Выполните миграцию имеющихся каталогов и коллекций виртуальных приложений из соединителей Workspace ONE Access версии 19.03 или 19.03.0.1 на соединители версии 22.09 с помощью панели управления переносом. Процесс переноса выполняется поэтапно, позволяя перед его завершением протестировать среду с помощью новых соединителей.
Этапы переноса
Процесс переноса включает в себя следующие этапы.
- Установка соединителей версии 22.09
Установите новые соединители версии 22.09, которые содержат службы синхронизации каталогов, проверки подлинности пользователей и проверки подлинности Kerberos, а также службы виртуальных приложений. Как минимум, установите службу синхронизации каталогов. Установите службу проверки подлинности пользователей, если на устаревших соединителях настроена проверка подлинности с использованием соединителя. Установите службу проверки подлинности Kerberos, если на устаревших соединителях настроен метод проверки подлинности Kerberos. Установите службу виртуальных приложений, если на устаревших соединителях настроены коллекции виртуальных приложений.
- Перенос каталогов
На этом этапе осуществляется перенос всех данных каталога с помощью мастера переноса каталогов. Большая часть необходимой информации предварительно заполняется из сведений о среде, но некоторые конфиденциальные данные, такие как пароль пользователя привязки каталога, вводятся вручную.
При переносе каталогов на этом этапе не изменяется ни один из существующих каталогов, методов проверки подлинности или конфигураций поставщиков удостоверений. Все еще используются старые соединители. Изменения вступят в силу только после перехода к этапу предварительного просмотра.
- Миграция коллекций виртуальных приложений
На этом этапе необходимо выбрать соединители, на которые следует перенести имеющиеся коллекции виртуальных приложений. Новые настройки вступят в силу только после перехода к этапу предварительного просмотра.
- Предварительный просмотр
На этапе предварительного просмотра показана среда с новыми соединителями версии 22.09. Новые службы синхронизации каталогов, проверки подлинности пользователей и проверки подлинности Kerberos, а также службы виртуальных приложений из соединителей версии 22.09 выполняют синхронизацию каталогов, проверку подлинности пользователей и синхронизацию виртуальных приложений. Все методы проверки подлинности, кроме Kerberos, работают в режиме поддержки исходящих соединений.
Этап предварительного просмотра предназначен для тщательного тестирования среды с новыми службами. Проверьте правильность работы синхронизации каталогов и виртуальных приложений, проверки подлинности пользователей и запуска приложений.
На этапе предварительного просмотра нельзя создавать, изменять и удалять каталоги, методы проверки подлинности, поставщиков удостоверений или коллекции виртуальных приложений.
На этапе предварительного просмотра можно выполнить откат к использованию старых соединителей. При откате сохраняются данные каталогов, перенос которых был выполнен на предыдущем этапе. Если позже будут внесены любые изменения в существующие каталоги, методы проверки подлинности или поставщики удостоверений, обязательно повторите перенос данных каталогов.
- Завершение переноса
Когда будут получены удовлетворительные результаты тестирования новой среды, можно завершить перенос. После завершения переноса откат к использованию старых соединителей будет невозможен.
Необходимые условия
- Ознакомьтесь с требованиями, перечисленными в разделе Требования для миграции на соединитель Workspace ONE Access Connector 22.09.
- Убедитесь, что в среде установлены только соединители версии 19.03.x. Если имеются соединители более ранней версии, обновите их до версии 19.03.x перед выполнением миграции.
- Подготовьте один или несколько серверов Windows для соединителей версии 22.09.
Дополнительные сведения см. в разделе Требования для миграции на соединитель Workspace ONE Access Connector 22.09.
- При использовании локального виртуального устройства Workspace ONE Access перед миграцией соединителей обновите его до версии 22.09.
- При установке службы проверки подлинности пользователей убедитесь, что в среде нет экземпляров службы проверки подлинности пользователей версий 22.05, 21.x или 20.x. В рамках миграции будут установлены соединители версии 22.09. Все экземпляры службы проверки подлинности пользователей в вашей среде должны иметь версию 22.09. Миграцию невозможно продолжить при наличии нескольких версий службы проверки подлинности пользователей.
- Если на соединителях Connector 19.03.x настроен метод проверки подлинности RSA SecurID:
- Убедитесь, что используется устройство диспетчера аутентификации RSA версии 8.2 с пакетом обновления 1 (SP1) или более поздней. Соединитель Workspace ONE Access Connector 22.09 поддерживает устройство диспетчера проверки подлинности RSA 8.2 с пакетом обновления 1 (SP1) и более поздних версий.
- Если развернуто несколько экземпляров сервера диспетчера аутентификации RSA, их необходимо настроить за подсистемой балансировки нагрузки для должной интеграции с Workspace ONE Access. Убедитесь, что соблюдены требования, перечисленные в разделе Требования Workspace ONE Access для подсистемы балансировки нагрузки RSA SecurID в руководстве Управление методами проверки подлинности пользователей в Workspace ONE Access.
- В консоли RSA Security Console убедитесь, что соединитель добавлен в качестве агента проверки подлинности с использованием полного доменного имени (FQDN), например connectorserver.example.com. Если соединитель уже добавлен в качестве агента проверки подлинности с использованием имени NetBIOS вместо полного доменного имени (FQDN), добавьте еще одну запись, указав полное доменное имя (FQDN). Оставьте поле IP-адреса пустым для новой записи. Не удаляйте старую запись.
- В рамках процесса миграции необходимо настроить метод проверки подлинности RSA SecurID. К информации, необходимой для настройки метода проверки подлинности, относятся имя узла диспетчера аутентификации RSA или подсистемы балансировки нагрузки, порт связи, ключ доступа и сертификат SSL диспетчера аутентификации RSA или подсистемы балансировки нагрузки, если на сервере используется самозаверяющий сертификат. Поскольку некоторые сведения поступают из консоли RSA Security Console, также необходимы учетные данные консоли Security Console.
- Если прокси-сервер настроен с помощью соединителя, на прокси-сервере должен быть открыт порт связи, настроенный для сервера диспетчера аутентификации RSA.
- При установке службы проверки подлинности пользователей на новом сервере Windows перед началом переноса соединителей добавьте сервер Windows в качестве агента на сервер диспетчера аутентификации RSA.
- Если какой-либо поставщик удостоверений связан с несколькими каталогами, измените конфигурацию так, чтобы каждый поставщик удостоверений был связан только с одним каталогом (только для локальных установок Workspace ONE Access).
- Перед переносом каталогов включите параметр Синхронизировать участников группы с каталогом при добавлении группы и убедитесь в правильности синхронизации пользователей, групп и составов группах.
- В консоли Workspace ONE Access выберите .
- Щелкните Изменить, установите флажок Синхронизировать участников группы с каталогом при добавлении группы, а затем нажмите Сохранить.
- Перейдите на вкладку Параметры синхронизации каталога, разверните раздел Группы и нажмите Сохранить. Затем разверните раздел Пользователи и нажмите Сохранить.
Важно!: Этот шаг необходим для вступления в силу изменений на странице «Параметры входа».
- Дождитесь успешного завершения нескольких этапов синхронизации каталогов с соответствующими пользователями, группами и составами групп, синхронизируемыми с Workspace ONE Access.
- Перед началом миграции убедитесь, что ни для одного из каталогов не запущен процесс синхронизации каталогов.
- Если включен компонент People Search, перед началом миграции убедитесь, что ни для одного из каталогов не запущен процесс синхронизации фотографий.
- Помните, что, если во время миграции Connector 19.03.x, с которым не связан ни один каталог, выбрать параметр Последняя версия Workspace ONE Access Connector на шаге 5, миграция считается завершенной, а Connector 19.03.x удаляется из арендатора. Если вы позже решите использовать устаревшие соединители и измените выбранные соединители с помощью кнопки Сбросить выбор соединителя, то соединитель версии 19.03.x не отобразится. Соединитель версии 19.03.x понадобится переустановить для его повторной активации в службе.
Процедура
Результаты
Все каталоги и коллекции виртуальных приложений будут перенесены на новые соединители версии 22.09. Новые службы синхронизации каталогов, проверки подлинности пользователей и проверки подлинности Kerberos, а также службы виртуальных приложений теперь выполняют синхронизацию каталогов, проверку подлинности пользователей и синхронизацию виртуальных приложений.
Для каждого каталога создаются новые поставщики удостоверений, которые появляются на странице Поставщики удостоверений с именем Мигрированный IDP для каталога. Новые поставщики удостоверений имеют тип «встроенный». Для проверки подлинности Kerberos создается отдельный поставщик удостоверений типа Workspace_IDP.
Все методы проверки подлинности, кроме Kerberos, преобразуются в исходящие методы и переименовываются с добавлением суффикса (облачное развертывание). Например, метод проверки подлинности Пароль будет переименован в метод Пароль (облачная среда). Просмотр и управление новыми методами проверки подлинности доступны на странице Методы проверки подлинности соединителя Connector.
Дальнейшие действия
- После завершения переноса нужно удалить старые версии соединителей Connector 19.03.x с серверов, на которых они установлены.
При переносе коллекций виртуальных приложений ThinApp удалите соединители для Linux.
- После завершения переноса Integration Broker для интеграции Citrix больше не требуется. Требуемые функции теперь являются частью службы виртуальных приложений.
- Для интеграции Horizon и Horizon Cloud убедитесь, что серверы Horizon Connection Server или базовые серверы Horizon арендатора Horizon Cloud имеют действительные сертификаты, подписанные доверенным центром сертификации (ЦС). Если серверы Horizon имеют самозаверяющие сертификаты, необходимо отправить цепочку сертификатов в экземпляры Workspace ONE Access Connector, в которых установлена служба виртуальных приложений, для установления доверия между соединителями и серверами Horizon. Это новое требование, начиная с Workspace ONE Access Connector 21.08. Отправка сертификатов осуществляется с помощью установщика соединителя. Дополнительные сведения см. в статье Установка соединителя VMware Workspace ONE Access Connector 22.09. Обязательно перезапустите службы соединителя после отправки сертификатов.