector 20.10.

    Vous pouvez installer 20.10 Connector sur un nouveau serveur ou sur le serveur 19.03.x Connector hérité. Cependant, si l'authentification Kerberos est configurée sur votre connecteur hérité, vous devez utiliser un serveur Windows distinct pour installer le service Authentification Kerberos 20.10. N'installez pas le nouveau service Authentification Kerberos sur le serveur 19.03.x Connector. Workspace ONE Access ne prend pas en charge plusieurs instances de Kerberos sur le même serveur.

    Si l'authentification Kerberos n'est pas configurée sur votre connecteur hérité et si vous souhaitez installer la nouvelle instance de 20.10 Connector sur le serveur 19.03 x Connector hérité, reportez-vous à la section Migration vers la dernière version de Connector sur un serveur Windows exécutant Workspace ONE Access 19.03.x pour obtenir la configuration requise supplémentaire.

  • Si vous disposez d'une instance de service Workspace ONE Access sur site, mettez-la à niveau vers la version 20.10 avant de migrer les connecteurs.
  • Si la méthode d'authentification RSA SecurID est configurée pour l'un de vos annuaires, effacez le champ Nœud secret dans la console de sécurité RSA.

    De plus, si vous installez le service Authentification utilisateur sur un nouveau serveur Windows, ajoutez le serveur Windows en tant qu'agent dans le serveur SecurID avant de démarrer la migration du connecteur.

  • Si des fournisseurs d'identité sont associés à plusieurs annuaires, modifiez la configuration afin que chaque fournisseur d'identité soit uniquement associé à un seul annuaire.
  • Assurez-vous que le processus de synchronisation d'annuaire n'est pas en cours d'exécution pour l'un des annuaires avant de démarrer le processus de migration.
  • Si vous avez activé la fonctionnalité People Search, assurez-vous que le processus de synchronisation des photos n'est pas en cours d'exécution pour l'un des annuaires avant de démarrer le processus de migration.
  • Si vous migrez une instance de 19.03.x Connector sans annuaire qui lui est associé, sachez que lorsque vous sélectionnez Workspace ONE Access Connector 20.10 à l'étape 5, la migration est considérée comme terminée et 19.03.x Connector est supprimé du service. Si vous décidez ultérieurement d'utiliser des connecteurs hérités et de modifier la sélection de Connector à l'aide du bouton Réinitialiser l'utilisation des applications virtuelles, 19.03.x Connector ne s'affiche pas. Vous devrez réinstaller 19.03.x Connector pour le réactiver avec le service.

Procédure

  1. Cliquez sur l'onglet Gestion des identités et des accès.
    La page de migration s'affiche.
    Page de migration
  2. Vérifiez la configuration requise, puis cliquez sur Oui.
    Le Tableau de bord de migration des annuaires s'affiche.
  3. Dans le Tableau de bord de migration des annuaires, cliquez sur le lien Mise en route dans la section Installer une ou plusieurs instances de 20.01 Connector ou une version ultérieure.

    Volet Installer les nouveaux connecteurs du Tableau de bord de migration des annuaires
  4. Sur la page Connecteurs, cliquez sur Nouveau.
    Affichage de la page Connecteurs
  5. Dans la fenêtre contextuelle de confirmation d'utilisation des applications virtuelles, sélectionnez Workspace ONE Access Connector 20.10 si vous n'envisagez pas d'utiliser des applications virtuelles (intégrations Horizon, Horizon Cloud et Citrix).
    Si vous souhaitez utiliser des applications virtuelles, sélectionnez Connecteurs hérités pour quitter le processus de migration. Les applications virtuelles sont uniquement prises en charge avec les connecteurs hérités.
    Question sur l'utilisation des applications virtuelles
    Important : Faites votre choix judicieusement, en tenant compte des besoins de votre entreprise. Si vous souhaitez modifier votre sélection ultérieurement, vous pouvez le faire jusqu'à un certain point du processus de migration. Voir Réinitialisation de l'option d'utilisation des applications virtuelles dans Workspace ONE Access.
  6. Suivez l'assistant Ajouter un connecteur pour télécharger le programme d'installation du connecteur et le fichier de configuration requis, puis installez le nouveau connecteur.
    Pour plus d'informations sur l'installation, consultez Installation de VMware Workspace ONE Access Connector 20.10. En particulier, reportez aux sections Conditions préalables à l'installation de Workspace ONE Access Connector et Installation de Workspace ONE Access Connector.
    Important : Lorsque vous installez le connecteur, veillez à installer les services Synchronisation d'annuaire et Authentification utilisateur. Le service Authentification Kerberos est requis uniquement si la méthode d'authentification Kerberos est configurée sur l'un de vos connecteurs hérités.
  7. Une fois l'installation du connecteur terminée, revenez au Tableau de bord de migration des annuaires dans la console du service Workspace ONE Access.
  8. Dans la section Migrer vers les nouveaux connecteurs, migrez tous vos annuaires, un par un.
    Section Migration des annuaires du tableau de bord de migration
    La section Migrer vers les nouveaux connecteurs répertorie tous les annuaires Active Directory et LDAP de votre locataire. Vous devez migrer tous les annuaires répertoriés avant de pouvoir effectuer la migration.
    Note : La migration des annuaires à cette étape ne modifie pas l'annuaire, la méthode d'authentification ou la configuration du fournisseur d'identité existant, et ne prend effet qu'après avoir effectué un aperçu des modifications à l'étape suivante.
    1. Cliquez sur le bouton Migrer en regard de l'annuaire.
      L'assistant Migrer l'annuaire s'affiche. L'assistant est personnalisé pour l'annuaire que vous migrez. Des pages supplémentaires s'affichent pour les méthodes d'authentification qui sont configurées sur l'annuaire.
    2. Sur la page Annuaire, entrez le mot de passe de l'utilisateur Bind pour l'annuaire.
      La liste Hôte(s) de synchronisation d'annuaire affiche les nouveaux hôtes de 20.10 Connector sur lesquels le service Synchronisation d'annuaire est installé. Sélectionnez un ou plusieurs hôtes à utiliser pour synchroniser l'annuaire.
      Assistant Migrer l'annuaire - page Annuaire
    3. (S'affiche uniquement si la méthode d'authentification Kerberos est configurée) Sur la page Kerberos, spécifiez les informations requises pour migrer la méthode d'authentification Kerberos.
      • Connecteur source : le connecteur source est présélectionné. Vous pouvez sélectionner un autre connecteur si le connecteur présélectionné n'est pas disponible.
      • Hôtes de l'authentification Kerberos : la liste affiche les nouveaux hôtes de 20.10 Connector sur lesquels le service Authentification Kerberos est installé. Sélectionnez un ou plusieurs hôtes à utiliser pour l'authentification Kerberos.

      Page Migrer l'annuaire - Kerberos

    4. Sur la page Mot de passe, spécifiez les informations requises pour migrer la méthode d'authentification Mot de passe.
      • Connecteur source : le connecteur source est présélectionné. Vous pouvez sélectionner un autre connecteur si le connecteur présélectionné n'est pas disponible.
      • Mot de passe Bind : entrez le mot de passe de l'utilisateur Bind pour l'annuaire.
      • Hôte(s) d'authentification utilisateur : la liste affiche les nouveaux hôtes de 20.10 Connector sur lesquels le service Authentification utilisateur est installé. Sélectionnez un ou plusieurs hôtes à utiliser pour l'authentification Mot de passe.

      Migrer l'annuaire - Mot de passe

    5. (S'affiche uniquement si la méthode d'authentification RADIUS est configurée) Sur la page RADIUS, spécifiez les informations requises pour migrer la méthode d'authentification RADIUS.
      • Connecteur source : le connecteur source est présélectionné. Vous pouvez sélectionner un autre connecteur si le connecteur présélectionné n'est pas disponible.
      • Secret partagé : secret partagé pour le serveur RADIUS.
      • Hôte(s) d'authentification utilisateur : la liste affiche les nouveaux hôtes de 20.10 Connector sur lesquels le service Authentification utilisateur est installé. Sélectionnez un ou plusieurs hôtes à utiliser pour l'authentification RADIUS.

      Page Migrer l'annuaire - RADIUS

    6. (S'affiche uniquement si la méthode d'authentification RSA SecurID est configurée) Sur la page SecurId, spécifiez les informations requises pour migrer la méthode d'authentification RSA SecurID.
      • Connecteur source : le connecteur source est présélectionné. Vous pouvez sélectionner un autre connecteur si le connecteur présélectionné n'est pas disponible.
      • Hôte(s) d'authentification utilisateur : la liste affiche les nouveaux hôtes de 20.10 Connector sur lesquels le service Authentification utilisateur est installé. Sélectionnez un ou plusieurs hôtes à utiliser pour l'authentification RSA SecurID.

      Page Migrer l'annuaire - SecurID

    7. (S'affiche uniquement si l'authentification Kerberos est configurée) Sur la page Fournisseur d'identité, entrez le nom de domaine complet de l'équilibrage de charge du connecteur à utiliser pour le nouveau fournisseur d'identité qui sera créé pour l'authentification Kerberos lors de la migration.
      Le nom de domaine complet de l'équilibrage de charge actuel est affiché à titre de référence. Il s'agit de la valeur actuelle du champ Nom d'hôte IdP dans la page Fournisseur d'identité de l'annuaire.
      Si vous n'avez qu'une seule instance de 20.10 Connector et aucun équilibrage de charge, entrez le nom de domaine complet du connecteur.
      Page Fournisseur d'identité de l'assistant Migrer l'annuaire
    8. Sur la page Résumé, vérifiez vos sélections, puis cliquez sur Enregistrer.
      Les données de migration des annuaires sont enregistrées. Vous pouvez afficher les paramètres en cliquant sur le bouton Résumé en regard de l'annuaire dans le Tableau de bord de migration des annuaires.
      Bouton Résumé affiché dans le volet Migration du tableau de bord
      Si vous souhaitez apporter des modifications aux informations que vous avez entrées, cliquez sur Recommencer dans la page Résumé. Cela supprime les données de migration que vous avez entrées pour l'annuaire et vous permet de migrer à nouveau l'annuaire.
      Résumé de l'annuaire
    9. Migrez le reste des annuaires.
    Une fois tous les annuaires migrés, l'étape Terminer la migration est activée.
  9. Dans la section Terminer la migration, cliquez sur Démarrer l'aperçu pour démarrer le processus de migration.
    Tableau de bord de migration - Démarrer l'aperçu
    Dans la phase Aperçu, les nouvelles instances de 20.10 Connector sont utilisées. La synchronisation d'annuaire est effectuée par le nouveau service Synchronisation d'annuaire, l'authentification utilisateur est effectuée par le nouveau service Authentification utilisateur et l'authentification Kerberos est effectuée par le nouveau service Authentification Kerberos. Vous ne pouvez pas apporter de modifications à vos annuaires, méthodes d'authentification ou fournisseurs d'identité, ni en créer de nouveaux. Vous pouvez afficher les fournisseurs d'identité convertis dans l'onglet Fournisseurs d'identité et les méthodes d'authentification converties dans les onglets Méthodes d'authentification d'entreprise. Toutes les méthodes d'authentification, à l'exception de Kerberos, sont en mode sortant.

    Si la fonctionnalité People Search était activée dans votre déploiement du service Workspace ONE Access, vous devez synchroniser manuellement les annuaires sans les paramètres de sécurité. Dans la console Workspace ONE Access, sélectionnez l'annuaire sur la page Gestion des identités et des accès > Annuaires et cliquez sur Synchroniser > Synchroniser sans protection.

    Important : Testez votre environnement dans la phase Aperçu et vérifiez qu'il fonctionne comme prévu. Vérifiez que la synchronisation d'annuaire, la connexion de l'utilisateur et le lancement d'application fonctionnent.
  10. Si vous déterminez que votre environnement ne fonctionne pas correctement, ou si vous souhaitez apporter des modifications à vos annuaires, méthodes d'authentification ou fournisseurs d'identité, quittez l'étape Aperçu et revenez à l'utilisation des anciens connecteurs.
    Accédez à la page Gestion des identités et des accès > Gérer > Annuaires, cliquez sur Continuer la migration, puis cliquez sur Arrêter dans la section Terminer la migration du Tableau de bord de migration des annuaires.
    Volet Terminer la migration
    Si vous apportez des modifications à vos annuaires, méthodes d'authentification ou fournisseurs d'identité par la suite, assurez-vous de migrer à nouveau les annuaires dans la section Migrer vers les nouveaux connecteurs.
  11. Après avoir vérifié que votre environnement fonctionne comme prévu dans l'étape Aperçu et que vous êtes prêt à terminer la migration, revenez au Tableau de bord de migration des annuaires en accédant à la page Gestion des identités et des accès > Gérer > Annuaires et en cliquant sur Continuer la migration.
    Attention : Une fois la migration terminée, vous ne pouvez pas restaurer les anciens connecteurs.

    Cliquez sur Terminer pour terminer la migration.

    Tableau de bord de migration - section Terminer la migration

Résultats

Tous les annuaires sont migrés vers les nouvelles instances de 20.10 Connector. Les nouveaux services Synchronisation d'annuaire, Authentification utilisateur et Authentification Kerberos effectuent désormais la synchronisation d'annuaire et l'authentification utilisateur.

De nouveaux fournisseurs d'identité sont créés pour chaque annuaire et s'affichent dans l'onglet Fournisseurs d'identité avec le nom IDP migré pour directory. Les nouveaux fournisseurs d'identité sont de type Intégré. Pour l'authentification Kerberos, un fournisseur d'identité distinct de type Workspace_IDP est créé.

Toutes les méthodes d'authentification, à l'exception de l'authentification Kerberos, sont converties en méthodes sortantes et sont renommées avec le suffixe (déploiement de cloud). Par exemple, la méthode d'authentification Mot de passe est renommée Mot de passe (déploiement de cloud). Vous pouvez afficher et gérer les nouvelles méthodes d'authentification à partir de l'onglet Méthodes d'authentification d'entreprise.

Que faire ensuite

Lorsque la migration est terminée, vous pouvez désinstaller les anciennes instances de 19.03.x Connector des serveurs sur lesquels ils sont installés.