Eseguire la migrazione delle directory esistenti a Workspace ONE Access Connector 20.10 utilizzando il dashboard di migrazione. Il processo di migrazione è un approccio in più fasi che consente di testare l'ambiente con i nuovi connettori prima di completare la migrazione.

Il processo di migrazione include le seguenti fasi:

  • Installazione di Connector 20.10

    Installare i nuovi Connector 20.10, che includono i servizi Sincronizzazione directory, Autenticazione utente e Autenticazione Kerberos. Installare almeno i servizi di sincronizzazione della directory e di autenticazione degli utenti. Installare il servizio di autenticazione Kerberos se è stato configurato il metodo di autenticazione Kerberos.

  • Migrazione ai nuovi connettori

    In questa fase, è possibile eseguire la migrazione di tutti i dati della directory utilizzando la procedura guidata per la migrazione della directory. La maggior parte delle informazioni richieste viene precompilata dall'ambiente, ma è necessario immettere alcuni valori sensibili come la password dell'utente di binding per la directory.

    La migrazione delle directory in questa fase non comporta la modifica delle configurazioni esistenti per la directory, il metodo di autenticazione o il provider di identità. Si stanno ancora utilizzando i connettori precedenti. Le modifiche verranno applicate solo dopo aver eseguito la fase di anteprima nel passaggio successivo.

  • Anteprima

    Nella fase di anteprima, è possibile visualizzare in anteprima l'ambiente con i nuovi Connector 20.10. I nuovi servizi Sincronizzazione directory, Autenticazione utente e Autenticazione Kerberos di Connector 20.10 eseguono la sincronizzazione della directory e l'autenticazione degli utenti. Tutti i metodi di autenticazione, a eccezione di Kerberos, sono in modalità in uscita.

    La fase di anteprima ha lo scopo di testare completamente l'ambiente con i nuovi servizi. Verificare che la sincronizzazione della directory, l'autenticazione degli utenti e l'avvio dell'applicazione funzionino come previsto.

    Nella fase di anteprima, non è possibile aggiungere directory, metodi di autenticazione e provider di identità, né modificare quelli esistenti.

    Dalla fase di anteprima, è possibile eseguire il rollback ai connettori precedenti. Quando si esegue il rollback, i dati delle directory migrati nella fase precedente vengono comunque mantenuti. Se successivamente si modificano le directory, i metodi di autenticazione o i provider di identità esistenti, assicurarsi di eseguire nuovamente la migrazione dei dati della directory.

  • Completamento della migrazione

    Quando si è soddisfatti dei test effettuati sul nuovo ambiente, completare la migrazione. Dopo aver completato la migrazione, non è possibile eseguire il rollback ai connettori precedenti.

Prerequisiti

  • Controllare i requisiti in Migrazione a VMware Workspace ONE Access Connector 20.10.
  • Verificare che la versione di tutti i connettori nell'ambiente sia la 19.03.x. Se sono presenti connettori di una versione precedente, aggiornarli alla versione 19.03.x.
  • Preparare uno o più server Windows per Connector 20.10. Vedere Linee guida per il dimensionamento in Installazione di Workspace ONE Access Connector 20.10.

    È possibile installare Connector 20.10 in un nuovo server o nel server di Connector 19.03.x legacy. Tuttavia, se Autenticazione Kerberos è configurata nel connettore legacy, è necessario utilizzare un server Windows separato per installare il servizio Autenticazione Kerberos 20.10. Non installare il nuovo servizio di autenticazione Kerberos nel server di Connector 19.03.x. Workspace ONE Access non supporta più istanze di Kerberos nello stesso server.

    Se Autenticazione Kerberos non è configurata nel connettore legacy e si desidera installare il nuovo Connector 20.10 nel server di Connector 19.03.x legacy, vedere Migrazione alla versione più recente di Connector in un server Windows che esegue Workspace ONE Access 19.03.x per ulteriori requisiti.

  • Se si dispone di un'istanza del servizio Workspace ONE Access in locale, aggiornarla alla versione 20.10 prima di eseguire la migrazione dei connettori.
  • Se è stato configurato il metodo di autenticazione RSA SecurID per una qualsiasi delle directory, deselezionare il segreto del nodo nella console RSA Security.

    Inoltre, se si sta installando il servizio Autenticazione utente in un nuovo server Windows, aggiungere il server Windows come agente nel server SecurID prima di avviare la migrazione del connettore.

  • Se i provider di identità sono associati a più directory, modificare la configurazione in modo che ciascun provider di identità sia associato a una sola directory.
  • Assicurarsi che non sia in esecuzione il processo di sincronizzazione della directory per nessuna directory prima di avviare il processo di migrazione.
  • Se è abilitato People Search, assicurarsi che il processo di sincronizzazione delle foto non sia in esecuzione per alcuna directory prima di avviare il processo di migrazione.
  • Se si sta eseguendo la migrazione di Connector 19.03.x senza alcuna directory associata, tenere presente che quando si seleziona l'opzione Workspace ONE Access Connector 20,10 nel passaggio 5, la migrazione viene considerata completata e Connector 19.03.x viene eliminato dal servizio. Se in un secondo momento si desidera utilizzare i connettori legacy e modificare la selezione del connettore utilizzando il pulsante Reimposta utilizzo app virtuali, Connector 19.03.x non verrà visualizzato. Sarà necessario reinstallare Connector 19.03.x per riattivarlo con il servizio.

Procedura

  1. Fare clic sulla scheda Gestione identità e accessi.
    Verrà visualizzata la pagina della migrazione.
    Pagina della migrazione
  2. Rivedere i requisiti e fare clic su .
    Viene visualizzato il dashboard Migrazione directory.
  3. Nel dashboard Migrazione directory, fare clic sul collegamento Inizia nella sezione Installa Connector 20.01 o successivo.

    Installare il riquadro Nuovi connettori nel dashboard Migrazione directory
  4. Nella pagina Connettori, fare clic su Nuovo.
    Viene visualizzata la pagina Connettori
  5. Nel popup Conferma utilizzo app virtuali, selezionare Workspace ONE Access Connector 20.10 se non si intende utilizzare le app virtuali (integrazioni con Horizon, Horizon Cloud e Citrix).
    Se si desidera utilizzare le app virtuali, selezionare Connettori legacy per uscire dal processo di migrazione. Le app virtuali sono supportate solo con i connettori legacy.
    Domanda sull'utilizzo delle app virtuali
    Importante: Scegliere l'opzione più adatta alle esigenze aziendali. Se si desidera modificare la selezione in un secondo momento, è possibile farlo solo fino a un determinato punto del processo di migrazione. Vedere Reimpostazione dell'opzione di utilizzo delle app virtuali in Workspace ONE Access.
  6. Eseguire la procedura guidata Aggiungi nuovo connettore per scaricare il programma di installazione del connettore e il file di configurazione necessario, quindi installare il nuovo connettore.
    Importante: Quando si installa il connettore, assicurarsi di installare il servizio di sincronizzazione della directory e il servizio di autenticazione utente. Il servizio di autenticazione Kerberos è obbligatorio solo se è stato configurato il metodo di autenticazione Kerberos su uno qualsiasi dei connettori legacy.
  7. Al termine dell'installazione del connettore, tornare al dashboard Migrazione directory nella console del servizio Workspace ONE Access.
  8. Nella sezione Migra a nuovi connettori, eseguire la migrazione di tutte le directory, una alla volta.
    La sezione di migrazione delle directory nel dashboard di migrazione
    La sezione Migra a nuovi connettori elenca tutte le directory Active Directory e LDAP nel tenant. Prima di poter completare la migrazione, è necessario eseguire la migrazione di tutte le directory elencate.
    Nota: La migrazione delle directory in questo passaggio non comporta la modifica della configurazione della directory, del metodo di autenticazione o del provider di identità esistente e verrà applicata solo dopo l'anteprima delle modifiche nel passaggio successivo.
    1. Fare clic sul pulsante Migra accanto alla directory.
      Viene visualizzata la procedura guidata Migra directory. La procedura guidata è personalizzata per la directory che si sta migrando. Vengono visualizzate altre pagine per i metodi di autenticazione configurati nella directory.
    2. Nella pagina Directory, immettere la password dell'utente di binding per la directory.
      L'elenco Host sincronizzazione directory include gli host del nuovo Connector 20.10 per cui è installato il servizio Sincronizzazione directory. Selezionare uno o più host da utilizzare per sincronizzare la directory.
      Procedura guidata Migra directory - pagina della directory
    3. (Viene visualizzato solo se è configurato il metodo di autenticazione Kerberos) Nella pagina Kerberos, specificare le informazioni necessarie per eseguire la migrazione del metodo di autenticazione Kerberos.
      • Connettore di origine: il connettore di origine è preselezionato. Se il connettore preselezionato non è disponibile, è possibile selezionarne un altro.
      • Host di autenticazione Kerberos: l'elenco include gli host del nuovo Connector 20.10 in cui è installato il servizio Autenticazione Kerberos. Selezionare uno o più host da utilizzare per l'autenticazione Kerberos.

      Migra directory - Pagina Kerberos

    4. Nella pagina Password, specificare le informazioni necessarie per eseguire la migrazione del metodo di autenticazione della password.
      • Connettore di origine: il connettore di origine è preselezionato. Se il connettore preselezionato non è disponibile, è possibile selezionarne un altro.
      • Password di binding: immettere la password dell'utente di binding per la directory.
      • Host di autenticazione utente: l'elenco include gli host del nuovo Connector 20.10 per cui è installato il servizio Autenticazione utente. Selezionare uno o più host da utilizzare per l'autenticazione con password.

      Password di migrazione directory

    5. (Viene visualizzato solo se è configurato il metodo di autenticazione RADIUS) Nella pagina RADIUS, specificare le informazioni necessarie per eseguire la migrazione del metodo di autenticazione RADIUS.
      • Connettore di origine: il connettore di origine è preselezionato. Se il connettore preselezionato non è disponibile, è possibile selezionarne un altro.
      • Segreto condiviso: il segreto condiviso per il server RADIUS.
      • Host di autenticazione utente: l'elenco include gli host del nuovo Connector 20.10 per cui è installato il servizio Autenticazione utente. Selezionare uno o più host da utilizzare per l'autenticazione RADIUS.

      Migrazione della directory - Pagina Radius

    6. (Viene visualizzato solo se è configurato il metodo di autenticazione RSA SecurID) Nella pagina SecurId, specificare le informazioni necessarie per eseguire la migrazione del metodo di autenticazione RSA SecurID.
      • Connettore di origine: il connettore di origine è preselezionato. Se il connettore preselezionato non è disponibile, è possibile selezionarne un altro.
      • Host di autenticazione utente: l'elenco include gli host del nuovo Connector 20.10 per cui è installato il servizio Autenticazione utente. Selezionare uno o più host da utilizzare per l'autenticazione RSA SecurID.

      Migrazione della directory - Pagina SecurID

    7. (Viene visualizzato solo se è configurata l'autenticazione Kerberos) Nella pagina Provider di identità, immettere il nome di dominio completo del bilanciamento del carico del connettore da utilizzare per il nuovo provider di identità che verrà creato per l'autenticazione Kerberos durante la migrazione.
      Come riferimento, viene visualizzato il nome di dominio completo del bilanciamento del carico corrente. Questo è il valore corrente di Nome host IdP nella pagina del provider di identità della directory.
      Se si dispone di un solo Connector 20.10 e di nessun bilanciamento del carico, immettere il nome di dominio completo del connettore.
      Pagina Provider di identità della procedura guidata per la migrazione della directory
    8. Nella pagina Riepilogo, verificare le selezioni e fare clic su Salva.
      I dati della migrazione della directory vengono salvati. È possibile visualizzare le impostazioni facendo clic sul pulsante Riepilogo accanto alla directory nel dashboard Migrazione directory.
      Il riquadro Migrazione nel dashboard visualizza il pulsante Riepilogo
      Se si desidera apportare modifiche alle informazioni immesse, fare clic su Ricomincia nella pagina Riepilogo. Ciò consente di eliminare i dati di migrazione immessi per la directory e consente di eseguire nuovamente la migrazione della directory.
      Riepilogo directory
    9. Migrare il resto delle directory.
    Dopo la migrazione di tutte le directory, il passaggio Completa migrazione è abilitato.
  9. Nella sezione Completa migrazione, fare clic su Avvia anteprima per avviare il processo di migrazione.
    Dashboard Migrazione - Avvia anteprima
    Nella fase di anteprima, vengono utilizzati i nuovi Connector 20.10. La sincronizzazione della directory viene eseguita dal nuovo servizio di sincronizzazione della directory, l'autenticazione dell'utente viene eseguita dal nuovo servizio di autenticazione utente e l'autenticazione Kerberos viene eseguita dal nuovo servizio di autenticazione Kerberos. Non è possibile apportare modifiche alle directory, ai metodi di autenticazione o ai provider di identità o crearne di nuovi. È possibile visualizzare i provider di identità convertiti nella scheda Provider di identità e i metodi di autenticazione convertiti nelle schede Metodi di autenticazione Enterprise. Tutti i metodi di autenticazione, a eccezione di Kerberos, sono in modalità in uscita.

    Se nella distribuzione del servizio Workspace ONE Access è stata abilitata la funzionalità People Search, è necessario sincronizzare manualmente le directory senza le impostazioni di protezione. Nella console di Workspace ONE Access, selezionare la directory nella pagina Gestione identità e accessi > Directory e fare clic su Sincronizza > Sincronizza senza protezione.

    Importante: Testare accuratamente l'ambiente nella fase di anteprima e verificare che funzioni come previsto. Verificare che la sincronizzazione della directory, l'accesso dell'utente e l'avvio dell'applicazione funzionino.
  10. Se si determina che l'ambiente non funziona correttamente o se si desidera apportare modifiche alle directory, ai metodi di autenticazione o ai provider di identità, uscire dalla fase di anteprima e tornare a utilizzare i connettori precedenti.
    Passare alla pagina Gestione identità e accessi > Gestisci > Directory, fare clic su Continua migrazione e fare clic su Interrompi nella sezione Completa migrazione del dashboard Migrazione directory.
    Riquadro Completa migrazione
    Se successivamente si apportano modifiche alle directory, ai metodi di autenticazione o ai provider di identità, assicurarsi di eseguire nuovamente la migrazione delle directory nella sezione Migra a nuovi connettori.
  11. Dopo aver verificato che l'ambiente funzioni come previsto nella fase di anteprima e si è pronti a completare la migrazione, tornare al dashboard Migrazione directory passando alla pagina Gestione identità e accessi > Gestisci > Directory e facendo clic su Continua migrazione.
    Attenzione: Dopo aver completato la migrazione, non è possibile eseguire il rollback ai connettori precedenti.

    Fare clic su Completa per completare la migrazione.

    Dashboard di migrazione - Sezione Completa migrazione

risultati

Tutte le directory vengono migrate ai nuovi Connector 20.10. I nuovi servizi di sincronizzazione della directory, autenticazione utente e autenticazione Kerberos ora eseguono la sincronizzazione della directory e l'autenticazione dell'utente.

Per ciascuna directory i nuovi provider di identità vengono creati e visualizzati nella scheda Provider di identità con il nome IDP migrato per la directory. I nuovi provider di identità sono di tipo Integrato. Per l'autenticazione Kerberos, viene creato un provider di identità separato di tipo Workspace_IDP.

Tutti i metodi di autenticazione, a eccezione di Kerberos, vengono convertiti in metodi in uscita e rinominati con il suffisso (distribuzione cloud). Ad esempio, il metodo di autenticazione Password viene rinominato in Password (distribuzione cloud). È possibile visualizzare e gestire i nuovi metodi di autenticazione dalla scheda Metodi di autenticazione Enterprise.

Operazioni successive

Al termine della migrazione, è possibile disinstallare i Connector 19.03.x precedenti dai server in cui sono installati.