VMware Identity Manager 3.3.3 | 2020 年 10 月 | ビルド 17121420 VMware Identity Manager (Windows) 3.3.3 | 2020 年 10 月 | ビルド VMware Identity Manager Connector Installer.exe 公開日：2020 年 11 月 更新日： 2021 年 12 月 17 日 2021 年 1 月 25 日 2020 年 12 月 18 日 2020 年 12 月 8 日

2021 年 12 月 17 日：このリリースは、CVE-2021-44228 および CVE-2021-45046 の影響を受けることが確認されています。この脆弱性を解決するための修正と回避策が提供されています。詳細については、VMware Security Advisory「VMSA-2021-0028」を参照してください。

2021 年 12 月 17 日：このリリースは、CVE-2021-22056 の影響も受けます。この脆弱性を解決するための修正と回避策が提供されています。詳細については、VMware Security Advisory「VMSA-2021-0030」を参照してください。

2020 年 12 月 8 日：このリリースは、CVE-2020-4006 の影響を受けることが確認されています。この脆弱性を解決するための修正と回避策が提供されています。詳細については、VMSA-2020-0027 を参照してください。

リリース ノートの内容

リリース ノートでは、次のトピックについて説明します。

• VMware Identity Manager 3.3.3 にアップグレードできる製品
• 3.3.3 の新機能
• 利用可能な言語
• 互換性、インストール、およびアップグレード
• ドキュメント
• 既知の問題

VMware Identity Manager 3.3.3 へアップグレード可能な VMware 製品

• vRealize Automation、vRealize Suite Lifecycle Manager (vRSLCM)、vRealize Operations、vRealize Business、vRealize Log insight、および認証と シングル サインオン (SSO) のための vRealize Network Insight などの VMware vRealize 製品。

  • vRealize Suite Lifecycle Manager によってデプロイおよび管理される vRealize 製品は、VMware Identity Manager 3.3.1、3.3.2、または 3.3.3 のみを利用できます。

  • vRealize Suite Lifecycle Manager は、VMware Identity Manager 3.3.3 の新規インストール、または VMware Identity Manager 3.3.1 または 3.3.2 から 3.3.3 へのアップグレードを処理できます。

• 認証とシングル サインオン (SSO) のための VMware NSX-T Data Center
  • NSX-T は VMware Identity Manager
  • 3.3.3 または VMware Identity Manager 3.3.1 または 3.3.2 から 3.3.3 へのアップグレードを使用してデプロイできます。

VMware Identity Manager 3.3.3 の新機能

• Photon OS の移行

  VMware Identity Manager 3.3.3 では、基盤となるオペレーティング システムが SUSE Linux 11 SP4 から VMware Photon 3.0 に移行されました。Photon 3.0 は既知のセキュリティ脆弱性に対処している、更新されたソフトウェア スタックです。 

• vRA 7.5/vRA 7.6 から VMware Identity Manager へのテナント移行のサポート
• デフォルトのデプロイ構成の変更

  要件に基づいて、デプロイ時に CPU とメモリのさまざまなサイズ設定オプションを選択できます。

  • 100 GB のハード ディスク
  • 8 GB RAM
  • 4 vCPU
  • 特小：4 CPU/8 GB のメモリ
  • 小：6 CPU/10 GB のメモリ
  • 中：8 CPU/16 GB のメモリ
  • 大：10 CPU/16 GB のメモリ
  • 特大：12 CPU/32 GB のメモリ
  • 2021 年 1 月 25 日更新 超特大：14 CPU/48 GB のメモリ
• 4096 キー証明書のサポート

  サービスおよびコネクタで 4096 ビットのキー SSL 証明書をサポートするようになりました。この実装により、SSL 証明書の暗号化強度が向上します。

• IWA/Kerberos ユースケースの組み込みから外部コネクタへの移行

  2020 年 12 月 18 日更新：VMware Identity Manager 3.3.3 は、組み込み Linux コネクタを使用した IWA（統合 Windows 認証）をサポートしていません。LDAP または IWA を外部 Windows コネクタとともに使用している vRA 8.x のお客様は影響を受けません。詳細については、https://kb.vmware.com/s/article/82013 を参照してください。

• オペレータは、次の hznAdminTool コマンドを使用してコンソール パスワード（またはオペレータ パスワード）をリセットできます。

   /usr/sbin/hznAdminTool setOperatorPassword

利用可能な言語

VMware Identity Manager 3.3 は、次の言語で使用可能です。

• 英語
• フランス語
• ドイツ語
• スペイン語
• 日本語
• 簡体字中国語
• 韓国語
• 繁体字中国語
• ロシア語
• イタリア語
• ポルトガル語（ブラジル）
• オランダ語

互換性、インストール、およびアップグレード

VMware vCenter™ Server および VMware ESXi™ の互換性

VMware Identity Manager のアプライアンスは、次のバージョンの vSphere と ESXi をサポートします。

• 6.5 U3、6.7 U2、6.7 U3、7

コンポーネントの互換性

サポートされる Windows Server

• Windows Server 2012 R2
• Windows Server 2016

サポートされる Web ブラウザ

• Mozilla Firefox (最新版)
• Google Chrome 42.0 以降
• Internet Explorer 11
• Safari 6.2.8 以降
• Microsoft Edge (最新版)

サポートされるデータベース

• Postgres 9.6.19
• MS SQL 2012、2014、および 2016

サポートされるディレクトリ サーバ

• Windows Server 2012 R2、2016、および 2019 用の Active Directory。ドメイン機能レベルおよびフォレスト機能レベルは、Windows Server 2003 以降です。
• OpenLDAP - 2.4.42
• Oracle LDAP - Directory Server Enterprise Edition 11g Release 1 (11.1.1.7.0)
• IBM Tivoli LDAP - IBM Security Directory Server 6.3.1

更新：コンポーネントのバージョンがサポートされなくなりました

• Windows Server 2008 R2
• Windows Server 2012

これは、これらのバージョンの Windows サーバにインストールされている可能性がある Workspace ONE Access Connector またはデータベースに影響します。これらの旧バージョンの Windows サーバで Active Directory が実行されている場合、Active Directory にも影響します。

VMware 製品の相互運用性マトリックスには、VMware 製品とコンポーネントの現在および過去のバージョンの互換性に関する詳細が記述されています。

その他のシステム要件については、VMware Workspace ONE Access ドキュメント センターの VMware Identity Manager インストール ガイド 3.3 を参照してください。

VMware Identity Manager 3.3.3 へのアップグレード

注：

• Workspace ONE Access コンソールの [アプライアンス設定] ページにアクセスするには、デフォルト テナントに「オペレータ」ロールが割り当てられていることを確認してください。
• SMTP 設定を構成するには、管理者テナントとしてではなく、システム ドメインからデフォルト テナントのオペレータ ユーザーとしてログインする必要があります。
  • デフォルト以外のテナントのテナント管理者には、SMTP 設定を構成する権限がありません。
• VMware vRealize Automation 7.5 または 7.6 ビジネス グループの vRealize バージョン 8.2 への移行

VMware Identity Manager 3.3.3 にアップグレードする場合は、VMware Workspace ONE Access ドキュメント センターで『VMware Identity Manager 3.3.3 へのアップグレード』を参照してください。アップグレード中はすべてのサービスが停止しますので、コネクタを 1 つのみ構成する場合はアップグレードで予測されるダウンタイムを考慮してください。

VMware Identity Manager バージョン 3.3.1 または 3.3.2 から直接 3.3.3 にアップグレードできます。それ以前のバージョンからアップグレードするには、まず 3.3.1 にアップグレードしてから、3.3.1 を 3.3.3 にアップグレードします。

注：Linux 版 VMware Identity Manager 3.3.2 へのアップグレード時に次のエラー メッセージが表示されてアップグレードが中止された場合は、以下の手順に従って証明書を更新してください。証明書の更新後に、アップグレードを再実行してください。

「アップグレード前に、テナント <tenantName> の証明書の認証構成を更新する必要があります。更新前の確認に失敗しました。アップグレードを中止します。」

1. VMware Identity Manager コンソールにログインします。
2. [ID とアクセス管理] > [セットアップ] をクリックします。
3. [コネクタ] ページで、[ワーカー] 列のリンクをクリックします。
4. [認証アダプタ] タブをクリックしてから、[CertificateAuthAdapter] をクリックします。
5. [アップロードされた CA 証明書] セクションで、証明書の隣にある [赤い X] をクリックし、証明書を削除します。
6. [ルートおよび中間 CA 証明書] セクションの [ファイルを選択] をクリックし、証明書を再度追加します。
7. [保存] をクリックします。

VMware vRealize Automation 7.5 または 7.6 ビジネス グループの vRealize バージョン 8.2 への移行

ビジネス グループを VMware vRealize Automation 7.5 または 7.6 からバージョン 8.2 に移行するには、次の手順で説明するように、組み込みの VMware Identity Manager 3.1 サービスから外部 VMware Identity Manager 3.3.3 サービスに一度に 1 つのテナントを移行する必要があります。
バックグラウンド

• VMware Identity Manager は、vRealize Automation 7.5 および 7.6 に組み込みのサービスです。
• vRealize Automation 8.0 から、VMware Identity Manager は外部サービスになりました。
• vRealize Automation 8.0 および 8.1 では、フレッシュ インストールのみをサポートします。
• vRealize Automation 8.2 では、vRealize Automation 7.5 または 7.6 からのビジネス グループの移行がサポートされています。ビジネス グループの移行を実現するために、VMware Identity Manager 3.3.3 は各テナントを vRA 上の VMware Identity Manager から 3.3.3 に移行します。

前提条件

• 移行する必要がある vRealize Automation 7.5 および 7.6 テナントのすべてのローカル ユーザーに有効な E メール アドレスを設定する必要があります。
•  vRA データベースへのリモート接続を有効にしてアクセスします。これは、カスタム グループ移行のユーザー ID を読み取る vIDM マシンからのみ必要です。
• 移行するテナントの SMTP サーバ情報は、VMware Identity Manager サービスで構成する必要があります。この情報は、すべてのローカル ユーザーのパスワードをリセットする手順を E メールで受信するために必要です。

手順

vRealize Lifecycle Manager を使用して、VMware Identity Manager 3.3.3 でテナントごとの移行を実行します。vRealize Lifecycle Manager は、テナントの移行ごとに VMware Identity Manager 3.3.3 テナント移行 REST API を活用するためのユーザー インターフェイスを提供します。「vRealize Suite Lifecycle Manager を使用したテナントの移行」を参照してください。

VMware Identity Manager 3.3.3 テナント移行 REST API は、vRealize Automation 7.5 または 7.6 から VMware Identity Manager 3.3.3 に次の構成を移行します。

• テナント構成
• ユーザー属性マッピング構成
• ローカル、LDAP、IWA、OpenLDAP、JIT などのディレクトリ構成
• デフォルトでは、バインド ユーザーは移行されたテナントで読み取り専用管理者として表示される
• サードパーティの ID プロバイダ構成
• アクセス ポリシーとネットワーク範囲の構成
• カスタム グループ構成
• ロールとルール セットの構成

VMware Identity Manager 3.3.3 でのテナント移行の制限

• 認証アダプタ：テナント移行プロセスでは、PasswordIdpAdapter のみを移行します。vRealize Automation 7.5 または 7.6 で他の認証アダプタが構成されている場合は、VMware Identity Manager 3.3.3 でそれらのアダプタを手動で構成する必要があります。
• サードパーティの ID プロバイダの移行：テナント移行プロセスでは、サードパーティの ID プロバイダ構成が移行されます。移行後は、VMware Identity Manager サービス プロバイダ メタデータを外部のサードパーティ製 ID プロバイダに手動でコピーする必要があります。

VMware Identity Manager Connector 3.3.3 (Windows)

vRealize Suite Lifecycle Manager を使用して VMware Identity Manager Connector for Windows 3.3.1 および 3.3.2 をインストールした場合は、3.3.3 にアップグレードすることはできません。  コネクタの新しい 3.3.3 バージョンをインストールする必要があります。

.exe インストーラを使用して VMware Identity Manager Connector for Windows 3.3.1 または 3.3.2 をインストールした場合は、コネクタを 3.3.3 にアップグレードできます。

ドキュメント

VMware Identity Manager 3.3 のドキュメントは、VMware Workspace ONE Access Documentation センターにあります。3.3.3 アップグレード ガイドは、[インストール & アーキテクチャ セクション] の「VMware Identity Manager 3.3」を参照してください。

既知の問題

• 組み込みコネクタを使用している VMware Identity Manager 3.3.3 マルチサイト環境で、ID プロバイダの構成をセカンダリ サイトから保存できない

  マルチサイト環境で VMware Identity Manager サービスに組み込みコネクタを使用している場合、セカンダリ サイトの ID プロバイダの構成を保存できません。

  回避策：セカンダリ サイトに外部コネクタを使用します。

• VMware Identity Manager 3.3.3 へのアップグレード後に同期が失敗する

  VMware Identity Manager 3.3.2 から 3.3.3 へのアップグレード後、組み込みコネクタが IWA 経由の Active Directory で使用されている場合、ユーザーはログインできますが、組み込みコネクタが Windows サーバ上の VMware Identity Manager 外部コネクタに移行されるまでディレクトリ同期は失敗します。

  回避策：回避策はありません。ディレクトリを組み込みコネクタから VMware Identity Manager 外部のコネクタに移行する必要があります。