Windows ベースの Workspace ONE Access Connector バージョン 21.08.x、20.10.x、または 20.01.x をバージョン 22.05 にアップグレードするには、新しいインストーラを VMware Customer Connect からコネクタ サーバにダウンロードして、インストーラを実行します。古いバージョンのコネクタをアンインストールする必要はありません。

アップグレード中、既存のディレクトリ同期サービス、ユーザー認証サービス、Kerberos 認証サービスおよび仮想アプリケーション サービスは一時停止します。アップグレードの完了後、サービスは自動的に再起動されます。

[重要な考慮事項]

  • Workspace ONE Access Connector 22.05 は、Workspace ONE Access Cloud とのみ互換性があります。オンプレミスの Workspace ONE Access 仮想アプライアンスとは互換性がありません。
  • バージョン 22.05 にアップグレードすると、アップグレードされたコネクタは非 FIPS モードで実行されます。アップグレード後に FIPS モードを有効にすることはできません。FIPS モードを使用する場合は、アップグレードではなくバージョン 22.05 の新規インストールを実行する必要があります。詳細については、VMware Workspace ONE Access Connector 22.05 (Workspace ONE Access クラウドのみ)へのアップグレードを参照してください。
  • バージョン 20.01.x または 20.10.x からアップグレードし、アップグレード中またはアップグレード後に仮想アプリケーション サービスをインストールする場合は、新しいes -config.json 構成ファイルを Workspace ONE Access コンソールから取得し、Workspace ONE Access サービスとコネクタ間の接続を確立します。仮想アプリケーション サービスをインストールしない場合は、新しい構成ファイルは必要ありません。アップグレードされたコネクタは、既存のコネクタで使用されているのと同じ構成ファイルを使用できます。

    バージョン 21.08.x からアップグレードしていて、2021 年 9 月のクラウド リリース以降に es-config.json 構成ファイルを生成した場合、新しい es-config.json ファイルを生成する必要はありません。

    アップグレード元のバージョンに関係なく、既存の es-config.json 構成ファイルのパスワードに & または % が含まれている場合は、これらの文字を含まないパスワードを使用して新しい構成ファイルを生成します。& および % 文字はサポートされていません。

  • RSA SecurID(クラウド デプロイ)認証方法の構成は、21.08 リリース以降、変更されました。RSA SecurID (クラウド デプロイ)認証方法を構成した 20.10.x 以前の Connector からアップグレードする場合は、すべてのユーザー認証サービス インスタンスをアップグレードする前に、アクセス ポリシーから認証方法を削除して、アップグレード後に再構成得る必要があります。これにより、RSA SecurID ベースのログインのダウンタイムが発生するため、ダウンタイムを考慮してアップグレードのタイミングを計画します。

    アップグレードを実行する手順の概要は次のとおりです。

    1. RSA Authentication Manager アプライアンス 8.2 SP1 以降(Workspace ONE Access Connector 21.08 以降でサポートされているバージョン)を使用していることを確認します。
    2. コネクタをアップグレードする前に、使用されているアクセス ポリシーから RSA SecurID(クラウド デプロイ)認証方法を削除します。
    3. ユーザー認証サービスがインストールされているすべてのコネクタをバージョン 22.05 にアップグレードします。
    4. プロキシ サーバにコネクタが構成されている場合は、RSA Authentication Manager サーバ用に構成された通信ポートがプロキシ サーバで開いていることを確認します。
    5. 複数の RSA Authentication Manager サーバ インスタンスを展開している場合は、ロード バランサの背後で構成し、ロード バランサの Workspace ONE Access 要件を満たす必要があります。
    6. RSA セキュリティ コンソールで、コネクタが完全修飾ドメイン名 (FQDN) を使用して認証エージェントとして追加されていることを確認します。たとえば、connectorserver.example.com です。
    7. RSA SecurID(クラウド デプロイ)認証方法の構成を更新します。
    8. アクセス ポリシーに RSA SecurID(クラウド デプロイ)認証方法を追加します。
  • ユーザー認証サービスがインストールされているすべてのコネクタ インスタンスをバージョン 22.05 にアップグレードします。Workspace ONE Access では、ユーザー認証サービスのバージョン 22.05、21.08、および 20.x の混在はサポートされません。
  • Workspace ONE Access Connector 22.05 は、次のタイプのプロキシをサポートしています。
    • 非認証 HTTP プロキシ
    • 非認証 HTTPS (SSL) プロキシ
    • 認証済み HTTPS (SSL) プロキシ

前提条件

  • VMware Workspace ONE Access Connector 22.05 (Workspace ONE Access クラウドのみ)へのアップグレードを確認します。
  • コネクタのインストールが仮想 Windows Server 上にある場合は、アップグレードする前に仮想マシンのスナップショットを作成します。
  • Kerberos 認証サービスまたは仮想アプリケーション サービスをインストールする場合は、コネクタ サーバをドメインに参加させます。
  • RSA SecurID(クラウド デプロイ)認証方法を構成している場合は、RSA Authentication Manager アプライアンス バージョン 8.2 SP1 以降を使用していることを確認します。
  • RSA SecurID (クラウド デプロイ)認証方法を構成した 20.10.x 以前の Connector からアップグレードする場合は、ユーザー認証サービスがインストールされているすべてのコネクタ インスタンスをアップグレードする前に、アクセス ポリシーから認証方法を削除します。
    1. Workspace ONE Access コンソールで、[新しいナビゲーション] トグルをオンにして、[リソース] > [ポリシー] ページに移動します。

      以前のナビゲーションでは、ページの場所は、[ID とアクセス管理] > [管理] > [ポリシー] です。

    2. 各ポリシーを確認し、RSA SecurID(クラウド デプロイ)認証方法がポリシーの一部である場合は削除します。

      コネクタのアップグレード後に認証方法を再度追加するために必要な情報として、変更の内容をメモしておきます。

  • バージョン 20.01.x からアップグレードし、統合 Windows 認証 (IWA) を使用する Active Directory タイプのディレクトリを構成している場合は、22.05 にアップグレードする前に、Workspace ONE Access コンソールのディレクトリ構成で [STARTTLS] オプションを選択解除します。アップグレード後に、IWA を使用する Active Directory は [STARTTLS] オプションと互換性がなくなります。

    ディレクトリ構成を編集するには、[ID とアクセス管理] > [管理] > [ディレクトリ] ページに移動し、ディレクトリを選択して、[このディレクトリには STARTTLS を使用するすべての接続が必要] チェック ボックスを選択解除し、[保存] をクリックします。

    注: ナレッジベースの記事 KB 77158 に記載されているホットフィックスを Connector 20.01 に適用した場合、または Connector 20.01.0.1 または 20.10 にアップグレードした場合は、IWA 経由の Active Directory の [STARTTLS] オプションがすでに選択解除されている可能性があります。設定が選択解除されていることを確認します。
  • Workspace ONE Access コンソールで、すべてのコネクタ サービスを一時停止します。
    1. [統合] > [コネクタ] ページに移動します。

      以前のナビゲーションでは、このページの場所は [ID とアクセス管理] > [セットアップ] > [コネクタ] です。

    2. コネクタを選択し、[管理] をクリックします。
    3. 各サービス名の横にある切り替えボタンをクリックして、サービスを一時停止します。
  • 次のアカウント情報が必要です。
    • VMware Customer Connect 認証情報
    • Kerberos 認証サービスがすでにインストールされている場合、サービスを実行するために使用されているドメイン ユーザーの認証情報
    • アップグレード中に Kerberos 認証サービスまたは仮想アプリケーション サービスをインストールする場合は、これらのサービスを実行するためのドメイン ユーザー アカウントが必要です。これらのサービスはドメイン ユーザー アカウント権限で実行されますが、ディレクトリ同期サービスとユーザー認証サービスはより低い権限で実行されます。
    • RSA SecurID(クラウド デプロイ)認証方法を使用する場合、すべてのコネクタ インスタンスをアップグレードした後に Workspace ONE Access コンソールで認証方法を再構成するために必要な情報を取得するには、RSA セキュリティ コンソールの資格情報が必要です。

手順

  1. 必要に応じて、新しい構成ファイルを Workspace ONE Access コンソールで生成します。
    1. システム ドメインの管理者として Workspace ONE Access コンソールにログインします。
      ヒント: クラウド展開の場合、システム ドメイン管理者は、 Workspace ONE Access テナントの取得時に認証情報を受け取る管理者です。
    2. [統合] > [コネクタ] ページに移動します。
    3. [新規] をクリックします。
    4. [新しいコネクタを追加] ウィザードで、[次へ] をクリックします。
    5. [構成ファイルをダウンロード] ページで、パスワードを作成して [構成ファイルをダウンロード] をクリックし、構成ファイルを生成します。
      パスワードは 14 文字以上の長さで、大文字、小文字、数字、特殊文字が含まれている必要があります。& または % の文字を使用しないでください。すべての文字は、表示および印字可能な ASCII 文字である必要があります。
      構成ファイルは、インストールするエンタープライズ サービスと Workspace ONE Access テナントとの間の通信を確立するために使用されます。このファイルは、デフォルトで es-config.json という名前になっています。
      注意: 構成ファイルには、テナント URL、テナント ID、各エンタープライズ サービスのクライアント ID とクライアント シークレット、パスワード ハッシュなどの機密情報が含まれています。ファイルを共有したり、公開したりしないようにすることが重要です。
    6. インストーラ ファイルを、以前のバージョンのコネクタがインストールされている Windows Server に転送します。
  2. VMware Customer Connect から Workspace ONE Access Connector 22.05 をダウンロードします。
    1. https://customerconnect.vmware.com/ にログインします。
    2. Workspace ONE Access Connector のダウンロードページに移動します。
    3. Workspace-ONE-Access-Connector-Installer-22.05.exe をダウンロードします。
  3. インストーラ ファイルを、以前のバージョンのコネクタがインストールされている Windows Server に保存します。
  4. Workspace-ONE-Access-Connector-Installer-22.05.exe ファイルをダブルクリックして、インストーラを実行します。
    インストーラによってアップグレードが必要であることが検出され、アップグレード プロセスの手順が表示されます。
    ""
  5. ウィザードの指示に従ってコネクタをアップグレードします。
    • アップグレード中に [構成の指定] ページが表示される場合は、新規または既存の構成ファイルを選択し、そのパスワードを指定します。ファイルのデフォルトの名前は、es-config.json です。
    • アップグレード中に [信頼されるルート証明書のインストール] ページが表示され、信頼されるルート証明書をトラストストアにアップロードできます。コネクタは、証明書チェーンにトラストストアにアップロードされた証明書のいずれかが含まれているサーバおよびクライアントへの安全な接続を確立できます。信頼されるルート証明書が必要なシナリオは次のとおりです。
      • (Kerberos 認証サービスのみ)ロード バランサの背後に Kerberos 認証サービスの複数のインスタンスを展開する場合は、コネクタ インスタンスにロード バランサのルート CA 証明書をインストールして、コネクタとロード バランサ間の信頼を確立する必要があります。
      • (仮想アプリケーション サービスのみ)仮想アプリケーションのコレクションを作成して、VMware Horizon、シングル ポッド ブローカを使用した Horizon Cloud Service on Microsoft Azure、または Horizon Cloud Service on IBM Cloud に統合し、Horizon Server に自己署名証明書がある場合は、仮想アプリケーション サービスがインストールされているコネクタ インスタンスに証明書チェーンをアップロードして、コネクタと Horizon Server 間の信頼を確立する必要があります。Horizon Server にパブリック認証局によって署名された証明書がある場合は、コネクタ トラストストアに証明書をアップロードする必要はありません。パブリック認証局によって署名された証明書を使用することを強くお勧めします。

      アップグレード中に証明書をアップロードする場合は、アップグレードの完了後にサービスを再起動してください。

      証明書のアップロードは、アップグレードのオプション手順です。インストーラを再度実行して、アップグレード後に証明書をアップロードすることもできます。

      インストール ウィザード - [信頼されるルート証明書] ページ
    • アップグレード中に、インストーラは OpenJDK 11 をインストールします。
    • アップグレード中に、既存のサービスの設定を変更できます。他のサービスをインストールすることもできます。たとえば、既存のインストールにディレクトリ同期サービスのみが含まれていて、ユーザー認証サービスと Kerberos 認証サービスをインストールする場合は、アップグレード中にインストールできます。

      要件、サイズ設定、インストール、および設定の詳細については、『VMware Workspace ONE Access Connector 22.05 のインストール』を参照してください。

    • 22.05 Connector を使用すると、1 台のサーバに限定されるのではなく、複数の外部 Syslog サーバを指定してアプリケーションレベルのイベント メッセージを保存できます。Syslog サーバは、アップグレード中にウィザードの [Syslog サーバ情報の指定] ページで入力できます。

      次の形式を使用します。

      host:port,host:port,host:port

      host は、Syslog サーバの完全修飾ドメイン名または IP アドレス、port はポート番号です。例:

      syslog1.example.com:514,syslog2.example.com:601,syslog3.example.com:163

  6. アップグレードが正常に完了したら、アップグレードされたサービスが Windows Server で実行されていることを確認します。
    コネクタ サービスには、次の名前があります。
    • VMware ディレクトリ同期サービス
    • VMware ユーザー認証サービス
    • VMware Kerberos 認証サービス
    • VMware 仮想アプリケーション サービス

    サービスには [実行中] ステータスが表示されます。

結果

コネクタのアップグレードが完了しました。新しいバージョンのコネクタがインストールされていることを確認するには、Windows Server の [コントロール パネル] > [プログラム] > [プログラムと機能] の順に移動して、表示されているコネクタのバージョンを確認します。

次のタスク

  • Workspace ONE Access コンソールで、[統合] > [コネクタ] ページの更新アイコンをクリックし、アップグレードされたサービスがアクティブで、健全性ステータスが緑色になっていることを確認します。
    例:
    [コネクタ] ページには、ディレクトリ同期サービス、ユーザー認証サービス、および仮想アプリケーション サービスがインストールされているコネクタが 1 つ表示されます。サービスがアクティブで、[健全性] 列に緑色のチェック ボックスが表示されます。
  • RSA SecurID(クラウド デプロイ)認証方法が元のインストールで構成されていて、コネクタをアップグレードする前にそれを削除した場合は、ユーザー認証サービスがインストールされているすべてのコネクタ インスタンスをアップグレードした後に、認証方法を再構成します。
    1. 複数の RSA Authentication Manager サーバ インスタンスを展開している場合は、ロード バランサの背後で構成し、ロード バランサの Workspace ONE Access 要件を満たす必要があります。RSA SecurID ロード バランサの Workspace ONE Access 要件を参照してください。
    2. プロキシ サーバにコネクタが構成されている場合は、RSA Authentication Manager サーバ用に構成された通信ポートがプロキシ サーバで開いていることを確認します。
    3. RSA セキュリティ コンソールで、コネクタが完全修飾ドメイン名 (FQDN) を使用して認証エージェントとして追加されていることを確認します。たとえば、connectorserver.example.com です。すでに FQDN ではなく NetBIOS 名を使用してコネクタを認証エージェントとして追加している場合は、FQDN を使用して別のエントリを追加します。新しいエントリの IP アドレス フィールドは空のままにします。古いエントリは削除しないでください。
    4. 元のインストールに含まれていたすべてのディレクトリの RSA SecurID(クラウド デプロイ)認証方法の構成を更新します。

      新しい構成の詳細については、Workspace ONE Access での RSA SecurID 認証の構成を参照してください。

    5. 元のインストールに含まれていたすべてのアクセス ポリシーに、RSA SecurID(クラウド デプロイ)認証方法を追加します。

      アクセス ポリシーは、[リソース] > [ポリシー] ページから編集できます。管理コンソールで [新しいナビゲーション] トグルがオフになっている場合、ページの場所は [ID とアクセス管理] > [管理] > [ポリシー] です。