Na de upgrade naar VMware Identity Manager 3.2.0.1 moet u mogelijk bepaalde instellingen configureren.

Customer Experience Improvement Program

Dit product neemt deel aan het Customer Experience Improvement Program (CEIP) van VMware. Gedetailleerde informatie over de gegevens die worden verzameld via het CEIP en de doelen waarvoor deze gegevens worden gebruikt door VMware, vindt u in het Trust & Assurance Center op https://www.vmware.com/nl/solutions/trustvmware/ceip.html.

Nadat u hebt geüpgraded naar VMware Identity Manager 3.2.0.1 en bent aangemeld bij de beheerconsole, wordt de optie Deelnemen aan het VMware Customer Experience Program in de banner weergegeven. Als u niet wilt deelnemen aan het CEIP van VMware, schakelt u het selectievakje uit en klikt u op OK.



Optie voor CEIP in banner


De banner wordt weergegeven totdat u op OK klikt of de banner sluit. U kunt op elk gewenst moment deelnemen aan het CEIP of het programma ook weer verlaten via de pagina Appliance-instellingen > Telemetrie.

Elasticsearch-migratie

Opmerking:

Deze informatie is van toepassing als u eerdere versies wilt upgraden naar versie 3.2.x. Deze informatie is niet van toepassing als u 3.2 wilt upgraden naar 3.2.0.1.

Elasticsearch, een zoek- en analyse-engine, is geïntegreerd in VMware Identity Manager en wordt gebruikt voor audits, rapporten en zoekopdrachten. VMware Identity Manager 3.2.x bevat Elasticsearch 2.3.5, terwijl vorige versies Elasticsearch 1.75 bevatten. Tijdens de upgrade naar VMware Identity Manager 3.2.x worden Elasticsearch-records gemigreerd.

Nadat de upgrade van VMware Identity Manager is voltooid, wordt er een achtergrondtaak gestart om bestaande controle- en zoekrecords, die worden verwerkt door Elasticsearch, te migreren naar de nieuwe indeling. Het begin van dit proces kan tot een uur na voltooiing van de upgrade worden uitgesteld. Eenmaal gestart wordt het proces doorgaans snel voltooid, maar het kan soms 1 tot 2 uur duren, afhankelijk van het aantal records.

U kunt het bestand analyse-service.log in de directory /opt/vmware/horizon/workspace/logs weergeven voor berichten die zijn gerelateerd aan de voortgang van de migratie.

  • Wanneer de migratie wordt gestart, wordt het bericht The latest Audit schema version is 4. (de nieuwste versie van het controleschema is 4) geregistreerd.

  • Wanneer gegevens voor elke dag worden gemigreerd, worden berichten geregistreerd die beginnen met Re-indexing documents from (Documenten opnieuw indexeren vanaf).

  • Wanneer de migratie is voltooid, wordt het bericht Audit schema check completed (Controle van auditschema voltooid) (de nieuwste versie van het controleschema is 4) geregistreerd.

Tot de migratie is voltooid, zijn geen of alleen sommige van de oude records beschikbaar. Het dashboard en auditrapport tonen geen oudere records en de functies Zoeken en Automatisch aanvullen werken niet. Er worden echter nieuwe auditrecords gegenereerd en verwerkt, onafhankelijk van de migratie. Dus worden nieuwe aanmeldingen, enz. weergegeven in het dashboard en auditrapport. Als nieuwe auditrecords niet in het auditrapport worden weergegeven, controleert u de status van het Elasticsearch-cluster.

De status van het Elasticsearch-cluster controleren:

  1. Meld u met ssh aan bij een van de knooppunten en voer de volgende opdracht uit:

    curl http://localhost:9200/_cluster/health?pretty

    Als het veld "status" "yellow" of "green" is, controleert u het logboek analytics-service op fouten. Als het veld "status" "red" is, moet u het hoofdknooppunt opnieuw starten.

  2. Het hoofdknooppunt opnieuw starten:

    1. Bepaal het hoofdknooppunt door de volgende opdracht uit te voeren:

      curl http://localhost:9200/_cluster/state/master_node,nodes?pretty

    2. Zoek naar de waarde in het veld "master_node" en zoek vervolgens naar de overeenkomende waarde in de lijst met knooppunten om het IP-adres te bepalen. Bijvoorbeeld: in de voorbeelduitvoer is het hoofdknooppunt "Gq-ITVBKRJKz1816XqrRKw" met het IP-adres "1.1.1.2": 

      {
   "cluster_name" : "horizon",
   "master_node" : "Gq-ITVBKRJKz1816XqrRKw",
   "nodes" : {
      "mzWHVMZuTXyFsO61NLpHnA" : {
         "name" : “Node1”,
         "transport_address" : “1.1.1.1:9300",
         "attributes" : { }
   },
   "Gq-ITVBKRJKz1816XqrRKw" : {
         "name" : “Node2”,
         "transport_address" : “1.1.1.2:9300",
         "attributes" : { }
   },
   "pkREX2D9R1a-lqf69PQMKQ" : {
         "name" : “Node3”,
         "transport_address" : “1.1.1.3:9300",
         "attributes" : { }
   }
}

    3. Meld u met ssh aan bij het hoofdknooppunt en start Elasticsearch opnieuw:

      service elasticsearch restart

    4. Controleer de status van het cluster opnieuw nadat Elasticsearch opnieuw is gestart:

      curl http://localhost:9200/_cluster/health?pretty

      Mogelijk wordt met de opdracht aanvankelijk de status "yellow" weergegeven. Voer de opdracht opnieuw uit totdat de status “green” wordt weergegeven.

Elasticsearch-toewijzingsconflicten

Elasticsearch 2.3.5 in VMware Identity Manager 3.2.x wordt niet gestart wanneer er toewijzingsconflicten in indexen zijn. Als u indexen met toewijzingsconflicten niet hebt verwijderd vóór de upgrade, met behulp van de procedure in Controleren op Elasticsearch-toewijzingsconflicten, wordt Elasticsearch niet gestart.

Het logboekbestand van Elasticsearch, /opt/vmware/elasticsearch/logs/horizon.log, bevat een bericht voor de betreffende indexen, zoals het volgende: 

[2018-04-24 13:13:41,722][ERROR][bootstrap                ] Guice Exception: java.lang.IllegalStateException: unable to upgrade the mappings for the index [v3_2018-03-16], reason: [Mapper for [tenantId] conflicts with existing mapping in other types:

Verwijder de indexen handmatig van alle VMware Identity Manager-knooppunten om dit probleem op te lossen.

  1. Zorg ervoor dat Elasticsearch op alle knooppunten is gestopt:

    service elasticsearch stop

  2. Verwijder de indexbestanden op alle knooppunten van de schijf:

    rm -rf /db/elasticsearch/horizon/nodes/0/indices/<INDEX_NAME>

  3. Start Elasticsearch opnieuw op alle knooppunten:

    service elasticsearch start

Zoekfunctie werkt niet na de upgrade

Als auditrapporten en dashboards na de upgrade werken, maar de zoekfunctie niet werkt, is de zoekindex mogelijk niet juist.

Tijdens de upgrade worden alle gebruikers, groepen en applicaties opnieuw geïndexeerd in de nieuwe zoekindex. Als er andere problemen met Elasticsearch waren, zoals het probleem met toewijzingsconflicten, is de herindexering mogelijk niet juist uitgevoerd.

U kunt het probleem oplossen door handmatig een herindexering af te dwingen met de optie voor het vermijden van downtime en gebruik te maken van de HZN-cookiewaarde, of met de optie voor downtime door de waarde direct in de database te wijzigen.

Handmatig een herindexering afdwingen met de optie voor het vermijden van downtime:

  1. Meld u bij de VMware Identity Manager-service aan als beheerdergebruiker. Dit is de standaardbeheerder die in het systeemdomein is gemaakt toen u VMware Identity Manager voor het eerst hebt geïnstalleerd.

  2. Haal de waarde van de HZN-cookie op uit de cookiecache van uw browser.

    Bijvoorbeeld in Firefox:

    1. Ga naar Opties > Privacy & Beveiliging.

    2. Klik op de koppeling Afzonderlijke cookies verwijderen onder Geschiedenis.

    3. Zoek in het dialoogvenster Cookies naar HZN.

    4. Selecteer de HZN-cookie in de zoekresultaten en kopieer vervolgens de waarde van het veld Inhoud.

  3. Meld u met SSH aan bij een van de VMware Identity Manager-knooppunten en maak de volgende REST-aanroep, waarbij u <cookie_value> vervangt door de HZN-cookiewaarde die u hebt opgehaald in de browser. 

    /usr/local/horizon/bin/curl -k -XPUT -H "Authorization:HZN <cookie_value>" -H "Content-Type: application/vnd.vmware.horizon.manager.systemconfigparameter+json" https://localhost/SAAS/jersey/manager/api/system/config/SearchCalculatorMode -d '{ "name": "SearchCalculatorMode", "values": { "values": ["REINDEX"] } }'

Handmatig een herindexering afdwingen met de optie voor downtime:

  1. Stop de VMware Identity Manager-service op alle knooppunten:

    service horizon-workspace stop

  2. Voer de volgende opdracht uit op elk van de knooppunten:

    hznAdminTool reindexSearchData

  3. Start de VMware Identity Manager-service op alle knooppunten opnieuw:

    service horizon-workspace start

U kunt controleren of de herindexering is gestart door in het bestand /opt/vmware/horizon/workspace/logs/horizon.log te zoeken naar een bericht zoals het volgende: 

com.vmware.horizon.search.SearchCalculatorLogic - Keep existing index. Search calculator mode is: REINDEX

De herindexering wordt in een paar minuten voltooid.

Log4j-configuratiebestanden

Als log4j-configuratiebestanden in een VMware Identity Manager-instantie zijn bewerkt, worden nieuwe versies van de bestanden niet automatisch geïnstalleerd tijdens de upgrade. Na de upgrade werken de logboeken die worden beheerd door deze bestanden, echter niet.

Dit probleem oplossen:

  1. Meld u aan op de virtual appliance.

  2. Zoek naar log4j-bestanden met het achtervoegsel .rpmnew.

    find / -name "**log4j.properties.rpmnew"

  3. Kopieer, voor elk gevonden bestand, het nieuwe bestand naar het bijbehorende oude log4j-bestand zonder het achtervoegsel .rpmnew.

Instelling voor cacheservice in appliances van secundair datacenter

Als u een secundair datacenter instelt, worden VMware Identity Manager-instanties in het secundaire datacenter geconfigureerd voor alleen-lezen toegang met de vermelding "read.only.service = true" in het bestand /usr/local/horizon/conf/runtime-config.properties. Nadat u een dergelijke appliance hebt geüpgraded, kan de service niet starten.

Dit probleem oplossen:

  1. Meld u aan op de virtual appliance.

  2. Voeg de volgende regel toe aan het bestand /usr/local/horizon/conf/runtime-config.properties:

    cache.service.type = ehcache

  3. Start de service opnieuw op.

    service horizon-workspace restart

Toegangscontrole op basis van rollen

Toegangscontrole op basis van rollen is geïntroduceerd in VMware Identity Manager 3.2. Zie de Versie-informatie voor VMware Identity Manager 3.2 voor bekende problemen.

Citrix-integratie

Voor Citrix-integratie in VMware Identity Manager 3.2 moeten alle externe connectoren versie 2018.1.1.0 (de connectorversie in versie 3.2) of hoger hebben.

U moet ook upgraden naar Integration Broker 3.2 of hoger.

Wijzigingen in eerdere releases

Wijzigingen in versie 3.1

  • Vanaf versie 3.1 is een nieuwe functie geïntroduceerd die verandert hoe gebruikersgroepen worden gesynchroniseerd. Na de upgrade naar VMware Identity Manager 3.1 of hoger moet u er voor alle gebruikersgroepen die al zijn toegevoegd vóór de upgrade, voor zorgen dat rechten zijn toegewezen. Nieuwe gebruikersgroepen die zijn toegevoegd na de upgrade, worden niet gesynchroniseerd naar de VMware Identity Manager-service tot aan de groep rechten voor een bron zijn verleend, de groep is toegevoegd aan een toegangsbeleidsregel, of, vanaf versie 3.2, de groep handmatig is gesynchroniseerd via de pagina Groep > Gebruikers van de groep.

    Als uw rechten zijn ingesteld op ALLE GEBRUIKERS, worden gebruikers die zijn gemaakt na de upgrade, niet opgenomen als de gebruikers nog niet zijn gesynchroniseerd. Voeg rechten voor de nieuwe groep toe.

    Zie Hoe groepssynchronisatie werkt na de upgrade naar VMware Identity Manager 3.1 voor meer informatie.

  • Als u gepubliceerde Citrix-bronnen met VMware Identity Manager 3.1 integreert, upgradet u naar Integration Broker 3.1. Voor VMware Identity Manager 3.1 en VMware Identity Manager Connector 2017.12.1.0 (de connectorversie in versie 3.1) is Integration Broker 3.1 vereist.

Wijzigingen in versie 3.0

  • Als u gepubliceerde Citrix-bronnen integreert met VMware Identity Manager, upgradet u naar Integration Broker 3.0. VMware Identity Manager 3.0 en VMware Identity Manager Connector 2017.8.1.0 (de connectorversie in 3.0) zijn niet compatibel met oudere versies van de Integration Broker.

    Tabel 1. Ondersteunde versies

    Versie van VMware Identity Manager of Connector

    Ondersteunde versie van Integration Broker

    VMware Identity Manager 3.0

    3.0

    VMware Identity Manager Connector 2017.8.1.0 (connectorversie uitgebracht met VMware Identity Manager 3.0)

    3.0

    VMware Identity Manager 2.9.1 of lager

    2.9.1 of lager

    VMware Identity Manager Connector 2.9.1 of lager

    2.9.1 of lager

  • Als u Horizon-desktops en -applicaties in VMware Identity Manager integreert en u een VMware Identity Manager-cluster hebt geïmplementeerd, moet u Horizon-integratie opnieuw configureren.

    • In de primaire connector, waar u Horizon-bronnen hebt opgeslagen en gesynchroniseerd, voegt u ze opnieuw toe en klikt u op Opslaan en synchroniseren.

    • In de andere connectoren, waar u Horizon-bronnenconfiguratie hebt opgeslagen, verwijdert u alle Horizon-pods, voegt u ze opnieuw toe en klikt u op Opslaan.

Wijzigingen in versies vóór 3.0

  • Wijzigingen in bulksynchronisatie in VMware Identity Manager 2.9.1 en hoger

    In eerdere versies werd bulksynchronisatie met 4 threads per CPU verwerkt via een globale configuratieparameter in de database met de naam bulkSyncThreadLimitPerCPU=4.

    Vanaf versie 2.9.1 wordt het aantal threads voor de verwerking van bulksynchronisatie niet gebaseerd op de CPU. Het is een absolute waarde, die standaard hetzelfde is als het aantal CPU's op een knooppunt.

    Als u een groot aantal gebruikers en groepen synchroniseert en vaststelt dat synchronisatie trager is na de upgrade, kunt u het aantal threads opgeven door de globale configuratieparameter met de naam bulkSyncSharedThreadCount in te stellen.

    Stel de threadwaarde in de database in met de volgende REST API en start vervolgens de knooppunten opnieuw om de wijzigingen toe te passen.

    HTTP-aanvraag: 

    Operation: PUT
URI: bulkSyncSharedThreadCount

    HTTP-headers: 

    Content-Type: application/vnd.vmware.horizon.manager.systemconfigparameter+json
Accept: application/vnd.vmware.horizon.manager.systemconfigparameter+json
Authorization: HZN <operator token>

    Aanvraagtekst (met 8 threads als voorbeeld): 

    {
    "name": "bulkSyncSharedThreadCount",
    "values": {
        "values": [
            "8"
        ]
    }
}

  • Schakel de gebruikersinterface van de nieuwe portal in.

    1. Klik in de beheerconsole op de pijl op het tabblad Catalogus en selecteer Instellingen.

    2. Selecteer Nieuwe gebruikersinterface voor eindgebruikersportal in het linkerdeelvenster en klik op Nieuwe gebruikersinterface van portal inschakelen.

  • Als u een VMware Identity Manager-cluster voor failover met twee knooppunten hebt ingesteld, is het raadzaam om deze bij te werken naar drie knooppunten. De reden hiervoor is de beperking van Elasticsearch, een zoek- en analyse-engine ingebouwd in de VMware Identity Manager-appliance. U kunt twee knooppunten blijven gebruiken, maar houd dan wel rekening met een paar beperkingen wat betreft Elasticsearch. Zie "Fouten en redundantie configureren" in VMware Identity Manager installeren en configureren voor meer informatie.

  • Transport Layer Security-protocol (TLS) 1.0 is standaard uitgeschakeld in VMware Identity Manager. TLS 1.1 en 1.2 worden ondersteund.

    Wanneer TLS 1.0 is uitgeschakeld, kunnen zich problemen met externe producten voordoen. Het is raadzaam om configuraties van uw andere producten bij te werken voor gebruik met TLS 1.1. of 1.2. Als deze producten afhankelijk zijn van TLS 1.0, kunt u TLS 1.0 inschakelen in VMware Identity Manager door de instructies in het Knowledge Base-artikel 2144805 te volgen.