Per aggiornare Workspace ONE Access Connector 20.10.x o 20.01.x basato su Windows alla versione 21.08, scaricare il nuovo programma di installazione da My VMware nel server del connettore ed eseguire il programma di installazione. Non è necessario disinstallare la vecchia versione del connettore.

Durante l'aggiornamento, i servizi Sincronizzazione directory, Autenticazione utente e Autenticazione Kerberos esistenti sono sospesi. I servizi vengono riavviati automaticamente al termine dell'aggiornamento.

Considerazioni importanti

  • Se si intende installare il servizio App virtuale, è necessario scaricare e utilizzare un nuovo file di configurazione es-config.json dalla console di Workspace ONE Access per stabilire la connessione tra il servizio Workspace ONE Access e il connettore. Se non si sta installando il servizio App virtuale, non è necessario un nuovo file di configurazione. Il connettore aggiornato può utilizzare lo stesso file di configurazione utilizzato dal connettore esistente.
    Nota: Se la password del file di configurazione es-config.json esistente contiene il carattere & o %, generare un nuovo file di configurazione con una password che non contenga questi caratteri. I caratteri & e % non sono supportati.
  • La configurazione del metodo di autenticazione RSA SecurID (distribuzione cloud) è stata modificata nella versione 21.08. Se è stato configurato il metodo di autenticazione RSA SecurID (distribuzione cloud), è necessario eliminarlo dai criteri di accesso prima di aggiornare tutte le istanze del servizio Autenticazione utente e quindi riconfigurarlo dopo l'aggiornamento. Poiché ciò comporta un tempo di inattività degli accessi basati su RSA SecurID, pianificare l'orario dell'aggiornamento di conseguenza.

    I passaggi generali per eseguire l'aggiornamento sono:

    1. Verificare di utilizzare l'appliance RSA Authentication Manager 8.2 SP1 (o versioni successive), la quale è supportata da Workspace ONE Access Connector 21.08.
    2. Prima di aggiornare il connettore, rimuovere il metodo di autenticazione RSA SecurID (distribuzione cloud) dai criteri di accesso in cui viene utilizzato.
    3. Aggiornare tutti i connettori in cui è installato il servizio Autenticazione utente alla versione 21.08.
    4. Se un server proxy è configurato con i connettori, verificare che la porta di comunicazione configurata per il server RSA Authentication Manager sia aperta nel server proxy.
    5. Se sono state distribuite più istanze del server RSA Authentication Manager, è necessario configurarle dietro un bilanciamento del carico e che vengano soddisfatti i requisiti di Workspace ONE Access per il bilanciamento del carico.
    6. Nella console di RSA Security, verificare che Connector sia stato aggiunto come agente di autenticazione utilizzando il nome di dominio completo, ad esempio connectorserver.example.com.
    7. Aggiornare la configurazione del metodo di autenticazione RSA SecurID (distribuzione cloud).
    8. Aggiungere il metodo di autenticazione RSA SecurID (distribuzione cloud) ai criteri di accesso.
  • Assicurarsi di aggiornare tutte le istanze del connettore in cui è installato il servizio Autenticazione utente alla versione 21.08. Workspace ONE Access non supporta la combinazione di versioni 21.08 e 20.x del servizio Autenticazione utente.
  • Workspace ONE Access Connector 21.08 supporta i tipi di proxy seguenti:
    • Proxy HTTP non autenticati
    • Proxy HTTPS (SSL) non autenticati
    • Proxy HTTPS (SSL) autenticati

Prerequisiti

  • Rivedere Aggiornamento a VMware Workspace ONE Access Connector 21.08.
  • Se l'installazione del connettore si trova in un server Windows virtuale, creare uno snapshot della macchina virtuale prima di eseguire l'aggiornamento.
  • Se si intende installare i servizi Autenticazione Kerberos o App virtuale, assicurarsi di unire il server del connettore al dominio.
  • Se è stato configurato il metodo di autenticazione RSA SecurID (distribuzione cloud), assicurarsi di utilizzare l'appliance RSA Authentication Manager versione 8.2 SP1 (o versioni successive).
  • Se è stato configurato il metodo di autenticazione RSA SecurID (distribuzione cloud), rimuovere il metodo di autenticazione dai criteri di accesso prima di aggiornare tutte le istanze del connettore in cui è installato il servizio Autenticazione utente.
    1. Nella console di Workspace ONE Access, accedere alla pagina Gestione identità e accessi > Gestisci > Criteri.
    2. Rivedere ogni criterio e rimuovere il metodo di autenticazione RSA SecurID (distribuzione cloud) se appartenente al criterio.

      Prendere nota delle modifiche apportate in modo da disporre delle informazioni necessarie per aggiungere nuovamente il metodo di autenticazione dopo l'aggiornamento del connettore.

  • Se si esegue l'aggiornamento della versione 20.01.x ed è stata configurata una directory di tipo Active Directory su un'utenticazione integrata di Windows (IWA), disabilitare l'opzione STARTTLS nella configurazione della directory nella console di Workspace ONE Access prima di eseguire l'aggiornamento a Connector 21.08. Dopo l'aggiornamento, la funzionalità di Active Directory su IWA non sarà compatibile con l'opzione STARTTLS.

    Per modificare la configurazione della directory, passare alla pagina Gestione identità e accessi > Gestisci > Directory, selezionare la directory, deselezionare la casella di controllo Questa directory richiede che tutte le connessioni utilizzino STARTTLS e fare clic su Salva.

    Nota: Se è stato applicato l' hotfix descritto nell'articolo della Knowledge base 77158 in Connector 20.01 o è stato eseguito l'aggiornamento a Connector 20.01.0.1 o 20.10, è possibile che sia già stata disabilitata l'opzione STARTTLS per Active Directory su IWA. Verificare che l'impostazione sia deselezionata.
  • Nella console di Workspace ONE Access, sospendere i servizi del connettore attualmente installati.
    1. Accedere alla pagina Gestione identità e accessi > Configurazione > Connettori.
    2. Selezionare il connettore e fare clic su Gestione.
    3. Fare clic sull'interruttore accanto al nome di ciascun servizio per sospenderlo.
  • Sono necessarie le seguenti informazioni sull'account:
    • Credenziali di My VMware
    • Se il servizio Autenticazione Kerberos è già stato installato, le credenziali dell'utente del dominio utilizzate per eseguire il servizio
    • Se si intende installare il servizio Autenticazione Kerberos o il servizio App virtuale durante l'aggiornamento, è necessario disporre di un account utente del dominio per eseguire questi servizi. Sebbene questi servizi vengano eseguiti con i privilegi di account utente del dominio, i servizi Sincronizzazione directory e Autenticazione utente vengono eseguiti con privilegi inferiori.
    • Se si utilizza il metodo di autenticazione RSA SecurID (distribuzione cloud), è necessario che le credenziali della console di RSA Security ottengano le informazioni necessarie per riconfigurare il metodo di autenticazione nella console di Workspace ONE Access dopo l'aggiornamento di tutte le istanze del connettore.

Procedura

  1. Se è necessario un nuovo file di configurazione, generarlo dalla console di Workspace ONE Access.
    1. Accedere alla console di Workspace ONE Access come amministratore del dominio di sistema.
      Suggerimento: Nelle distribuzioni cloud, l'amministratore del dominio di sistema è l'amministratore di cui si ricevono le credenziali quando si ottiene il tenant di Workspace ONE Access. Nelle distribuzioni locali, l'amministratore del dominio di sistema è l'utente amministratore che viene creato quando si installa un'istanza di Workspace ONE Access.
    2. Passare alla pagina Gestione identità e accessi > Configurazione > Connettori.
    3. Fare clic su Nuovo.
    4. Nella procedura guidata Aggiungi nuovo connettore, fare clic su Avanti.
    5. Nella pagina Scarica il file di configurazione, generare il file di configurazione creando una password e facendo clic su Scarica il file di configurazione.
      La password deve avere una lunghezza minima di 14 caratteri e includere un carattere maiuscolo, un carattere minuscolo, una numero e un carattere speciale. Non utilizzare i caratteri & e %. Tutti i caratteri devono essere caratteri ASCII visibili e stampabili.
      Il file di configurazione viene utilizzato per stabilire la comunicazione tra i servizi Enterprise installati e il tenant di Workspace ONE Access. Per impostazione predefinita, il file è denominato es-config.json.
      Attenzione: Il file di configurazione contiene informazioni riservate quali l'URL del tenant, l'ID del tenant, l'ID client e il segreto del client per ciascun servizio Enterprise, nonché l'hash della password. È di fondamentale importanza non condividere il file né esporlo pubblicamente.
    6. Trasferire il file di configurazione nel server del connettore.
  2. Scaricare Workspace ONE Access Connector 21.08.0.0 da My VMware.
    1. Accedere a https://my.vmware.com.
    2. Accedere alla pagina di download di VMware Workspace ONE Access 21.08.
    3. Scaricare Workspace ONE Access Connector 21.08.0.0.
  3. Salvare il file del programma di installazione nel server Windows in cui è installata la versione precedente del connettore.
  4. Fare doppio clic sul file Workspace One Access Connector Installer.exe per eseguire il programma di installazione.
    Il programma di installazione rileva che è necessario un aggiornamento e indica all'utente come eseguire il processo di aggiornamento. Nella procedura guidata viene visualizzata una pagina di aggiornamento.
  5. Eseguire la procedura guidata per aggiornare il connettore.
    Durante l'aggiornamento, tenere presente quanto segue:
    • Durante l'aggiornamento, il programma di installazione installa OpenJDK 8.
    • Durante l'aggiornamento, è possibile modificare le impostazioni dei servizi esistenti. È inoltre possibile installare servizi aggiuntivi. Ad esempio, è possibile installare il nuovo servizio App virtuale. In alternativa, se l'installazione esistente include solo il servizio Sincronizzazione directory e si desidera installare i servizi Autenticazione utente e Autenticazione Kerberos, è possibile eseguire l'operazione durante l'aggiornamento.

      Vedere Installazione di VMware Workspace ONE Access Connector 21.08 per informazioni su requisiti, le dimensioni, l'installazione e le impostazioni.

    • Con Connector 21.08 è possibile specificare più server syslog esterni per archiviare i messaggi degli eventi a livello di applicazione, anziché limitarli a un solo server. È possibile immettere i server syslog nella pagina Specifica informazioni server syslog della procedura guidata durante l'aggiornamento.

      Utilizzare il seguente formato:

      host:port,host:port,host:port

      dove host è il nome di dominio completo o l'indirizzo IP del disco di sistema e porta è il numero della porta. Ad esempio:

      syslog1.example.com:514,syslog2.example.com:601,syslog3.example.com:163

  6. Al termine dell'aggiornamento, verificare che i servizi aggiornati siano in esecuzione nel server Windows.
    I servizi del connettore hanno i seguenti nomi:
    • Servizio Sincronizzazione directory di VMware
    • Servizio di autenticazione degli utenti di VMware
    • Servizio di autenticazione Kerberos di VMware
    • Servizio App virtuale di VMware

    I servizi mostrano lo stato In esecuzione.

risultati

In questo modo, viene completato l'aggiornamento del connettore. È possibile verificare che la nuova versione del connettore sia installata passando a Pannello di controllo > Programmi > Programmi e funzionalità nel server Windows e controllando che la versione del connettore sia presente.

Operazioni successive

  • Nella console di Workspace ONE Access, fare clic sull'icona di aggiornamento nella pagina Gestione identità e accessi > Configura > Connettori. Verificare quindi che i servizi aggiornati siano attivi e che lo stato di integrità sia verde.
    Ad esempio:
    la pagina Connettori elenca un connettore con i servizi Sincronizzazione directory, Autenticazione utente, Autenticazione Kerberos e App virtuale installati. Tutti i servizi sono attivi e viene visualizzata una casella di controllo verde nella colonna Integrità.
  • Se il metodo di autenticazione RSA SecurID (distribuzione cloud) è stato configurato nell'installazione originale, riconfigurare il metodo di autenticazione dopo l'aggiornamento di tutte le istanze del connettore in cui è installato il servizio Autenticazione utente.
    1. Se sono state distribuite più istanze del server RSA Authentication Manager, è necessario configurarle dietro un bilanciamento del carico e che vengano soddisfatti i requisiti di Workspace ONE Access per il bilanciamento del carico. Vedere Requisiti di Workspace ONE Access per il bilanciamento del carico RSA SecurID.
    2. Se un server proxy è configurato con i connettori, verificare che la porta di comunicazione configurata per il server RSA Authentication Manager sia aperta nel server proxy.
    3. Nella console di RSA Security, verificare che Connector sia stato aggiunto come agente di autenticazione utilizzando il nome di dominio completo, ad esempio connectorserver.example.com. Se Connector è già stato aggiunto come agente di autenticazione utilizzando il nome NetBIOS anziché il nome di dominio completo, aggiungere un'altra voce utilizzando il nome di dominio completo. Lasciare vuoto il campo dell'indirizzo IP per la nuova voce. Non eliminare la vecchia voce.
    4. Aggiornare la configurazione del metodo di autenticazione RSA SecurID (distribuzione cloud) per tutte le directory che la includevano nell'installazione originale.

      Per informazioni sulla nuova configurazione, vedere Configurazione dell'autenticazione RSA SecurID in Workspace ONE Access.

    5. Aggiungere il metodo di autenticazione RSA SecurID (distribuzione cloud) a tutti i criteri di accesso che lo includevano nell'installazione originale.

      È possibile modificare i criteri di accesso dalla pagina Gestione identità e accessi > Gestisci > Criteri.