VMware Workspace ONE Access for Linux 20.01 | 2020 年 1 月 | javascript:void('Brown')ビルド 15509389

VMware Workspace ONE Access Connector (Windows) 20.01 | 2020 年 1 月 | Workspace ONE Access Connector 20.01.0 Installer.exe のビルド

公開日:2020 年 1 月 30 日

更新日:2020 年 12 月 8 日

2020 年 12 月 8 日最新情報 今回のリリースは、CVE-2020-4006 の影響を受けることが確認されています。この脆弱性を解決するための修正と回避策が提供されています。詳細については、VMSA-2020-0027 を参照してください。

リリース ノートの内容

このリリース ノートでは、次のトピックについて説明します。

VMware Workspace ONE Access 20.01 の新機能

VMware Workspace ONE Access(旧 VMware Identity Manager)

VMware Workspace ONE Access は、以前は VMware Identity Manager と呼ばれていました。名前は変更されましたが、削除された機能はありません。

 コネクタおよびコネクタ管理の改訂

  • コネクタ コンポーネントを個別にインストールする機能。3 つのコンポーネントは次のとおりです。
    • ディレクトリ同期サービス - ユーザーを Active Directory または LDAP ディレクトリから Workspace ONE Access サービスに同期します。
    • ユーザー認証サービス - パスワード(クラウド)、RSA SecurID(クラウド)、および RADIUS(クラウド)展開を提供します。
    • Kerberos 認証サービス - 内部ユーザーのための Kerberos 認証を提供します。
  • コネクタ構成とライフサイクル管理の改善および簡素化
    • ディレクトリ同期サービスと認証方法サービスの機能設定を Workspace ONE Access サービスに移動しました。ディレクトリ同期の構成は、[ID とアクセス管理] > [ディレクトリ] ページにあります。ユーザー認証および Kerberos 認証方法の構成は、Workspace ONE Access コンソールの [ID とアクセス管理] > [エンタープライズ認証方法] ページにあります。構成の詳細はコネクタに保存されません。
    • 必要に応じて、コネクタを簡単に追加および削除できます。
  • ディレクトリ同期
    • 安定性の向上と必要なリソースの削減。
    • ディレクトリ同期は Workspace ONE Access サービスから実行されるようになりました。ユーザーは、コンソールの [ディレクトリ構成] ページでディレクトリ同期ノードを簡単に追加することができるため、同期の高可用性が実現します。
    • 同期のドライ ランを実行する機能が削除されました。
    • テスト ディレクトリのボタンが削除されました。ディレクトリ構成が保存されると、ディレクトリ同期サービスは Active Directory のディレクトリ構成をテストします。
    • ユーザー インターフェイスで、セーフガードありとセーフガードなしの 2 つの同期オプションを使用できるようになりました。これらのアクションは、[ID とアクセス管理] > [ディレクトリ] ページのディレクトリのリスト、または特定のディレクトリのトップ ページから実行できます。
    • IWA ディレクトリが作成されると、ディレクトリの [ドメイン] タブでデータベースに保存されたドメインのみが表示されます。管理者は、更新ボタンを選択して、基本ドメインと双方向の信頼関係にあるすべてのドメインを表示する必要があります。
    • ディレクトリの [グループ] タブには、保存されているグループ DN と、DB からマッピングされたグループが表示されます。コンテナ内のグループ数などの追加の詳細を取得するためのディレクトリ同期サービスへの呼び出しは、自動的に行われません。Active Directory クエリを実行して特定のグループ DN のグループ数を取得するには、明示的に [選択] ボタンをクリックする必要があります。
    • ユーザー属性マッピング、ユーザー DN、グループ DN、セーフガード、および同期スケジュール構成の保存は、コネクタのディレクトリ同期サービスに送信されません。ディレクトリ同期サービスはステートレスであるため、これらの構成は Workspace ONE Access サービスのデータベースに保存されます。

VMware Site Recovery Manager を活用したディザスタ リカバリ セットアップの合理化

Windows 19.03 から Linux 20.01 へのサービス移行のサポート

Workspace ONE Intelligent Hub アプリケーションをサポートする、オンプレミスの Hub カタログのサポート

  • Web ブラウザ ビューでは、Hub カタログはデフォルトでオンになります。
    • 20.01 にアップグレードする場合、ユーザーは新しいエクスペリエンスをオフに切り替えて、レガシーのカタログを使用した Workspace ONE ブラウザ エクスペリエンスに戻すことを選択できます。Hub カタログをオフにするには、[カタログ] > [Hub の構成] ページに移動して、Hub サービス コンソールを起動します。  [カスタマイズ] ページが表示されたら、[Hub ブラウザ エクスペリエンス] ラジオ ボタンをオフにします。
    • アップグレード後に Hub カタログを使用する場合は、Workspace ONE カタログ ページ、および VMware Identity Manger サービスのログイン画面をカスタマイズした後、Hub サービス コンソールに移動してブランド ページをカスタマイズし、ロゴと色を追加する必要があります。「Workspace ONE Access の展開で Hub カタログを使用する」を参照してください。
  • レガシーの Workspace ONE アプリケーションから Workspace ONE Intelligent Hub 内の最新のカタログに移行できます。

Workspace ONE Access アプライアンス設定のユーザー インターフェイスの変更

  • [アプライアンス設定] タブで、SMTP、ライセンス、およびテレメトリの構成を管理します。
  • VA 構成をシステム診断ダッシュボードに移動しました。ダッシュボードにリストされているアプライアンスで [VA 構成] をクリックし、そのアプライアンスの VA 構成コンソールにログインします。

利用可能な言語

VMware Workspace ONE Access 20.01 は、次の言語で利用できます。

  • 英語
  • フランス語
  • ドイツ語
  • スペイン語
  • 日本語
  • 簡体字中国語
  • 韓国語
  • 繁体字中国語
  • ロシア語
  • イタリア語
  • ポルトガル語(ブラジル)
  • オランダ語

互換性、インストール、およびアップグレード

VMware vCenter™ Server および VMware ESXi™ の互換性

VMware Workspace ONE Access のアプライアンスは、次のバージョンの vSphere と ESXi をサポートします。

  •  6.5 U3、6.7 U2、6.7 U3

コンポーネントの互換性

サポートされる Windows Server

  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019

サポートされる Web ブラウザ

  • Mozilla Firefox (最新版)
  • Google Chrome 42.0 以降
  • Internet Explorer 11
  • Safari 6.2.8 以降
  • Microsoft Edge (最新版)

サポートされるデータベース

  • MS SQL 2012、2014、2016、2017

サポートされるディレクトリ サーバ

  • Active Directory - 単一の Active Directory ドメイン、単一の Active Directory フォレスト内の複数のドメイン、または複数の Active Directory フォレスト内の複数のドメイン。
  • OpenLDAP - 2.4.42
  • Oracle LDAP - Directory Server Enterprise Edition 11g Release 1 (11.1.1.7.0)
  • IBM Tivoli Directory Server 6.3.1

VMware 製品の相互運用性マトリックス(英語)には、VMware vCenter Server、VMware ThinApp、および Horizon 7 などの VMware 製品とコンポーネントの現在および過去のバージョンの互換性に関する詳細が記述されています。

システム要件については、Workspace ONE Access ドキュメント センターの 20.01 用の VMware Workspace ONE Access インストール ガイドを参照してください。

VMware Workspace ONE Access 20.01 (Linux) へのアップグレード

Workspace One Access 20.01 にアップグレードするには、VMware Identity Manager アプライアンスがバージョン 19.03 である必要があります。

Workspace One Access 20.01 にアップグレードする前に、VMware Identity Manager 3.3 をバージョン 19.03 にアップグレードしてください。

アップグレードの前に

  • アップグレードの前に、Elasticsearch データが削除されないようにするため、アップグレードのための Elasticsearch を準備します。『VMware Workspace ONE Access 20.01 へのアップグレード』ガイドの「オンライン アップグレードの前提条件」を参照してください。

Workspace ONE Access for Linux 20.01 にアップグレードするには、Workspace ONE Access ドキュメント センターの「VMware Workspace ONE Access 20.01 (Linux) へのアップグレード」を参照してください。アップグレード中はすべてのサービスが停止しますので、アップグレードで予測されるダウンタイムを考慮してください。

アップグレードの後に

  • Workspace ONE Access コンソールの [Workspace ONE UEM] ページに移動し、[Workspace ONE UEM の構成] セクションで [保存] をクリックし、デバイス サービス URL を入力します。デバイス サービス URL を更新しない場合、UEM を使用した新しいデバイスの登録に失敗します。『Workspace ONE Access アップグレード ガイド』の「アップグレード後の構成」トピックの「Workspace ONE UEM 構成の保存」セクションを参照してください。

VMware Identity Manager for Windows の Workspace ONE Access on Linux 20.01 への移行

バージョン 20.01 以降では、Workspace ONE Access サービスは Linux 上でのみオンプレミスで使用できます。

Windows マシンを 20.01 の Workspace ONE Access アプライアンスに移行するには、Workspace ONE Access ドキュメント センターの「VMware Workspace ONE Access 20.01 の Windows から Linux への移行」ガイドで、移行の手順を確認してください。

Workspace ONE Access on Linux 20.01 に移行するには、VMware Identity Manager on Windows が Windows のバージョン 19.03 である必要があります。

20.01 への移行の後

  • 証明書(クラウド デプロイ)認証を使用している場合は、移行後に runtime-config.properties ファイルを更新して、証明書認証の使用を続行します。  「Workspace ONE Access 20.01 の移行後の構成」の手順 4 を参照してください。

VMware Workspace ONE Access Connector 20.01.0.0 (Windows)

VMware Workspace ONE Access Connector、オンプレミス インフラストラクチャと統合する VMware Workspace ONE Access のオンプレミス コンポーネントです。コネクタは、Windows サーバに個別または同時にインストールできるエンタープライズ サービスのコレクションです。次のサービス コンポーネントをインストールできます。

  • エンタープライズ ディレクトリからユーザーを同期するディレクトリ同期サービス
  • パスワード(クラウド)、RSA SecurID(クラウド)、および RADIUS(クラウド)を含むユーザー認証サービス
  • Kerberos 認証用の Kerberos 認証サービス

Workspace ONE Access 20.01 コネクタへの移行

Workspace ONE Access にアップグレードするときに、新しい Workspace ONE Access 20.01 コネクタを使用するには、1 つ以上の 20.01 コネクタをインストールしてから、既存のディレクトリと認証方法を 19.03 から新しいコネクタに移行します。

20.01 コネクタ用の Windows サーバは、レガシーのコネクタ サーバとは別にする必要があります。移行プロセス中は、古いコネクタと新しいコネクタの使用を切り替えて移行をテストします。移行プロセス中は、19.03 レガシー コネクタ サーバが実行されている必要があります。移行が完了するまで、19.03 Connector をアンインストールしないでください。

古いコネクタ バージョンを 20.01 にアップグレードすることはできません。

Workspace ONE Access ドキュメント センターのコネクタ移行ガイドを参照してください。

移行の前に

  • すべてのレガシー コネクタのバージョンが 19.03 であることを確認します。
  • RSA SecurID 認証を 20.01 コネクタに移行する前に、RSA セキュリティ コンソールでノード シークレットを消去します。

仮想アプリケーション

Workspace ONE Access 20.01 コネクタは、仮想アプリケーション(Citrix、Horizon、Horizon Cloud、および ThinApp 統合)をサポートしていません。環境に仮想アプリケーションが含まれている場合や、今後仮想アプリケーションを使用する予定がある場合は、Workspace ONE Access 20.01 Connector に移行しないでください。

Workspace ONE Access 20.01 で仮想アプリケーションを使用するには、VMware Identity Manager Connector バージョン 19.03 を使用する必要があります。

  • VMware Identity Manager Integration Broker 19.03 | 2019 年 4 月 | ビルド 13221855 は、VMware Identity Manager Connector バージョン 19.03 でのみ動作します。

Workspace ONE Access 20.01 で VMware ThinApp を使用するには、VMware Identity Manager Linux ベースのコネクタ アプライアンス バージョン 2018.8.1 を使用する必要があります。  ThinApp パッケージを使用する場合は、VMware Workspace ONE Access Connector の 19.03 または 20.01 バージョンにアップグレードしないでください。

  • VMware Identity Manager Desktop 3.2 | 2018 年 3 月 | ビルド 7952055 は ThinApp パッケージで使用されます。

ドキュメント

VMware Workspace ONE Access 20.01 のドキュメントは VMware Workspace ONE Access ドキュメント センターにあります。

解決済みの問題

  • HW-111546:脆弱性を修正するために、サードパーティ製ライブラリの jackson-databind をより新しいバージョンにアップグレードしました。

  • HW-111493:パスワード(クラウド)は、ID プロバイダを手動で編集しなくてもポリシー認証メソッドに表示されます。

  • HW-111177:管理者が Workspace ONE Access のログイン画面を iFrame で表示可能な信頼できる URL を構成できるようにする機能。

  • HW-110395:脆弱性を修正するために、サードパーティ製コンポーネントをより新しいバージョンにアップグレードしました。

  • HW-110384:アプリケーション承認の要求に関連する問題を修正しました。Workspace ONE Access ドキュメント ページの「リソース使用のアプリケーション承認の有効化」を参照してください。

  • HW-109900:サードパーティの ID プロバイダがホスト名で認証を行っていた場合、コネクタ URL が正しく処理されませんでした。この修正により、ID プロバイダの URL が修正されました。

  • HW-109709:一部の特定のリソースの使用資格を管理するロールを作成できませんでした。この問題は修正されました。

  • HW-109099:これにより、アプリケーションの追加/編集ウィザードでプロビジョニングの構成手順を表示するために使用され、実際にはアプリケーションのプロビジョニングの設定には使用されていなかったテキスト「プロビジョニングのセットアップ」の問題が修正されました。テキストを「プロビジョニング オプションの表示」に変更し、ヒント テキストを追加して、このオプションの目的を明確にしました。

  • HW-109018:同期専用コネクタで [コネクタ リスト] ページに同期と認証が表示されます。今回の修正により修正されています。

  • HW-106922:19.03 以前のコネクタをディレクトリの同期コネクタとして設定する REST API。

  • HW-106192:ユーザーがリンクをたどるか、ブラウザで Workspace ONE Access の URL を入力すると、ページが読み込まれた後、フォーカスがユーザー名フィールドにありませんでした。今回の変更により、この問題が修正され、ユーザーはログイン ページをクリックまたはタブ移動することなく、ユーザー名/パスワードの入力をすぐに開始してシステムにログインできるようになります。

  • HW-106121:この修正では、Workspace ONE Access 管理者コンソールで AirWatch のすべてのリファレンスを Workspace ONE UEM に変更します。この変更は、[AirWatch 設定] ページ、[認証方法のリスト/編集] ページ、[ID プロバイダのリスト/編集] ページ、[ポリシーの編集] ページに対して行われました。

  • HW-105990:これにより、Workspace ONE Access 管理コンソールの入力フィールドに対するクロスサイト スクリプティングのセキュリティの脆弱性が修正されました。特に、ユーザー名およびグループ名の入力値でセキュリティの脆弱性が修正されました。

  • HW-103859:[Workspace ONE Access ダッシュボード レポート] ページには、初めて開いた時に UTC 時間が表示されます。今回の修正により、ローカル タイム ゾーンの日付が表示されます。

  • HW-103065:ポート 7443 が Android SSO で使用されていません。文字列を修正し、コンフィギュレータ UI の [SSL 証明書のインストール] => [パススルー証明書] から [この証明書は Android SSO にも使用できます] を削除しました。

  • HW-102820:ユーザー名のログイン ページとドメイン選択ページで [この設定を記憶する] のデフォルト値を [false] に設定すると、次回のログインから [この設定を記憶する] オプションのチェックが外されます。

  • HW-102616:ベースの SLES SP4 オペレーティング システムを LTSS リポジトリにアップグレードし、脆弱なパッケージもアップグレードしました。

  • HW-102471:監査レコードを保存する前に古いレコードを除外することにより、分析保持ポリシー (analytics.maxQueryDays) よりも古い監査レコードを保存しようとする際の問題を防止します。

  • HW-102016:この修正により、[組み込み ID プロバイダ] ページが制限され、1 つのユーザー ストアのみを選択できるようになります(これは、組み込み ID プロバイダを作成する場合です)。現在、Workspace ID プロバイダで選択できるのは 1 つのユーザー ストアのみですが、組み込み ID プロバイダでは複数のユーザーストアを選択できます。

  • HW-101717:[People Search] で、msExchHideFromAddressLists 属性に基づいてユーザーをフィルタで除外できます。

  • HW-101711:今回の修正により、次のことがサポートされます。  Active Directory からグループを読み込むときに、読み込み中のアイコンを表示します。選択したグループを常に上部に表示します。選択したグループ数を読み取り専用に変更し、選択した数のみを表示します。合計数は、[その他のグループを選択] モーダルに表示され、API 呼び出しによって Active Directory から更新されます。   この変更は、20.01 コネクタ ベースのディレクトリ グループ同期リストでのみ有効です。

  • HW-101708:これにより、セーフガード付きおよびセーフガードなしでディレクトリを同期するオプションが提供されます。ドライ ランが削除されました。これらの変更は、20.01 コネクタ ベースのディレクトリでのみ有効です。

  • HW-101684:起動時に SAML を無効にした Connection Server のメタデータの更新をスキップして最適化します。

  • HW-101642:今回の修正により、[ディレクトリを追加] ダイアログのヘルプ テキストとラベルが修正されました。

  • HW-101586:Workspace ONE Access によって生成された自己署名 SSL 証明書に Subject Alternative Names (SAN) が含まれるようになりました。これにより、Chrome 58+ などのブラウザで、不足している要素についてのエラーを表示することなく接続できます

  • HW-101203:完全なクラスタの再起動後に、リカバリが正しいノード数を待機するように elasticsearch 構成を更新しました。これにより、クラスタを完全に再起動した後に、クラスタが赤色の状態でスタックすることを防ぐことができます。

  • HW-100661:プロキシ サーバの構成時に [ロール] タブが機能しない問題を解決しました。「Workspace ONE Access のプロキシ サーバの設定」を参照してください。

  • HW-100273:21Vianet が運営する Office 365 のサポートを追加しました。

  • HW-95673:[システム診断] ダッシュボードに誤って [アプリケーションへの接続に失敗しました] ステータスが表示される問題を修正しました。アクセス ポリシーでサードパーティの ID プロバイダが使用されており、ID プロバイダにサービス アプライアンスからアクセスできない場合、このステータスが誤って表示されました。

  • HW-93025:[People Search] を有効にしても、20.01 コネクタとの通常のディレクトリ同期には影響しません。

  • HW-92353:管理者は Workspace ONE Access ログイン ページで [別のドメインに変更] オプションを表示しないようにすることができます。

  • HW-76920:Workspace ONE Access は、Workspace ONE Access ドキュメント ページの「Syslog サーバの構成」手順を使用して、アプリケーション レベルのログを外部の Syslog サーバに送信するように構成できます。  この機能を使用すると、Log Insight エージェントをインストールして Log Insight サーバにログを転送できます。製品の概要については、vRealize Log Insight のドキュメントを参照してください。

 

既知の問題

  • RSA SecurID 認証方法の構成が断続的に失敗する

    Workspace ONE Access コンソールで SecurID 構成を保存しようとすると、RSA 認証がセットアップされていないことを示すエラーが表示されます。

    1.エラーが表示された後、構成を再度保存してください。(構成の保存を数回繰り返します。)

    2.  これで解決しない場合は、ユーザー認証サービスがインストールされているコネクタを再起動します。

  • 「その他」タイプのディレクトリ (AirWatch Cloud Connector) を Workspace ONE Access 20.01 コネクタから削除できない

    [ディレクトリの削除] をクリックして、Workspace ONE Access コンソールから「その他」タイプのディレクトリ (通常は AirWatch Cloud Connector ディレクトリ)を削除すると、進行状況バーは動作しますが、ディレクトリは削除されません。

    API のサポートに連絡して、ディレクトリを削除してください。

  • Verizon や T-Mobile などのモバイル ネットワークを使用しているデバイスで、Workspace ONE Access への iOS 版モバイル SSO 認証が失敗する

    使用しているセルラー プランが IPv6 アドレスを使用する Verizon または T-Mobile プランで、iOS 版モバイル SSO 認証に組み込み KDC を使用している場合、ユーザーは iOS 版モバイル SSO を使用してアプリケーションにログインできません。
    ユーザーは引き続き、企業の WIFI または他の外部 WIFI ネットワークからログインできます。 

    これを解決するために、組み込み KDC から Workspace ONE Access KDC クラウド ホスト型サービスに切り替えることができます。「クラウド ホスト型 KDC サービスの使用」および「Workspace ONE Access での iOS 版モバイル SSO 認証の設定」を参照してください。

    クラウド ホスト型 KDC サービスを使用しない場合は、IPv6 要求を処理する KDC ロード バランサを構成し、認証のために IPv4 経由で要求をプロキシ処理する必要があります。これを実現する方法の詳細については、ロード バランサのドキュメントを参照してください。

     

check-circle-line exclamation-circle-line close-line
Scroll to top icon