移行ダッシュボードを使用した Workspace ONE Access 20.01 Connector への移行

移行ダッシュボードを使用して、既存のディレクトリを Workspace ONE Access 20.01 Connector に移行します。移行プロセスは、移行を完了する前に新しいコネクタを使用して環境をテストできる段階的なアプローチです。

この移行プロセスには、次のステージが含まれます。

20.01 Connector のインストール
新しい 20.01 Connector （ディレクトリ同期サービス、ユーザー認証サービス、Kerberos 認証サービスを含む）をインストールします。少なくとも、ディレクトリ同期サービスとユーザー認証サービスをインストールします。Kerberos 認証方法が構成されている場合は、Kerberos 認証サービスをインストールします。
新しいコネクタへの移行
このステージでは、ディレクトリの移行ウィザードを使用して、すべてのディレクトリデータを移行します。必要な情報のほとんどは環境から事前に入力されていますが、ディレクトリのバインドユーザーパスワードなどの重要な値を入力する必要があります。
このステージでディレクトリを移行しても、既存のディレクトリ、認証方法、または ID プロバイダの構成は変更されません。まだ古いコネクタを使用しています。変更は、次のステップでプレビューステージに移動した後にのみ有効になります。
プレビュー
プレビューステージでは、新しい 20.01 Connector を使用して環境をプレビューします。20.01 Connector からの新しいディレクトリ同期サービス、ユーザー認証サービス、Kerberos 認証サービスにより、ディレクトリの同期とユーザーの認証が実行されます。Kerberos を除くすべての認証方法が送信モードになります。
プレビューステージは、新しいサービスを使用して環境を徹底的にテストすることを目的としています。ディレクトリの同期、ユーザーの認証、アプリケーションの起動が予期したとおりに正常に機能していることを確認します。
プレビューステージでは、ディレクトリ、認証方法、ID プロバイダを変更したり、新しく追加したりすることはできません。
プレビューステージから、古いコネクタの使用にロールバックできます。ロールバックすると、前のステージで移行したディレクトリデータが維持されたままになります。その後、既存のディレクトリ、認証方法、または ID プロバイダのいずれかに変更を加えた場合は、必ずディレクトリデータを再度移行してください。
移行の完了
新しい環境のテストに問題がなければ、移行を完了します。移行が完了した後は、古いコネクタの使用にロールバックすることはできません。

移行のベストプラクティスは次のとおりです。

移行プロセスを開始する前に、ディレクトリ同期プロセスがどのディレクトリに対しても実行されていないことを確認します。
People Search が有効になっている場合は、移行プロセスを開始する前に、どのディレクトリに対してもフォト同期プロセスが実行されていないことを確認します。

前提条件

VMware Workspace ONE Access 20.01 Connector への移行で要件を確認します。
環境内のすべてのコネクタがバージョン 19.03 であることを確認します。古いバージョンのコネクタがある場合は、それらを 19.03 にアップグレードします。
20.01 Connector 用に 1 台以上の Windows サーバを準備します。これらのサーバは、19.03 Connector サーバとは異なる必要があります。
『Workspace ONE Access Connector 20.01 のインストール』のシステム要件を参照してください。
オンプレミスの Workspace ONE Access サービスインスタンスがある場合は、コネクタを移行する前にインスタンスを 20.01 にアップグレードします。
ディレクトリのいずれかに RSA SecurID 認証方法が設定されている場合は、RSA セキュリティコンソールでノードシークレットを消去します。
ID プロバイダが複数のディレクトリに関連付けられている場合は、各 ID プロバイダが 1 つのディレクトリのみに関連付けられるように構成を変更します。

手順

[ID とアクセス管理] タブをクリックします。
移行ページが表示されます。
要件を確認し、[はい] をクリックします。
[ディレクトリの移行] ダッシュボードが表示されます。
[ディレクトリの移行] ダッシュボードで、[20.01 Connector のインストール] セクションの [開始する] リンクをクリックします。
[コネクタ] ページで、[新規] をクリックします。
[仮想アプリケーション使用量の確認] ポップアップで、仮想アプリケーション（Horizon、Horizon Cloud、Citrix 統合）を使用しない場合は、[Workspace ONE Access 20.01 Connector の使用] を選択します。
仮想アプリケーションを使用する場合は、 [レガシーコネクタを使用] を選択して移行プロセスを終了します。
新しいコネクタを追加ウィザードに従って、コネクタインストーラと必要な構成ファイルをダウンロードし、20.01 Connector をインストールします。

インストールの情報については、『 Workspace ONE Access Connector 20.01 のインストール』を参照してください。特に、前提条件および Workspace ONE Access Connector のインストールを参照してください。

重要：コネクタをインストールするときは、必ずディレクトリ同期サービスとユーザー認証サービスをインストールしてください。Kerberos 認証サービスは、レガシーコネクタのいずれかに Kerberos 認証方法が構成されている場合にのみ必要です。
コネクタのインストールが正常に完了したら、Workspace ONE Access サービスコンソールの [ディレクトリの移行] ダッシュボードに戻ります。
[新しいコネクタへの移行] セクションで、すべてのディレクトリを 1 つずつ移行します。

[新しいコネクタへの移行] セクションには、テナント内のすべての Active Directory および LDAP ディレクトリが一覧表示されます。移行を完了する前に、一覧表示されているすべてのディレクトリを移行する必要があります。
注：このステップでディレクトリを移行しても、既存のディレクトリ、認証方法、ID プロバイダの構成は変更されず、次のステップで変更をプレビューした後にのみ有効になります。
1. ディレクトリの横にある [移行] ボタンをクリックします。
  ディレクトリの移行ウィザードが表示されます。ウィザードは、移行するディレクトリに合わせてカスタマイズされます。ディレクトリに設定されている認証方法については、追加のページが表示されます。
2. [ディレクトリ] ページで、ディレクトリのバインドユーザーパスワードを入力します。
  [ディレクトリ同期ホスト] リストには、ディレクトリ同期サービスがインストールされている新しい 20.01 Connector が表示されます。ディレクトリの同期に使用する 1 台以上のホストを選択します。
3. [Kerberos] ページ（Kerberos 認証方法が構成されている場合にのみ表示されます）で、Kerberos 認証方法の移行に必要な情報を指定します。
  - [ソースコネクタ]：ソースコネクタが事前に選択されています。事前に選択したコネクタが使用できない場合は、別のコネクタを選択できます。
  - [Kerberos 認証ホスト]：Kerberos 認証サービスがインストールされている新しい 20.01 Connector ホストがリストに表示されます。Kerberos 認証に使用する 1 台以上のホストを選択します。
4. [パスワード] ページで、パスワード認証方法の移行に必要な情報を指定します。
  - [ソースコネクタ]：ソースコネクタが事前に選択されています。事前に選択したコネクタが使用できない場合は、別のコネクタを選択できます。
  - [バインドパスワード]：ディレクトリのバインドユーザーパスワードを入力します。
  - [ユーザー認証ホスト]：ユーザー認証サービスがインストールされている新しい 20.01 Connector ホストがリストに表示されます。パスワード認証に使用する 1 台以上のホストを選択します。
5. [RADIUS] ページ（RADIUS 認証方法が構成されている場合にのみ表示されます）で、RADIUS 認証方法の移行に必要な情報を指定します。
  - [ソースコネクタ]：ソースコネクタが事前に選択されています。事前に選択したコネクタが使用できない場合は、別のコネクタを選択できます。
  - [共有シークレット]：RADIUS サーバの共有シークレット。
  - [ユーザー認証ホスト]：ユーザー認証サービスがインストールされている新しい 20.01 Connector ホストがリストに表示されます。RADIUS 認証に使用する 1 台以上のホストを選択します。
6. [SecurID] ページ（RSA SecurID 認証方法が構成されている場合にのみ表示されます）で、RSA SecurID 認証方法の移行に必要な情報を指定します。
  - [ソースコネクタ]：ソースコネクタが事前に選択されています。事前に選択したコネクタが使用できない場合は、別のコネクタを選択できます。
  - [ユーザー認証ホスト]：ユーザー認証サービスがインストールされている新しい 20.01 Connector ホストがリストに表示されます。RSA SecurID 認証に使用する 1 台以上のホストを選択します。
7. [ID プロバイダ] ページ（Kerberos 認証が構成されている場合にのみ表示されます）で、移行中に Kerberos 認証用に作成される新しい ID プロバイダに使用するコネクタロードバランサの完全修飾ドメイン名 (FQDN) を入力します。
  現在のロードバランサの FQDN が参照用に表示されます。これは、ディレクトリの ID プロバイダページの現在の [ID プロバイダホスト名] 値です。
  
  20.01 Connector が 1 つしかなく、ロードバランサがない場合は、コネクタの FQDN を入力します。
8. [サマリ] ページで選択内容を確認し、[保存] をクリックします。
  ディレクトリ移行データが保存されます。設定を表示するには、[ディレクトリの移行] ダッシュボードのディレクトリの横にある [サマリ] ボタンをクリックします。
  
  入力した情報を変更する場合は、[サマリ] ページで [最初からやり直し] をクリックします。これにより、ディレクトリに対して入力した移行データが破棄され、ディレクトリを再度移行できます。
9. 残りのディレクトリを移行します。
すべてのディレクトリが移行されると、[移行の完了] ステップが有効になります。
[移行の完了] セクションで [プレビューの開始] をクリックして、移行プロセスを開始します。

プレビューステージでは、新しい 20.01 Connector が使用されます。ディレクトリ同期は新しいディレクトリ同期サービスによって実行、ユーザー認証は新しいユーザー認証サービスによって実行、Kerberos 認証は新しい Kerberos 認証サービスによって実行されます。ディレクトリ、認証方法、ID プロバイダに変更を加えたり、新しいのを作成したりすることはできません。変換された ID プロバイダは [ID プロバイダ] タブで、変換された認証方法は [エンタープライズ認証方法] タブで表示できます。Kerberos を除くすべての認証方法が送信モードになります。
重要：プレビューステージで環境を完全にテストし、予期したとおりに動作していることを確認します。ディレクトリの同期、ユーザーログイン、アプリケーションの起動が機能していることを確認します。
環境が正常に動作していないと判断した場合、またはディレクトリ、認証方法、ID プロバイダを変更する場合は、プレビューステージを終了してから古いコネクタの使用に戻ります。
[ID とアクセス管理] > [管理] > [ディレクトリ] ページに移動し、 [移行を続行] をクリックして、[ディレクトリの移行] ダッシュボードの [移行の完了] セクションで [中断] をクリックします。

後でディレクトリ、認証方法、ID プロバイダに変更を加えた場合は、 [新しいコネクタへの移行] セクションで、ディレクトリを再度移行してください。
プレビューステージでお使いの環境が予期したとおりに動作していて、移行を完了する準備ができていることを確認したら、[ID とアクセス管理] > [管理] > [ディレクトリ] ページに移動し、[移行を続行] をクリックして [ディレクトリの移行] ダッシュボードに戻ります。

注意：移行が完了した後は、古いコネクタにロールバックすることはできません。

[完了] をクリックして移行を完了します。