VMware Identity Manager 3.3.3 | Ottobre 2020 | Build 17121420 VMware Identity Manager (Windows) 3.3.3 | Ottobre 2020 | Build VMware Identity Manager Connector Installer.exe Data rilascio: Novembre 2020 Aggiornamento: 17 dicembre 2021 25 gennaio 2021 18 dicembre 2020 8 dicembre 2020

17/12/2021 È stato stabilito che questa versione è interessata da CVE-2021-44228 e CVE-2021-45046. Sono disponibili correzioni e soluzioni per ovviare a questo problema. Per ulteriori informazioni, vedere VMware Security Advisory VMSA-2021-0028.

17/12/2021 Questa versione è interessata anche da CVE-2021-22056. Sono disponibili correzioni e soluzioni per ovviare a questo problema. Per ulteriori informazioni, vedere VMware Security Advisory VMSA-2021-0030.

08/12/2020       È stato stabilito che questa versione è interessata da CVE-2020-4006. Sono disponibili correzioni e soluzioni per ovviare a questo problema. Per ulteriori informazioni, vedere VMSA-2020-0027.

Contenuto del documento

Le note di rilascio riguardano i seguenti argomenti.

• Prodotti che possono essere aggiornati a VMware Identity Manager 3.3.3
• Novità della versione 3.3.3
• Internazionalizzazione
• Compatibilità, installazione e aggiornamento
• Documentazione
• Problemi noti

Prodotti di VMware che possono essere aggiornati a VMware Identity Manager 3.3.3

• Prodotti VMware vRealize come vRealize Automation, vRealize Suite Lifecycle Manager (vRSLCM), vRealize Operations, vRealize Business, vRealize Log Insight e vRealize Network Insight per autenticazione e SSO

  • I prodotti vRealize distribuiti e gestiti tramite vRealize Suite Lifecycle Manager possono utilizzare solo VMware Identity Manager 3.3.1, 3.3.2 o 3.3.3.

  • vRealize Suite Lifecycle Manager può ora gestire una nuova installazione di VMware Identity Manager 3.3.3 oppure un aggiornamento alla versione 3.3.3 da VMware Identity Manager 3.3.1 o 3.3.2.

• VMware NSX-T Data Center per autenticazione e SSO
  • NSX-T può essere distribuito con VMware Identity Manager
  • 3.3.3 o un aggiornamento alla versione 3.3.3 da VMware Identity Manager 3.3.1 o 3.3.2.

Novità di VMware Identity Manager 3.3.3

• Migrazione Photon OS

  In VMware Identity Manager 3.3.3, il sistema operativo sottostante è stato migrato da SUSE Linux 11 SP4 a VMware Photon 3.0. Photon 3.0 consente di risolvere vulnerabilità di sicurezza note ed è uno stack software aggiornato. 

• Supporto della migrazione del tenant da vRA 7.5/vRA 7.6 a VMware Identity Manager
• Modifiche della configurazione della distribuzione predefinita

  Al momento della distribuzione è possibile scegliere diverse opzioni per le dimensioni di CPU e memoria in base ai requisiti

  • Disco rigido di 100 GB
  • 8 GB RAM
  • 4 vCPU
  • Molto piccole: 4 CPU/8 GB di memoria
  • Piccole 6 CPU/10 GB di memoria
  • Medie: 8 CPU/16 GB di memoria
  • Grandi: 10 CPU/16 GB di memoria
  • Molto grandi: 12 CPU/32 GB di memoria
  • Aggiornamento: 25 gennaio 2021 Grandissime: 14 CPU/48 GB di memoria
• Supporto dei certificati chiave a 4096 bit

  Ora sono supportati i certificati SSL chiave a 4096 bit per il servizio e il connettore. Grazie a questa implementazione, è possibile aumentare la potenza della crittografia dei certificati SSL.

• Migrazione del connettore da incorporato a esterno per i casi d'uso di IWA/Kerberos

  Aggiornamento: 18 dicembre 2020 VMware Identity Manager 3.3.3 non supporta IWA (Integrated Windows Authentication) con il connettore Linux incorporato. Ciò non influisce sui clienti di vRA 8.x che utilizzano LDAP o IWA con il connettore Windows esterno. Per ulteriori dettagli, fare riferimento a https://kb.vmware.com/s/article/82013.

• L'operatore può reimpostare la password della console (o la password dell'operatore) utilizzando il comando hznAdminTool:

   /usr/sbin/hznAdminTool setOperatorPassword

Internazionalizzazione

VMware Identity Manager 3.3 è disponibile nelle lingue seguenti.

• Inglese
• Francese
• Tedesco
• Spagnolo
• Giapponese
• Cinese semplificato
• Coreano
• Cinese tradizionale
• Russo
• Italiano
• Portoghese (Brasile)
• Olandese

Compatibilità, installazione e aggiornamento

Compatibilità di VMware vCenter™ e VMware ESXi™

L'appliance di VMware Identity Manager supporta le versioni seguenti di vSphere ed ESXi.

• 6.5 U3, 6.7 U2, 6.7 U3, 7

Compatibilità dei componenti

Versioni di Windows Server supportate

• Windows Server 2012 R2
• Windows Server 2016

Browser Web supportati

• Mozilla Firefox, versione più recente
• Google Chrome 42.0 o versioni successive
• Internet Explorer 11
• Safari 6.2.8 o versioni successive
• Microsoft Edge, versione più recente

Database supportato

• Postgres 9.6.19
• MS SQL 2012, 2014 e 2016

Server di directory supportati

• Active Directory in Windows Server 2012 R2, 2016 e 2019 con un livello di funzionalità del dominio e della foresta di Windows 2003 e versioni successive.
• OpenLDAP - 2.4.42
• Oracle LDAP - Directory Server Enterprise Edition 11g, Release 1 (11.1.1.7.0)
• IBM Tivoli LDAP - IBM Security Directory Server 6.3.1

Aggiornamento: versioni di componenti non più supportate

• Windows Server 2008 R2
• Windows Server 2012

Ciò influisce su Workspace ONE Access Connector o database che potrebbero essere installati in queste versioni di Windows Server. Influisce anche su Active Directory se è in esecuzione in tali versioni di Windows Server.

La matrice di interoperabilità dei prodotti VMware fornisce dettagli sulla compatibilità della versione corrente e di quelle precedenti dei prodotti e dei componenti VMware.

Per gli altri requisiti di sistema, vedere la guida all'installazione di VMware Identity Manager per la versione 3.3 nel centro della documentazione di VMware Workspace ONE Access.

Aggiornamento a VMware Identity Manager 3.3.3

Nota:

• Per accedere alla pagina Impostazioni appliance nella console di Workspace ONE Access, assicurarsi di disporre del ruolo Operatore per il tenant predefinito.
• Per configurare le impostazioni SMTP, è necessario accedere come utente operatore del tenant predefinito dal dominio di sistema, non come amministratore del tenant.
  • Gli amministratori dei tenant non predefiniti non sono autorizzati a configurare le impostazioni SMTP.
• Eseguire la migrazione dei gruppi di business di VMware vRealize Automation 7.5 o 7.6 in vRealize versione 8.2

Per eseguire l'aggiornamento a VMware Identity Manager 3.3.3, vedere l'argomento relativo all'aggiornamento di VMware Identity Manager 3.3.3 nel centro della documentazione di VMware Workspace ONE Access. Poiché durante l'aggiornamento tutti i servizi vengono interrotti, se è configurato un solo connettore, è consigliabile pianificare l'aggiornamento tenendo in considerazione il tempo di inattività previsto.

È possibile aggiornare VMware Identity Manager dalla versione 3.3.1 o 3.3.2 direttamente alla versione 3.3.3. Per eseguire l'aggiornamento da versioni precedenti, eseguire innanzitutto l'aggiornamento alla versione 3.3.1, quindi aggiornare la versione 3.3.1 alla versione 3.3.3.

Nota: quando si esegue l'aggiornamento a VMware Identity Manager 3.3.2 per Linux, se viene visualizzato un messaggio di errore simile al seguente e l'aggiornamento viene interrotto, eseguire i passaggi seguenti per aggiornare il certificato. Dopo aver aggiornato il certificato, riavviare l'aggiornamento.

"Prima di eseguire l'aggiornamento, è necessario aggiornare la configurazione di autenticazione del certificato per il tenant <NomeTenant>. Controllo pre-aggiornamento non riuscito. L'aggiornamento verrà interrotto."

1. Accedere alla console di VMware Identity Manager.
2. Passare a Gestione identità e accessi > Configurazione.
3. Nella pagina Connettori, fare clic sul collegamento nella colonna Worker.
4. Fare clic su Adattatori autenticazione e quindi su CertificateAuthAdapter.
5. Nella sezione Certificati CA caricati, fare clic sulla X rossa accanto al certificato per rimuoverlo.
6. Nella sezione Certificati CA intermedi e root, fare clic su Seleziona file per aggiungere nuovamente il certificato.
7. Fare clic su Salva.

Eseguire la migrazione dei gruppi di business di VMware vRealize Automation 7.5 o 7.6 in vRealize versione 8.2

Per eseguire la migrazione dei gruppi di business da VMware vRealize Automation 7.5 o 7.6 alla versione 8.2, è necessario eseguire la migrazione di un tenant alla volta dal servizio VMware Identity Manager 3.1 incorporato al servizio VMware Identity Manager 3.3.3 esterno, come descritto nella procedura seguente.
Background

• VMware Identity Manager è un servizio incorporato in vRealize Automation 7.5 e 7.6
• A partire da vRealize Automation 8.0, VMware Identity Manager è diventato un servizio esterno
• vRealize Automation 8.0 e 8.1 supportano solo nuove installazioni
• vRealize Automation 8.2 supporta la migrazione dei gruppi di business da vRealize Automation 7.5 o 7.6. Per eseguire la migrazione dei gruppi di business, VMware Identity Manager 3.3.3 esegue la migrazione di ogni tenant da VMware Identity Manager in vRA alla versione 3.3.3

Prerequisito

• È necessario impostare indirizzi e-mail validi per tutti gli utenti locali del tenant di vRealize Automation 7.5 e 7.6 di cui deve essere eseguita la migrazione
•  Abilitare la connessione remota al database vRA per accedervi. SOLO dalla macchina vIDM per leggere gli ID utente per la migrazione del gruppo personalizzato
• Le informazioni del server SMTP del tenant di cui deve essere eseguita la migrazione devono essere configurate nel servizio VMware Identity Manager. Queste informazioni sono necessarie per ricevere istruzioni tramite e-mail per reimpostare la password di tutti gli utenti locali.

Procedura

Eseguire la migrazione di un tenant alla volta in VMware Identity Manager 3.3.3 utilizzando vRealize Lifecycle Manager. vRealize Lifecycle Manager offre l'interfaccia utente per sfruttare le REST API di migrazione del tenant di VMware Identity Manager 3.3.3 per la migrazione di un tenant alla volta. Vedere Migrazione dei tenant mediante vRealize Suite Lifecycle Manager.

Le API REST di migrazione del tenant di VMware Identity Manager 3.3.3 consentono di eseguire la migrazione delle seguenti configurazioni da vRealize Automation 7.5 o 7.6 a VMware Identity Manager 3.3.3.

• Configurazione del tenant
• Configurazione della mappatura degli attributi utente
• Configurazione della directory, ad esempio locale, LDAP, IWA, OpenLDAP e JIT
• Per impostazione predefinita, l'utente bind verrà indicato come amministratore di sola lettura nei tenant migrati
• Configurazione del provider di identità di terze parti
• Configurazione dei criteri di accesso e dell'intervallo di rete
• Configurazione dei gruppi personalizzati
• Configurazione di ruoli e set di regole

Limitazioni della migrazione del tenant in VMware Identity Manager 3.3.3

• Adattatori di autenticazione: il processo di migrazione del tenant esegue solo la migrazione di PasswordIdpAdapter. Se in vRealize Automation 7.5 o 7.6 sono configurati altri adattatori di autenticazione, è necessario configurarli manualmente in VMware Identity Manager 3.3.3.
• Migrazione del provider di identità di terze parti: il processo di migrazione del tenant esegue la migrazione delle configurazioni del provider di identità di terze parti. Dopo la migrazione, è necessario copiare manualmente i metadati del provider di servizi VMware Identity Manager nel provider di identità di terze parti esterno.

VMware Identity Manager Connector 3.3.3 (Windows)

Se VMware Identity Manager Connector per Windows 3.3.1 o 3.3.2 è stato installato con vRealize Suite Lifecycle Manager, non è possibile eseguire l'aggiornamento alla versione 3.3.3.  È necessario installare la nuova versione 3.3.3 del connettore.

Se VMware Identity Manager Connector per Windows 3.3.1 o 3.3.2 è stato installato utilizzando il programma di installazione .exe, è possibile aggiornare il connettore alla versione 3.3.3.

Documentazione

La documentazione di VMware Identity Manager 3.3 è disponibile nel centro documentazione di VMware Workspace ONE Access. La guida all'aggiornamento alla versione 3.3.3 è disponibile nella sezione installazione e architettura in VMware Identity Manager 3.3.

Problemi noti

• Non è possibile salvare la configurazione del provider di identità in ambienti multisito di VMware Identity Manager 3.3.3 con connettori incorporati dal sito secondario

  Quando si utilizza un connettore incorporato con il servizio VMware Identity Manager in un ambiente multisito, non è possibile salvare la configurazione del provider di identità nel sito secondario se si utilizza un connettore incorporato.

  Soluzione: utilizzare un connettore esterno per il sito secondario.

• La sincronizzazione non riesce dopo l'aggiornamento a VMware Identity Manager 3.3.3

  Dopo l'aggiornamento da VMware Identity Manager 3.3.2 alla versione 3.3.3, se il connettore incorporato viene utilizzato con Active Directory su IWA, gli utenti possono accedere ma la sincronizzazione della directory non riuscirà finché non verrà eseguita la migrazione del connettore incorporato a un connettore esterno di VMware Identity Manager in un server Windows.

  Soluzione. Non esiste alcuna soluzione. È necessario eseguire la migrazione della directory dal connettore incorporato a un VMware Identity Manager connector esterno.