移行ダッシュボードを使用して、既存のディレクトリと仮想アプリケーションのコレクションを Workspace ONE Access 19.03 または 19.03.0.1 Connector から 21.08 Connector に移行します。移行プロセスは、移行を完了する前に新しいコネクタを使用して環境をテストできる段階的なアプローチです。

この移行プロセスには、次のステージが含まれます。

  • 21.08 Connector のインストール

    新しい 21.08 Connector (ディレクトリ同期サービス、ユーザー認証サービス、Kerberos 認証サービス、仮想アプリケーション サービスを含む)をインストールします。少なくとも、ディレクトリ同期サービスをインストールします。レガシー コネクタでコネクタベースの認証が構成されている場合は、ユーザー認証サービスをインストールします。レガシー コネクタで Kerberos 認証方法が構成されている場合は、Kerberos 認証サービスをインストールします。レガシー コネクタで仮想アプリケーションのコレクションが構成されている場合は、仮想アプリケーション サービスをインストールします。

  • ディレクトリの移行

    このステージでは、ディレクトリの移行ウィザードを使用して、すべてのディレクトリ データを移行します。必要な情報のほとんどは環境から事前に入力されていますが、ディレクトリのバインド ユーザー パスワードなどの重要な値を入力します。

    このステージでディレクトリを移行しても、既存のディレクトリ、認証方法、または ID プロバイダの構成は変更されません。まだ古いコネクタを使用しています。変更は、プレビュー ステージに移動した後にのみ有効になります。

  • 仮想アプリケーションのコレクションの移行

    このステージでは、既存の仮想アプリケーションのコレクションを移行するコネクタを選択します。新しい設定は、プレビュー ステージに移動した後にのみ有効になります。

  • プレビュー

    プレビュー ステージでは、新しい 21.08 Connector を使用して環境をプレビューします。21.08 Connector からの新しいディレクトリ同期サービス、ユーザー認証サービス、Kerberos 認証サービス、および仮想アプリケーション サービスにより、ディレクトリの同期、ユーザーの認証、および仮想アプリケーションの同期が実行されます。Kerberos を除くすべての認証方法が送信モードになります。

    プレビュー ステージは、新しいサービスを使用して環境を徹底的にテストすることを目的としています。ディレクトリの同期、仮想アプリケーションの同期、ユーザーの認証、アプリケーションの起動が予期したとおりに正常に機能していることを確認します。

    プレビュー ステージでは、ディレクトリ、認証方法、ID プロバイダ、または仮想アプリケーションのコレクションを作成、編集、または削除することはできません。

    プレビュー ステージから、古いコネクタの使用にロールバックできます。ロールバックすると、前のステージで移行したディレクトリ データが維持されたままになります。その後、既存のディレクトリ、認証方法、または ID プロバイダのいずれかに変更を加えた場合は、必ずディレクトリ データを再度移行してください。

  • 移行の完了

    新しい環境のテストに問題がなければ、移行を完了します。移行が完了した後は、古いコネクタの使用にロールバックすることはできません。

前提条件

  • Workspace ONE Access Connector 21.08 への移行の要件に記載されている要件を確認します。
  • 環境内のすべてのコネクタのバージョンが 19.03.x であることを確認します。古いバージョンのコネクタがある場合は、移行のために 19.03.x にアップグレードします。
  • 新しい 21.08 Connector 用に 1 台以上の Windows Server を準備します。『Workspace ONE Access Connector 21.08 のインストール』のサイズ設定ガイドラインを参照してください。

    21.08 Connector は、新しいサーバまたはレガシーの 19.03.x Connector サーバのいずれかにインストールできます。ただし、レガシー コネクタで Kerberos 認証が構成されている場合は、別の Windows Server を使用して 21.08 Kerberos 認証サービスをインストールする必要があります。19.03.x Connector サーバに新しい Kerberos 認証サービスをインストールしないでください。Workspace ONE Access は、同じサーバ上で Kerberos の複数のインスタンスをサポートしていません。

    レガシー コネクタで Kerberos 認証が構成されておらず、新しい 21.08 Connector をレガシーの 19.03.x Connector サーバにインストールする場合は、コネクタ サーバ、追加の要件とガイドラインについて、Workspace ONE Access 19.03.x を実行している Windows Server 上での最新のコネクタへの移行を参照してください。

  • オンプレミスの Workspace ONE Access サービス インスタンスがある場合は、コネクタを移行する前にインスタンスを 21.08 にアップグレードします。
  • ユーザー認証サービスをインストールする場合は、環境に 20.x ユーザー認証サービス インスタンスが含まれていないことを確認します。移行の一環として、21.08 Connector をインストールします。すべてのユーザー認証サービス インスタンスはバージョン 21.08 である必要があります。ユーザー認証サービスのバージョンが混在している場合は、移行を続行できません。
  • RSA SecurID 認証方法が 19.03.x コネクタで構成されている場合:
    • RSA Authentication Manager アプライアンス バージョン 8.2 SP1 以降を使用していることを確認します。Workspace ONE Access Connector 21.08 は RSA Authentication Manager アプライアンス 8.2 SP1 以降をサポートします。
    • RSA Authentication Manager サーバの複数のインスタンスを展開している場合、Workspace ONE Access との統合を機能させるには、ロード バランサの背後で構成する必要があります。『Workspace ONE Access でのユーザー認証方法の管理』ガイドの「RSA SecurID ロード バランサの Workspace ONE Access 要件」に記載されている要件を満たしていることを確認します。
    • RSA セキュリティ コンソールで、コネクタが完全修飾ドメイン名 (FQDN) を使用して認証エージェントとして追加されていることを確認します。たとえば、connectorserver.example.com です。すでに FQDN ではなく NetBIOS 名を使用してコネクタを認証エージェントとして追加している場合は、FQDN を使用して別のエントリを追加します。新しいエントリの IP アドレス フィールドは空のままにします。古いエントリは削除しないでください。
    • 移行プロセスの一環として、RSA SecurID認証方法を構成します。認証方法の構成に必要な情報には、RSA Authentication Manager またはロード バランサ サーバのホスト名、通信ポート、アクセス キー、およびサーバが自己署名証明書を使用する場合の RSA Authentication Manager またはロード バランサ サーバの SSL 証明書が含まれます。情報の一部を RSA セキュリティ コンソールから取得するため、セキュリティ コンソールの認証情報も必要です。
    • プロキシ サーバにコネクタが構成されている場合は、RSA Authentication Manager サーバ用に構成された通信ポートがプロキシ サーバで開いている必要があります。
  • 新しい Windows Server にユーザー認証サービスをインストールする場合は、コネクタの移行を開始する前に、Windows Server を RSA Authentication Manager サーバにエージェントとして追加します。
  • (Workspace ONE Access のオンプレミスのインストールのみ)ID プロバイダが複数のディレクトリに関連付けられている場合は、各 ID プロバイダが 1 つのディレクトリのみに関連付けられるように構成を変更します。
  • 移行プロセスを開始する前に、ディレクトリ同期プロセスがどのディレクトリに対しても実行されていないことを確認します。
  • People Search 機能が有効になっている場合は、移行プロセスを開始する前に、どのディレクトリに対してもフォト同期プロセスが実行されていないことを確認します。
  • ディレクトリが関連付けられていない 19.03.x Connector を移行する場合は、手順 5 で [Workspace ONE Access Connector 21.08] オプションを選択すると、移行が完了したと見なされ、19.03.x Connector がサービスから削除されることに注意してください。後でレガシー コネクタを使用することを決定し、[コネクタ選択のリセット] ボタンを使用してコネクタの選択を変更した場合、19.03.x Connector は表示されません。19.03.x Connector をサービスで再アクティベーションするには、再インストールする必要があります。

手順

  1. [ID とアクセス管理] タブをクリックします。
    移行ページが表示されます。 [移行] ダッシュボードの概要
    注: 以前にレガシー コネクタを使用するオプションを選択した場合、移行ページは表示されません。コネクタの選択を変更する必要があります。 [ID とアクセス管理] > [セットアップ] > [レガシー コネクタ](または [コネクタ])ページに移動し、 [コネクタ選択のリセット] ボタンをクリックして、 [Workspace ONE Access Connector 21.08] を選択します。
  2. 要件を確認し、[開始する] をクリックします。
    [移行] ダッシュボードが表示されます。このページには、移行を完了するために実行するさまざまな手順が表示されます。
  3. [移行] ダッシュボードで、[21.08 Connector のインストール] セクションの [開始する] リンクをクリックします。
    ダッシュボードの [21.08 Connector のインストール] ペインに、[開始する] ボタンが表示されます。
  4. [コネクタ] ページで、[新規] をクリックします。

    イメージには、[コネクタ] ページが表示され、[新規] ボタンが表示されます。
  5. [コネクタを選択] ウィンドウで情報を確認し、[Workspace ONE Access Connector 21.08] オプションを選択します。
    注意: Workspace ONE Access Connector 21.08 は、Horizon Cloud Service on IBM Cloud、シングル ポッド ブローカを使用した Horizon Cloud Service on Microsoft Azure、または ThinApp との統合をサポートしていません。これらの仮想アプリケーションのタイプを統合する場合は、 [レガシー コネクタ] を選択して移行プロセスを終了します。レガシー コネクタのみが、これらのタイプの仮想アプリケーションをサポートします。
    重要: ビジネス ニーズを考慮しながら、慎重に選択してください。移行プロセスの特定の時点を過ぎると、選択内容を変更することはできません。 Workspace ONE Access でのコネクタ選択のリセットを参照してください。
  6. 新しいコネクタを追加ウィザードに従って、コネクタ インストーラと必要な構成ファイルをダウンロードし、新しいコネクタをインストールします。
    インストールの情報については、『 VMware Workspace ONE Access Connector 21.08 のインストール』を参照してください。特に、「 Workspace ONE Access Connector をインストールするための前提条件」および「 Workspace ONE Access のインストール」を参照してください。
    コネクタをインストールするときは、必ずディレクトリ同期サービスをインストールしてください。レガシー コネクタでコネクタベースの認証が構成されている場合は、ユーザー認証サービスをインストールします。Kerberos 認証サービスは、レガシー コネクタのいずれかで Kerberos 認証方法が構成されている場合にのみ必要です。レガシー コネクタで仮想アプリケーションのコレクションが構成されている場合、または新しいコネクタで仮想アプリケーションのコレクションを構成する場合は、仮想アプリケーション サービスをインストールします。
    注意: インストール プロセスの最後に、システムを再起動するよう求めるプロンプトが表示される場合があります。19.03.x Connector サーバに 21.08 Connector をインストールする場合は、システムを再起動しないでください。コネクタの移行プロセス全体が完了した後にのみ、システムを再起動します。
    注意: ユーザー認証サービスをインストールする場合は、環境内のすべてのユーザー認証サービス インスタンスがバージョン 21.08 であり、20. x ユーザー認証サービス インスタンスが含まれていないことを確認します。ユーザー認証サービスのバージョンが混在している場合は、移行を続行できません。
  7. コネクタのインストールが正常に完了したら、Workspace ONE Access サービス コンソールの [移行] ダッシュボードに戻ります。
  8. [新しいコネクタへの移行] セクションで、すべてのディレクトリを 1 つずつ移行します。

    [移行] ダッシュボードの [ディレクトリの移行] ペインには、2 つのディレクトリが一覧表示され、それぞれの横に [移行] ボタンが表示されます。
    [ディレクトリの移行] セクションには、テナント内のすべての Active Directory および LDAP ディレクトリが一覧表示されます。移行を完了する前に、一覧表示されているすべてのディレクトリを移行する必要があります。
    注: このステップでディレクトリを移行しても、既存のディレクトリ、認証方法、ID プロバイダの構成は変更されず、次のステップで変更をプレビューした後にのみ有効になります。
    1. ディレクトリの横にある [移行] ボタンをクリックします。
      ディレクトリの移行ウィザードが表示されます。ウィザードは、移行するディレクトリに合わせてカスタマイズされます。ディレクトリに設定されている認証方法については、追加のページが表示されます。
    2. [ディレクトリ] ページで、ディレクトリのバインド ユーザー パスワードを入力します。
      [ディレクトリ同期ホスト] リストには、ディレクトリ同期サービスがインストールされている新しい 21.08 Connector ホストが表示されます。ディレクトリの同期に使用する 1 台以上のホストを選択します。
      ディレクトリの移行ウィザード - [ディレクトリ] ページ
    3. [Kerberos] ページ(Kerberos 認証方法が構成されている場合にのみ表示されます)で、Kerberos 認証方法の移行に必要な情報を指定します。
      • [ソース コネクタ]:ソース コネクタが事前に選択されています。事前に選択したコネクタが使用できない場合は、別のコネクタを選択できます。
      • [Kerberos 認証ホスト]:Kerberos 認証サービスがインストールされている新しい 21.08 Connector ホストがリストに表示されます。Kerberos 認証に使用する 1 台以上のホストを選択します。

      ディレクトリの移行 - [Kerberos] ページ

    4. [パスワード] ページで、パスワード認証方法の移行に必要な情報を指定します。
      • [ソース コネクタ]:ソース コネクタが事前に選択されています。事前に選択したコネクタが使用できない場合は、別のコネクタを選択できます。
      • [バインド パスワード]:ディレクトリのバインド ユーザー パスワードを入力します。
      • [ユーザー認証ホスト]:ユーザー認証サービスがインストールされている新しい 21.08 Connector ホストがリストに表示されます。パスワード認証に使用する 1 台以上のホストを選択します。

      ディレクトリの移行 - [パスワード] ページ

    5. [RADIUS] ページ(RADIUS 認証方法が構成されている場合にのみ表示されます)で、RADIUS 認証方法の移行に必要な情報を指定します。
      • [ソース コネクタ]:ソース コネクタが事前に選択されています。事前に選択したコネクタが使用できない場合は、別のコネクタを選択できます。
      • [共有シークレット]:RADIUS サーバの共有シークレット。
      • [ユーザー認証ホスト]:ユーザー認証サービスがインストールされている新しい 21.08 Connector ホストがリストに表示されます。RADIUS 認証に使用する 1 台以上のホストを選択します。

      ディレクトリの移行 - [RADIUS] ページ

    6. [SecurID] ページ(RSA SecurID 認証方法が構成されている場合にのみ表示されます)で、RSA SecurID 認証方法の移行に必要な情報を指定します。
      • [ソース コネクタ]:ソース コネクタが事前に選択されています。事前に選択したコネクタが使用できない場合は、別のコネクタを選択できます。
      • [許可されている認証試行回数]:RSA SecurID トークンを使用する場合のログイン失敗が許可される最大回数を入力します。デフォルトは、5 回です。
        注: RSA SecurID 認証を使用する複数のディレクトリを移行する場合は、各 RSA SecurID と同じ値を [許可されている認証試行回数] に構成します。この値が同一でない場合、SecurID 認証は失敗します。
      • [SecurID サーバ ホスト名:]RSA Authentication Manager サーバのホスト名を入力します(myserver.example.com など)。ロード バランサの背後に RSA Authentication Manager サーバの複数のインスタンスを構成している場合は、代わりにロード バランサのホスト名を入力します。例:lb.example.com。
      • [SecurID サーバ通信ポート:]RSA Authentication Manager インスタンスの通信ポートを入力します。デフォルト ポートは 5555 です。通信ポート番号を取得するには、RSA セキュリティ コンソールにログインし、[セットアップ] > [システム設定] > [RSA SecurID 認証 API] ページに移動し、[通信ポート] をコピーします。
      • [SecurID サーバ アクセス キー:]RSA Authentication Manager インスタンスからアクセス キーを入力します。アクセス キーを取得するには、RSA セキュリティ コンソールで、[セットアップ] > [システム設定] > [RSA SecurID 認証 API] ページに移動し、[エージェント資格情報] に一覧表示される [アクセス キー] をコピーします。
      • [SecurID サーバ CA/SSL 証明書:]RSA Authentication Manager サーバまたはロード バランサ サーバに自己署名証明書がある場合は、証明書をコピーしてテキスト ボックスに貼り付けます。サーバに公式の認証局によって署名された証明書がある場合、証明書をアップロードする必要はありません。
      • [認証方法のタイムアウト(秒単位):]認証の試行が可能な秒数を入力します。その後、認証の試行はタイムアウトになります。デフォルト値は 180 秒です。
      • [ユーザー認証ホスト]:ユーザー認証サービスがインストールされている新しい 21.08 Connector ホストがリストに表示されます。RSA SecurID 認証に使用する 1 台以上のホストを選択します。

      ウィザードの [SecurID] ページが表示されます。
    7. [ID プロバイダ] ページ(Kerberos 認証が構成されている場合にのみ表示されます)で、移行中に Kerberos 認証用に作成される新しい ID プロバイダに使用するコネクタ ロード バランサの完全修飾ドメイン名 (FQDN) を入力します。
      現在のロード バランサの FQDN が参照用に表示されます。これは、ディレクトリの ID プロバイダ ページの現在の [ID プロバイダ ホスト名] 値です。
      21.08 Connector が 1 つしかなく、ロード バランサがない場合は、コネクタの FQDN を入力します。
      ディレクトリの移行ウィザードの [ID プロバイダ] ページ
    8. [サマリ] ページで選択内容を確認し、[保存] をクリックします。
      ディレクトリ移行データが保存されます。設定を表示するには、[ディレクトリの移行] ダッシュボードのディレクトリの横にある [サマリ] ボタンをクリックします。 ダッシュボードの [ディレクトリの移行] セクションが緑色で表示されます。移行されたディレクトリが一覧表示され、その横に [設定の確認] ボタンが表示されます。
      入力した情報を変更する場合は、[サマリ] ページで [最初からやり直し] をクリックします。これにより、ディレクトリに対して入力した移行データが破棄され、ディレクトリを再度移行できます。
      ディレクトリ サマリ
    9. 残りのディレクトリを移行します。
  9. [仮想アプリケーションのコレクションの移行] セクションで、仮想アプリケーションのコレクションを移行するコネクタを選択します。
    1. [移行] をクリックします。

      [仮想アプリケーションのコレクションの移行] ペインに [移行] ボタンがあります。
    2. [仮想アプリケーションのコレクションの移行] ウィンドウで、各仮想アプリケーションのコレクションに使用する 21.08 Connector を選択します。仮想アプリケーション サービスがインストールされているすべてのコネクタがドロップダウン メニューに表示されます。仮想アプリケーション サービスがアクティブ状態のコネクタを選択します。コネクタ名の横に状態が表示されます。高可用性のために複数のコネクタを追加できます。複数のコネクタを追加する場合は、フォールバックの順序に並べ替えます。
      注: すべての仮想アプリケーションのコレクションを同時に移行する必要があります。移行する特定のコレクションを選択することはできません。
    3. [[保存]] をクリックします。
    例:
    [仮想アプリケーションの移行] ウィンドウ

    プレビュー ステージに移動すると、仮想アプリケーションのコレクションが移行されます。

    注: 移行の完了後にコネクタをさらに追加できます。また、仮想アプリケーションのコレクション用に選択したコネクタを変更することもできます。
  10. [移行の完了] セクションで [プレビューの開始] をクリックして、移行プロセスを開始します。

    [移行の完了] ペインに [プレビューの開始] ボタンが表示されます。
    プレビュー ステージでは、新しい 21.08 Connector が使用されます。ディレクトリ同期は新しいディレクトリ同期サービスによって実行、ユーザー認証は新しいユーザー認証サービスによって実行、Kerberos 認証は新しい Kerberos 認証サービスによって実行、仮想アプリケーションの同期は新しい仮想アプリケーション サービスによって実行されます。プレビュー ステージでは、ディレクトリ、認証方法、ID プロバイダ、仮想アプリケーションのコレクションを変更したり、新しく作成したりすることはできません。変換された ID プロバイダは [ID プロバイダ] タブで、変換された認証方法は [コネクタ認証方法] タブで表示できます。Kerberos を除くすべての認証方法が送信モードになります。
    注: Workspace ONE Access 21.08 オンプレミス仮想アプライアンスでは、 [コネクタ認証方法] タブの名前は [エンタープライズ認証方法] です。
    注: Workspace ONE Access サービスの展開で People Search 機能が有効になっていた場合は、セーフガード設定なしでディレクトリを手動で同期する必要があります。 Workspace ONE Access コンソールで、[ID とアクセス管理] > [ディレクトリ] ページでディレクトリを選択し、 [同期] > [セーフガードを使用しない同期] をクリックします。
    重要: プレビュー ステージで環境を完全にテストし、予期したとおりに動作していることを確認します。ディレクトリの同期、仮想アプリケーションの同期、ユーザー ログイン、アプリケーションの起動が正常に機能していることを確認します。
  11. 環境が正常に動作していないと判断した場合、またはディレクトリ、認証方法、ID プロバイダ、仮想アプリケーションのコレクションを変更する場合は、プレビュー ステージをキャンセルしてから古いコネクタの使用に戻ります。
    [ID とアクセス管理] > [管理] > [ディレクトリ] ページに移動し、 [移行を続行] をクリックして、[ディレクトリの移行] ダッシュボードの [移行の完了] セクションで [中断] をクリックします。
    [移行の完了] ペインには、[中断] ボタンと [完了] ボタンがあります。
    後でディレクトリ、認証方法、ID プロバイダに変更を加えた場合は、 [新しいコネクタへの移行] セクションで、ディレクトリを再度移行してください。
  12. プレビュー ステージでお使いの環境が予期したとおりに動作していて、移行を完了する準備ができていることを確認したら、[ID とアクセス管理] > [管理] > [ディレクトリ] ページに移動し、[移行を続行] をクリックして [ディレクトリの移行] ダッシュボードに戻ります。
    注意: 移行が完了した後は、古いコネクタにロールバックすることはできません。

    [完了] をクリックして移行を完了します。


    [移行の完了] ペインには、[中断] ボタンと [完了] ボタンがあります。

結果

すべてのディレクトリと仮想アプリケーションのコレクションは、新しい 21.08 Connector に移行されます。新しいディレクトリ同期サービス、ユーザー認証サービス、Kerberos 認証サービス、および仮想アプリケーション サービスにより、ディレクトリの同期、ユーザーの認証、および仮想アプリケーションの同期が実行されるようになりました。

新しい ID プロバイダが各ディレクトリに作成され、「ディレクトリの移行された IDP」という名前で [ID プロバイダ] タブに表示されます。新しい ID プロバイダは組み込みタイプです。Kerberos 認証では、Workspace_IDP タイプの個別の ID プロバイダが作成されます。

Kerberos を除くすべての認証方法は、送信方法に変換され、「(クラウド デプロイ)」サフィックスで名前が変更されます。たとえば、パスワード認証方法は「パスワード(クラウド デプロイ)」に変更されます。[コネクタ認証方法] タブから、新しい認証方法を表示および管理できます。

注: Workspace ONE Access 21.08 オンプレミス仮想アプライアンスでは、このタブの名前は [エンタープライズ認証方法] です。

次のタスク

移行が完了したら、古い 19.03.x Connector をインストール先のサーバからアンインストールできます。

移行が完了すると、Citrix 統合のための Integration Broker は必要なくなります。必要な機能が仮想アプリケーション サービスの一部になりました。

Horizon 統合の場合、Horizon Connection Server に、信頼できる認証局 (CA) によって署名された有効な証明書があることを確認します。Horizon Connection Server に自己署名証明書がある場合は、仮想アプリケーション サービスがインストールされている Workspace ONE Access Connector インスタンスに証明書チェーンをアップロードして、コネクタと Horizon Connection Server 間の信頼を確立する必要があります。これは、Workspace ONE Access Connector 21.08 の新しい要件です。コネクタ インストーラを使用して証明書をアップロードします。詳細については、VMware Workspace ONE Access Connector のインストールを参照してください。証明書をアップロードしたら、コネクタ サービスを再起動してください。