Windows ベースの Workspace ONE Access Connector 20.10.x または 20.01.x をバージョン 21.08 にアップグレードするには、新しいインストーラを My VMware からコネクタ サーバにダウンロードして、インストーラを実行します。古いバージョンのコネクタをアンインストールする必要はありません。

アップグレード中、既存のディレクトリ同期サービス、ユーザー認証サービス、および Kerberos 認証サービスは一時停止します。アップグレードの完了後、サービスは自動的に再起動されます。

[重要な考慮事項]

  • 仮想アプリケーション サービスをインストールする場合は、Workspace ONE Access コンソールから新しい es-config.json 構成ファイルをダウンロードして使用し、Workspace ONE Access サービスとコネクタ間の接続を確立する必要があります。仮想アプリケーション サービスをインストールしない場合は、新しい構成ファイルは必要ありません。アップグレードされたコネクタは、既存のコネクタで使用されているのと同じ構成ファイルを使用できます。
    注: 既存の es-config.json 構成ファイルのパスワードに & または % が含まれている場合は、これらの文字を含まないパスワードを使用して新しい構成ファイルを生成します。& および % 文字はサポートされていません。
  • RSA SecurID(クラウド デプロイ)認証方法の構成は、21.08 リリースで変更されました。RSA SecurID(クラウド デプロイ)認証方法を構成している場合は、すべてのユーザー認証サービス インスタンスをアップグレードする前にアクセス ポリシーから削除し、アップグレード後に再構成する必要があります。これにより、RSA SecurID ベースのログインのダウンタイムが発生するため、ダウンタイムを考慮してアップグレードのタイミングを計画します。

    アップグレードを実行する手順の概要は次のとおりです。

    1. RSA Authentication Manager アプライアンス 8.2 SP1 以降(Workspace ONE Access Connector 21.08 でサポートされているバージョン)を使用していることを確認します。
    2. コネクタをアップグレードする前に、使用されているアクセス ポリシーから RSA SecurID(クラウド デプロイ)認証方法を削除します。
    3. ユーザー認証サービスがインストールされているすべてのコネクタをバージョン 21.08 にアップグレードします。
    4. プロキシ サーバにコネクタが構成されている場合は、RSA Authentication Manager サーバ用に構成された通信ポートがプロキシ サーバで開いていることを確認します。
    5. 複数の RSA Authentication Manager サーバ インスタンスを展開している場合は、ロード バランサの背後で構成し、ロード バランサの Workspace ONE Access 要件を満たす必要があります。
    6. RSA セキュリティ コンソールで、コネクタが完全修飾ドメイン名 (FQDN) を使用して認証エージェントとして追加されていることを確認します。たとえば、connectorserver.example.com です。
    7. RSA SecurID(クラウド デプロイ)認証方法の構成を更新します。
    8. アクセス ポリシーに RSA SecurID(クラウド デプロイ)認証方法を追加します。
  • ユーザー認証サービスがインストールされているすべてのコネクタ インスタンスを 21.08 にアップグレードします。Workspace ONE Access では、ユーザー認証サービスのバージョン 21.08 と 20.x の混在はサポートされません。
  • Workspace ONE Access Connector 21.08 は、次のタイプのプロキシをサポートしています。
    • 非認証 HTTP プロキシ
    • 非認証 HTTPS (SSL) プロキシ
    • 認証済み HTTPS (SSL) プロキシ

前提条件

  • VMware Workspace ONE Access Connector 21.08 へのアップグレードを確認します。
  • コネクタのインストールが仮想 Windows Server 上にある場合は、アップグレードする前に仮想マシンのスナップショットを作成します。
  • Kerberos 認証サービスまたは仮想アプリケーション サービスをインストールする場合は、コネクタ サーバをドメインに参加させます。
  • RSA SecurID(クラウド デプロイ)認証方法を構成している場合は、RSA Authentication Manager アプライアンス バージョン 8.2 SP1 以降を使用していることを確認します。
  • RSA SecurID(クラウド デプロイ)認証方法を構成している場合は、ユーザー認証サービスがインストールされているすべてのコネクタ インスタンスをアップグレードする前に、アクセス ポリシーから認証方法を削除します。
    1. Workspace ONE Access コンソールで、[ID とアクセス管理] > [管理] > [ポリシー] ページに移動します。
    2. 各ポリシーを確認し、RSA SecurID(クラウド デプロイ)認証方法がポリシーの一部である場合は削除します。

      コネクタのアップグレード後に認証方法を再度追加するために必要な情報として、変更の内容をメモしておきます。

  • バージョン 20.01.x からアップグレードし、統合 Windows 認証 (IWA) 経由の Active Directory タイプのディレクトリを構成している場合は、21.08 Connector にアップグレードする前に、Workspace ONE Access コンソールのディレクトリ構成で [STARTTLS] オプションを選択解除します。アップグレード後、IWA 経由の Active Directory の機能は STARTTLS オプションとの互換性がなくなります。

    ディレクトリ構成を編集するには、[ID とアクセス管理] > [管理] > [ディレクトリ] ページに移動し、ディレクトリを選択して、[このディレクトリには STARTTLS を使用するすべての接続が必要] チェック ボックスを選択解除し、[保存] をクリックします。

    注: ナレッジベースの記事 KB 77158 に記載されているホットフィックスを Connector 20.01 に適用した場合、または Connector 20.01.0.1 または 20.10 にアップグレードした場合は、IWA 経由の Active Directory の [STARTTLS] オプションがすでに選択解除されている可能性があります。設定が選択解除されていることを確認します。
  • Workspace ONE Access コンソールで、現在インストールされているコネクタ サービスを一時停止します。
    1. [ID とアクセス管理] > [セットアップ] > [コネクタ ページ] に移動します。
    2. コネクタを選択し、[管理] をクリックします。
    3. 各サービス名の横にある切り替えボタンをクリックして、サービスを一時停止します。
  • 次のアカウント情報が必要です。
    • My VMware 認証情報
    • Kerberos 認証サービスがすでにインストールされている場合、サービスを実行するために使用されているドメイン ユーザーの認証情報
    • アップグレード中に Kerberos 認証サービスまたは仮想アプリケーション サービスをインストールする場合は、これらのサービスを実行するためのドメイン ユーザー アカウントが必要です。これらのサービスはドメイン ユーザー アカウント権限で実行されますが、ディレクトリ同期サービスとユーザー認証サービスはより低い権限で実行されます。
    • RSA SecurID(クラウド デプロイ)認証方法を使用する場合、すべてのコネクタ インスタンスをアップグレードした後に Workspace ONE Access コンソールで認証方法を再構成するために必要な情報を取得するには、RSA セキュリティ コンソールの資格情報が必要です。

手順

  1. 新しい構成ファイルが必要な場合は、Workspace ONE Access コンソールから生成します。
    1. システム ドメインの管理者として Workspace ONE Access コンソールにログインします。
      ヒント: クラウド展開の場合、システム ドメイン管理者は、 Workspace ONE Access テナントの取得時に認証情報を受け取る管理者です。オンプレミス展開の場合、システム ドメイン管理者は Workspace ONE Access インスタンスのインストール時に作成される管理者ユーザーです。
    2. [ID とアクセス管理] > [セットアップ] > [コネクタ] ページに移動します。
    3. [新規] をクリックします。
    4. [新しいコネクタを追加] ウィザードで、[次へ] をクリックします。
    5. [構成ファイルをダウンロード] ページで、パスワードを作成して [構成ファイルをダウンロード] をクリックし、構成ファイルを生成します。
      パスワードは 14 文字以上の長さで、大文字、小文字、数字、特殊文字が含まれている必要があります。& または % の文字を使用しないでください。すべての文字は、表示および印字可能な ASCII 文字である必要があります。
      構成ファイルは、インストールするエンタープライズ サービスと Workspace ONE Access テナントとの間の通信を確立するために使用されます。このファイルは、デフォルトで es-config.json という名前になっています。
      注意: 構成ファイルには、テナント URL、テナント ID、各エンタープライズ サービスのクライアント ID とクライアント シークレット、パスワード ハッシュなどの機密情報が含まれています。ファイルを共有したり、公開したりしないようにすることが重要です。
    6. 構成ファイルをコネクタ サーバに転送します。
  2. My VMware から Workspace ONE Access Connector 21.08.0.0 をダウンロードします。
    1. https://my.vmware.com にログインします。
    2. [VMware Workspace ONE Access 21.08 のダウンロード] ページに移動します。
    3. Workspace ONE Access Connector 21.08.0.0 をダウンロードします。
  3. インストーラ ファイルを、以前のバージョンのコネクタがインストールされている Windows Server に保存します。
  4. Workspace One Access Connector Installer.exe ファイルをダブルクリックして、インストーラを実行します。
    インストーラによってアップグレードが必要であることが検出され、アップグレード プロセスの手順が表示されます。 ウィザードにアップグレード ページが表示されます。
  5. ウィザードの指示に従ってコネクタをアップグレードします。
    アップグレード時には、次の点に注意してください。
    • アップグレード中に、インストーラは OpenJDK 8 をインストールします。
    • アップグレード中に、既存のサービスの設定を変更できます。他のサービスをインストールすることもできます。たとえば、新しい仮想アプリケーション サービスをインストールできます。または、既存のインストールにディレクトリ同期サービスのみが含まれていて、ユーザー認証サービスと Kerberos 認証サービスをインストールする場合は、アップグレード中にインストールできます。

      要件、サイズ設定、インストール、および設定の詳細については、『VMware Workspace ONE Access Connector 21.08 のインストール』を参照してください。

    • 21.08 Connector を使用すると、1 台のサーバに限定されるのではなく、複数の外部 Syslog サーバを指定してアプリケーションレベルのイベント メッセージを保存できます。Syslog サーバは、アップグレード中にウィザードの [Syslog サーバ情報の指定] ページで入力できます。

      次の形式を使用します。

      host:port,host:port,host:port

      host は、Syslog サーバの完全修飾ドメイン名または IP アドレス、port はポート番号です。例:

      syslog1.example.com:514,syslog2.example.com:601,syslog3.example.com:163

  6. アップグレードが正常に完了したら、アップグレードされたサービスが Windows Server で実行されていることを確認します。
    コネクタ サービスには、次の名前があります。
    • VMware ディレクトリ同期サービス
    • VMware ユーザー認証サービス
    • VMware Kerberos 認証サービス
    • VMware 仮想アプリケーション サービス

    サービスには [実行中] ステータスが表示されます。

結果

コネクタのアップグレードが完了しました。新しいバージョンのコネクタがインストールされていることを確認するには、Windows Server の [コントロール パネル] > [プログラム] > [プログラムと機能] の順に移動して、表示されているコネクタのバージョンを確認します。

次のタスク

  • Workspace ONE Access コンソールで、[ID とアクセス管理] > [セットアップ] > [コネクタ] ページの更新アイコンをクリックし、アップグレードされたサービスがアクティブで、健全性ステータスが緑色になっていることを確認します。
    例:
    [コネクタ] ページには、ディレクトリ同期サービス、ユーザー認証サービス、Kerberos 認証サービス、および仮想アプリケーション サービスがインストールされているコネクタが 1 つ一覧表示されます。すべてのサービスがアクティブで、[健全性] 列に緑色のチェック ボックスが表示されます。
  • RSA SecurID(クラウド デプロイ)認証方法が元のインストールで構成されていた場合は、ユーザー認証サービスがインストールされているすべてのコネクタ インスタンスをアップグレードした後に、認証方法を再構成します。
    1. 複数の RSA Authentication Manager サーバ インスタンスを展開している場合は、ロード バランサの背後で構成し、ロード バランサの Workspace ONE Access 要件を満たす必要があります。RSA SecurID ロード バランサの Workspace ONE Access 要件を参照してください。
    2. プロキシ サーバにコネクタが構成されている場合は、RSA Authentication Manager サーバ用に構成された通信ポートがプロキシ サーバで開いていることを確認します。
    3. RSA セキュリティ コンソールで、コネクタが完全修飾ドメイン名 (FQDN) を使用して認証エージェントとして追加されていることを確認します。たとえば、connectorserver.example.com です。すでに FQDN ではなく NetBIOS 名を使用してコネクタを認証エージェントとして追加している場合は、FQDN を使用して別のエントリを追加します。新しいエントリの IP アドレス フィールドは空のままにします。古いエントリは削除しないでください。
    4. 元のインストールに含まれていたすべてのディレクトリの RSA SecurID(クラウド デプロイ)認証方法の構成を更新します。

      新しい構成の詳細については、Workspace ONE Access での RSA SecurID 認証の構成を参照してください。

    5. 元のインストールに含まれていたすべてのアクセス ポリシーに、RSA SecurID(クラウド デプロイ)認証方法を追加します。

      アクセス ポリシーは、[ID とアクセス管理] > [管理] > [ポリシー] ページで編集できます。