Om de Windows-gebaseerde Workspace ONE Access Connector 20.10.x of 20.01.x te upgraden naar versie 21.08, downloadt u het nieuwe installatieprogramma van My VMware naar uw connectorserver en voert u het installatieprogramma uit. U hoeft de installatie van de oude versie van de connector niet ongedaan te maken.

Tijdens de upgrade worden de bestaande directorysynchronisatie-, gebruikersverificatie- en Kerberos-verificatieservices onderbroken. De services worden automatisch opnieuw gestart nadat de upgrade is voltooid.

Belangrijke overwegingen

  • Als u van plan bent de virtual-appservice te installeren, moet u een nieuw configuratiebestand es-config.json downloaden en gebruiken van de Workspace ONE Access-console om de verbinding tussen de Workspace ONE Access-service en de connector tot stand te brengen. Als u de virtuele-appservice niet installeert, hebt u geen nieuw configuratiebestand nodig. De geüpgradede connector kan hetzelfde configuratiebestand gebruiken dat wordt gebruikt door de bestaande connector.
    Opmerking: Als het wachtwoord van uw bestaande configuratiebestand es-config.json het teken & of % bevat, genereert u een nieuw configuratiebestand met een wachtwoord dat deze tekens niet bevat. De tekens & en % worden niet ondersteund.
  • De configuratie van de verificatiemethode RSA SecurID (cloudimplementatie) is gewijzigd in de 21.08-release. Als u de verificatiemethode RSA SecurID (cloudimplementatie) hebt geconfigureerd, moet u deze uit de toegangsbeleidsregels verwijderen voordat u alle gebruikersverificatieservice-instanties upgradet en deze na de upgrade opnieuw configureren. Omdat dit resulteert in downtime van op RSA SecurID-gebaseerde aanmelding, moet u de timing van uw upgrade dienovereenkomstig plannen.

    De stappen op hoog niveau voor het uitvoeren van de upgrade zijn:

    1. Controleer of u RSA Authentication Manager-appliance 8.2 SP1 of hoger gebruikt. Dit zijn de versies die worden ondersteund door Workspace ONE Access Connector 21.08.
    2. Voordat u de connector upgradet, verwijdert u de verificatiemethode RSA SecurID (cloudimplementatie) uit de toegangsbeleidsregels waarin deze wordt gebruikt.
    3. Upgrade alle connectoren waarop de gebruikersverificatieservice is geïnstalleerd naar versie 21.08.
    4. Als een proxyserver met de connectoren is geconfigureerd, controleert u of de communicatiepoort die is geconfigureerd voor de RSA Authentication Manager-server is geopend op de proxyserver.
    5. Als u meerdere RSA Authentication Manager-serverinstanties hebt geïmplementeerd, moet u deze achter een load balancer configureren en voldoen aan de Workspace ONE Access-vereisten voor de load balancer.
    6. In de RSA-beveiligingsconsole moet u controleren of de connector als verificatieagent is toegevoegd met de volledig gekwalificeerde domeinnaam (FQDN), bijvoorbeeld connectorserver.example.com.
    7. Werk de configuratie van de verificatiemethode RSA SecurID (cloudimplementatie) bij.
    8. Voeg de verificatiemethode RSA SecurID (cloudimplementatie) toe aan het toegangsbeleid.
  • Zorg ervoor dat u alle connectorinstanties waarop de gebruikersverificatieservice is geïnstalleerd upgradet naar 21.08. Workspace ONE Access biedt geen ondersteuning voor het combineren van versies 21.08 en 20.x van de service Gebruikersverificatie.
  • Workspace ONE Access Connector 21.08 ondersteunt de volgende typen proxy's:
    • Niet-geverifieerde HTTP-proxy's
    • Niet-geverifieerde HTTPS (SSL)-proxy's
    • Geverifieerde HTTPS (SSL)-proxy's

Voorwaarden

  • Controleer Upgraden naar VMware Workspace ONE Access Connector 21.08.
  • Als uw connectorinstallatie op een virtuele Windows-server staat, maakt u een momentopname van de virtuele machine voordat u de upgrade uitvoert.
  • Als u van plan bent de Kerberos-verificatieservice of de virtuele-appservice te installeren, moet u ervoor zorgen dat u de connectorserver aan het domein verbindt.
  • Als u de verificatiemethode RSA SecurID (cloudimplementatie) hebt geconfigureerd, moet u ervoor zorgen dat u versie 8.2 SP1 of hoger van de RSA Authentication Manager-appliance gebruikt.
  • Als u de verificatiemethode RSA SecurID (cloudimplementatie) hebt geconfigureerd, verwijdert u de verificatiemethode uit toegangsbeleidsregels voordat u alle connectorinstanties upgradet waarop de gebruikersverificatieservice is geïnstalleerd.
    1. Ga in de Workspace ONE Access-console naar de pagina Identiteits- en toegangsbeheer > Beheren > Beleidsregels.
    2. Controleer elk beleid en verwijder de verificatiemethode RSA SecurID (cloudimplementatie) als dit onderdeel is van het beleid.

      Noteer de wijzigingen die u aanbrengt, zodat u over de vereiste informatie beschikt om de verificatiemethode terug te voegen na het upgraden van de connector.

  • Als u upgradet van versie 20.01.x en u een directory van het type Active Directory via geïntegreerde Windows-verificatie (IWA) heeft geconfigureerd, schakelt u de optie STARTTLS in de directoryconfiguratie in de Workspace ONE Access-console uit voordat u de upgrade naar de 21.08 Connector uitvoert. Na de upgrade is de functionaliteit van Active Directory via IWA incompatibel met de STARTTLS-optie.

    Om de directoryconfiguratie te bewerken, navigeert u naar de pagina Identiteits- en toegangsbeheer > Beheren > Directory's, selecteert u de directory, schakelt u het selectievakje Deze directory vereist dat alle verbindingen STARTTLS gebruiken uit en klikt u op Opslaan.

    Opmerking: Als u de hotfix zoals beschreven in Knowledge Base-artikel 77158 op Connector 20.01 heeft toegepast of een upgrade naar connector 20.01.0.1 of 20.10 heeft uitgevoerd, heeft u de optie STARTTLS voor Active Directory via IWA mogelijk al uitgeschakeld. Controleer of de instelling is uitgeschakeld.
  • In de Workspace ONE Access-console onderbreekt u de connectorservices die momenteel zijn geïnstalleerd.
    1. Ga naar de pagina Identiteits- en toegangsbeheer > Instellen > Connectoren.
    2. Selecteer de connector en klik vervolgens op Beheren.
    3. Klik op de wisselknop naast elke servicenaam om de service te onderbreken.
  • U heeft de volgende accountinformatie nodig:
    • Verificatiegegevens voor My VMware
    • Als de Kerberos-verificatieservice al is geïnstalleerd, de domeingebruikersreferenties die worden gebruikt om de service uit te voeren
    • Als u de Kerberos-verificatieservice of de virtuele-appservice wilt installeren tijdens de upgrade, hebt u een domeingebruikersaccount nodig om deze services uit te voeren. Hoewel deze services worden uitgevoerd met rechten voor domeingebruikersaccounts, worden de directorysynchronisatie- en gebruikersverificatieservices uitgevoerd met lagere bevoegdheden.
    • Als u de verificatiemethode RSA SecurID (cloudimplementatie) gebruikt, hebt u de verificatiegegevens van de RSA-beveiligingsconsole nodig om de vereiste informatie te verkrijgen die nodig is om de verificatiemethode in de Workspace ONE Access-console opnieuw te configureren nadat u alle connectorinstanties hebt geüpgraded.

Procedure

  1. Als u een nieuw configuratiebestand nodig heeft, genereert u het via de Workspace ONE Access-console.
    1. Meld u aan bij de Workspace ONE Access-console als de systeembeheerder van het domein.
      Tip: In cloudimplementaties is de domeinbeheerder van het systeem de beheerder van wie u de aanmeldgegevens ontvangt wanneer u uw Workspace ONE Access-tenant krijgt. In implementaties op locatie is de domeinbeheerder van het systeem de beheerder die is gemaakt tijdens het installeren van een Workspace ONE Access-instantie.
    2. Ga naar de pagina Identiteits- en toegangsbeheer > Instellen > Connectoren.
    3. Klik op Nieuw.
    4. Klik in de wizard Nieuwe connector toevoegen op Volgende.
    5. Genereer het configuratiebestand op de pagina Configuratiebestand downloaden door een wachtwoord te maken en op Configuratiebestand downloaden te klikken.
      Het wachtwoord moet minstens 14 tekens lang zijn en een hoofdletter, een kleine letter, een cijfer en een speciaal teken bevatten. Gebruik het teken & of % niet. Alle tekens moeten zichtbare afdrukbare ASCII-tekens zijn.
      Het configuratiebestand wordt gebruikt om communicatie tot stand te brengen tussen de bedrijfsservices die u installeert, en de Workspace ONE Access-tenant. Het bestand heeft standaard de naam es-config.json.
      Voorzichtig: Het configuratiebestand bevat gevoelige informatie zoals de tenant-URL, de tenant-ID, de client-ID en het clientgeheim voor elk van de bedrijfsservices, en de wachtwoordhash. Het is van cruciaal belang dat u het bestand niet deelt of openbaar weergeeft.
    6. Zet het configuratiebestand over naar de connectorserver.
  2. Download Workspace ONE Access Connector 21.08.0.0 van My VMware.
    1. Meld u aan bij https://my.vmware.com.
    2. Ga naar de VMware Workspace ONE Access 21.08-downloadpagina.
    3. Download Workspace ONE Access Connector 21.08.0.0.
  3. Sla het installatiebestand op dezelfde Windows-server op waar ook de vorige versie van de connector is geïnstalleerd.
  4. Dubbelklik op het bestand Workspace One Access Connector Installer.exe om het installatieprogramma uit te voeren.
    Het installatieprogramma detecteert dat een upgrade is vereist en leidt u door het upgradeproces. De wizard geeft een upgradepagina weer.
  5. Volg de wizard om de connector te upgraden.
    Houd tijdens de upgrade rekening met het volgende:
    • Tijdens de upgrade installeert het installatieprogramma OpenJDK 8.
    • Tijdens de upgrade kunt u de instellingen voor bestaande services wijzigen. U kunt ook andere services installeren. U kunt bijvoorbeeld de nieuwe virtuele-appservice installeren. Als uw bestaande installatie alleen de directorysynchronisatieservice bevat en u de gebruikersverificatieservice en de Kerberos-verificatieservice wilt installeren, kunt u dit doen tijdens de upgrade.

      Zie VMware Workspace ONE Access Connector 21.08 installeren voor informatie over vereisten, grootte, installatie en instellingen.

    • Met de 21.08 Connector kunt u meerdere externe syslog-servers opgeven om gebeurtenisberichten op applicatieniveau op te slaan, in plaats van beperkt te zijn tot één server. U kunt de syslog-servers invoeren op de pagina Syslog-serverinformatie opgeven van de wizard tijdens de upgrade.

      Gebruik de volgende notatie:

      host:poort,host:poort,host:poort

      waarbij host de volledig gekwalificeerde domeinnaam of het IP-adres van de syslog-server is en poort het poortnummer is. Bijvoorbeeld:

      syslog1.example.com:514,syslog2.example.com:601,syslog3.example.com:163

  6. Nadat de installatie is voltooid, controleert u of de geüpgradede services op de Windows-server worden uitgevoerd.
    De connectorservices hebben de volgende namen:
    • VMware-directorysynchronisatieservice
    • VMware-gebruikersverificatieservice
    • VMware Kerberos-verificatieservice
    • VMware virtuele-appservice

    De services geven de status Actief weer.

resultaten

De connectorupgrade is voltooid. U kunt controleren of de nieuwe versie van de connector is geïnstalleerd door te navigeren naar Configuratiescherm > Programma's > Programma's en onderdelen op de Windows-server en de vermelde connectorversie te controleren.

Volgende stappen

  • Klik in de Workspace ONE Access-console op het pictogram Vernieuwen op de pagina Identiteits- en toegangsbeheer > Instellen > Connectoren en controleer of de geüpgradede services actief zijn en of de status groen is.
    Bijvoorbeeld:
    De pagina Connectoren vermeldt één connector waarop de directorysynchronisatie-, gebruikersverificatie-, Kerberos-verificatie- en virtuele-appservices zijn geïnstalleerd. Alle services zijn Actief en geven een groen selectievakje weer in de kolom Status.
  • Als de verificatiemethode RSA SecurID (cloudimplementatie) is geconfigureerd in uw oorspronkelijke installatie, configureert u de verificatiemethode opnieuw nadat u alle connectorinstanties waarop de gebruikersverificatieservice is geïnstalleerd, hebt geüpgraded.
    1. Als u meerdere RSA Authentication Manager-serverinstanties hebt geïmplementeerd, moet u deze achter een load balancer configureren en voldoen aan de Workspace ONE Access-vereisten voor de load balancer. Zie Workspace ONE Access-vereisten voor RSA SecurID-load balancer.
    2. Als een proxyserver met de connectoren is geconfigureerd, controleert u of de communicatiepoort die is geconfigureerd voor de RSA Authentication Manager-server is geopend op de proxyserver.
    3. In de RSA-beveiligingsconsole moet u controleren of de connector als verificatieagent is toegevoegd met de volledig gekwalificeerde domeinnaam (FQDN), bijvoorbeeld connectorserver.example.com. Als u de connector al als verificatieagent heeft toegevoegd met de NetBIOS-naam en niet met de FQDN, voegt u nog een vermelding toe met de FQDN. Laat het veld IP-adres leeg voor de nieuwe vermelding. Verwijder de oude vermelding niet.
    4. Werk de configuratie van de verificatiemethode RSA SecurID (cloudimplementatie) bij voor alle directory's die deze in de oorspronkelijke installatie hebben opgenomen.

      Zie RSA SecurID-verificatie in Workspace ONE Access configureren voor informatie over de nieuwe configuratie.

    5. Voeg de verificatiemethode RSA SecurID (cloudimplementatie) toe aan alle toegangsbeleidsregels die deze in de oorspronkelijke installatie hebben opgenomen.

      U kunt de toegangsbeleidsregels bewerken op de pagina Identiteits- en toegangsbeheer > Beheren > Beleidsregels.