移行ダッシュボードを使用した Workspace ONE Access Connector 22.05 への移行(Workspace ONE Access Cloud のみ)

移行ダッシュボードを使用して、既存のディレクトリと仮想アプリケーションのコレクションを Workspace ONE Access 19.03 または 19.03.0.1 Connector から 22.05 Connector に移行します。移行プロセスは、移行を完了する前に新しいコネクタを使用して環境をテストできる段階的なアプローチです。

この移行プロセスには、次のステージが含まれます。

22.05 Connector のインストール
新しい 22.05 Connector （ディレクトリ同期サービス、ユーザー認証サービス、Kerberos 認証サービス、仮想アプリケーションサービスを含む）をインストールします。少なくとも、ディレクトリ同期サービスをインストールします。レガシーコネクタでコネクタベースの認証が構成されている場合は、ユーザー認証サービスをインストールします。レガシーコネクタで Kerberos 認証方法が構成されている場合は、Kerberos 認証サービスをインストールします。レガシーコネクタで仮想アプリケーションのコレクションが構成されている場合は、仮想アプリケーションサービスをインストールします。
ディレクトリの移行
このステージでは、ディレクトリの移行ウィザードを使用して、すべてのディレクトリデータを移行します。必要な情報のほとんどは環境から事前に入力されていますが、ディレクトリのバインドユーザーパスワードなどの重要な値を入力します。
このステージでディレクトリを移行しても、既存のディレクトリ、認証方法、または ID プロバイダの構成は変更されません。まだ古いコネクタを使用しています。変更は、プレビューステージに移動した後にのみ有効になります。
仮想アプリケーションのコレクションの移行
このステージでは、既存の仮想アプリケーションのコレクションを移行するコネクタを選択します。新しい設定は、プレビューステージに移動した後にのみ有効になります。
プレビュー
プレビューステージでは、新しい 22.05 Connector を使用して環境をプレビューします。22.05 Connector からの新しいディレクトリ同期サービス、ユーザー認証サービス、Kerberos 認証サービス、および仮想アプリケーションサービスにより、ディレクトリの同期、ユーザーの認証、および仮想アプリケーションの同期が実行されます。Kerberos を除くすべての認証方法が送信モードになります。
プレビューステージは、新しいサービスを使用して環境を徹底的にテストすることを目的としています。ディレクトリの同期、仮想アプリケーションの同期、ユーザーの認証、アプリケーションの起動が予期したとおりに正常に機能していることを確認します。
プレビューステージでは、ディレクトリ、認証方法、ID プロバイダ、または仮想アプリケーションのコレクションを作成、編集、または削除することはできません。
プレビューステージから、古いコネクタの使用にロールバックできます。ロールバックすると、前のステージで移行したディレクトリデータが維持されたままになります。その後、既存のディレクトリ、認証方法、または ID プロバイダのいずれかに変更を加えた場合は、必ずディレクトリデータを再度移行してください。
移行の完了
新しい環境のテストに問題がなければ、移行を完了します。移行が完了した後は、古いコネクタの使用にロールバックすることはできません。

前提条件

Workspace ONE Access Connector 21.08 への移行の要件に記載されている要件を確認します。
環境内のすべてのコネクタのバージョンが 19.03.x であることを確認します。古いバージョンのコネクタがある場合は、移行のために 19.03.x にアップグレードします。
22.05 Connector 用に 1 台以上の Windows サーバを準備します。
22.05 Connector は、新しいサーバまたはレガシーの 19.03.x Connector サーバのいずれかにインストールできます。ただし、レガシーコネクタで Kerberos 認証が構成されている場合は、別の Windows サーバに 22.05 Kerberos 認証サービスをインストールする必要があります。19.03.x Connector サーバに新しい Kerberos 認証サービスをインストールしないでください。Workspace ONE Access は、同じサーバ上で Kerberos の複数のインスタンスをサポートしていません。
『VMware Workspace ONE Access Connector 22.05 のインストール』の 22.05 Connector のサイズ変更のガイドラインと要件を参照してください。22.05 Connector をレガシー 19.03.x Connector サーバにインストールする場合は、Migrating to Latest Connector on a Windows Server Running Workspace ONE Access 19.03.xも参照してください。
ユーザー認証サービスをインストールする場合は、環境に 21.x または 20.x ユーザー認証サービスインスタンスが含まれていないことを確認します。移行の一環として、22.05 Connector をインストールします。ご利用の環境内のすべてのユーザー認証サービスインスタンスはバージョン 22.05 である必要があります。ユーザー認証サービスのバージョンが混在している場合は、移行を続行できません。
RSA SecurID 認証方法が 19.03.x コネクタで構成されている場合：
- RSA Authentication Manager アプライアンスバージョン 8.2 SP1 以降を使用していることを確認します。Workspace ONE Access Connector 22.05 は RSA Authentication Manager アプライアンス 8.2 SP1 以降をサポートします。
- RSA Authentication Manager サーバの複数のインスタンスを展開している場合、Workspace ONE Access との統合を機能させるには、ロードバランサの背後で構成する必要があります。『Workspace ONE Access でのユーザー認証方法の管理』ガイドの「RSA SecurID ロードバランサの Workspace ONE Access 要件」に記載されている要件を満たしていることを確認します。
- RSA セキュリティコンソールで、コネクタが完全修飾ドメイン名 (FQDN) を使用して認証エージェントとして追加されていることを確認します。たとえば、connectorserver.example.com です。すでに FQDN ではなく NetBIOS 名を使用してコネクタを認証エージェントとして追加している場合は、FQDN を使用して別のエントリを追加します。新しいエントリの IP アドレスフィールドは空のままにします。古いエントリは削除しないでください。
- 移行プロセスの一環として、RSA SecurID 認証方法を構成します。認証方法の構成に必要な情報には、RSA Authentication Manager またはロードバランササーバのホスト名、通信ポート、アクセスキー、およびサーバが自己署名証明書を使用する場合の RSA Authentication Manager またはロードバランササーバの SSL 証明書が含まれます。情報の一部を RSA セキュリティコンソールから取得するため、セキュリティコンソールの認証情報も必要です。
- プロキシサーバにコネクタが構成されている場合は、RSA Authentication Manager サーバ用に構成された通信ポートがプロキシサーバで開いている必要があります。
新しい Windows Server にユーザー認証サービスをインストールする場合は、コネクタの移行を開始する前に、Windows Server を RSA Authentication Manager サーバにエージェントとして追加します。
移行プロセスを開始する前に、ディレクトリ同期プロセスがどのディレクトリに対しても実行されていないことを確認します。
People Search 機能が有効になっている場合は、移行プロセスを開始する前に、どのディレクトリに対してもフォト同期プロセスが実行されていないことを確認します。
ディレクトリが関連付けられていない 19.03.x Connector を移行する場合は、手順 5 で [最新の Workspace ONE Access Connector] オプションを選択すると、移行が完了したと見なされ、19.03.x Connector がテナントから削除されることに注意してください。後でレガシーコネクタを使用することを決定し、[コネクタ選択のリセット] ボタンを使用してコネクタの選択を変更した場合、19.03.x Connector は表示されません。19.03.x Connector をサービスで再アクティベーションするには、再インストールする必要があります。

手順

Workspace ONE Access コンソールで、[統合] > [コネクタ（レガシー）] の順に選択し、[レガシーコネクタ] ページに移動します。
コンソールで [新しいナビゲーション] トグルがオフになっている場合、[レガシーコネクタ] ページの場所は [ID とアクセス管理] > [セットアップ] > [レガシーコネクタ] です。
[レガシーコネクタ] ページで、[コネクタ選択のリセット] ボタンをクリックし、確認のポップアップで [続行] をクリックします。
[コネクタ使用の確認] ダイアログボックスで [最新の Workspace ONE Access Connector] を選択し、[OK] をクリックして、選択内容を確定します。
[統合] > [ディレクトリ] の順に移動して、[ディレクトリ] ページに移動します。
コンソールで [新しいナビゲーション] トグルがオフになっている場合、[ディレクトリ] ページの場所は [ID とアクセス管理] > [管理] > [ディレクトリ] です。
[移行の開始] をクリックします。
[移行] ダッシュボードが表示されます。このダッシュボードには、移行を完了するために実行する手順が表示されます。このページの情報を確認します。
[移行] ダッシュボードの [最新の Workspace ONE Access Connector のインストール] セクションで、[開始] をクリックします。

[コネクタ] ページが表示されます。
[コネクタ] ページで、[新規] をクリックします。
新しいコネクタを追加ウィザードに従って、コネクタインストーラと必要な構成ファイルをダウンロードし、新しいコネクタをインストールします。

インストールの情報については、『 VMware Workspace ONE Access Connector 22.05 のインストール』ガイドを参照してください。
コネクタをインストールするときは、必ずディレクトリ同期サービスをインストールしてください。レガシーコネクタでコネクタベースの認証が構成されている場合は、ユーザー認証サービスをインストールします。Kerberos 認証サービスは、レガシーコネクタのいずれかに Kerberos 認証方法が構成されている場合にのみ必要です。レガシーコネクタで仮想アプリケーションのコレクションが構成されている場合、または新しいコネクタで仮想アプリケーションのコレクションを構成する場合は、仮想アプリケーションサービスをインストールします。
注意：
- インストール中に、インストーラの [構成ファイルの指定] ページに FIPS モードを有効にするオプションが表示されます。[FIPS を有効にする] オプションは選択しないでください。レガシーコネクタから 22.05 コネクタに移行する場合、FIPS モードはサポートされません。
- インストールプロセスの最後に、システムを再起動するよう求めるプロンプトが表示される場合があります。19.03.x Connector サーバに新しい Connector をインストールする場合は、システムを再起動しないでください。コネクタの移行プロセス全体が完了した後にのみ、システムを再起動します。
- ユーザー認証サービスをインストールする場合は、環境内のすべてのユーザー認証サービスインスタンスがバージョン 22.05 であり、21.x または 20.x ユーザー認証サービスインスタンスが含まれていないことを確認します。ユーザー認証サービスのバージョンが混在している場合は、移行を続行できません。
コネクタのインストールが正常に完了したら、管理コンソールの [統合] > [ディレクトリ] ページに移動し、[移行を続行] をクリックします。
移行ダッシュボードの [ディレクトリの移行] セクションで、すべてのディレクトリを 1 つずつ移行します。

[ディレクトリの移行] セクションには、テナント内のすべての Active Directory および LDAP ディレクトリが一覧表示されます。移行を完了する前に、一覧表示されているすべてのディレクトリを移行する必要があります。
注：このステップでディレクトリを移行しても、既存のディレクトリ、認証方法、ID プロバイダの構成は変更されず、次のステップで変更をプレビューした後にのみ有効になります。
1. ディレクトリの横にある [移行] ボタンをクリックします。
  ディレクトリの移行ウィザードが表示されます。ウィザードは、移行するディレクトリに合わせてカスタマイズされます。ディレクトリに設定されている認証方法については、追加のページが表示されます。
2. [ディレクトリ] ページで、ディレクトリのバインドユーザーパスワードを入力します。
  [ディレクトリ同期ホスト] リストには、ディレクトリ同期サービスがインストールされている新しい 22.05 Connector ホストが表示されます。ディレクトリの同期に使用する 1 台以上のホストを選択します。
3. [Kerberos] ページ（Kerberos 認証方法が構成されている場合にのみ表示されます）で、Kerberos 認証方法の移行に必要な情報を指定します。
  - [ソースコネクタ]：ソースコネクタが事前に選択されています。事前に選択したコネクタが使用できない場合は、別のコネクタを選択できます。
  - [Kerberos 認証ホスト]：Kerberos 認証サービスがインストールされている新しい 22.05 Connector ホストがリストに表示されます。Kerberos 認証に使用する 1 台以上のホストを選択します。
4. [パスワード] ページで、パスワード認証方法の移行に必要な情報を指定します。
  - [ソースコネクタ]：ソースコネクタが事前に選択されています。事前に選択したコネクタが使用できない場合は、別のコネクタを選択できます。
  - [バインドパスワード]：ディレクトリのバインドユーザーパスワードを入力します。
  - [ユーザー認証ホスト]：ユーザー認証サービスがインストールされている新しい 22.05 Connector ホストがリストに表示されます。パスワード認証に使用する 1 台以上のホストを選択します。
5. [RADIUS] ページ（RADIUS 認証方法が構成されている場合にのみ表示されます）で、RADIUS 認証方法の移行に必要な情報を指定します。
  - [ソースコネクタ]：ソースコネクタが事前に選択されています。事前に選択したコネクタが使用できない場合は、別のコネクタを選択できます。
  - [共有シークレット]：RADIUS サーバの共有シークレット。
  - [ユーザー認証ホスト]：ユーザー認証サービスがインストールされている新しい 22.05 Connector ホストがリストに表示されます。RADIUS 認証に使用する 1 台以上のホストを選択します。
6. [SecurID] ページ（RSA SecurID 認証方法が構成されている場合にのみ表示されます）で、RSA SecurID 認証方法の移行に必要な情報を指定します。
  - [ソースコネクタ]：ソースコネクタが事前に選択されています。事前に選択したコネクタが使用できない場合は、別のコネクタを選択できます。
  - [許可されている認証試行回数]：RSA SecurID トークンを使用する場合のログイン失敗が許可される最大回数を入力します。デフォルトは、5 回です。
    注： RSA SecurID 認証を使用する複数のディレクトリを移行する場合は、各 RSA SecurID と同じ値を [許可されている認証試行回数] に構成します。この値が同一でない場合、SecurID 認証は失敗します。
  - [SecurID サーバホスト名：]RSA Authentication Manager サーバのホスト名を入力します（myserver.example.com など）。ロードバランサの背後に RSA Authentication Manager サーバの複数のインスタンスを構成している場合は、代わりにロードバランサのホスト名を入力します。例：lb.example.com。
  - [SecurID サーバ通信ポート：]RSA Authentication Manager インスタンスの通信ポートを入力します。デフォルトポートは 5555 です。通信ポート番号を取得するには、RSA セキュリティコンソールにログインし、[セットアップ] > [システム設定] > [RSA SecurID 認証 API] ページに移動し、[通信ポート] をコピーします。
  - [SecurID サーバアクセスキー：]RSA Authentication Manager インスタンスからアクセスキーを入力します。アクセスキーを取得するには、RSA セキュリティコンソールで、[セットアップ] > [システム設定] > [RSA SecurID 認証 API] ページに移動し、[エージェント資格情報] に一覧表示される [アクセスキー] をコピーします。
  - [SecurID サーバ CA/SSL 証明書：]RSA Authentication Manager サーバまたはロードバランササーバに自己署名証明書がある場合は、証明書をコピーしてテキストボックスに貼り付けます。サーバに公式の認証局によって署名された証明書がある場合、証明書をアップロードする必要はありません。
  - [認証方法のタイムアウト（秒単位）：]認証の試行が可能な秒数を入力します。その後、認証の試行はタイムアウトになります。デフォルト値は 180 秒です。
  - [ユーザー認証ホスト]：ユーザー認証サービスがインストールされている新しい 22.05 Connector ホストがリストに表示されます。RSA SecurID 認証に使用する 1 台以上のホストを選択します。
7. [ID プロバイダ] ページ（Kerberos 認証が構成されている場合にのみ表示されます）で、移行中に Kerberos 認証用に作成される新しい ID プロバイダに使用するコネクタロードバランサの完全修飾ドメイン名 (FQDN) を入力します。
  現在のロードバランサの FQDN が参照用に表示されます。これは、ディレクトリの ID プロバイダページの現在の [ID プロバイダホスト名] 値です。
  
  22.05 Connector が 1 つしかなく、ロードバランサが構成されていない場合は、コネクタの FQDN を入力します。
8. [サマリ] ページで選択内容を確認し、[保存] をクリックします。
  ディレクトリ移行データが保存されます。設定を表示するには、[ディレクトリの移行] ダッシュボードのディレクトリの横にある [設定の確認] ボタンをクリックします。
  
  入力した情報を変更する場合は、[サマリ] ページで [最初からやり直し] をクリックします。これにより、ディレクトリに対して入力した移行データが破棄され、ディレクトリを再度移行できます。
9. 残りのディレクトリを移行します。
[仮想アプリケーションのコレクションの移行] セクションで、仮想アプリケーションのコレクションを移行するコネクタを選択します。
1. [移行] をクリックします。
2. [仮想アプリケーションのコレクションの移行] ウィンドウで、各仮想アプリケーションのコレクションに使用する 22.05 Connector を選択します。仮想アプリケーションサービスがインストールされているすべてのコネクタがドロップダウンメニューに表示されます。仮想アプリケーションサービスがアクティブ状態のコネクタを選択します。コネクタ名の横に状態が表示されます。高可用性のために複数のコネクタを追加できます。複数のコネクタを追加する場合は、フォールバックの順序に並べ替えます。
  
  注：すべての仮想アプリケーションのコレクションを同時に移行する必要があります。移行する特定のコレクションを選択することはできません。
3. [保存] をクリックします。
例：

プレビューステージに移動すると、仮想アプリケーションのコレクションが移行されます。

注：移行の完了後にコネクタをさらに追加できます。また、仮想アプリケーションのコレクション用に選択したコネクタを変更することもできます。
[移行の完了] セクションで [プレビューの開始] をクリックして、移行プロセスを開始します。

プレビューステージでは、新しい 22.05 Connector が使用されます。ディレクトリ同期は新しいディレクトリ同期サービスによって実行、ユーザー認証は新しいユーザー認証サービスによって実行、Kerberos 認証は新しい Kerberos 認証サービスによって実行、仮想アプリケーションの同期は新しい仮想アプリケーションサービスによって実行されます。プレビューステージでは、ディレクトリ、認証方法、ID プロバイダ、仮想アプリケーションのコレクションを変更したり、新しく作成したりすることはできません。変換された ID プロバイダは [統合] > [ID プロバイダ] ページで、変換された認証方法は [統合] > [コネクタ認証方法] ページで表示できます。Kerberos を除くすべての認証方法が送信モードになります。
注：展開で People Search 機能が有効になっていた場合は、セーフガード設定なしでディレクトリを手動で同期する必要があります。 Workspace ONE Access コンソールで、[統合] > [ディレクトリ] ページでディレクトリを選択し、 [同期] > [セーフガードを使用しない同期] をクリックします。

重要：プレビューステージで環境を完全にテストし、予期したとおりに動作していることを確認します。ディレクトリの同期、仮想アプリケーションの同期、ユーザーログイン、アプリケーションの起動が正常に機能していることを確認します。
環境が正常に動作していないと判断した場合、またはディレクトリ、認証方法、ID プロバイダ、仮想アプリケーションのコレクションを変更する場合は、プレビューステージをキャンセルしてから古いコネクタの使用に戻ります。
[統合] > [ディレクトリ] ページに移動し、 [移行を続行] をクリックして、[ディレクトリの移行] ダッシュボードの [移行の完了] セクションで [中断] をクリックします。

後でディレクトリ、認証方法、ID プロバイダに変更を加えた場合は、 [ディレクトリの移行] セクションで、ディレクトリを再度移行してください。
プレビューステージでお使いの環境が予期したとおりに動作していて、移行を完了する準備ができていることを確認したら、[統合] > [ディレクトリ] ページに移動し、[移行を続行] をクリックして [ディレクトリの移行] ダッシュボードに戻ります。

注意：移行が完了した後は、古いコネクタにロールバックすることはできません。

[完了] をクリックして移行を完了します。

結果

すべてのディレクトリと仮想アプリケーションのコレクションは、新しい 22.05 Connector に移行されます。新しいディレクトリ同期サービス、ユーザー認証サービス、Kerberos 認証サービス、および仮想アプリケーションサービスにより、ディレクトリの同期、ユーザーの認証、および仮想アプリケーションの同期が実行されるようになりました。

新しい ID プロバイダが各ディレクトリに作成され、「ディレクトリの移行された IDP」という名前で [ID プロバイダ] ページに表示されます。新しい ID プロバイダは組み込みタイプです。Kerberos 認証では、Workspace_IDP タイプの個別の ID プロバイダが作成されます。

Kerberos を除くすべての認証方法は、送信方法に変換され、「（クラウドデプロイ）」サフィックスで名前が変更されます。たとえば、パスワード認証方法は「パスワード（クラウドデプロイ）」に変更されます。[コネクタ認証方法] ページから、新しい認証方法を表示および管理できます。

次のタスク

移行が完了したら、古い 19.03.x Connector をインストール先のサーバからアンインストールできます。
移行が完了すると、Citrix 統合のための Integration Broker は必要なくなります。必要な機能が仮想アプリケーションサービスの一部になりました。
Horizon および Horizon Cloud 統合の場合、Horizon Connection Server に、信頼できる認証局 (CA) によって署名された有効な証明書があることを確認します。Horizon Connection Server に自己署名証明書がある場合は、仮想アプリケーションサービスがインストールされている Workspace ONE Access Connector インスタンスに証明書チェーンをアップロードして、コネクタと Horizon Connection Server 間の信頼を確立する必要があります。これは、Workspace ONE Access Connector 21.08 以降の新しい要件です。コネクタインストーラを使用して証明書をアップロードします。詳細については、VMware Workspace ONE Access Connector 22.05 のインストールを参照してください。証明書をアップロードしたら、コネクタサービスを再起動してください。