VMware Identity Manager 3.3.4 | 2021 年 2 月 | ビルド 17498518 VMware Identity Manager Connector (Windows) 3.3.4 | 2021 年 2 月 | ビルド VMware Identity Manager Connector Installer.exe 公開日:2021 年 2 月 更新日:2021 年 12 月 17 日 |
2021 年 12 月 17 日:このリリースは、CVE-2021-44228 および CVE-2021-45046 の影響を受けることが確認されています。この脆弱性を解決するための修正と回避策が提供されています。詳細については、VMware Security Advisory「VMSA-2021-0028」を参照してください。
2021 年 12 月 17 日:このリリースは、CVE-2021-22056 の影響も受けます。この脆弱性を解決するための修正と回避策が提供されています。詳細については、VMware Security Advisory「VMSA-2021-0030」を参照してください。
リリース ノートの内容
リリース ノートでは、次のトピックについて説明します。VMware Identity Manager 3.3.4 へアップグレード可能な VMware 製品
-
vRealize Automation、vRealize Suite Lifecycle Manager (vRSLCM)、vRealize Operations、vRealize Business、vRealize Log insight、および認証と シングル サインオン (SSO) のための vRealize Network Insight などの VMware vRealize 製品。
-
vRealize Suite Lifecycle Manager によってデプロイおよび管理される vRealize 製品は、VMware Identity Manager 3.3.1、3.3.2、3.3.3、または 3.3.4 のみを利用できます。
-
vRealize Suite Lifecycle Manager は、VMware Identity Manager 3.3.4 の新規インストール、または VMware Identity Manager 3.3.1、3.3.2、または 3.3.3 から 3.3.4 へのアップグレードを処理できます。
-
- 認証とシングル サインオン (SSO) のための VMware NSX-T Data Center
- NSX-T は、VMware Identity Manager 3.3.4 または VMware Identity Manager 3.3.1、3.3.2、または 3.3.3 から 3.3.4 へのアップグレードを使用してデプロイできます。
VMware Identity Manager 3.3.4 の新機能
統合 Windows 認証 (IWA) 経由での Active Directory および組み込みコネクタを使用する Kerberos のサポート
VMware Identity Manager 3.3.4 では、IWA 経由での Active Directory と、組み込みコネクタを使用する Kerberos 認証アダプタのサポートを復活させています。LDAP を使用している、または外部 Windows コネクタで IWA を使用しているすべてのユーザーは、VMware Identity Manager 3.3.4 に更新できます。アップグレードおよび移行情報については、『VMware Identity Manager 3.3.4 (Linux) へのアップグレード』を参照してください。
利用可能な言語
VMware Identity Manager 3.3 は、次の言語で使用可能です。
- 英語
- フランス語
- ドイツ語
- スペイン語
- 日本語
- 簡体字中国語
- 韓国語
- 繁体字中国語
- ロシア語
- イタリア語
- ポルトガル語(ブラジル)
- オランダ語
互換性、インストール、およびアップグレード
VMware vCenter™ Server および VMware ESXi™ の互換性
VMware Identity Manager のアプライアンスは、次のバージョンの vSphere と ESXi をサポートします。
- 6.5 U3、6.7 U2、6.7 U3、7
コンポーネントの互換性
サポートされる Windows Server
- Windows Server 2012 R2
- Windows Server 2016
サポートされる Web ブラウザ
- Mozilla Firefox (最新版)
- Google Chrome 42.0 以降
- Internet Explorer 11
- Safari 6.2.8 以降
- Microsoft Edge (最新版)
サポートされるデータベース
- Postgres 9.6.19
- MS SQL 2012、2014、および 2016
サポートされるディレクトリ サーバ
- Windows Server 2012 R2、2016、および 2019 用の Active Directory。ドメイン機能レベルおよびフォレスト機能レベルは、Windows Server 2003 以降です。
- OpenLDAP - 2.4.42
- Oracle LDAP - Directory Server Enterprise Edition 11g Release 1 (11.1.1.7.0)
- IBM Tivoli LDAP - IBM Security Directory Server 6.3.1
更新:コンポーネントのバージョンがサポートされなくなりました
- Windows Server 2008 R2
- Windows Server 2012
これは、これらのバージョンの Windows サーバにインストールされている可能性がある Workspace ONE Access Connector またはデータベースに影響します。これらの旧バージョンの Windows サーバで Active Directory が実行されている場合、Active Directory にも影響します。
VMware 製品の相互運用性マトリックスには、VMware 製品とコンポーネントの現在および過去のバージョンの互換性に関する詳細が記述されています。
その他のシステム要件については、VMware Workspace ONE Access ドキュメント センターの VMware Identity Manager インストール ガイド 3.3 を参照してください。
デフォルトのデプロイ構成
要件に基づいて、デプロイ時に CPU とメモリのさまざまなサイズ設定オプションを選択できます。
- 100 GB のハード ディスク
- 8 GB RAM
- 4 vCPU
- 特小:4 CPU/8 GB のメモリ
- 小:6 CPU/10 GB のメモリ
- 中:8 CPU/16 GB のメモリ
- 大:10 CPU/16 GB のメモリ
- 特大:12 CPU/32 GB のメモリ
- 超特大:14 CPU/48 GB のメモリ
VMware Identity Manager 3.3.4 へのアップグレード
注:
- Workspace ONE Access コンソールの [アプライアンス設定] ページにアクセスするには、デフォルト テナントに「オペレータ」ロールが割り当てられていることを確認してください。
- SMTP 設定を構成するには、管理者テナントとしてではなく、システム ドメインからデフォルト テナントのオペレータ ユーザーとしてログインする必要があります。
- デフォルト以外のテナントのテナント管理者には、SMTP 設定を構成する権限がありません。
- VMware vRealize Automation 7.5 または 7.6 ビジネス グループの vRealize バージョン 8.3 への移行
VMware Identity Manager 3.3.4 にアップグレードする場合は、VMware Workspace ONE Access ドキュメント センターで『VMware Identity Manager 3.3.4 へのアップグレード』を参照してください。アップグレード中はすべてのサービスが停止しますので、コネクタを 1 つのみ構成する場合はアップグレードで予測されるダウンタイムを考慮してください。
VMware Identity Manager バージョン 3.3.1、3.3.2、または 3.3.3 から直接 3.3.4 にアップグレードできます。それ以前のバージョンからアップグレードするには、まず 3.3.1 にアップグレードしてから、3.3.1 を 3.3.4 にアップグレードします。
注:Linux 版 VMware Identity Manager 3.3.4 へのアップグレード時に次のエラー メッセージが表示されてアップグレードが中止された場合は、以下の手順に従って証明書を更新してください。証明書の更新後に、アップグレードを再実行してください。
「アップグレード前に、テナント <tenantName> の証明書の認証構成を更新する必要があります。更新前の確認に失敗しました。アップグレードを中止します。」
- VMware Identity Manager コンソールにログインします。
- [ID とアクセス管理] > [セットアップ] をクリックします。
- [コネクタ] ページで、[ワーカー] 列のリンクをクリックします。
- [認証アダプタ] タブをクリックしてから、[CertificateAuthAdapter] をクリックします。
- [アップロードされた CA 証明書] セクションで、証明書の隣にある [赤い X] をクリックし、証明書を削除します。
- [ルートおよび中間 CA 証明書] セクションの [ファイルを選択] をクリックし、証明書を再度追加します。
- [保存] をクリックします。
VMware vRealize Automation 7.5 または 7.6 ビジネス グループの vRealize バージョン 8.3 への移行
ビジネス グループを VMware vRealize Automation 7.5 または 7.6 からバージョン 8.3 に移行するには、次の手順で説明するように、組み込みの VMware Identity Manager 3.1 サービスから外部 VMware Identity Manager 3.3.4 サービスに一度に 1 つのテナントを移行する必要があります。
バックグラウンド
- VMware Identity Manager は、vRealize Automation 7.5 および 7.6 に組み込みのサービスです。
- vRealize Automation 8.0 から、VMware Identity Manager は外部サービスになりました。
- vRealize Automation 8.0 および 8.1 では、フレッシュ インストールのみをサポートします。
- vRealize Automation 8.3 では、vRealize Automation 7.5 または 7.6 からのビジネス グループの移行がサポートされています。ビジネス グループの移行を実現するために、VMware Identity Manager 3.3.4 は各テナントを vRA 上の VMware Identity Manager から 3.3.4 に移行します。
前提条件
- 移行する必要がある vRealize Automation 7.5 および 7.6 テナントのすべてのローカル ユーザーに有効な E メール アドレスを設定する必要があります。
- vRA データベースへのリモート接続を有効にしてアクセスします。これは、カスタム グループ移行のユーザー ID を読み取る vIDM マシンからのみ必要です。
- 移行するテナントの SMTP サーバ情報は、VMware Identity Manager サービスで構成する必要があります。この情報は、すべてのローカル ユーザーのパスワードをリセットする手順を E メールで受信するために必要です。
手順
vRealize Lifecycle Manager を使用して、VMware Identity Manager 3.3.4 でテナントごとの移行を実行します。vRealize Lifecycle Manager は、テナントの移行ごとに VMware Identity Manager 3.3.4 テナント移行 REST API を活用するためのユーザー インターフェイスを提供します。「vRealize Suite Lifecycle Manager を使用したテナントの移行」を参照してください。
VMware Identity Manager 3.3.4 テナント移行 REST API は、vRealize Automation 7.5 または 7.6 から VMware Identity Manager 3.3.4 に次の構成を移行します。
- テナント構成
- ユーザー属性マッピング構成
- ローカル、LDAP、IWA、OpenLDAP、JIT などのディレクトリ構成
- デフォルトでは、バインド ユーザーは移行されたテナントで読み取り専用管理者として表示される
- サードパーティの ID プロバイダ構成
- アクセス ポリシーとネットワーク範囲の構成
- カスタム グループ構成
- ロールとルール セットの構成
VMware Identity Manager 3.3.4 でのテナント移行の制限
- 認証アダプタ:テナント移行プロセスでは、PasswordIdpAdapter のみを移行します。vRealize Automation 7.5 または 7.6 で他の認証アダプタが構成されている場合は、VMware Identity Manager 3.3.4 でそれらのアダプタを手動で構成する必要があります。
- サードパーティの ID プロバイダの移行:テナント移行プロセスでは、サードパーティの ID プロバイダ構成が移行されます。移行後は、VMware Identity Manager サービス プロバイダ メタデータを外部のサードパーティ製 ID プロバイダに手動でコピーする必要があります。
VMware Identity Manager Connector 3.3.4 (Windows)
vRealize Suite Lifecycle Manager を使用して VMware Identity Manager Connector for Windows 3.3.1 および 3.3.2 をインストールした場合は、3.3.4 にアップグレードすることはできません。 コネクタの新しい 3.3.4 バージョンをインストールする必要があります。
.exe インストーラを使用して VMware Identity Manager Connector for Windows 3.3.1、3.3.2、または 3.3.3 をインストールした場合は、コネクタを 3.3.4 にアップグレードできます。
ドキュメント
VMware Identity Manager 3.3 のドキュメントは、VMware Workspace ONE Access Documentation センターにあります。3.3.4 アップグレード ガイドは、[インストール & アーキテクチャ セクション] の「VMware Identity Manager 3.3」を参照してください。