Eseguire la migrazione delle directory esistenti a Workspace ONE Access Connector 20.01 utilizzando il dashboard di migrazione. Il processo di migrazione è un processo in più fasi che consente di testare l'ambiente con i nuovi connettori prima di completare la migrazione.

Il processo di migrazione include le seguenti fasi:

  • Installazione dei Connector 20.01

    Installare i nuovi Connector 20.01, che includono i servizi di sincronizzazione della directory, di autenticazione degli utenti e di autenticazione Kerberos. Installare almeno i servizi di sincronizzazione della directory e di autenticazione degli utenti. Installare il servizio di autenticazione Kerberos se è stato configurato il metodo di autenticazione Kerberos.

  • Migrazione ai nuovi connettori

    In questa fase, è possibile eseguire la migrazione di tutti i dati della directory utilizzando la procedura guidata per la migrazione della directory. La maggior parte delle informazioni richieste viene precompilata dall'ambiente, ma è necessario immettere alcuni valori sensibili come la password dell'utente di binding per la directory.

    La migrazione delle directory in questa fase non comporta la modifica delle configurazioni esistenti per la directory, il metodo di autenticazione o il provider di identità. Si stanno ancora utilizzando i connettori precedenti. Le modifiche verranno applicate solo dopo aver eseguito la fase di anteprima nel passaggio successivo.

  • Anteprima

    Nella fase di anteprima, è possibile visualizzare in anteprima l'ambiente con i nuovi Connector 20.01. I nuovi servizi di sincronizzazione della directory, autenticazione degli utenti e autenticazione Kerberos dei Connector 20.01 eseguono la sincronizzazione della directory e l'autenticazione degli utenti. Tutti i metodi di autenticazione, a eccezione di Kerberos, sono in modalità in uscita.

    La fase di anteprima ha lo scopo di testare completamente l'ambiente con i nuovi servizi. Verificare che la sincronizzazione della directory, l'autenticazione degli utenti e l'avvio dell'applicazione funzionino come previsto.

    Nella fase di anteprima, non è possibile aggiungere directory, metodi di autenticazione e provider di identità, né modificare quelli esistenti.

    Dalla fase di anteprima, è possibile eseguire il rollback ai connettori precedenti. Quando si esegue il rollback, i dati delle directory migrati nella fase precedente vengono comunque mantenuti. Se successivamente si modificano le directory, i metodi di autenticazione o i provider di identità esistenti, assicurarsi di eseguire nuovamente la migrazione dei dati della directory.

  • Completamento della migrazione

    Quando si è soddisfatti dei test effettuati sul nuovo ambiente, completare la migrazione. Dopo aver completato la migrazione, non è possibile eseguire il rollback ai connettori precedenti.

Le procedure consigliate per la migrazione includono:

  • Assicurarsi che non sia in esecuzione il processo di sincronizzazione della directory per nessuna directory prima di avviare il processo di migrazione.
  • Se è abilitato People Search, assicurarsi che non sia in esecuzione il processo di sincronizzazione delle foto per nessuna directory prima di avviare il processo di migrazione.

Prerequisiti

  • Controllare i requisiti in Migrazione a VMware Workspace ONE Access Connector 20.01.
  • Verificare che la versione di tutti i connettori nell'ambiente sia la 19.03. Se la versione dei connettori è precedente, aggiornarli alla versione 19.03.
  • Preparare uno o più server Windows per i Connector 20.01. Questi server devono essere diversi dai server dei Connector 19.03.

    Vedere Requisiti dei sistemi in Installazione di Workspace ONE Access Connector 20.01.

  • Se si dispone di un'istanza del servizio Workspace ONE Access locale, aggiornarla alla versione 20.01 prima di eseguire la migrazione dei connettori.
  • Se è stato configurato il metodo di autenticazione RSA SecurID per una qualsiasi delle directory, deselezionare il segreto del nodo nella console RSA Security.
  • Se i provider di identità sono associati a più directory, modificare la configurazione in modo che ciascun provider di identità sia associato a una sola directory.

Procedura

  1. Fare clic sulla scheda Gestione identità e accessi.
    Verrà visualizzata la pagina della migrazione.
    Pagina della migrazione
  2. Rivedere i requisiti e fare clic su .
    Viene visualizzato il dashboard Migrazione directory.
  3. Nel dashboard Migrazione directory, fare clic sul link Inizia nella sezione Installa Connector 20.01.

    Installare il riquadro Nuovi connettori nel dashboard Migrazione directory
  4. Nella pagina Connettori, fare clic su Nuovo.
    Viene visualizzata la pagina Connettori
  5. Nel popup Conferma utilizzo app virtuali, selezionare Utilizza Workspace ONE Access Connector 20.01 se non si intende utilizzare le app virtuali (integrazioni con Horizon, Horizon Cloud e Citrix).
    Se si desidera utilizzare le app virtuali, selezionare Utilizza connettori legacy per uscire dal processo di migrazione.
    Domanda sull'utilizzo delle app virtuali
  6. Seguire la procedura guidata Aggiungi nuovo connettore per scaricare il programma di installazione del connettore e il file di configurazione richiesto, quindi installare il Connector 20.01.
    Per informazioni sull'installazione, vedere Installazione di Workspace ONE Access Connector 20.01. In particolare, vedere Prerequisiti e Installazione di Workspace ONE Access Connector.
    Importante: Quando si installa il connettore, assicurarsi di installare il servizio di sincronizzazione della directory e il servizio di autenticazione utente. Il servizio di autenticazione Kerberos è obbligatorio solo se è stato configurato il metodo di autenticazione Kerberos su uno qualsiasi dei connettori legacy.
  7. Dopo che l'installazione del connettore sarà stata completata correttamente, tornare al dashboard Migrazione directory nella console di servizio Workspace ONE Access.
  8. Nella sezione Migra a nuovi connettori, eseguire la migrazione di tutte le directory, una alla volta.
    La sezione di migrazione delle directory nel dashboard di migrazione
    La sezione Migra a nuovi connettori elenca tutte le directory Active Directory e LDAP nel tenant. Prima di poter completare la migrazione, è necessario eseguire la migrazione di tutte le directory elencate.
    Nota: La migrazione delle directory in questo passaggio non comporta la modifica della configurazione della directory, del metodo di autenticazione o del provider di identità esistente e verrà applicata solo dopo l'anteprima delle modifiche nel passaggio successivo.
    1. Fare clic sul pulsante Migra accanto alla directory.
      Viene visualizzata la procedura guidata Migra directory. La procedura guidata è personalizzata per la directory che si sta migrando. Vengono visualizzate altre pagine per i metodi di autenticazione configurati nella directory.
    2. Nella pagina Directory, immettere la password dell'utente di binding per la directory.
      L'elenco Host di sincronizzazione directory visualizza i nuovi Connector 20.01 per i quali è installato il servizio di sincronizzazione della directory. Selezionare uno o più host da utilizzare per sincronizzare la directory.
      Procedura guidata Migra directory - pagina della directory
    3. (Viene visualizzato solo se è configurato il metodo di autenticazione Kerberos) Nella pagina Kerberos, specificare le informazioni necessarie per eseguire la migrazione del metodo di autenticazione Kerberos.
      • Connettore di origine: il connettore di origine è preselezionato. Se il connettore preselezionato non è disponibile, è possibile selezionarne un altro.
      • Host di autenticazione Kerberos: nell'elenco vengono visualizzati i nuovi host del Connector 20.01 in cui è installato il servizio di autenticazione Kerberos. Selezionare uno o più host da utilizzare per l'autenticazione Kerberos.

      Migra directory - Pagina Kerberos

    4. Nella pagina Password, specificare le informazioni necessarie per eseguire la migrazione del metodo di autenticazione della password.
      • Connettore di origine: il connettore di origine è preselezionato. Se il connettore preselezionato non è disponibile, è possibile selezionarne un altro.
      • Password di binding: immettere la password dell'utente di binding per la directory.
      • Host di autenticazione utente: nell'elenco vengono visualizzati i nuovi host del Connector 20.01 per i quali è installato il servizio di autenticazione utente. Selezionare uno o più host da utilizzare per l'autenticazione con password.

      Password di migrazione directory

    5. (Viene visualizzato solo se è configurato il metodo di autenticazione RADIUS) Nella pagina RADIUS, specificare le informazioni necessarie per eseguire la migrazione del metodo di autenticazione RADIUS.
      • Connettore di origine: il connettore di origine è preselezionato. Se il connettore preselezionato non è disponibile, è possibile selezionarne un altro.
      • Segreto condiviso: il segreto condiviso per il server RADIUS.
      • Host di autenticazione utente: nell'elenco vengono visualizzati i nuovi host del Connector 20.01 per i quali è installato il servizio di autenticazione utente. Selezionare uno o più host da utilizzare per l'autenticazione RADIUS.

      Migrazione della directory - Pagina Radius

    6. (Viene visualizzato solo se è configurato il metodo di autenticazione RSA SecurID) Nella pagina SecurId, specificare le informazioni necessarie per eseguire la migrazione del metodo di autenticazione RSA SecurID.
      • Connettore di origine: il connettore di origine è preselezionato. Se il connettore preselezionato non è disponibile, è possibile selezionarne un altro.
      • Host di autenticazione utente: nell'elenco vengono visualizzati i nuovi host del Connector 20.01 per i quali è installato il servizio di autenticazione utente. Selezionare uno o più host da utilizzare per l'autenticazione RSA SecurID.

      Migrazione della directory - Pagina SecurID

    7. (Viene visualizzato solo se è configurata l'autenticazione Kerberos) Nella pagina Provider di identità, immettere il nome di dominio completo del bilanciamento del carico del connettore da utilizzare per il nuovo provider di identità che verrà creato per l'autenticazione Kerberos durante la migrazione.
      Come riferimento, viene visualizzato il nome di dominio completo del bilanciamento del carico corrente. Questo è il valore corrente di Nome host IdP nella pagina del provider di identità della directory.
      Se si dispone di un solo Connector 20.01 e di nessun bilanciamento del carico, immettere il nome di dominio completo del connettore.
      Pagina Provider di identità della procedura guidata per la migrazione della directory
    8. Nella pagina Riepilogo, verificare le selezioni e fare clic su Salva.
      I dati della migrazione della directory vengono salvati. È possibile visualizzare le impostazioni facendo clic sul pulsante Riepilogo accanto alla directory nel dashboard Migrazione directory.
      Il riquadro Migrazione nel dashboard visualizza il pulsante Riepilogo
      Se si desidera apportare modifiche alle informazioni immesse, fare clic su Ricomincia nella pagina Riepilogo. Ciò consente di eliminare i dati di migrazione immessi per la directory e consente di eseguire nuovamente la migrazione della directory.
      Riepilogo directory
    9. Migrare il resto delle directory.
    Dopo la migrazione di tutte le directory, si abilita il passaggio Completa migrazione.
  9. Nella sezione Completa migrazione, fare clic su Avvia anteprima per avviare il processo di migrazione.
    Dashboard Migrazione - Avvia anteprima
    Nella fase di anteprima, vengono utilizzati i nuovi Connector 20.01. La sincronizzazione della directory viene eseguita dal nuovo servizio di sincronizzazione della directory, l'autenticazione dell'utente viene eseguita dal nuovo servizio di autenticazione utente e l'autenticazione Kerberos viene eseguita dal nuovo servizio di autenticazione Kerberos. Non è possibile apportare modifiche alle directory, ai metodi di autenticazione o ai provider di identità o crearne di nuovi. È possibile visualizzare i provider di identità convertiti nella scheda Provider di identità e i metodi di autenticazione convertiti nelle schede Metodi di autenticazione Enterprise. Tutti i metodi di autenticazione, a eccezione di Kerberos, sono in modalità in uscita.
    Importante: Testare accuratamente l'ambiente nella fase di anteprima e verificare che funzioni come previsto. Verificare che la sincronizzazione della directory, l'accesso dell'utente e l'avvio dell'applicazione funzionino.
  10. Se si determina che l'ambiente non funziona correttamente o se si desidera apportare modifiche alle directory, ai metodi di autenticazione o ai provider di identità, uscire dalla fase di anteprima e tornare a utilizzare i connettori precedenti.
    Passare alla pagina Gestione identità e accessi > Gestisci > Directory, fare clic su Continua migrazione e fare clic su Interrompi nella sezione Completa migrazione del dashboard Migrazione directory.
    Riquadro Completa migrazione
    Se successivamente si apportano modifiche alle directory, ai metodi di autenticazione o ai provider di identità, assicurarsi di eseguire nuovamente la migrazione delle directory nella sezione Migra a nuovi connettori.
  11. Dopo aver verificato che l'ambiente funziona come previsto nella fase di anteprima e si è pronti a completare la migrazione, tornare al dashboard Migrazione directory accedendo alla pagina Gestione identità e accessi > Gestione > Directory e facendo clic su Continua migrazione.
    Attenzione: Dopo aver completato la migrazione, non è possibile eseguire il rollback ai connettori precedenti.

    Fare clic su Completa per completare la migrazione.

    Dashboard di migrazione - Sezione Completa migrazione

risultati

Tutte le directory vengono migrate ai nuovi Connector 20.01. I nuovi servizi di sincronizzazione della directory, autenticazione utente e autenticazione Kerberos ora eseguono la sincronizzazione della directory e l'autenticazione dell'utente.

Per ciascuna directory i nuovi provider di identità vengono creati e visualizzati nella scheda Provider di identità con il nome IDP migrato per la directory. I nuovi provider di identità sono di tipo Integrato. Per l'autenticazione Kerberos, viene creato un provider di identità separato di tipo Workspace_IDP.

Tutti i metodi di autenticazione, a eccezione di Kerberos, vengono convertiti in metodi in uscita e rinominati con il suffisso (distribuzione cloud). Ad esempio, il metodo di autenticazione Password viene rinominato in Password (distribuzione cloud). È possibile visualizzare e gestire i nuovi metodi di autenticazione dalla scheda Metodi di autenticazione Enterprise.

Operazioni successive

Al termine della migrazione, è possibile disinstallare i Connector 19.03 precedenti dai server in cui sono installati.