移行ダッシュボードを使用して、既存のディレクトリを Workspace ONE Access 20.01 Connector に移行します。移行プロセスは、移行を完了する前に新しいコネクタを使用して環境をテストできる段階的なアプローチです。
この移行プロセスには、次のステージが含まれます。
- 20.01 Connector のインストール
新しい 20.01 Connector (ディレクトリ同期サービス、ユーザー認証サービス、Kerberos 認証サービスを含む)をインストールします。少なくとも、ディレクトリ同期サービスとユーザー認証サービスをインストールします。Kerberos 認証方法が構成されている場合は、Kerberos 認証サービスをインストールします。
- 新しいコネクタへの移行
このステージでは、ディレクトリの移行ウィザードを使用して、すべてのディレクトリ データを移行します。必要な情報のほとんどは環境から事前に入力されていますが、ディレクトリのバインド ユーザー パスワードなどの重要な値を入力する必要があります。
このステージでディレクトリを移行しても、既存のディレクトリ、認証方法、または ID プロバイダの構成は変更されません。まだ古いコネクタを使用しています。変更は、次のステップでプレビュー ステージに移動した後にのみ有効になります。
- プレビュー
プレビュー ステージでは、新しい 20.01 Connector を使用して環境をプレビューします。20.01 Connector からの新しいディレクトリ同期サービス、ユーザー認証サービス、Kerberos 認証サービスにより、ディレクトリの同期とユーザーの認証が実行されます。Kerberos を除くすべての認証方法が送信モードになります。
プレビュー ステージは、新しいサービスを使用して環境を徹底的にテストすることを目的としています。ディレクトリの同期、ユーザーの認証、アプリケーションの起動が予期したとおりに正常に機能していることを確認します。
プレビュー ステージでは、ディレクトリ、認証方法、ID プロバイダを変更したり、新しく追加したりすることはできません。
プレビュー ステージから、古いコネクタの使用にロールバックできます。ロールバックすると、前のステージで移行したディレクトリ データが維持されたままになります。その後、既存のディレクトリ、認証方法、または ID プロバイダのいずれかに変更を加えた場合は、必ずディレクトリ データを再度移行してください。
- 移行の完了
新しい環境のテストに問題がなければ、移行を完了します。移行が完了した後は、古いコネクタの使用にロールバックすることはできません。
移行のベスト プラクティスは次のとおりです。
- 移行プロセスを開始する前に、ディレクトリ同期プロセスがどのディレクトリに対しても実行されていないことを確認します。
- People Search が有効になっている場合は、移行プロセスを開始する前に、どのディレクトリに対してもフォト同期プロセスが実行されていないことを確認します。
手順
- [ID とアクセス管理] タブをクリックします。
移行ページが表示されます。
- 要件を確認し、[はい] をクリックします。
[ディレクトリの移行] ダッシュボードが表示されます。
- [ディレクトリの移行] ダッシュボードで、[20.01 Connector のインストール] セクションの [開始する] リンクをクリックします。
- [コネクタ] ページで、[新規] をクリックします。
- [仮想アプリケーション使用量の確認] ポップアップで、仮想アプリケーション(Horizon、Horizon Cloud、Citrix 統合)を使用しない場合は、[Workspace ONE Access 20.01 Connector の使用] を選択します。
仮想アプリケーションを使用する場合は、
[レガシー コネクタを使用] を選択して移行プロセスを終了します。
- 新しいコネクタを追加ウィザードに従って、コネクタ インストーラと必要な構成ファイルをダウンロードし、20.01 Connector をインストールします。
重要: コネクタをインストールするときは、必ずディレクトリ同期サービスとユーザー認証サービスをインストールしてください。Kerberos 認証サービスは、レガシー コネクタのいずれかに Kerberos 認証方法が構成されている場合にのみ必要です。
- コネクタのインストールが正常に完了したら、Workspace ONE Access サービス コンソールの [ディレクトリの移行] ダッシュボードに戻ります。
- [新しいコネクタへの移行] セクションで、すべてのディレクトリを 1 つずつ移行します。
[新しいコネクタへの移行] セクションには、テナント内のすべての Active Directory および LDAP ディレクトリが一覧表示されます。移行を完了する前に、一覧表示されているすべてのディレクトリを移行する必要があります。
注: このステップでディレクトリを移行しても、既存のディレクトリ、認証方法、ID プロバイダの構成は変更されず、次のステップで変更をプレビューした後にのみ有効になります。
- ディレクトリの横にある [移行] ボタンをクリックします。
ディレクトリの移行ウィザードが表示されます。ウィザードは、移行するディレクトリに合わせてカスタマイズされます。ディレクトリに設定されている認証方法については、追加のページが表示されます。
- [ディレクトリ] ページで、ディレクトリのバインド ユーザー パスワードを入力します。
[ディレクトリ同期ホスト] リストには、ディレクトリ同期サービスがインストールされている新しい 20.01 Connector が表示されます。ディレクトリの同期に使用する 1 台以上のホストを選択します。
- [Kerberos] ページ(Kerberos 認証方法が構成されている場合にのみ表示されます)で、Kerberos 認証方法の移行に必要な情報を指定します。
- [ソース コネクタ]:ソース コネクタが事前に選択されています。事前に選択したコネクタが使用できない場合は、別のコネクタを選択できます。
- [Kerberos 認証ホスト]:Kerberos 認証サービスがインストールされている新しい 20.01 Connector ホストがリストに表示されます。Kerberos 認証に使用する 1 台以上のホストを選択します。
![ディレクトリの移行 - [Kerberos] ページ](images/GUID-077F5275-5793-4294-99E3-B151898CCDF1-low.png)
- [パスワード] ページで、パスワード認証方法の移行に必要な情報を指定します。
- [ソース コネクタ]:ソース コネクタが事前に選択されています。事前に選択したコネクタが使用できない場合は、別のコネクタを選択できます。
- [バインド パスワード]:ディレクトリのバインド ユーザー パスワードを入力します。
- [ユーザー認証ホスト]:ユーザー認証サービスがインストールされている新しい 20.01 Connector ホストがリストに表示されます。パスワード認証に使用する 1 台以上のホストを選択します。
![ディレクトリの移行 - [パスワード] ページ](images/GUID-A323B0D1-FAA4-4C56-BD12-7854167C6B7D-low.png)
- [RADIUS] ページ(RADIUS 認証方法が構成されている場合にのみ表示されます)で、RADIUS 認証方法の移行に必要な情報を指定します。
- [ソース コネクタ]:ソース コネクタが事前に選択されています。事前に選択したコネクタが使用できない場合は、別のコネクタを選択できます。
- [共有シークレット]:RADIUS サーバの共有シークレット。
- [ユーザー認証ホスト]:ユーザー認証サービスがインストールされている新しい 20.01 Connector ホストがリストに表示されます。RADIUS 認証に使用する 1 台以上のホストを選択します。
![ディレクトリの移行 - [RADIUS] ページ](images/GUID-C2B29B4D-984F-49B2-99FE-6537862ADBB9-low.png)
- [SecurID] ページ(RSA SecurID 認証方法が構成されている場合にのみ表示されます)で、RSA SecurID 認証方法の移行に必要な情報を指定します。
- [ソース コネクタ]:ソース コネクタが事前に選択されています。事前に選択したコネクタが使用できない場合は、別のコネクタを選択できます。
- [ユーザー認証ホスト]:ユーザー認証サービスがインストールされている新しい 20.01 Connector ホストがリストに表示されます。RSA SecurID 認証に使用する 1 台以上のホストを選択します。
![ディレクトリの移行 - [SecurID] ページ](images/GUID-979A85C0-93B4-4C0C-817F-F3D8147640F9-low.png)
- [ID プロバイダ] ページ(Kerberos 認証が構成されている場合にのみ表示されます)で、移行中に Kerberos 認証用に作成される新しい ID プロバイダに使用するコネクタ ロード バランサの完全修飾ドメイン名 (FQDN) を入力します。
現在のロード バランサの FQDN が参照用に表示されます。これは、ディレクトリの ID プロバイダ ページの現在の
[ID プロバイダ ホスト名] 値です。
20.01 Connector が 1 つしかなく、ロード バランサがない場合は、コネクタの FQDN を入力します。
- [サマリ] ページで選択内容を確認し、[保存] をクリックします。
ディレクトリ移行データが保存されます。設定を表示するには、[ディレクトリの移行] ダッシュボードのディレクトリの横にある
[サマリ] ボタンをクリックします。
入力した情報を変更する場合は、[サマリ] ページで
[最初からやり直し] をクリックします。これにより、ディレクトリに対して入力した移行データが破棄され、ディレクトリを再度移行できます。
- 残りのディレクトリを移行します。
すべてのディレクトリが移行されると、[移行の完了] ステップが有効になります。
- [移行の完了] セクションで [プレビューの開始] をクリックして、移行プロセスを開始します。
プレビュー ステージでは、新しい 20.01 Connector が使用されます。ディレクトリ同期は新しいディレクトリ同期サービスによって実行、ユーザー認証は新しいユーザー認証サービスによって実行、Kerberos 認証は新しい Kerberos 認証サービスによって実行されます。ディレクトリ、認証方法、ID プロバイダに変更を加えたり、新しいのを作成したりすることはできません。変換された ID プロバイダは
[ID プロバイダ] タブで、変換された認証方法は
[エンタープライズ認証方法] タブで表示できます。Kerberos を除くすべての認証方法が送信モードになります。
重要: プレビュー ステージで環境を完全にテストし、予期したとおりに動作していることを確認します。ディレクトリの同期、ユーザー ログイン、アプリケーションの起動が機能していることを確認します。
- 環境が正常に動作していないと判断した場合、またはディレクトリ、認証方法、ID プロバイダを変更する場合は、プレビュー ステージを終了してから古いコネクタの使用に戻ります。
[ID とアクセス管理] > [管理] > [ディレクトリ] ページに移動し、
[移行を続行] をクリックして、[ディレクトリの移行] ダッシュボードの
[移行の完了] セクションで
[中断] をクリックします。
後でディレクトリ、認証方法、ID プロバイダに変更を加えた場合は、
[新しいコネクタへの移行] セクションで、ディレクトリを再度移行してください。
- プレビュー ステージでお使いの環境が予期したとおりに動作していて、移行を完了する準備ができていることを確認したら、[ID とアクセス管理] > [管理] > [ディレクトリ] ページに移動し、[移行を続行] をクリックして [ディレクトリの移行] ダッシュボードに戻ります。
注意: 移行が完了した後は、古いコネクタにロールバックすることはできません。
[完了] をクリックして移行を完了します。
結果
すべてのディレクトリは、新しい 20.01 Connector に移行されます。新しいディレクトリ同期サービス、ユーザー認証サービス、Kerberos 認証サービスにより、ディレクトリの同期とユーザーの認証が実行されるようになりました。
新しい ID プロバイダが各ディレクトリに作成され、「ディレクトリの移行された IDP」という名前で [ID プロバイダ] タブに表示されます。新しい ID プロバイダは組み込みタイプです。Kerberos 認証では、Workspace_IDP タイプの個別の ID プロバイダが作成されます。
Kerberos を除くすべての認証方法は、送信方法に変換され、「(クラウド デプロイ)」サフィックスで名前が変更されます。たとえば、パスワード認証方法は「パスワード(クラウド デプロイ)」に変更されます。[エンタープライズ認証方法] タブから、新しい認証方法を表示および管理できます。
次のタスク
移行が完了したら、古い 19.03 Connector をインストール先のサーバからアンインストールできます。