Использование панели управления переносом для переноса в Workspace ONE Access Connector 21.08

Перенесите имеющиеся каталоги и коллекции виртуальных приложений из Workspace ONE Access Connector 19.03 или 19.03.0.1 в Connector 21.08 с помощью панели управления переносом. Процесс переноса выполняется поэтапно, позволяя перед его завершением протестировать среду с помощью новых соединителей.

Процесс переноса включает в себя следующие этапы.

Установка соединителей Connector 21.08
Установите новые соединители Connector 21.08, которые содержат службы синхронизации каталогов, проверки подлинности пользователей и проверки подлинности Kerberos, а также службы виртуальных приложений. Как минимум, установите службу синхронизации каталогов. Установите службу проверки подлинности пользователей, если на устаревших соединителях настроена проверка подлинности с использованием соединителя. Установите службу проверки подлинности Kerberos, если на устаревших соединителях настроен метод проверки подлинности Kerberos. Установите службу виртуальных приложений, если на устаревших соединителях настроены коллекции виртуальных приложений.
Перенос каталогов
На этом этапе осуществляется перенос всех данных каталога с помощью мастера переноса каталогов. Большая часть необходимой информации предварительно заполняется из сведений о среде, но некоторые конфиденциальные данные, такие как пароль пользователя привязки каталога, вводятся вручную.
При переносе каталогов на этом этапе не изменяется ни один из существующих каталогов, методов проверки подлинности или конфигураций поставщиков удостоверений. Все еще используются старые соединители. Изменения вступят в силу только после перехода к этапу предварительного просмотра.
Миграция коллекций виртуальных приложений
На этом этапе необходимо выбрать соединители, на которые следует перенести имеющиеся коллекции виртуальных приложений. Новые настройки вступят в силу только после перехода к этапу предварительного просмотра.
Предварительный просмотр
На этапе предварительного просмотра показана среда с новыми соединителями Connector 21.08. Новые службы синхронизации каталогов, проверки подлинности пользователей и проверки подлинности Kerberos, а также службы виртуальных приложений из соединителей Connector 21.08 выполняют синхронизацию каталогов, проверку подлинности пользователей и синхронизацию виртуальных приложений. Все методы проверки подлинности, кроме Kerberos, работают в режиме поддержки исходящих соединений.
Этап предварительного просмотра предназначен для тщательного тестирования среды с новыми службами. Проверьте правильность работы синхронизации каталогов и виртуальных приложений, проверки подлинности пользователей и запуска приложений.
На этапе предварительного просмотра нельзя создавать, изменять и удалять каталоги, методы проверки подлинности, поставщиков удостоверений или коллекции виртуальных приложений.
На этапе предварительного просмотра можно выполнить откат к использованию старых соединителей. При откате сохраняются данные каталогов, перенос которых был выполнен на предыдущем этапе. Если позже будут внесены любые изменения в существующие каталоги, методы проверки подлинности или поставщики удостоверений, обязательно повторите перенос данных каталогов.
Завершение переноса
Когда будут получены удовлетворительные результаты тестирования новой среды, можно завершить перенос. После завершения переноса откат к использованию старых соединителей будет невозможен.

Необходимые условия

Ознакомьтесь с требованиями, перечисленными в разделе Требования для переноса на Workspace ONE Access Connector 21.08.
Убедитесь, что в среде установлены только соединители версии 19.03.x. Если имеются соединители более ранней версии, обновите их до версии 19.03.x для миграции.
Подготовьте один или несколько серверов Windows для новых соединителей Connector 21.08. См. рекомендации по масштабированию в разделе Установка Workspace ONE Access Connector 21.08.
Connector 21.08 можно установить как на новом сервере, так и на сервере устаревших соединителей Connector 19.03.x. Однако если на устаревшем соединителе настроена проверка подлинности Kerberos, для установки службы проверки подлинности Kerberos 21.08 необходимо использовать отдельный сервер Windows. Не устанавливайте новую службу проверки подлинности Kerberos на сервере соединителя Connector 19.03.x. Workspace ONE Access не поддерживает несколько экземпляров Kerberos на одном сервере.
Если проверка подлинности Kerberos не настроена на устаревшем соединителе и необходимо установить новый Connector 21.08 на сервере устаревших соединителей Connector 19.03.x, дополнительные требования и рекомендации см. в разделе Миграция на последний соединитель на сервере Windows, на котором запущен Workspace ONE Access 19.03.x.
Если имеется локальный экземпляр службы Workspace ONE Access, перед переносом соединителей обновите его до версии 21.08.
При установке службы проверки подлинности пользователей убедитесь, что в среде нет экземпляров службы проверки подлинности пользователей 20.x. В рамках миграции будут установлены соединители Connector 21.08. Все экземпляры службы проверки подлинности пользователей должны быть версии 21.08. Миграцию невозможно продолжить при наличии нескольких версий службы проверки подлинности пользователей.
Если на соединителях Connector 19.03.x настроен метод проверки подлинности RSA SecurID:
- Убедитесь, что используется устройство диспетчера аутентификации RSA версии 8.2 с пакетом обновления 1 (SP1) или более поздней. Workspace ONE Access Connector 21.08 поддерживает устройство диспетчера проверки подлинности RSA 8.2 с пакетом обновления 1 (SP1) и более поздних версий.
- Если развернуто несколько экземпляров сервера диспетчера аутентификации RSA, их необходимо настроить за подсистемой балансировки нагрузки для должной интеграции с Workspace ONE Access. Убедитесь, что соблюдены требования, перечисленные в разделе Требования Workspace ONE Access для подсистемы балансировки нагрузки RSA SecurID в руководстве Управление методами проверки подлинности пользователей в Workspace ONE Access.
- В консоли RSA Security Console убедитесь, что соединитель добавлен в качестве агента проверки подлинности с использованием полного доменного имени (FQDN), например connectorserver.example.com. Если соединитель уже добавлен в качестве агента проверки подлинности с использованием имени NetBIOS вместо полного доменного имени (FQDN), добавьте еще одну запись, указав полное доменное имя (FQDN). Оставьте поле IP-адреса пустым для новой записи. Не удаляйте старую запись.
- В рамках процесса миграции необходимо настроить метод проверки подлинности RSA SecurID. К информации, необходимой для настройки метода проверки подлинности, относятся имя узла диспетчера аутентификации RSA или подсистемы балансировки нагрузки, порт связи, ключ доступа и сертификат SSL диспетчера аутентификации RSA или подсистемы балансировки нагрузки, если на сервере используется самозаверяющий сертификат. Поскольку некоторые сведения поступают из консоли RSA Security Console, также необходимы учетные данные консоли Security Console.
- Если прокси-сервер настроен с помощью соединителя, на прокси-сервере должен быть открыт порт связи, настроенный для сервера диспетчера аутентификации RSA.
При установке службы проверки подлинности пользователей на новом сервере Windows перед началом переноса соединителей добавьте сервер Windows в качестве агента на сервер диспетчера аутентификации RSA.
Если какой-либо поставщик удостоверений связан с несколькими каталогами, измените конфигурацию так, чтобы каждый поставщик удостоверений был связан только с одним каталогом (только для локальных установок Workspace ONE Access).
Перед началом миграции убедитесь, что ни для одного из каталогов не запущен процесс синхронизации каталогов.
Если включен компонент People Search, перед началом миграции убедитесь, что ни для одного из каталогов не запущен процесс синхронизации фотографий.
Помните, что если во время миграции Connector 19.03.x, с которым не связан ни один каталог, выбрать параметр Workspace ONE Access Connector 21.08 на шаге 5, миграция считается завершенной, а Connector 19.03.x удаляется из службы. Если вы позже решите использовать устаревшие соединители и измените выбранные соединители с помощью кнопки Сбросить выбор соединителя, то Connector 19.03.x не отобразится. Connector 19.03.x понадобится переустановить для его повторной активации в службе.

Процедура

Откройте вкладку Управление учетными данными и доступом.
Отобразится страница переноса.
Примечание: Если ранее был выбран параметр для использования устаревших соединителей, страница переноса не отобразится. В этом случае необходимо изменить выбранные соединители. Перейдите на страницу Управление учетными данными и доступом > Настройка > Устаревшие соединители (или Соединители), нажмите кнопку Сбросить выбор соединителя и выберите Workspace ONE Access Connector 21.08.
Просмотрите требования, а затем щелкните Начало работы.
Отобразится панель управления переносом. На этой странице отображаются различные шаги, необходимые для завершения миграции.
На панели управления переносом каталогов нажмите ссылку Начало работы в разделе Установка Connector 21.08.
На странице «Соединители» щелкните Создать.
В окне Выберите соединитель просмотрите информацию и выберите вариант Workspace ONE Access Connector 21.08.

Осторожно!: Workspace ONE Access Connector 21.08 не поддерживает интеграцию с Horizon Cloud Service on IBM Cloud, Horizon Cloud Service on Microsoft Azure с функцией брокера для отдельных модулей и ThinApp. Если планируется интегрировать эти типы виртуальных приложений, выберите Устаревшие соединители, чтобы выйти из процесса миграции. Эти типы виртуальных приложений поддерживаются только устаревшими соединителями.

Важно!: Принимайте взвешенное решение, учитывая свои бизнес-потребности. Если позже понадобится изменить выбранные варианты, это можно будет сделать только до определенного момента в процессе переноса. См. раздел Сброс выбора соединителя в Workspace ONE Access.
Следуйте указаниям мастера добавления нового соединителя, чтобы загрузить установщик соединителя и необходимый файл конфигурации, а затем установите новый соединитель.

Сведения об установке см. в разделе Установка VMware Workspace ONE Access Connector 21.08. В частности, см. разделы «Предварительные условия для установки Workspace ONE Access Connector» и «Установка Workspace ONE Access Connector».

При установке соединителя убедитесь, что установлена служба синхронизации каталогов. Установите службу проверки подлинности пользователей, если на устаревших соединителях настроена проверка подлинности с использованием соединителя. Служба проверки подлинности Kerberos требуется, только если на любом из устаревших соединителей настроен метод проверки подлинности Kerberos. Установите службу виртуальных приложений, если на устаревших соединителях настроены коллекции виртуальных приложений или их планируется настроить на новом соединителе.
Осторожно!: По завершении процесса установки может отобразиться запрос на перезапуск системы. Не перезапускайте систему, если Connector 21.08 устанавливается на сервере Connector 19.03.x. Перезапустите систему только после завершения всего процесса переноса соединителя.

Осторожно!: При установке службы проверки подлинности пользователей убедитесь, что в среде используются исключительно экземпляры службы проверки подлинности пользователей версии 21.08, а не 20. x. Миграцию невозможно продолжить, если используется несколько версий службы проверки подлинности пользователей.
После успешного завершения установки соединителя вернитесь на панель управления переносом в служебной консоли Workspace ONE Access.
В разделе Перенос на новые соединители выполните перенос всех каталогов по одному.

В разделе «Перенос каталогов» приведены все каталоги Active Directory и LDAP в арендаторе. Прежде чем завершить перенос, необходимо выполнить перенос всех указанных каталогов.
Примечание: При переносе каталогов на этом шаге не изменяются существующие каталоги, методы проверки подлинности или конфигурации поставщиков удостоверений. Изменения вступят в силу только после предварительного просмотра изменений на следующем шаге.
1. а. Нажмите кнопку Перенос рядом с каталогом.
  Откроется мастер переноса каталогов. Мастер подстраивается под переносимый каталог. Для методов проверки подлинности, настроенных в каталоге, появятся дополнительные страницы.
2. б. На странице каталога введите пароль пользователя привязки для каталога.
  В списке Узлы синхронизации каталогов отображаются новые узлы Connector 21.08, на которых установлена служба синхронизации каталогов. Выберите один или несколько узлов, которые будут использоваться для синхронизации каталога.
3. в. (Отображается только в том случае, если настроен метод проверки подлинности Kerberos.) На странице «Kerberos» укажите информацию, необходимую для переноса метода проверки подлинности Kerberos.
  - Исходный соединитель. Исходный соединитель выбран предварительно. Можно выбрать другой соединитель, если предустановленный соединитель недоступен.
  - Узлы проверки подлинности Kerberos. В списке отображаются новые узлы Connector 21.08, на которых установлена служба проверки подлинности Kerberos. Выберите один или несколько узлов, которые будут использоваться для проверки подлинности Kerberos.
4. г. На странице «Пароль» укажите информацию, необходимую для переноса метода проверки подлинности с помощью пароля.
  - Исходный соединитель. Исходный соединитель выбран предварительно. Можно выбрать другой соединитель, если предустановленный соединитель недоступен.
  - Пароль привязки. Введите пароль пользователя привязки для каталога.
  - Узлы проверки подлинности пользователей. В списке отображаются новые узлы Connector 21.08, на которых установлена служба проверки подлинности пользователей. Выберите один или несколько узлов, которые будут использоваться для проверки подлинности с помощью пароля.
5. д. (Отображается только в том случае, если настроен метод проверки подлинности RADIUS.) На странице «RADIUS» укажите информацию, необходимую для переноса метода проверки подлинности RADIUS.
  - Исходный соединитель. Исходный соединитель выбран предварительно. Можно выбрать другой соединитель, если предустановленный соединитель недоступен.
  - Общий секрет. Общий секрет для сервера RADIUS.
  - Узлы проверки подлинности пользователей. В списке отображаются новые узлы Connector 21.08, на которых установлена служба проверки подлинности пользователей. Выберите один или несколько узлов, которые будут использоваться для проверки подлинности RADIUS.
6. е. (Отображается только в том случае, если настроен метод проверки подлинности RSA SecurID.) На странице «SecurId» укажите информацию, необходимую для переноса метода проверки подлинности RSA SecurID.
  - Исходный соединитель. Исходный соединитель выбран предварительно. Можно выбрать другой соединитель, если предустановленный соединитель недоступен.
  - Количество разрешенных попыток проверки подлинности. Введите максимальное количество неудачных попыток входа в систему с использованием маркера RSA SecurID. По умолчанию дается пять попыток.
    Примечание: При миграции нескольких каталогов, в которых используется проверка подлинности RSA SecurID, установите для параметра Количество разрешенных попыток проверки подлинности одинаковое значение во всех конфигурациях RSA SecurID. Если это значение будет отличаться, при проверке подлинности с помощью SecurID произойдет сбой.
  - Имя узла сервера SecurID. Введите имя узла сервера диспетчера аутентификации RSA, например myserver.example.com. Если за подсистемой балансировки нагрузки настроено несколько экземпляров сервера диспетчера аутентификации RSA, вместо этого введите имя узла подсистемы балансировки нагрузки, например lb.example.com.
  - Порт связи сервера SecurID. Введите порт связи экземпляра диспетчера аутентификации RSA. По умолчанию используется порт 5555. Чтобы получить номер порта связи, войдите в консоль RSA Security Console, перейдите на страницу Настройки > Настройки системы > API-интерфейс проверки подлинности RSA SecurID и скопируйте Порт связи.
  - Ключ доступа сервера SecurID. Введите ключ доступа из экземпляра диспетчера аутентификации RSA. Чтобы получить ключ доступа, в консоли RSA Security Console перейдите на страницу Настройки > Настройки системы > API-интерфейс проверки подлинности RSA SecurID и скопируйте Ключ доступа, указанный в разделе Учетные данные агента.
  - Сертификат ЦС или SSL сервера SecurID. Если на сервере диспетчера аутентификации RSA или сервере подсистемы балансировки нагрузки имеется самозаверяющий сертификат, скопируйте и вставьте сертификат в текстовое поле. Если на сервере есть сертификат, подписанный общедоступным центром сертификации, отправка сертификата не требуется.
  - Время ожидания метода проверки подлинности в секундах. Введите время в секундах, в течение которого должна быть доступна попытка проверки подлинности. После этого время ожидания попытки проверки подлинности истекает. Значение по умолчанию — 180 секунд.
  - Узлы проверки подлинности пользователей. В списке отображаются новые узлы Connector 21.08, на которых установлена служба проверки подлинности пользователей. Выберите один или несколько узлов, которые будут использоваться для проверки подлинности RSA SecurID.
7. ё. (Отображается только в том случае, если настроена проверка подлинности Kerberos.) На странице «Поставщик удостоверений» введите полное доменное имя подсистемы балансировки нагрузки соединителя, чтобы оно использовалось для нового поставщика удостоверений, который будет создан для проверки подлинности Kerberos во время переноса.
  Для справки отображается текущее полное доменное имя подсистемы балансировки нагрузки. Это текущее значение параметра Имя узла поставщика удостоверений на странице поставщика удостоверений каталога.
  
  Если используется только один Connector 21.08 без подсистемы балансировки нагрузки, введите полное доменное имя (FQDN) соединителя.
8. ж. На странице «Сводка» проверьте выбранные параметры и нажмите Сохранить.
  Данные переноса каталога будут сохранены. Чтобы просмотреть параметры, нажмите кнопку Сводка рядом с каталогом на панели управления переносом каталогов.
  
  Если необходимо изменить введенные данные, щелкните Начать сначала на странице «Сводка». При этом сбрасываются данные переноса, введенные для каталога, и перенос каталога можно начать сначала.
9. з. Выполните перенос остальных каталогов.
В разделе Миграция коллекций виртуальных приложений выберите соединители, на которые следует перенести коллекции виртуальных приложений.
1. а. Нажмите кнопку Перенести.
2. б. В окне «Миграция коллекций виртуальных приложений» выберите Connector 21.08, который будет использоваться для каждой коллекции виртуальных приложений. В раскрывающемся меню отобразятся все соединители, на которых установлена служба виртуальных приложений. Выберите соединитель, служба виртуальных приложений на котором находится в активном состоянии. Состояние отображается рядом с именем соединителя. Можно добавить несколько соединителей для обеспечения высокой доступности. При добавлении нескольких соединителей расположите их в порядке аварийного переключения.
  
  Примечание: Нужно одновременно перенести все имеющиеся коллекции виртуальных приложений. Нельзя выбрать определенные коллекции для миграции.
3. в. Нажмите кнопку Сохранить.
Например:

Коллекции виртуальных приложений будут перенесены при переходе к этапу предварительного просмотра.

Примечание: После завершения миграции можно добавить другие соединители. Кроме того, можно изменить соединители, выбранные для коллекций виртуальных приложений.
В разделе Завершение переноса нажмите Начать предварительный просмотр, чтобы начать процесс переноса.

На этапе предварительного просмотра используются новые соединители Connector 21.08. Синхронизация каталогов выполняется новой службой синхронизации каталогов, проверка подлинности пользователей выполняется новой службой проверки подлинности пользователей, проверка подлинности Kerberos выполняется новой службой проверки подлинности Kerberos, а синхронизация виртуальных приложений выполняется новой службой виртуальных приложений. На этапе предварительного просмотра нельзя изменять или добавлять каталоги, методы проверки подлинности, поставщиков удостоверений или коллекции виртуальных приложений, а также создавать новые. Преобразованные поставщики удостоверений можно просмотреть на вкладке Поставщики удостоверений, а преобразованные методы проверки подлинности — на вкладках Методы проверки подлинности программы Соединитель. Все методы проверки подлинности, кроме Kerberos, работают в режиме поддержки исходящих соединений.
Примечание: На локальном виртуальном устройстве Workspace ONE Access 21.08 вкладка Методы проверки подлинности программы Соединитель называется Методы проверки подлинности уровня «Enterprise».

Примечание: Если в развертывании службы Workspace ONE Access включен компонент People Search, необходимо вручную синхронизировать каталоги без настроек защиты. В консоли Workspace ONE Access выберите каталог на странице «Управление учетными данными и доступом» > «Каталоги» и щелкните Синхронизация > Синхронизация без мер безопасности.

Важно!: Тщательно протестируйте свою среду на этапе предварительного просмотра и убедитесь, что она работает должным образом. Проверьте правильность работы синхронизации каталогов и виртуальных приложений, входа пользователей в систему и запуска приложений.
Если обнаружены отклонения в работе среды либо необходимо изменить каталоги, методы проверки подлинности, поставщиков удостоверений или коллекции виртуальных приложений, отмените этап предварительного просмотра и вернитесь к использованию старых соединителей.
Перейдите на страницу «Управление учетными данными и доступом» > «Управление» > «Каталоги», нажмите Продолжить перенос и на панели управления переносом каталогов щелкните Прервать в разделе Завершение переноса.

В случае внесения любых изменений в каталоги, методы проверки подлинности или поставщики удостоверений, обязательно повторите перенос каталогов в разделе Перенос на новые соединители.
Чтобы завершить перенос после проверки правильности работы среды на этапе предварительного просмотра, вернитесь к панели управления переносом каталогов. Для этого перейдите на страницу «Управление учетными данными и доступом» > «Управление» > «Каталоги» и нажмите Продолжить перенос.

Осторожно!: После завершения переноса откат к старым соединителям будет невозможен.

Нажмите Завершить, чтобы завершить перенос.

Результаты

Все каталоги и коллекции виртуальных приложений будут перенесены на новые соединители Connector 21.08. Новые службы синхронизации каталогов, проверки подлинности пользователей и проверки подлинности Kerberos, а также службы виртуальных приложений теперь выполняют синхронизацию каталогов, проверку подлинности пользователей и синхронизацию виртуальных приложений.

Для каждого каталога создаются новые поставщики удостоверений, которые появляются на вкладке Поставщики удостоверений с именем Мигрированный IDP для каталога. Новые поставщики удостоверений имеют тип «встроенный». Для проверки подлинности Kerberos создается отдельный поставщик удостоверений типа Workspace_IDP.

Все методы проверки подлинности, кроме Kerberos, преобразуются в исходящие методы и переименовываются с добавлением суффикса (облачное развертывание). Например, метод проверки подлинности Пароль будет переименован в метод Пароль (облачная среда). Просмотр и управление новыми методами проверки подлинности доступны на вкладке Методы проверки подлинности программы Соединитель.

Примечание: На локальном виртуальном устройстве Workspace ONE Access 21.08 вкладка называется Методы проверки подлинности уровня «Enterprise».

Дальнейшие действия

После завершения переноса можно удалить старые версии Connector 19.03.x с серверов, на которых они установлены.

После завершения переноса Integration Broker для интеграции Citrix больше не требуется. Требуемые функции теперь являются частью службы виртуальных приложений.

В случае интеграций Horizon убедитесь, что серверы Horizon Connection Server имеют действительные сертификаты, подписанные доверенным центром сертификации (ЦС). Если серверы Horizon Connection Server имеют самозаверяющие сертификаты, необходимо отправить цепочку сертификатов в экземпляры Workspace ONE Access Connector, в которых установлена служба виртуальных приложений, для установления отношений доверия между соединителями и серверами Horizon Connection Server. Это новое требование в Workspace ONE Access Connector 21.08. Отправка сертификатов осуществляется с помощью установщика соединителя. Дополнительные сведения см. в разделе Установка VMware Workspace ONE Access Connector. Обязательно перезапустите службы соединителя после отправки сертификатов.