移行ダッシュボードを使用して、既存のディレクトリを Workspace ONE Access 20.10 Connector に移行します。移行プロセスは、移行を完了する前に新しいコネクタを使用して環境をテストできる段階的なアプローチです。

この移行プロセスには、次のステージが含まれます。

  • 20.10 Connector のインストール

    新しい 20.10 Connector (ディレクトリ同期サービス、ユーザー認証サービス、Kerberos 認証サービスを含む)をインストールします。少なくとも、ディレクトリ同期サービスとユーザー認証サービスをインストールします。Kerberos 認証方法が構成されている場合は、Kerberos 認証サービスをインストールします。

  • 新しいコネクタへの移行

    このステージでは、ディレクトリの移行ウィザードを使用して、すべてのディレクトリ データを移行します。必要な情報のほとんどは環境から事前に入力されていますが、ディレクトリのバインド ユーザー パスワードなどの重要な値を入力します。

    このステージでディレクトリを移行しても、既存のディレクトリ、認証方法、または ID プロバイダの構成は変更されません。まだ古いコネクタを使用しています。変更は、次のステップでプレビュー ステージに移動した後にのみ有効になります。

  • プレビュー

    プレビュー ステージでは、新しい 20.10 Connector を使用して環境をプレビューします。20.10 Connector からの新しいディレクトリ同期サービス、ユーザー認証サービス、Kerberos 認証サービスにより、ディレクトリの同期とユーザーの認証が実行されます。Kerberos を除くすべての認証方法が送信モードになります。

    プレビュー ステージは、新しいサービスを使用して環境を徹底的にテストすることを目的としています。ディレクトリの同期、ユーザーの認証、アプリケーションの起動が予期したとおりに正常に機能していることを確認します。

    プレビュー ステージでは、ディレクトリ、認証方法、ID プロバイダを変更したり、新しく追加したりすることはできません。

    プレビュー ステージから、古いコネクタの使用にロールバックできます。ロールバックすると、前のステージで移行したディレクトリ データが維持されたままになります。その後、既存のディレクトリ、認証方法、または ID プロバイダのいずれかに変更を加えた場合は、必ずディレクトリ データを再度移行してください。

  • 移行の完了

    新しい環境のテストに問題がなければ、移行を完了します。移行が完了した後は、古いコネクタの使用にロールバックすることはできません。

前提条件

  • VMware Workspace ONE Access 20.10 Connector への移行で要件を確認します。
  • 環境内のすべてのコネクタのバージョンが 19.03.x であることを確認します。古いバージョンのコネクタがある場合は、19.03.x にアップグレードします。
  • 新しい 20.10 Connector 用に 1 台以上の Windows サーバを準備します。『Workspace ONE Access Connector 20.10 のインストール』のサイズ設定ガイドラインを参照してください。

    20.10 Connector は、新しいサーバまたはレガシーの 19.03.x Connector サーバのいずれかにインストールできます。ただし、レガシー コネクタで Kerberos 認証が構成されている場合は、別の Windows サーバを使用して 20.10 Kerberos 認証サービスをインストールする必要があります。19.03.x Connector サーバに新しい Kerberos 認証サービスをインストールしないでください。Workspace ONE Access は、同じサーバ上で Kerberos の複数のインスタンスをサポートしていません。

    レガシー コネクタで Kerberos 認証が構成されておらず、新しい 20.10 Connector をレガシーの 19.03.x コネクタ サーバにインストールする場合は、詳細要件についてWorkspace ONE Access 19.03.x を実行している Windows サーバ上での最新のコネクタへの移行を参照してください。

  • オンプレミスの Workspace ONE Access サービス インスタンスがある場合は、コネクタを移行する前にインスタンスを 20.10 にアップグレードします。
  • ディレクトリのいずれかに RSA SecurID 認証方法が構成されている場合は、RSA セキュリティ コンソールでノード シークレットを消去します。

    また、新しい Windows サーバにユーザー認証サービスをインストールする場合は、コネクタの移行を開始する前に、Windows サーバを SecurID サーバにエージェントとして追加します。

  • ID プロバイダが複数のディレクトリに関連付けられている場合は、各 ID プロバイダが 1 つのディレクトリのみに関連付けられるように構成を変更します。
  • 移行プロセスを開始する前に、ディレクトリ同期プロセスがどのディレクトリに対しても実行されていないことを確認します。
  • People Search 機能が有効になっている場合は、移行プロセスを開始する前に、どのディレクトリに対してもフォト同期プロセスが実行されていないことを確認します。
  • ディレクトリが関連付けられていない 19.03.x Connector を移行する場合は、手順 5 で [Workspace ONE Access Connector 20.10] オプションを選択すると、移行が完了したと見なされ、19.03.x Connector がサービスから削除されることに注意してください。後でレガシー コネクタを使用することを決定し、[仮想アプリケーション使用量のリセット] ボタンを使用してコネクタの選択を変更した場合、19.03.x Connector は表示されません。19.03.x Connector をサービスで再アクティベーションするには、再インストールする必要があります。

手順

  1. [ID とアクセス管理] タブをクリックします。
    移行ページが表示されます。
    移行ページ
  2. 要件を確認し、[はい] をクリックします。
    [ディレクトリの移行] ダッシュボードが表示されます。
  3. [ディレクトリの移行] ダッシュボードで、[20.01 Connector 以降のインストール] セクションの [開始する] リンクをクリックします。

    [ディレクトリの移行] ダッシュボードの [新しいコネクタのインストール] ペイン
  4. [コネクタ] ページで、[新規] をクリックします。
    [コネクタ] ページが表示
  5. [仮想アプリケーション使用量の確認] ポップアップで、仮想アプリケーション(Horizon、Horizon Cloud、Citrix 統合)を使用しない場合は、[Workspace ONE Access Connector 20.10] を選択します。
    仮想アプリケーションを使用する場合は、 [レガシー コネクタ] を選択して移行プロセスを終了します。仮想アプリケーションは、レガシー コネクタでのみサポートされます。
    仮想アプリケーションの使用に関する質問
    重要: ビジネス ニーズを考慮しながら、慎重に選択してください。移行プロセスの特定の時点を過ぎると、選択内容を変更することはできません。 Workspace ONE Access での [仮想アプリケーション使用量のリセット] オプション を参照してください。
  6. 新しいコネクタを追加ウィザードに従って、コネクタ インストーラと必要な構成ファイルをダウンロードし、新しいコネクタをインストールします。
    インストールの情報については、『 VMware Workspace ONE Access Connector 20.10 のインストール』を参照してください。特に、 Workspace ONE Access Connector をインストールするための前提条件および Workspace ONE Access Connector のインストールを参照してください。
    重要: コネクタをインストールするときは、必ずディレクトリ同期サービスとユーザー認証サービスをインストールしてください。Kerberos 認証サービスは、レガシー コネクタのいずれかに Kerberos 認証方法が構成されている場合にのみ必要です。
  7. コネクタのインストールが正常に完了したら、Workspace ONE Access サービス コンソールの [ディレクトリの移行] ダッシュボードに戻ります。
  8. [新しいコネクタへの移行] セクションで、すべてのディレクトリを 1 つずつ移行します。
    移行ダッシュボードの [ディレクトリの移行] セクション
    [新しいコネクタへの移行] セクションには、テナント内のすべての Active Directory および LDAP ディレクトリが一覧表示されます。移行を完了する前に、一覧表示されているすべてのディレクトリを移行する必要があります。
    注: このステップでディレクトリを移行しても、既存のディレクトリ、認証方法、ID プロバイダの構成は変更されず、次のステップで変更をプレビューした後にのみ有効になります。
    1. ディレクトリの横にある [移行] ボタンをクリックします。
      ディレクトリの移行ウィザードが表示されます。ウィザードは、移行するディレクトリに合わせてカスタマイズされます。ディレクトリに設定されている認証方法については、追加のページが表示されます。
    2. [ディレクトリ] ページで、ディレクトリのバインド ユーザー パスワードを入力します。
      [ディレクトリ同期ホスト] リストには、ディレクトリ同期サービスがインストールされている新しい 20.10 Connector ホストが表示されます。ディレクトリの同期に使用する 1 台以上のホストを選択します。
      ディレクトリの移行ウィザード - [ディレクトリ] ページ
    3. [Kerberos] ページ(Kerberos 認証方法が構成されている場合にのみ表示されます)で、Kerberos 認証方法の移行に必要な情報を指定します。
      • [ソース コネクタ]:ソース コネクタが事前に選択されています。事前に選択したコネクタが使用できない場合は、別のコネクタを選択できます。
      • [Kerberos 認証ホスト]:Kerberos 認証サービスがインストールされている新しい 20.10 Connector ホストがリストに表示されます。Kerberos 認証に使用する 1 台以上のホストを選択します。

      ディレクトリの移行 - [Kerberos] ページ

    4. [パスワード] ページで、パスワード認証方法の移行に必要な情報を指定します。
      • [ソース コネクタ]:ソース コネクタが事前に選択されています。事前に選択したコネクタが使用できない場合は、別のコネクタを選択できます。
      • [バインド パスワード]:ディレクトリのバインド ユーザー パスワードを入力します。
      • [ユーザー認証ホスト]:ユーザー認証サービスがインストールされている新しい 20.10 Connector ホストがリストに表示されます。パスワード認証に使用する 1 台以上のホストを選択します。

      ディレクトリの移行 - [パスワード] ページ

    5. [RADIUS] ページ(RADIUS 認証方法が構成されている場合にのみ表示されます)で、RADIUS 認証方法の移行に必要な情報を指定します。
      • [ソース コネクタ]:ソース コネクタが事前に選択されています。事前に選択したコネクタが使用できない場合は、別のコネクタを選択できます。
      • [共有シークレット]:RADIUS サーバの共有シークレット。
      • [ユーザー認証ホスト]:ユーザー認証サービスがインストールされている新しい 20.10 Connector ホストがリストに表示されます。RADIUS 認証に使用する 1 台以上のホストを選択します。

      ディレクトリの移行 - [RADIUS] ページ

    6. [SecurID] ページ(RSA SecurID 認証方法が構成されている場合にのみ表示されます)で、RSA SecurID 認証方法の移行に必要な情報を指定します。
      • [ソース コネクタ]:ソース コネクタが事前に選択されています。事前に選択したコネクタが使用できない場合は、別のコネクタを選択できます。
      • [ユーザー認証ホスト]:ユーザー認証サービスがインストールされている新しい 20.10 Connector ホストがリストに表示されます。RSA SecurID 認証に使用する 1 台以上のホストを選択します。

      ディレクトリの移行 - [SecurID] ページ

    7. [ID プロバイダ] ページ(Kerberos 認証が構成されている場合にのみ表示されます)で、移行中に Kerberos 認証用に作成される新しい ID プロバイダに使用するコネクタ ロード バランサの完全修飾ドメイン名 (FQDN) を入力します。
      現在のロード バランサの FQDN が参照用に表示されます。これは、ディレクトリの ID プロバイダ ページの現在の [ID プロバイダ ホスト名] 値です。
      20.10 Connector が 1 つしかなく、ロード バランサがない場合は、コネクタの FQDN を入力します。
      ディレクトリの移行ウィザードの [ID プロバイダ] ページ
    8. [サマリ] ページで選択内容を確認し、[保存] をクリックします。
      ディレクトリ移行データが保存されます。設定を表示するには、[ディレクトリの移行] ダッシュボードのディレクトリの横にある [サマリ] ボタンをクリックします。
      ダッシュボードの [移行] ペインに [サマリ] ボタンを表示
      入力した情報を変更する場合は、[サマリ] ページで [最初からやり直し] をクリックします。これにより、ディレクトリに対して入力した移行データが破棄され、ディレクトリを再度移行できます。
      ディレクトリ サマリ
    9. 残りのディレクトリを移行します。
    すべてのディレクトリが移行されると、 [移行の完了] ステップが有効になります。
  9. [移行の完了] セクションで [プレビューの開始] をクリックして、移行プロセスを開始します。
    [移行] ダッシュボード - プレビューの開始
    プレビュー ステージでは、新しい 20.10 Connector が使用されます。ディレクトリ同期は新しいディレクトリ同期サービスによって実行、ユーザー認証は新しいユーザー認証サービスによって実行、Kerberos 認証は新しい Kerberos 認証サービスによって実行されます。ディレクトリ、認証方法、ID プロバイダに変更を加えたり、新しいのを作成したりすることはできません。変換された ID プロバイダは [ID プロバイダ] タブで、変換された認証方法は [エンタープライズ認証方法] タブで表示できます。Kerberos を除くすべての認証方法が送信モードになります。

    Workspace ONE Access サービスの展開で People Search 機能が有効になっていた場合は、セーフガード設定なしでディレクトリを手動で同期する必要があります。Workspace ONE Access コンソールで、[ID とアクセス管理] > [ディレクトリ] ページでディレクトリを選択し、[同期] > [セーフガードを使用しない同期] をクリックします。

    重要: プレビュー ステージで環境を完全にテストし、予期したとおりに動作していることを確認します。ディレクトリの同期、ユーザー ログイン、アプリケーションの起動が機能していることを確認します。
  10. 環境が正常に動作していないと判断した場合、またはディレクトリ、認証方法、ID プロバイダを変更する場合は、プレビュー ステージを終了してから古いコネクタの使用に戻ります。
    [ID とアクセス管理] > [管理] > [ディレクトリ] ページに移動し、 [移行を続行] をクリックして、[ディレクトリの移行] ダッシュボードの [移行の完了] セクションで [中断] をクリックします。
    [移行の完了] ペイン
    後でディレクトリ、認証方法、ID プロバイダに変更を加えた場合は、 [新しいコネクタへの移行] セクションで、ディレクトリを再度移行してください。
  11. プレビュー ステージでお使いの環境が予期したとおりに動作していて、移行を完了する準備ができていることを確認したら、[ID とアクセス管理] > [管理] > [ディレクトリ] ページに移動し、[移行を続行] をクリックして [ディレクトリの移行] ダッシュボードに戻ります。
    注意: 移行が完了した後は、古いコネクタにロールバックすることはできません。

    [完了] をクリックして移行を完了します。

    [移行] ダッシュボード - [移行の完了] セクション

結果

すべてのディレクトリは、新しい 20.10 Connector に移行されます。新しいディレクトリ同期サービス、ユーザー認証サービス、Kerberos 認証サービスにより、ディレクトリの同期とユーザーの認証が実行されるようになりました。

新しい ID プロバイダが各ディレクトリに作成され、「ディレクトリの移行された IDP」という名前で [ID プロバイダ] タブに表示されます。新しい ID プロバイダは組み込みタイプです。Kerberos 認証では、Workspace_IDP タイプの個別の ID プロバイダが作成されます。

Kerberos を除くすべての認証方法は、送信方法に変換され、「(クラウド デプロイ)」サフィックスで名前が変更されます。たとえば、パスワード認証方法は「パスワード(クラウド デプロイ)」に変更されます。[エンタープライズ認証方法] タブから、新しい認証方法を表示および管理できます。

次のタスク

移行が完了したら、古い 19.03.x Connector をインストール先のサーバからアンインストールできます。