Migreer uw bestaande directory's en verzamelingen van virtuele apps van Workspace ONE Access 19.03- of 19.03.0.1 Connectoren naar 21.08 Connectoren met behulp van het dashboard Migratie. Het migratieproces is een gefaseerde benadering waarmee u uw omgeving kunt testen met de nieuwe connectoren voordat u de migratie voltooit.
Het migratieproces omvat de volgende fasen:
- 21.08 Connectoren installeren
Installeer de 21.08 Connector die de directorysynchronisatie-, gebruikersverificatie-, Kerberos-verificatie- en virtuele-appservices bevat. Installeer in ieder geval de directorysynchronisatieservice. Installeer de gebruikersverificatieservice als verificatie op basis van een connector is geconfigureerd op de oude connectoren. Installeer de Kerberos-verificatieservice als de Kerberos-verificatiemethode is geconfigureerd op de oude connectoren. Installeer de virtuele-appservice als verzamelingen van virtuele apps zijn geconfigureerd op de oude connectoren.
- Directory's migreren
In deze fase migreert u al uw directorygegevens met behulp van de wizard voor directory's migreren. De meeste vereiste informatie is vooraf ingevuld in uw omgeving, maar u voert bepaalde gevoelige waarden in, zoals het directorywachtwoord voor BIND-gebruikers.
Het migreren van de directory's in deze fase wijzigt geen van uw bestaande directory-, verificatiemethode- of identiteitsproviderconfiguraties. U gebruikt nog steeds de oude connectoren. De wijzigingen gaan pas in nadat u naar de voorbeeldfase bent gegaan.
- Verzamelingen van virtuele apps migreren
In deze fase selecteert u de connectoren waarnaar u uw bestaande verzamelingen van virtuele apps wilt migreren. De nieuwe instellingen worden pas van kracht nadat u naar de voorbeeldfase bent gegaan.
- Voorbeeld
In de voorbeeldfase ziet u een voorbeeld van uw omgeving met de nieuwe 21.08 Connector. De nieuwe directorysynchronisatie-, gebruikersverificatie-, Kerberos-verificatie- en virtuele-appservices van de 21.08 Connectoren voeren directorysynchronisatie, gebruikersverificatie en synchronisatie van virtuele apps uit. Alle verificatiemethoden, met uitzondering van Kerberos, bevinden zich in de uitgaande modus.
De voorbeeldfase is bedoeld voor u om uw omgeving zorgvuldig te testen met de nieuwe services. Controleer of directorysynchronisatie, gebruikersverificatie en het starten van applicaties naar verwachting werkt.
In de voorbeeldfase kunt u geen directory's, verificatiemethoden, identiteitsproviders of verzamelingen van virtuele apps maken, bewerken of verwijderen.
Vanuit de voorbeeldfase kunt u terugkeren naar het gebruik van de oude connectoren. Wanneer u terugkeert, worden de directorygegevens die u in de vorige fase heeft gemigreerd, nog steeds behouden. Als u later wijzigingen aanbrengt in een van uw bestaande directory's, verificatiemethoden of identiteitsproviders, zorgt u ervoor dat u de directorygegevens opnieuw migreert.
- Migratie voltooien
Wanneer u tevreden bent met het testen van uw nieuwe omgeving, voltooit u de migratie. Nadat u de migratie heeft voltooid, kunt u niet opnieuw overschakelen op de oude connectoren.
Voorwaarden
- Bekijk de vereisten die worden weergegeven in Vereisten voor het migreren naar Workspace ONE Access Connector 21.08.
- Controleer of alle connectoren in uw omgeving versie 19.03.x zijn. Als u connectoren van een oudere versie heeft, moet u deze eerst upgraden naar 19.03.x om te kunnen migreren.
- Bereid een of meer Windows-servers voor op de nieuwe 21.08 Connectoren. Zie de Richtlijnen voor de grootte in Workspace ONE Access Connector 21.08 installeren.
U kunt de 21.08 Connector installeren op een nieuwe server of op de server met de oude 19.03.x Connector. Als Kerberos-verificatie echter is geconfigureerd op uw oude connector, moet u een afzonderlijke Windows-server gebruiken om de 21.08 Kerberos-verificatieservice te installeren. Installeer de nieuwe Kerberos-verificatieservice niet op de 19.03.x Connector-server. Workspace ONE Access biedt geen ondersteuning voor meerdere instanties van Kerberos op dezelfde server.
Als Kerberos-verificatie niet is geconfigureerd op uw oude connector en u de nieuwe 21.08 Connector op de oude 19.03.x Connector-server wilt installeren, raadpleegt u Migreren naar de nieuwste connector op een Windows-server waarop Workspace ONE Access 19.03.x wordt uitgevoerd voor aanvullende vereisten en richtlijnen.
- Als u een instantie van de Workspace ONE Access-service op locatie heeft, moet u deze upgraden naar 21.08 voordat u de connectoren migreert.
- Als u de gebruikersverificatieservice installeert, moet u ervoor zorgen dat uw omgeving geen 20.x-instanties van de gebruikersverificatieservice bevat. Als onderdeel van de migratie installeert u 21.08 Connectoren. Alle instanties van de gebruikersverificatieservice moeten versie 21.08 zijn. Migratie kan niet doorgaan als u gemengde versies van de gebruikersverificatieservice hebt.
- Als de RSA SecurID-verificatiemethode is geconfigureerd op de 19.03.x Connectoren:
- Controleer of u RSA Authentication Manager-appliance versie 8.2 SP1 of hoger gebruikt. Workspace ONE Access Connector 21.08 ondersteunt RSA Authentication Manager-appliance 8.2 SP1 en hoger.
- Als u meerdere instanties van de RSA Authentication Manager-server hebt geïmplementeerd, moet u deze achter een load balancer configureren om de integratie met Workspace ONE Access te laten werken. Zorg ervoor dat u voldoet aan de vereisten die worden vermeld in Workspace ONE Access-vereisten voor RSA SecurID-load balancer in de handleiding Verificatiemethoden voor gebruikers beheren in Workspace ONE Access.
- In de RSA-beveiligingsconsole moet u controleren of de connector als verificatieagent is toegevoegd met de volledig gekwalificeerde domeinnaam (FQDN), bijvoorbeeld connectorserver.example.com. Als u de connector al als verificatieagent heeft toegevoegd met de NetBIOS-naam en niet met de FQDN, voegt u nog een vermelding toe met de FQDN. Laat het veld IP-adres leeg voor de nieuwe vermelding. Verwijder de oude vermelding niet.
- Als onderdeel van het migratieproces configureert u de RSA SecurID-verificatiemethode. De informatie die is vereist om de verificatiemethode te configureren, is inclusief de hostnaam van de RSA Authentication Manager of load balancer-server, de communicatiepoort, de toegangssleutel en het SSL-certificaat van de RSA Authentication Manager of load balancer-server als de server een zelfondertekend certificaat gebruikt. Omdat u bepaalde informatie van de RSA-beveiligingsconsole verkrijgt, hebt u ook de verificatiegegevens van de beveiligingsconsole nodig.
- Als een proxyserver met de connector is geconfigureerd, moet de communicatiepoort die is geconfigureerd voor de RSA Authentication Manager-server geopend zijn op de proxyserver.
- Als u de gebruikersverificatieservice installeert op een nieuwe Windows-server, voegt u de Windows-server toe als een agent in de RSA Authentication Manager-server voordat u de migratie van de connector start.
- (Alleen installaties van Workspace ONE Access op locatie) Als er IDP's zijn gekoppeld aan meerdere directory's, wijzigt u de configuratie zodat elke IDP slechts aan één directory wordt gekoppeld.
- Zorg ervoor dat het directorysynchronisatieproces niet wordt uitgevoerd voor een van de directory's voordat u het migratieproces start.
- Als u de functie People Search heeft ingeschakeld, zorgt u ervoor dat het fotosynchronisatieproces niet wordt uitgevoerd voor een van de directory's voordat u het migratieproces start.
- Als u een 19.03.x Connector migreert waaraan geen directory is gekoppeld, moet u er rekening mee houden dat wanneer u de optie Workspace ONE Access Connector 21.08 in stap 5 selecteert, de migratie als voltooid wordt beschouwd en de 19.03.x Connector uit de service wordt verwijderd. Als u later van plan bent om oude connectoren te gebruiken en de selectie van uw connector te wijzigen met de knop Selectie van connector opnieuw instellen, wordt de 19.03.x Connector niet weergegeven. U moet de 19.03.x Connector opnieuw installeren om deze opnieuw te activeren bij de service.
Procedure
- Klik op de tab Identiteits- en toegangsbeheer.
De migratiepagina wordt geopend.
Opmerking: Als u eerder de optie voor het gebruik van oude connectoren had geselecteerd, wordt de migratiepagina niet weergegeven. U moet uw selectie voor de connector wijzigen. Ga naar de pagina
(of
Connectoren), klik op de knop
Selectie van connector opnieuw instellen en selecteer
Workspace ONE Access Connector 21.08.
- Controleer de vereisten en klik vervolgens op Aan de slag.
Het dashboard Migratie wordt weergegeven. Op de pagina worden de verschillende stappen weergegeven die u moet uitvoeren om de migratie te voltooien.
- Klik in het dashboard Migratie op de koppeling Aan de slag in de sectie 21.08 Connector(en) installeren.
- Klik op de pagina Connectoren op Nieuw.
- Controleer de informatie in het venster De connector selecteren en selecteer de optie Workspace ONE Access Connector 21.08.
Voorzichtig:
Workspace ONE Access Connector 21.08 biedt geen ondersteuning voor integratie met Horizon Cloud Service on IBM Cloud, Horizon Cloud Service on Microsoft Azure met Single-Pod Broker of ThinApp. Als u deze typen virtuele apps wilt integreren, selecteert u
Oude connectoren om het migratieproces af te sluiten. Alleen oude connectoren ondersteunen deze typen virtuele apps.
- Volg de wizard Nieuwe connector toevoegen om het installatieprogramma voor de connector en het vereiste configuratiebestand te downloaden en installeer vervolgens de nieuwe connector.
Wanneer u de connector installeert, zorgt u ervoor dat u de directorysynchronisatieservice installeert. Installeer de gebruikersverificatieservice als verificatie op basis van een connector is geconfigureerd op de oude connectoren. De Kerberos-verificatieservice is alleen vereist als de Kerberos-verificatiemethode is geconfigureerd op een van uw oude connectoren. Installeer de virtuele-appservice als verzamelingen van virtuele apps zijn geconfigureerd op de oude connectoren of als u van plan bent om deze op de nieuwe connector te configureren.
Voorzichtig: Op het einde van het installatieproces wordt u mogelijk gevraagd het systeem opnieuw te starten. Start het systeem niet opnieuw als u de 21.08 Connector op een 19.03.x Connector-server installeert. Start het systeem pas opnieuw nadat het volledige migratieproces van de connector is voltooid.
Voorzichtig: Als u de gebruikersverificatieservice installeert, zorgt u ervoor dat alle instanties van de gebruikersverificatieservice in uw omgeving versie 21.08 zijn en dat er geen 20.
x-instanties van de gebruikersverificatieservice bevat. U kunt niet doorgaan met migratie als u gemengde versies van de gebruikersverificatieservice hebt.
- Wanneer de installatie van de connector is voltooid, keert u terug naar het dashboard Migratie in de Workspace ONE Access-serviceconsole.
- In het onderdeelMigreren naar nieuwe connectoren, migreert u alle directory's een voor een.
De sectie Directory's migreren toont alle Active Directory- en LDAP-directory's in uw tenant. U moet alle vermelde directory's migreren voordat u de migratie kunt voltooien.
Opmerking: Door de directory's in deze stap te migreren, worden de bestaande configuraties van de directory, verificatiemethode of identiteitsprovider niet gewijzigd en wijzigingen worden pas van kracht nadat u de wijzigingen heeft bekeken in de volgende stap.
- Klik op de knop Migreren naast de directory.
De wizard voor Directory migreren wordt weergegeven. De wizard is aangepast aan de directory die u migreert. Extra pagina's worden weergegeven voor de verificatiemethoden die zijn geconfigureerd voor de directory.
- Voer op de pagina Directory het BIND-gebruikerswachtwoord in voor de Directory.
De lijst
Directorysynchronisatiehost(s) bevat de hosts van de nieuwe 21.08 Connector waarop de directorysynchronisatieservice is geïnstalleerd. Selecteer een of meerdere hosts die u wilt gebruiken om de Directory te synchroniseren.
- (Wordt alleen weergegeven als de Kerberos-verificatiemethode is geconfigureerd) Geef op de pagina Kerberos de vereiste informatie op voor het migreren van de Kerberos-verificatiemethode.
- Bronconnector: de bronconnector is voorgeselecteerd. U kunt een andere connector selecteren als de voorgeselecteerde connector niet beschikbaar is.
- Kerberos-verificatiehost(s): in de lijst worden de hosts van de nieuwe 21.08 Connector weergegeven waarop de Kerberos-verificatieservice is geïnstalleerd. Selecteer een of meer hosts die u wilt gebruiken voor Kerberos-verificatie.

- Geef op de pagina Wachtwoord de vereiste informatie op om de verificatiemethode voor wachtwoorden te migreren.
- Bronconnector: de bronconnector is voorgeselecteerd. U kunt een andere connector selecteren als de voorgeselecteerde connector niet beschikbaar is.
- BIND-wachtwoord: voer het BIND-gebruikerswachtwoord in voor de Directory.
- Host(s) voor gebruikersverificatie: in de lijst worden de hosts van de nieuwe 21.08 Connector weergegeven waarop de gebruikersverificatieservice is geïnstalleerd. Selecteer een of meer hosts die u wilt gebruiken voor wachtwoordverificatie.

- (Wordt alleen weergegeven als RADIUS-verificatiemethode is geconfigureerd) Geef op de pagina RADIUS de vereiste informatie op voor het migreren van de RADIUS-verificatiemethode.
- Bronconnector: de bronconnector is voorgeselecteerd. U kunt een andere connector selecteren als de voorgeselecteerde connector niet beschikbaar is.
- Gedeeld geheim: het gedeelde geheim voor de Radius-server.
- Host(s) voor gebruikersverificatie: in de lijst worden de hosts van de nieuwe 21.08 Connector weergegeven waarop de gebruikersverificatieservice is geïnstalleerd. Selecteer een of meer hosts die u wilt gebruiken voor RADIUS-verificatie.

- (Wordt alleen weergegeven als de RSA SecurID-verificatiemethode is geconfigureerd) Geef op de pagina SecurId de informatie op die vereist is om de RSA SecurID-verificatiemethode te migreren.
- Bronconnector: de bronconnector is voorgeselecteerd. U kunt een andere connector selecteren als de voorgeselecteerde connector niet beschikbaar is.
- Aantal toegestane verificatiepogingen: Voer het maximale aantal toegestane mislukte aanmeldpogingen in bij gebruik van het RSA SecurID-token. De standaardwaarde is vijf pogingen.
Opmerking: Als u meerdere directory's migreert die gebruikmaken van RSA SecurID-verificatie, configureert u
Aantal toegestane verificatiepogingen met dezelfde waarde voor elke RSA SecurID-configuratie. Als de waarde niet identiek is, mislukt de SecurID-verificatie.
- Hostnaam van SecurID-server: voer de hostnaam van de RSA Authentication Manager-server in, bijvoorbeeld myserver.example.com. Als u meerdere instanties van de RSA Authentication Manager-server achter een load balancer heeft geconfigureerd, voert u in plaats daarvan de hostnaam van de load balancer in. Bijvoorbeeld lb.example.com.
- SecurID-servercommunicatiepoort: voer de communicatiepoort van de RSA Authentication Manager-instantie in. De standaardpoort is 5555. Als u het nummer van de communicatiepoort wilt ophalen, meldt u zich aan bij de RSA-beveiligingsconsole, gaat u naar de pagina en kopieert u de Communicatiepoort.
- SecurID-servertoegangssleutel: voer de toegangssleutel in vanuit de RSA Authentication Manager-instantie. Om de toegangssleutel op te halen, navigeert u in de RSA-beveiligingsconsole naar de pagina en kopieert u de Toegangssleutel die wordt vermeld onder Agentreferenties.
- CA/SSL-certificaat voor SecurID-server: als de RSA Authentication Manager-server of de load balancer-server over een zelfondertekend certificaat beschikt, kopieert en plakt u het certificaat in het tekstvak. Als de server een ondertekend certificaat van een publieke certificaatautoriteit heeft, is het uploaden van een certificaat niet vereist.
- Time-out in seconden voor verificatiemethode: voer het aantal seconden in waarvoor de verificatiepoging beschikbaar moet zijn. Er treedt daarna een time-out op voor de verificatiepoging. De standaardwaarde is 180 seconden.
- Host(s) voor gebruikersverificatie: in de lijst worden de hosts van de nieuwe 21.08 Connector weergegeven waarop de gebruikersverificatieservice is geïnstalleerd. Selecteer een of meer hosts die u wilt gebruiken voor RSA SecurID-verificatie.
- (Wordt alleen weergegeven als Kerberos-verificatie is geconfigureerd) Voer op de pagina identiteitsprovider de FQDN van de load balancer in van de connector die u wilt gebruiken voor de nieuwe identiteitsprovider die tijdens de migratie wordt gemaakt voor Kerberos-verificatie.
De huidige FQDN van de load balancer wordt ter referentie weer gegeven. Dit is de huidige waarde van de
IdP-hostnaam op de pagina van de identiteitsprovider van de directory.
Als u slechts één 21.08 Connector heeft en geen load balancer, voert u de FQDN van de connector in.
- Controleer uw selecties op de pagina Samenvatting en klik vervolgens op Opslaan.
De gegevens van de directorymigratie worden opgeslagen. U kunt de instellingen bekijken door te klikken op de knop
Overzicht naast de directory in het dashboard Directorymigratie.
Als u wijzigingen wilt aanbrengen in de informatie die u heeft ingevoerd, klikt u op
Opnieuw beginnen op de overzichtspagina. Hierdoor worden de migratiegegevens die u heeft ingevoerd voor de directory verwijderd en kunt u de directory opnieuw migreren.
- Migreer de rest van de directory's.
- Selecteer in de sectie Verzamelingen van virtuele apps migreren de connectoren waarnaar u uw verzamelingen van virtuele apps wilt migreren.
- Klik op Migreren.
- Selecteer in het venster Verzamelingen van virtuele apps migreren de 21.08 Connector die u wilt gebruiken voor elke verzameling van virtuele apps. Alle connectoren waarop de virtuele-appservice is geïnstalleerd, worden in het vervolgkeuzemenu weergegeven. Selecteer een connector waarvan de virtuele-appservice de status Actief heeft. De status wordt naast de naam van de connector weergegeven. U kunt meerdere connectoren toevoegen voor hoge beschikbaarheid. Als u meerdere connectoren toevoegt, rangschikt u deze in terugvalvolgorde.
Opmerking: U moet alle verzamelingen van virtuele apps tegelijk migreren. U kunt geen specifieke verzamelingen selecteren om te migreren.
- Klik op Opslaan.
Bijvoorbeeld:
Verzamelingen van virtuele apps worden gemigreerd wanneer u naar de voorbeeldfase gaat.
Opmerking: U kunt meer connectoren toevoegen nadat u de migratie hebt voltooid. U kunt ook de connectoren wijzigen die u voor verzamelingen van virtuele apps hebt geselecteerd.
- Klik in de sectie Volledige migratie op Start voorbeeld om het migratieproces te starten.
In de voorbeeldfase worden de nieuwe 21.08 Connectoren gebruikt. Directorysynchronisatie wordt uitgevoerd door de nieuwe directorysynchronisatieservice, gebruikersverificatie wordt uitgevoerd door de nieuwe gebruikersverificatieservice, Kerberos-verificatie wordt uitgevoerd door de nieuwe Kerberos-verificatieservice en de synchronisatie van virtuele apps wordt uitgevoerd door de nieuwe virtuele-appservice. In de voorbeeldfase kunt u geen directory's, verificatiemethoden, identiteitsproviders of verzamelingen van virtuele apps wijzigen of nieuwe maken. U kunt de geconverteerde identiteitsproviders op het tabblad
Identiteitsproviders weergeven en de geconverteerde verificatiementhoden op de tabbladen
Verificatiemethoden voor connector. Alle verificatiemethoden, met uitzondering van Kerberos, bevinden zich in de uitgaande modus.
Opmerking: In de virtual appliance van
Workspace ONE Access 21.08 op locatie heeft het tabblad
Verificatiemethoden voor connector de naam
Bedrijfsverificatiemethoden.
Opmerking: Als de functie People Search is ingeschakeld in uw implementatie van de
Workspace ONE Access-service, moet u de directory's handmatig synchroniseren zonder de beveiligingsinstellingen. Selecteer in de
Workspace ONE Access-console de directory op de pagina Identiteits- en toegangsbeheer > Directory's en klik op
Synchroniseren > Synchroniseren zonder beveiligingen.
Belangrijk: Test uw omgeving grondig in de voorbeeldfase en controleer of deze werkt zoals verwacht. Controleer of directorysynchronisatie, synchronisatie van virtuele apps, gebruikersaanmelding en het starten van applicaties naar verwachting werkt.
- Als u vaststelt dat uw omgeving niet goed werkt of als u wijzigingen wilt aanbrengen in uw directory's, verificatiemethoden, identiteitsproviders of verzamelingen van virtuele apps, annuleert u de voorbeeldfase en keert u terug naar het gebruik van de oude connectoren.
Ga naar de pagina Identiteits- en toegangsbeheer > Beheren > Directory's, klik op
Doorgaan met migreren en klik in het dashboard Directorymigratie op
Afbreken in het gedeelte
Migratie migreren.
Als u later wijzigingen aanbrengt in uw directory's, verificatiemethoden of identiteitsproviders, zorgt u ervoor dat u de directory's opnieuw migreert in het onderdeel
Migreren naar nieuwe connectoren.
- Nadat u heeft gecontroleerd of uw omgeving naar verwachting in de voorbeeldfase werkt en u klaar bent om de migratie te voltooien, gaat u terug naar het dashboard Directorymigratie door naar de pagina Identiteits- en toegangsbeheer > Beheren > Directory's te gaan en te klikken op Doorgaan met migreren.
Voorzichtig: Nadat u de migratie heeft voltooid, kunt u niet meer teruggaan naar de oude connectoren.
Klik op Voltooien om de migratie te voltooien.
resultaten
Al uw directory's en verzamelingen van virtuele apps worden gemigreerd naar de nieuwe 21.08 Connectoren. De nieuwe directorysynchronisatie-, gebruikersverificatie-, Kerberos-verificatie- en virtuele-appservices voeren nu directorysynchronisatie, gebruikersverificatie en synchronisatie van virtuele apps uit.
Nieuwe identiteitsproviders worden voor elke directory gemaakt en worden weergegeven in het tabblad Identiteitsproviders met de naam Gemigreerde IDP voor directory. De nieuwe identiteitsproviders zijn van het type Ingebouwd. Voor Kerberos-verificatie wordt een afzonderlijke identiteitsprovider van het type Workspace_IDP gemaakt.
Alle verificatiemethoden, met uitzondering van Kerberos, worden geconverteerd naar uitgaande methoden en worden hernoemd met het achtervoegsel (Cloudimplementatie). De naam van de verificatiemethode Wachtwoord wordt bijvoorbeeld hernoemd naar Wachtwoord (cloudimplementatie). U kunt de nieuwe verificatiemethoden weergeven en beheren via het tabblad Verificatiemethoden voor connector.
Opmerking: In de virtual appliance van
Workspace ONE Access 21.08 op locatie heeft het tabblad de naam
Bedrijfsverificatiemethoden.
Volgende stappen
Wanneer de migratie is voltooid, kunt u de oude 19.03.x Connector verwijderen van de servers waarop deze is geïnstalleerd.
Nadat de migratie is voltooid, heeft u de Integration Broker voor Citrix-integraties niet langer nodig. De vereiste functionaliteit is nu onderdeel van de virtuele-appservice.
Zorg er voor Horizon-integraties voor dat de Horizon Connection Servers geldige certificaten hebben die door een vertrouwde certificaatautoriteit (CA) zijn ondertekend. Als de Horizon Connection Servers zelfondertekende certificaten hebben, moet u de certificaatketen uploaden naar de instanties van Workspace ONE Access Connector waarop de service Virtuele app is geïnstalleerd om vertrouwen tussen de connectoren en de Horizon Connection Servers tot stand te brengen. Dit is een nieuwe vereiste in Workspace ONE Access Connector 21.08. U uploadt de certificaten met het installatieprogramma van de connector. Zie VMware Workspace ONE Access Connector installeren voor informatie. Zorg ervoor dat u de connectorservices herstart nadat u de certificaten heeft geüpload.