Windows 기반 Workspace ONE Access Connector 22.05, 21.08.x, 20.10.x 또는 20.01.x를 버전 22.09로 업그레이드하려면 VMware Customer Connect에서 커넥터 서버로 새 설치 관리자를 다운로드하고 설치 관리자를 실행합니다. 커넥터의 이전 버전을 제거할 필요는 없습니다.

업그레이드 중에 기존 디렉토리 동기화, 사용자 인증, Kerberos 인증 및 가상 애플리케이션 서비스가 일시 중단됩니다. 이 서비스는 업그레이드가 완료된 후 자동으로 다시 시작됩니다.

참고: 이 문서에서는 그래픽 사용자 인터페이스를 사용하여 커넥터를 업그레이드하는 방법을 설명합니다. 무인 설치를 사용하여 커넥터를 업그레이드하려면 Workspace ONE Access Connector 설치 관리자를 자동 모드로 실행을 참조하십시오.

중요 고려 사항

  • FIPS 모드

    FIPS 모드가 사용되도록 설정된 버전 22.05 설치에서 업그레이드하는 경우 업그레이드된 커넥터가 FIPS 모드에서 작동합니다. FIPS 모드가 사용되도록 설정되지 않은 버전 22.05 설치 또는 22.05 이전 버전에서 업그레이드하는 경우 업그레이드된 커넥터가 비 FIPS 모드에서 실행됩니다. 업그레이드하는 동안이나 업그레이드한 후에는 FIPS 모드를 선택하거나 선택 취소할 수 없습니다. FIPS 모드 설정을 변경하려면 새로 설치를 수행해야 합니다. 자세한 내용은 VMware Workspace ONE Access Connector 22.09로 업그레이드의 내용을 참조하십시오.

  • es-config.json 파일

    es-config.json 구성 파일은 Workspace ONE Access 서비스와 커넥터 간의 연결을 설정합니다. 대부분의 경우, 업그레이드된 커넥터는 기존 커넥터에서 사용 중인 것과 동일한 구성 파일을 사용할 수 있습니다. 하지만 경우에 따라 Workspace ONE Access 콘솔에서 새 es-config.json 파일을 생성해야 합니다.

    • 버전 20.01.x 또는 20.10.x에서 업그레이드하려고 하며 업그레이드 도중이나 이후에 가상 애플리케이션 서비스를 설치하려면 새 es-config.json 구성 파일을 생성하고 사용해야 합니다. 가상 애플리케이션 서비스를 설치하지 않을 예정이면 새 구성 파일이 필요하지 않습니다. 업그레이드된 커넥터는 기존 커넥터에서 사용 중인 것과 동일한 구성 파일을 사용할 수 있습니다.
    • 버전 21.08.x 또는 22.05에서 업그레이드하고 Workspace ONE Access 21.08 릴리스 또는 2021년 9월 클라우드 릴리스 이후에 es-config.json 구성 파일을 생성한 경우 새 es-config.json 파일을 생성할 필요가 없습니다.
    • 업그레이드하는 버전에 관계없이 기존 es-config.json 구성 파일의 암호가 현재의 암호 규칙을 충족하지 않으면 이러한 규칙을 충족하는 암호로 사용하여 새 구성 파일을 생성해야 합니다.

      암호는 14자 이상이어야 하며 하나 이상의 숫자, 대문자 및 특수 문자를 포함해야 합니다. 다음과 같은 특수 문자만 허용됩니다.

      @ ! , # $ { } ( ) _ + . < > ? *

      모든 문자는 표시되어야 하며 ASCII 문자를 출력해야 합니다.

    • 기존 구성 파일의 암호를 잊어버린 경우 새 구성 파일을 생성하고 업그레이드 중에 사용합니다.

    새 파일을 생성하려면 Workspace ONE Access 콘솔에서 통합 > 커넥터로 이동한 후 새로 만들기를 클릭하고 마법사의 [구성 파일 다운로드] 페이지에서 새 파일을 생성합니다.

    경고: 구성 파일에는 각 엔터프라이즈 서비스에 대한 테넌트 URL, 테넌트 ID, 클라이언트 ID 및 클라이언트 암호와 암호 해시 같은 중요 정보가 포함되어 있습니다. 이 파일을 공유하거나 공개적으로 노출하지 않는 것이 중요합니다.
  • RSA SecurID(클라우드 배포) 인증 방법의 구성이 21.08 릴리스부터 변경되었습니다. RSA SecurID(클라우드 배포) 인증 방법이 구성된 20.10.x 또는 이전 버전의 커넥터에서 업그레이드하는 경우 모든 사용자 인증 서비스 인스턴스를 업그레이드하기 전에 액세스 정책에서 인증 방법을 삭제한 다음, 업그레이드 후 재구성합니다. 이로 인해 RSA SecurID 기반 로그인 다운타임이 발생하므로 그에 따라 업그레이드 시기를 계획합니다.

    개략적인 업그레이드 단계는 다음과 같습니다.

    1. Workspace ONE Access Connector 21.08 이상에서 지원되는 버전인 RSA Authentication Manager 장치 8.2 SP1 이상을 사용하고 있는지 확인합니다.
    2. 커넥터를 업그레이드하기 전에 커넥터가 사용되는 액세스 정책에서 RSA SecurID(클라우드 배포) 인증 방법을 제거합니다.
    3. 사용자 인증 서비스가 설치된 모든 커넥터를 버전 22.09로 업그레이드합니다.
    4. 프록시 서버가 커넥터로 구성된 경우 RSA Authentication Manager 서버에 대해 구성된 통신 포트가 프록시 서버에서 열려 있는지 확인합니다.
    5. 여러 RSA Authentication Manager 서버 인스턴스를 배포한 경우 로드 밸런서 뒤에 구성하고 로드 밸런서에 대한 Workspace ONE Access 요구 사항을 충족해야 합니다.
    6. RSA 보안 콘솔에서, 커넥터가 FQDN(정규화된 도메인 이름)(예: connectorserver.example.com)을 통해 인증 에이전트로 추가되었는지 확인합니다.
    7. RSA SecurID(클라우드 배포) 인증 방법 구성을 업데이트합니다.
    8. 정책에 액세스하려면 RSA SecurID(클라우드 배포) 인증 방법을 추가합니다.
  • 사용자 인증 서비스가 설치된 모든 커넥터 인스턴스를 22.09로 업그레이드해야 합니다. Workspace ONE Access는 사용자 인증 서비스의 혼합된 버전 22.09, 22.05, 21.08 및 20.x를 지원하지 않습니다.
  • Workspace ONE Access Connector 22.09는 다음과 같은 유형의 프록시를 지원합니다.
    • 인증되지 않은 HTTP 프록시
    • 인증되지 않은 HTTPS(SSL) 프록시
    • 인증된 HTTPS(SSL) 프록시

사전 요구 사항

  • VMware Workspace ONE Access Connector 22.09로 업그레이드를 검토하십시오.
  • 커넥터 설치가 가상 Windows 서버에 있는 경우 업그레이드하기 전에 가상 시스템의 스냅샷을 생성합니다.
  • Kerberos 인증 서비스 또는 가상 애플리케이션 서비스를 설치할 계획인 경우 커넥터 서버를 도메인에 가입해야 합니다.
  • RSA SecurID(클라우드 배포) 인증 방법을 구성한 경우 RSA Authentication Manager 장치 버전 8.2 SP1 이상을 사용하고 있는지 확인합니다.
  • RSA SecurID(클라우드 배포) 인증 방법이 구성된 20.10.x 또는 이전 커넥터에서 업그레이드하는 경우 사용자 인증 서비스가 설치된 모든 커넥터 인스턴스를 업그레이드하기 전에 액세스 정책에서 인증 방법을 제거합니다.
    1. Workspace ONE Access 콘솔에서 리소스 > 정책으로 이동합니다.
    2. 정책의 일부인 경우 각 정책을 검토하고 RSA SecurID(클라우드 배포) 인증 방법을 제거합니다.

      커넥터를 업그레이드한 후 인증 방법을 다시 추가하는 데 필요한 정보를 사용할 수 있도록 변경 내용을 기록해 둡니다.

  • 20.01.Xx 버전에서 업그레이드하며 IWA(Windows 통합 인증)를 통해 Active Directory 유형의 디렉토리를 구성한 경우 업그레이드하기 전에 Workspace ONE Access 콘솔의 디렉토리 구성에서 STARTTLS 옵션을 선택 취소합니다. 업그레이드 후에 IWA를 통한 Active Directory 기능은 STARTTLS 옵션과 호환되지 않습니다.

    디렉토리 구성을 편집하려면 통합 > 디렉토리 페이지로 이동하고 디렉토리를 선택한 다음, 이 디렉토리에 대한 모든 연결은 STARTTLS를 사용해야 합니다. 확인란을 선택 취소한 후 저장을 클릭합니다.

    참고: 기술 자료 문서 77158에 설명된 핫픽스를 커넥터 20.01에 적용하거나 커넥터 20.01.0.1 이상으로 업그레이드한 경우 IWA를 통한 Active Directory에 대한 STARTTLS 옵션을 이미 선택 취소했을 수 있습니다. 설정을 선택 취소했는지 확인합니다.
  • Workspace ONE Access 콘솔에서 모든 커넥터 서비스를 일시 중단합니다.
    1. 통합 > 커넥터를 선택합니다.
    2. 커넥터를 선택하고 관리를 클릭합니다.
    3. 각 서비스 이름 옆의 토글을 클릭하여 서비스를 일시 중단합니다.
  • 다음 계정 정보가 있는지 확인합니다.
    • VMware Customer Connect 자격 증명
    • 기존 설치에 Kerberos 인증 서비스 또는 가상 애플리케이션 서비스가 포함된 경우 서비스를 실행하는 데 사용되는 도메인 사용자 자격 증명이 필요합니다.
    • 업그레이드하는 동안 Kerberos 인증 서비스 또는 가상 애플리케이션 서비스를 설치하려는 경우 이러한 서비스를 실행하려면 도메인 사용자 계정이 필요합니다. 이러한 서비스는 도메인 사용자 계정 권한으로 실행되지만 디렉토리 동기화 및 사용자 인증 서비스는 더 낮은 권한으로 실행됩니다.
    • RSA SecurID(클라우드 배포) 인증 방법을 사용하는 경우 모든 커넥터 인스턴스를 업그레이드한 후 Workspace ONE Access 콘솔에서 인증 방법을 재구성하는 데 필요한 정보를 얻으려면 RSA 보안 콘솔 자격 증명이 있어야 합니다.

프로시저

  1. 필요한 경우 Workspace ONE Access 콘솔에서 새 구성 파일을 생성합니다.
    1. Workspace ONE Access 콘솔에 시스템 도메인 관리자로 로그인합니다.
      팁: 클라우드 배포에서 시스템 도메인 관리자는 Workspace ONE Access 테넌트를 가져올 때 수신한 자격 증명을 갖는 관리자입니다. 온-프레미스 배포에서 시스템 도메인 관리자는 Workspace ONE Access 인스턴스를 설치할 때 생성된 관리자입니다.
    2. 통합 > 커넥터를 선택합니다.
      참고: 새 탐색 토글이 꺼져 있는 Workspace ONE Access 클라우드 테넌트에서 [커넥터] 페이지 위치는 ID 및 액세스 관리 > 설정 > 커넥터입니다.
    3. 새로 만들기를 클릭합니다.
    4. 새 커넥터 추가 마법사에서 다음을 클릭합니다.
    5. [구성 파일 다운로드] 페이지에서 암호를 생성하고 구성 파일 다운로드를 클릭하여 구성 파일을 생성합니다.

      암호는 14자 이상이어야 하며 하나 이상의 숫자, 대문자 및 특수 문자를 포함해야 합니다. 다음과 같은 특수 문자만 허용됩니다.

      @ ! , # $ { } ( ) _ + . < > ? *

      모든 문자는 표시되어야 하며 ASCII 문자를 출력해야 합니다.

      구성 파일은 설치하는 엔터프라이즈 서비스와 Workspace ONE Access 테넌트 간에 통신을 설정하는 데 사용됩니다. 이 파일의 이름은 기본적으로 es-config.json입니다.
      경고: 구성 파일에는 각 엔터프라이즈 서비스에 대한 테넌트 URL, 테넌트 ID, 클라이언트 ID 및 클라이언트 암호와 암호 해시 같은 중요 정보가 포함되어 있습니다. 이 파일을 공유하거나 공개적으로 노출하지 않는 것이 중요합니다.
    6. 이전 버전의 커넥터가 설치되어 있는 Windows 서버로 구성 파일을 전송합니다.
  2. VMware Customer Connect에서 Workspace ONE Access Connector 22.09를 다운로드합니다.
    1. https://customerconnect.vmware.com/에 로그인합니다.
    2. Workspace ONE Access Connector 다운로드 페이지로 이동합니다.
    3. Workspace-ONE-Access-Connector-Installer-22.09.0.0.exe를 다운로드합니다.
  3. 이전 버전의 커넥터가 설치되어 있는 Windows 서버에 설치 관리자 파일을 저장합니다.
  4. Workspace-ONE-Access-Connector-Installer-22.09.0.0.exe 파일을 두 번 클릭하여 설치 관리자를 실행합니다.
    설치 관리자는 업그레이드가 필요하다는 사실을 감지하고 업그레이드 프로세스를 안내합니다.
    ""
  5. 마법사에 따라 커넥터를 업그레이드합니다.
    • 업그레이드하는 동안 [구성 지정] 페이지가 나타나면 새 구성 파일 또는 기존 구성 파일을 선택하고 해당 암호를 지정합니다. 파일의 기본 이름은 es-config.json입니다.
    • 업그레이드하는 동안 [신뢰할 수 있는 루트 인증서 설치] 페이지가 나타나며 신뢰할 수 있는 루트 인증서를 신뢰 저장소에 업로드할 수 있습니다. 커넥터는 인증서 체인에 신뢰 저장소에 업로드된 인증서가 포함된 서버 및 클라이언트에 대한 보안 연결을 설정할 수 있습니다. 신뢰할 수 있는 루트 인증서가 필요한 시나리오는 다음과 같습니다.
      • (온 프레미스 설치만 해당) 온-프레미스 Workspace ONE Access 서비스 인스턴스에 자체 서명된 인증서가 있는 경우 루트를 업로드하고 필요한 경우 엔터프라이즈 서비스와 Workspace ONE Access 서비스 인스턴스 간에 신뢰를 설정하는 중간 인증서를 업로드해야 합니다.
      • (Kerberos 인증 서비스만 해당) 로드 밸런서 뒤에 Kerberos 인증 서비스의 여러 인스턴스를 배포하는 경우 커넥터와 로드 밸런서 사이에 신뢰를 설정하려면 커넥터 인스턴스에 로드 밸런서의 루트 CA 인증서를 설치해야 합니다.
      • (가상 애플리케이션 서비스만 해당) VMware Horizon, 단일 포드 브로커가 있는 Horizon Cloud Service on Microsoft Azure 또는 Horizon Cloud Service on IBM Cloud와 통합하기 위해 가상 애플리케이션 수집을 생성하며 Horizon Server에 자체 서명된 인증서가 있는 경우, 커넥터와 Horizon Server 간에 신뢰를 설정하려면 가상 애플리케이션 서비스가 설치된 커넥터 인스턴스에 인증서 체인을 업로드해야 합니다. Horizon Server에 공용 CA에서 서명한 인증서가 있는 경우 인증서를 커넥터 신뢰 저장소에 업로드할 필요가 없습니다. 공용 CA에서 서명한 인증서를 반드시 사용하는 것이 좋습니다.

      업그레이드하는 동안 인증서를 업로드하는 경우 업그레이드가 완료된 후 서비스를 다시 시작해야 합니다.

      인증서 업로드는 업그레이드를 위한 선택적 단계입니다. 설치 관리자를 다시 실행하여 업그레이드 후 인증서를 업로드할 수도 있습니다.

      설치 마법사 - [신뢰할 수 있는 루트 인증서] 페이지
    • 업그레이드하는 동안 설치 관리자는 OpenJDK 11을 설치합니다.
    • 업그레이드하는 동안 기존 서비스의 설정을 수정할 수 있습니다. 다른 서비스를 설치할 수도 있습니다. 예를 들어, 기존 설치에 디렉토리 동기화 서비스만 포함된 경우에는 업그레이드 중에 사용자 인증 서비스 및 Kerberos 인증 서비스를 설치할 수 있습니다.

      요구 사항, 크기 조정, 설치, 설정에 대한 자세한 내용은 "VMware Workspace ONE Access Connector 22.09 설치" 를 참조하십시오.

    • (가상 애플리케이션 서비스만 해당) 사용자 지정 설치 흐름을 사용하는 경우 업그레이드 중에 새 [Citrix 구성] 페이지가 나타납니다. 이 페이지의 옵션은 다중 사이트 집계 또는 키워드 필터링이 구성된 Citrix 환경과의 Workspace ONE Access 통합에 적용됩니다.

      Citrix 구성 옵션을 선택하지 않았습니다.

      자세한 내용은 "Workspace ONE Access의 리소스 설정" 의 Workspace ONE Access에서 Citrix 다중 사이트 집계 및 키워드 필터링 구성Workspace ONE Access Connector 설치를 참조하십시오.

      업그레이드 중에 옵션을 구성하거나 커넥터 설치 관리자를 다시 실행하여 업그레이드 후에 구성할 수 있습니다.

    • 22.09 Connector를 사용하면 하나의 서버로 제한되는 대신, 여러 개의 외부 syslog 서버를 지정하여 애플리케이션 수준 이벤트 메시지를 저장할 수 있습니다. 업그레이드 중에 마법사의 [Syslog 서버 정보 지정] 페이지에서 syslog 서버를 입력할 수 있습니다.

      다음 형식을 사용합니다.

      host:port,host:port,host:port

      여기서 host는 syslog 서버의 FQDN(정규화된 도메인 이름) 또는 IP 주소이고 port는 포트 번호입니다. 예:

      syslog1.example.com:514,syslog2.example.com:601,syslog3.example.com:163

  6. 업그레이드가 완료되면 업그레이드된 서비스가 Windows 서버에서 실행되고 있는지 확인합니다.
    서비스가 실행되고 있지 않은 경우 서비스를 시작합니다.
    커넥터 서비스에는 다음과 같은 이름이 있습니다.
    • VMware 디렉토리 동기화 서비스
    • VMware 사용자 인증 서비스
    • VMware Kerberos 인증 서비스
    • VMware 가상 애플리케이션 서비스

    서비스에는 실행 중 상태가 표시됩니다.

결과

커넥터 업그레이드가 완료되었습니다. Windows 서버에서 제어판 > 프로그램 > 프로그램 및 기능으로 이동하고 나열된 Connector 버전을 선택하여 새 버전의 Connector가 설치되어 있는지 확인할 수 있습니다.

다음에 수행할 작업

  • Workspace ONE Access 콘솔의 통합 > 커넥터 페이지에서 새로 고침 아이콘을 클릭하고 업그레이드된 서비스가 활성 상태이고 상태가 녹색인지 확인합니다.
    예:
    [연결] 페이지에 디렉토리 동기화, 사용자 인증 및 가상 애플리케이션 서비스가 있는 하나의 커넥터가 나열됩니다. 서비스가 활성 상태이고 [상태] 열에 녹색 확인란이 표시됩니다.

    상태가 빨간색이면 서비스를 다시 시작합니다.

  • 원래 설치에서 RSA SecurID(클라우드 배포) 인증 방법이 구성된 경우 커넥터 업그레이드 전에 제거하고, 사용자 인증 서비스가 설치된 모든 커넥터 인스턴스를 업그레이드한 후 인증 방법을 재구성합니다.
    1. 여러 RSA Authentication Manager 서버 인스턴스를 배포한 경우 로드 밸런서 뒤에 구성하고 로드 밸런서에 대한 Workspace ONE Access 요구 사항을 충족해야 합니다. RSA SecurID 로드 밸런서에 대한 Workspace ONE Access 요구 사항을 참조하십시오.
    2. 프록시 서버가 커넥터로 구성된 경우 RSA Authentication Manager 서버에 대해 구성된 통신 포트가 프록시 서버에서 열려 있는지 확인합니다.
    3. RSA 보안 콘솔에서, 커넥터가 FQDN(정규화된 도메인 이름)(예: connectorserver.example.com)을 통해 인증 에이전트로 추가되었는지 확인합니다. FQDN 대신 NetBIOS 이름을 사용하여 커넥터를 인증 에이전트로 이미 추가한 경우 FQDN을 사용하여 다른 항목을 추가합니다. 새 항목에 대해 IP 주소 필드를 비워 둡니다. 이전 항목을 삭제하지 마십시오.
    4. 원래 설치에 포함된 모든 디렉토리에 대한 RSA SecurID(클라우드 배포) 인증 방법 구성을 업데이트합니다.

      새 구성에 관한 내용은 Workspace ONE Access에서 RSA SecurID 인증 구성을 참조하십시오.

    5. 원래 설치에 포함된 모든 액세스 정책에 RSA SecurID(클라우드 배포) 인증 방법을 추가합니다.

      리소스 > 정책 페이지에서 액세스 정책을 편집할 수 있습니다.