VMware Workspace ONE Access Connector (Windows) 21.08 | September 2021 | Build Workspace ONE Access Connector 21.08.0 Installer.exe

VMware Identity Manager Connector (Windows) 19.03.0.1 | Oktober 2020 | Build VMware Identity Manager Connector 19.03.01 Installer.exe

Meest recente release - Oktober 2021

Inhoud van de release notes

Nieuw in de release van oktober 2021

Er worden nu meerdere directory's ondersteund voor een identiteitsprovider
 
In de huidige Workspace ONE Access SaaS-tenantimplementaties was de in configuratie van de identiteitsprovider slechts één directory toegestaan. In de release van oktober 2021 van Workspace ONE Access SaaS introduceren we opnieuw de mogelijkheid om meer dan één directory voor een identiteitsprovider te configureren. Zo kunnen beheerders naadloze aanmeldingservaringen voor eindgebruikers configureren. Beheerders die een 19.03.0.1 Connector gebruiken en meerdere directory's hebben geconfigureerd voor een identiteitsprovider, kunnen migreren naar de nieuwste 21.08 Connector die zakelijke services heeft, zonder dat ze de directoryinstellingen voor hun identiteitsprovider opnieuw hoeven te configureren.

Workspace ONE Access Connector-ondersteuning voor virtuele apps

Release 21.08 van Workspace ONE Access Connector bevat een nieuwe service Virtuele app die de integratie van Horizon en virtuele Citrix-apps ondersteunt. Hierdoor kunnen de oude connectoren die worden gebruikt voor virtuele apps, worden gemigreerd van versie 19.03 of 19.03.0.1 naar versie 21.08.x. Zowel directory's als verzamelingen van virtuele apps moeten tijdens dit eenmalige proces samen worden gemigreerd.

RSA SecurID-updates

Wij hebben de wijze voor integratie met RSA SecurID bijgewerkt met behulp van REST API's. Als u momenteel RSA SecurID als verificatiemethode gebruikt, kan vóór de migratie een nieuwe connector voor de gebruikersverificatieservice worden toegevoegd, om de uitvaltijd tot RSA SecurID-aanmelding te minimaliseren.

Opgeloste problemen voor de release van augustus 2021

  • HW-131550 Problemen met Active Directory-domeinen in modus met gecombineerd gebruik van hoofd- en kleine letters zijn verholpen bij het maken van een nieuwe directory en het upgraden van 19.03/19.03.0.1 Connector
  • HW-137253 Citrix-serverfailover naar replicatieserver in de verzameling
  • HW-121488 Rechten worden verwijderd en opnieuw toegevoegd in plaats van te worden bijgewerkt voor verzamelingen van virtuele Citrix- en Horizon Cloud-apps
  • HW-120278 Mogelijkheid toegevoegd om de oude labels voor Citrix-resources tijdens synchronisatie te verwijderen  
  • HW-130381 Ondersteuning voor starten, zelfs als het vernieuwen van metagegevens mislukt voor sommige Horizon-verbindingsservers
  • HW-127229 Synchronisatiefailover naar secundair connectorknooppunt wanneer het primaire knooppunt inactief is in omgevingen op locatie
  • HW-121412 Horizon-serverfailover naar niet-primaire pods in de verzameling
  • HW-100498 Ondersteuning toegevoegd om meerdere verzamelingen van virtuele apps tegelijk te synchroniseren
  • HW-95770 Ondersteuning voor Citrix-integraties waarvoor gebruikers/groepen uit meerdere domeinen rechten hebben om ook met AD via LDAP-directory te werken
  • HW-124523 Filter toegevoegd voor synchronisatiedetails en tekst met uitleg over integratie van directory's bijgewerkt   
  • HW-126823 Toewijzing van webapplicaties voor meer dan 50 groepen gecorrigeerd  
  • HW-135286 Beveiligingsbeleid voor inhoud is opnieuw geconfigureerd voor headers voor geselecteerde URL's   
  • HW-135872 De optie om de groep ALL_USERS toe te wijzen aan beheerdersrollen is verwijderd
  • HW-138657 FQDN van client voor apps met algemeen recht is opgelost    
  • HW-139279 Status van UI-berichten voor directorysynchronisatie voor failsafevoorwaarden is gecorrigeerd  

De functie Magische link kan worden geconfigureerd in de Workspace ONE Access-console

Nu kunt u de functie Magische link die wordt gebruikt voor onboarding op dag 0, configureren in de Workspace ONE Access-console. Het is niet langer nodig deze API te maken.

Ondersteuning voor groepsbereik in OAuth 2.0-clients en -sjablonen
Beheerders kunnen nu informatie over groepslidmaatschap opnemen in OIDC-tokens. Deze mogelijkheid is beschikbaar voor de configuraties van de OAuth 2.0-client en -sjablonen die u vindt door te navigeren naar Catalogus > Instellingen > Externe toegang tot app. Het groepsbereik kan worden toegevoegd aan nieuwe en bestaande OAuth 2.0-clients en -sjablonen door het selectievakje naast Groep in de sectie Bereik van het modale configuratievenster in te schakelen.

Nieuwe functies van Verify (Intelligent Hub)

  • Geolocatie in Hub-melding is inbegrepen in Verify (Intelligent Hub). Er is nu geolocatie-informatie in push-MFA-meldingen in Verify (Intelligent Hub). Hierdoor kunnen eindgebruikers de geolocatie zien van het apparaat dat de MFA-aanvraag doet.
  • Mogelijkheid om de selectie van het gebruikersapparaat opnieuw in te stellen voor Verify (Intelligent Hub) - Beheerdersflow. Workspace ONE Access biedt beheerders nu de mogelijkheid om een apparaat dat door eindgebruikers is geconfigureerd met Verify (Intelligent Hub) in de Workspace ONE Access-console te ontkoppelen. Nadat het apparaat is ontkoppeld, zal de eindgebruiker bij de volgende aanmelding de initiële Verify (Intelligent Hub)-flow doorlopen en het apparaat dat hij wil koppelen met Verify (Intelligent Hub) opnieuw selecteren. Hierdoor kunnen beheerders diensten bieden aan gebruikers die geen toegang hebben tot het apparaat dat is gekoppeld aan Verify (Intelligent Hub).

Aanmeldingshint toewijzen aan gebruikerskenmerk van de waarde NameID in externe IDP-configuraties

Wanneer u een externe SAML-identiteitsprovider in de Workspace ONE Access-console configureert en u Onderwerp verzenden in SAML-aanvraag (indien beschikbaar) inschakelt in het gedeelte SAML-metagegevens, wordt een extra optie weergegeven om de aanmeldingshint die door de externe app is geleverd, toe te wijzen aan de waarde NameID. Houd er rekening mee dat wanneer de Onderwerpwaarde verzenden op basis van de NameID-indelingstoewijzing is ingeschakeld, u tijdens het verificatieproces zonder vorige verificatie kwetsbaar bent voor een beveiligingsrisico dat gebruikersinventarisatie wordt genoemd. Denk goed na voor u dit inschakelt.

Instellen naar welke Horizon Client Access FQDN een specifieke groep gebruikers wordt doorverwezen
In sommige gevallen is alleen het toewijzen van netwerkbereiken aan Horizon Client Access FQDN's niet optimaal wanneer gebruikers vrijwel overal kunnen werken. Door gebruik te maken van gebruikersgroepen, wordt meer flexibiliteit bij het starten van Horizon-desktops mogelijk. In deze in de cloud gehoste release van Workspace ONE Access biedt de integratie van virtuele Horizon-apps de mogelijkheid om FQDN's voor clienttoegang toe te wijzen aan groepen gebruikers.  Hiermee voegt u nieuwe functionaliteit toe die het gebruik van zowel netwerkbereiken als -groepen samenvoegt om gebruikers naar de juiste FQDN's voor clienttoegang te leiden.

Verbeterde inrichting van gebruikers en groepen in Workspace ONE UEM De nieuwe optie Certificaatverificatie inschakelen in de app AirWatch Provisioning vereenvoudigt het proces en de vereisten voor het inrichten van gebruikers en groepen in Workspace ONE UEM van Workspace ONE Access. Wanneer deze optie is ingeschakeld, bootst de app AirWatch Provisioning de instellingen na die zijn geconfigureerd in de pagina Identiteits- en toegangsbeheer > Installatie > VMware Workspace ONE UEM van de Workspace ONE Access-console. Deze update biedt drie belangrijke voordelen. Wanneer gebruik wordt gemaakt van verificatie op basis van certificaten, hoeven beheerders niet langer om de 30 dagen het wachtwoord bij te werken van het account dat wordt gebruikt voor de inrichting van gebruikers en groepen. Als de integratie tussen Workspace ONE Access en Workspace ONE UEM is geconfigureerd met behulp van de wizard van Workspace ONE UEM (te vinden op de pagina Systeem > Bedrijfsintegratie > Workspace ONE Access > Configuratie van de Workspace ONE UEM Console), tellen provisioninggebeurtenissen voor gebruikers en groepen niet langer mee in de REST API-limieten van Workspace ONE UEM. De initiële installatie van de app AirWatch Provisioning wordt vereenvoudigd omdat de meeste vereiste waarden automatisch worden ingevuld.

Verbeterde iPad-apparaatidentificatie voor beleidsregels voor voorwaardelijke toegang

Met deze release van Workspace ONE Access worden iPad's niet meer onjuist geïdentificeerd als macOS-apparaten op basis van hun gebruikersagentreeks. Hierdoor kunnen de apparaattypen iOS en iPad worden gebruikt om voorwaardelijke toegang op iPad's toe te passen. Het apparaattype iOS kan worden gebruikt om voorwaardelijke toegang op uniforme wijze toe te passen op zowel iOS- als iPadOS-apparaten, terwijl het apparaattype iPad kan worden gebruikt in omgevingen waar een andere verificatie-ervaring tussen iOS- en iPadOS-apparaten is gewenst. Houd er rekening mee dat het apparaattype iPad een hogere prioriteit moet krijgen dan het apparaattype iOS als beide opties in één beleid worden gebruikt.

Deze wijziging is vereist omdat Apple in iPadOS 13 het standaardgedrag van de Safari-browser heeft gewijzigd, zodat het de desktopversie van webpagina's op een iPad en niet de mobiele versie aanvraagt. Het standaardgedrag betekent uiteindelijk dat iPad's met iPadOS 13 of nieuwer zichzelf aan Workspace ONE Access voorstellen als een macOS-toestel en niet als een iPad. Met de release van januari is de oplossing die in dit KB-artikel wordt beschreven, niet meer vereist.

Workspace ONE Access ondersteunt nu FIDO2 als verificatiemethode

Workspace ONE Access maakt nu mogelijk dat FIDO2-authenticators kunnen worden geregistreerd en gebruikt voor verificatie. Met deze release kunnen eindgebruikers zich nu bij Workspace ONE Intelligent Hub en federatieve Workspace ONE Access-applicaties kunnen verifiëren met een FIDO2-authenticator (bijv. YubiKey, Touch ID, Windows Hello). Eindgebruikers kunnen ook zelf een FIDO2-authenticator registreren voor gebruik als primaire of secundaire verificatiemethode. Beheerders kunnen ook authenticators toevoegen, verwijderen, blokkeren of deblokkeren namens eindgebruikers.  Opmerking: FIDO2-verificatie ondersteunt momenteel alleen verificatie in desktopbrowsers.

FIDO2-verificatie is alleen beschikbaar voor Workspace ONE SaaS-klanten.

Maak kennis met voorwaardelijke toegang op basis van aanmeldingsrisico's

Met de nieuwe verificatiemethode voor aanmeldingsrisicoscores kunt u nu de aanmeldingsrisicoscore van een gebruiker vertalen in verificatiebeslissingen. Dit houdt in dat u beleidsregels kunt definiëren met de aanmeldingsrisicoscore om de juiste toegangsbesturingselementen toe te passen wanneer een gebruiker toegang probeert te krijgen tot het netwerk. Bijvoorbeeld: als de aanmeldingsrisicoscore laag - toegang toestaan, gemiddeld - vragen om MFA (verificatie met meerdere factoren, bijvoorbeeld met RSA SecurID of VMware Verify) en hoog – toegang weigeren, is.  

De aanmeldingsrisicoscore wordt toegewezen door middel van de eigen engine voor risicoscores van Workspace ONE Intelligence. Zie Risicoscores - Wat zijn aanmeldingsrisicoscores in de Workspace ONE Intelligence-documentatie.

Dashboard voor controle beperken  

Om de beschikbaarheid van de service te garanderen, stelt de SaaS-service van Workspace ONE Access limieten voor frequentie en gelijktijdigheid in voor bepaalde API's. Wanneer deze limieten worden overschreden, wordt een 429-fout 'Te veel aanvragen' geretourneerd en kunnen uw gebruikers zich mogelijk tijdelijk niet aanmelden of geen applicaties starten. Wanneer dit gebeurt, kunnen gebruikers een minuut wachten voordat ze het opnieuw proberen. Met het nieuwe dashboard Controle beperken kunt u deze limieten weergeven en uw gebruik ervan bewaken.

Internationalisatie

VMware Workspace ONE Access is verkrijgbaar in de volgende talen.

  • Engels
  • Frans
  • Duits
  • Spaans
  • Japans
  • Vereenvoudigd Chinees
  • Koreaans
  • Traditioneel Chinees
  • Russisch
  • Italiaans
  • Portugees (Brazilië)
  • Nederlands

Compatibiliteit, installatie en upgrade

Compatibiliteit van onderdelen

Ondersteunde Windows Server

  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019

Ondersteunde webbrowser

  • Mozilla Firefox, nieuwste versie
  • Google Chrome, nieuwste versie
  • Safari, nieuwste versie
  • Microsoft Edge, nieuwste versie

Ondersteunde database

  • MS SQL 2012, 2014, 2016, 2017, 2019
  • Belangrijk: Microsoft SQL Server 2012 en 2014 moeten worden bijgewerkt met de Microsoft SQL-patch om TLS 1.2 te ondersteunen.

Ondersteunde directoryserver

  • Active Directory - één AD-domein, meerdere domeinen in één AD-forest of meerdere domeinen in meerdere AD-forests.
  • OpenLDAP - 2.4.42
  • Oracle LDAP - Directory Server Enterprise Edition 11g, release 1 (11.1.1.7.0)
  • IBM Tivoli Directory Server 6.3.1

Compatibiliteit van virtuele apps

Workspace ONE Access 21.08 Connector ondersteunt nu virtuele apps (Citrix- en Horizon-integraties) met de nieuwe service Virtuele app. 21.08 Connector biedt geen ondersteuning voor integraties met Horizon Cloud en ThinApp.

De volgende versies van Citrix worden ondersteund: Citrix Virtual Apps and Desktops 7 1912 LTSR, XenApp and XenDesktop 7.15 LTSR en XenApp and XenDesktop 7.6 LTSR. 21.08 Connector ondersteunt de Citrix StoreFront API en biedt geen ondersteuning voor de Citrix Web Interface SDK.

Zie de VMware Product Interoperability Matrix voor ondersteunde Horizon-versies.

De integratie met Horizon Cloud Service op Microsoft Azure met Universal Broker wordt geconfigureerd via de Horizon Cloud-beheerconsole. Workspace ONE Access 21.08 Connector biedt geen ondersteuning voor integratie met Horizon Cloud Service on IBM Cloud of Horizon Cloud Service on Microsoft Azure met Single-Pod Broker.

Als u virtuele Horizon Cloud Service-apps in Microsoft Azure (Single-Pod Broker) met Workspace ONE Access 21.08 wilt gebruiken, moet u VMware Identity Manager Connector versie 19.03.0.1 gebruiken.

Als u VMware ThinApp met Workspace ONE Access 21.08 wilt gebruiken, moet u de Linux-gebaseerde VMware Identity Manager Connector-appliance versie 2018.8.1.0 gebruiken.  Als u ThinApp-pakketten gebruikt, voert u geen upgrade uit naar de nieuwere versies van VMware Workspace ONE Access Connector.

Compatibiliteitsmatrix

VMware Product Interoperability Matrix bevat meer informatie over de compatibiliteit van huidige en vorige versies van VMware-producten en -onderdelen, zoals VMware vCenter Server, VMware ThinApp en Horizon 7.

Upgraden

VMware Workspace ONE Access Connector 21.08.0

U kunt Workspace ONE Access Connector versies 20.10.x en 20.01.x upgraden naar versie 21.08.

Zie de handleiding Upgraden naar VMware Workspace ONE Access Connector 21.08 voor informatie.

Migreren naar Workspace ONE Access 21.08 Connector

Van Workspace ONE Access Connector versie 19.03 en 19.03.0.1 is een migratiepad naar versie 21.08 beschikbaar. Het proces omvat het installeren van de nieuwe 21.08 Connector en het migreren van uw bestaande directory's en verzamelingen van virtuele Horizon- en Citrix-apps naar de nieuwe connectoren. Migratie is een eenmalig proces en u moet directory's en verzamelingen van virtuele apps samen migreren.

Nadat de migratie is voltooid, heeft u de Integration Broker voor Citrix-integraties niet langer nodig. De vereiste functionaliteit is nu onderdeel van het onderdeel van de service Virtuele app van Workspace ONE Access Connector.

Belangrijk: Alle oude connectoren moeten versie 19.03.x zijn voordat u kunt migreren.

Zie de handleiding Migreren naar VMware Workspace ONE Access 22.08 Connector 21.08 voor informatie.

Certificaatvereiste voor verzamelingen van virtuele Horizon-apps

Zorg ervoor dat de Horizon-verbindingsservers geldige certificaten hebben die door een vertrouwde certificaatautoriteit (CA) zijn ondertekend. Als de Horizon-verbindingsservers zelfondertekende certificaten hebben, moet u de certificaatketen uploaden naar de Workspace ONE Access Connector-instanties waarop de service Virtuele app is geïnstalleerd om vertrouwen tussen de connectoren en de Horizon-verbindingsservers tot stand te brengen. Dit is een nieuwe vereiste in Workspace ONE Access Connector 21.08. U uploadt de certificaten met het installatieprogramma van de connector. Zie Workspace ONE Access Connector installeren voor informatie.

Vereisten voor RSA SecurID-verificatiemethode

Voor de RSA SecurID-integratie gelden de volgende nieuwe vereisten:

  • In de RSA-beveiligingsconsole moet de Workspace ONE Access Connector als verificatieagent worden toegevoegd met de volledig gekwalificeerde domeinnaam (FQDN). Bijvoorbeeld: connectorserver.example.com. Als u de connector al als verificatieagent heeft toegevoegd met de NetBIOS-naam en niet met de FQDN, voegt u nog een vermelding toe met de FQDN. Laat het veld IP-adres leeg voor de nieuwe vermelding. Verwijder de oude vermelding niet.
  • Als u meerdere instanties van de RSA Authentication Manager-server heeft geïmplementeerd, moet u deze achter een load balancer configureren. Zie Workspace ONE Access-vereisten voor RSA SecurID load balancer voor meer informatie.

Documentatie

De documentatie voor VMware Workspace ONE Access vindt u in het documentatiecentrum voor VMware Workspace ONE Access.

 

check-circle-line exclamation-circle-line close-line
Scroll to top icon