Чтобы обновить соединитель Workspace ONE Access для Windows до версии 23.09, загрузите новый установщик с VMware Customer Connect на сервер соединителя и запустите установщик. Удалять старую версию соединителя не нужно.

Во время обновления приостанавливается работа имеющихся служб синхронизации каталогов, проверки подлинности пользователей, проверки подлинности Kerberos и служб виртуальных приложений. По завершении обновления данные службы будут автоматически перезапущены.

Примечание: В этом документе показано, как обновить соединитель с помощью графического интерфейса пользователя. Чтобы обновить соединитель с использованием автоматической установки, см. раздел Запуск установщика Workspace ONE Access Connector в автоматическом режиме.

Важные рекомендации

  • Режим FIPS

    Если выполняется обновление установки с версии 22.05 или 22.09, для которой включен режим FIPS, обновленный соединитель будет запущен в режиме FIPS. Если выполняется обновление установки с версии 22.05 или 22.09, для которой не включен режим FIPS, или с более ранней версии, чем 22.05, обновленный соединитель будет запущен в режиме без FIPS. Во время обновления или после него нельзя выбрать или отменить режим FIPS. Чтобы изменить параметр режима FIPS, необходимо выполнить новую установку. Дополнительные сведения см. в разделе Обновление соединителя VMware Workspace ONE Access Connector до версии 23.09.

  • Файл es-config.json

    Файл конфигурации es-config.json устанавливает подключение между службами Workspace ONE Access и соединителем. В большинстве случаев, обновленный и имеющийся соединители могут использовать один файл конфигурации. Однако в некоторых случаях необходимо создать новый файл es-config.json в консоли Workspace ONE Access.

    • Если при обновлении с версии 20.01.x или 20.10.x планируется установить службу виртуальных приложений во время или после обновления, необходимо создать и использовать новый файл конфигурации es-config.json. Если установка службы виртуальных приложений не планируется, новый файл конфигурации не требуется. Обновленный и имеющийся соединители могут использовать один файл конфигурации.
    • При обновлении с версии 21.08.x или 22.05 и после создания файла конфигурации es-config.json после выпуска Workspace ONE Access 21.08 или облачной версии за сентябрь 2021 г. новый файл es-config.json создавать не нужно.
    • Независимо от версии, с которой выполняется обновление, если пароль существующего файла конфигурации es-config.json не соответствует требованиям текущего пароля, создайте новый файл конфигурации с паролем, который соответствует этим требованиям.

      Длина пароля должна составлять не менее 14 символов, и он должен содержать крайней мере одну цифру, одну прописную букву и один специальный символ. Разрешено использовать только указанные ниже специальные символы.

      @ ! , # $ { } ( ) _ + . < > ? *

      Все символы должны быть видимыми, печатаемыми символами ASCII.

    • Если вы забыли пароль для существующего файла конфигурации, создайте новый файл конфигурации и используйте его во время обновления.

    Чтобы создать новый файл в консоли Workspace ONE Access, перейдите в раздел Интеграции > Соединители, нажмите Создать, а затем создайте новый файл на странице мастера «Загрузить файл конфигурации».

    Осторожно!: Файл конфигурации содержит конфиденциальную информацию, например URL-адрес клиента, идентификатор арендатора, идентификатор клиента и секретный ключ клиента для каждой из корпоративных служб, а также хэш пароля. Очень важно не предоставлять общий доступ к файлу и не публиковать его.
  • Конфигурация метода проверки подлинности RSA SecurID (облачная среда) изменена, начиная с выпуска 21.08. При обновлении соединителя с версии 20.10.x или более ранней, в котором настроен метод проверки подлинности RSA SecurID (облачная среда), удалите этот метод из политик доступа, прежде чем обновить все экземпляры службы проверки подлинности пользователей, а затем снова его настройте после обновления. Так как это приводит к простою при входе с использованием RSA SecurID, соответствующим образом спланируйте время обновления.

    Ниже приведены шаги высокого уровня по обновлению.

    1. Убедитесь, что используется устройство диспетчера аутентификации RSA 8.2 с пакетом обновления 1 (SP1) или более поздних версий, которые поддерживает Workspace ONE Access Connector 21.08 или более поздних версий.
    2. Перед обновлением соединителя удалите метод проверки подлинности RSA SecurID (облачная среда) из политик доступа, в которых он используется.
    3. Обновите все соединители, на которых установлена служба проверки подлинности пользователей, до версии 23.09.
    4. Если прокси-сервер настроен с соединителями, убедитесь, что на нем открыт порт связи, настроенный для сервера диспетчера аутентификации RSA.
    5. Если развернуто несколько экземпляров сервера диспетчера аутентификации RSA, необходимо настроить их за подсистемой балансировки нагрузки и выполнить требования Workspace ONE Access к подсистеме балансировки нагрузки.
    6. В консоли RSA Security Console убедитесь, что соединитель добавлен в качестве агента проверки подлинности с использованием полного доменного имени (FQDN), например connectorserver.example.com.
    7. Обновите конфигурацию метода проверки подлинности RSA SecurID (облачная среда).
    8. Добавьте метод проверки подлинности RSA SecurID (облачная среда) в политики доступа.
  • Убедитесь, что все экземпляры соединителя, на которых установлена служба проверки подлинности пользователей, обновлены до версии 23.09. Workspace ONE Access не поддерживает сочетание версий службы проверки подлинности пользователей.
  • Соединитель Workspace ONE Access Connector 23.09 поддерживает указанные ниже типы прокси-серверов.
    • Прокси-серверы HTTP, не прошедшие проверку подлинности
    • Прокси-серверы HTTPS (SSL), не прошедшие проверку подлинности
    • Прокси-серверы HTTPS (SSL), прошедшие проверку подлинности

Необходимые условия

  • См. раздел Обновление соединителя VMware Workspace ONE Access Connector до версии 23.09.
  • Если установленные соединитель расположен на виртуальном сервере Windows, сделайте моментальный снимок виртуальной машины перед обновлением.
  • Если планируется установить службу проверки подлинности Kerberos или службу виртуальных приложений, убедитесь, что сервер соединителя присоединен к домену.
  • Если настроен метод проверки подлинности RSA SecurID (облачная среда), убедитесь, что используется устройство диспетчера аутентификации RSA версии 8.2 с пакетом обновления 1 (SP1) или более поздней версии.
  • Если при обновлении соединителя с версии 20.10.x или более ранней в этом соединителе настроен метод проверки подлинности RSA SecurID (облачная среда), то перед обновлением любых экземпляров соединителя, для которых установлена служба проверки подлинности пользователей, удалите этот метод из политик доступа.
    1. В консоли Workspace ONE Access перейдите в раздел Ресурсы > Политики.
    2. Просмотрите каждую политику и удалите метод проверки подлинности RSA SecurID (облачная среда), если он входит в политику.

      Запишите внесенные изменения, чтобы у вас была информация, необходимая для обратного добавления этого метода проверки подлинности после обновления соединителя.

  • Если выполняется обновление с версии 20.01.x и при этом настроен каталог типа «Active Directory со встроенной проверкой подлинности Windows (IWA)», отмените выбор параметра STARTTLS в конфигурации каталога в консоли Workspace ONE Access перед обновлением. После обновления возможности каталога Active Directory с протоколом IWA будут несовместимы с параметром STARTTLS.

    Чтобы изменить конфигурацию каталога, перейдите на страницу Интеграции > Каталоги выберите каталог, снимите флажок Все подключения объектов, входящих в данный каталог, выполняются с использованием протокола STARTTLS и нажмите кнопку Сохранить.

    Примечание: Если к соединителю версии 20.01 применено исправление, описанное в статье базы знаний 77158, либо он обновлен до версии 20.01.0.1 или более поздней версии, возможно, выбор параметра STARTTLS уже отменен для каталога Active Directory с протоколом IWA. Убедитесь, что выбор данного параметра отменен.
  • В консоли Workspace ONE Access приостановите все службы соединителя.
    1. Выберите Интеграции > Соединители .
    2. Выберите соединитель, а затем щелкните элемент Управление.
    3. Щелкните переключатель рядом с именем каждой службы, чтобы приостановить ее работу.
  • Убедитесь в наличии указанных ниже сведений об учетной записи.
    • Учетные данные для VMware Customer Connect
    • Если имеющаяся установка содержит службу проверки подлинности Kerberos или службу виртуальных приложений, необходимы учетные данные пользователя домена, используемые для запуска службы.
    • Если планируется установить службу проверки подлинности Kerberos или службу виртуальных приложений во время обновления, для запуска этих служб необходима учетная запись пользователя домена. В то время как эти службы выполняются с правами учетной записи пользователя домена, службы синхронизации каталогов и проверки подлинности пользователей выполняются с более низкими правами.
    • Если используется метод проверки подлинности RSA SecurID (облачная среда), требуются учетные данные консоли RSA Security Console, чтобы получить сведения, необходимые для повторной настройки метода проверки подлинности в консоли Workspace ONE Access после обновления всех экземпляров соединителя.

Процедура

  1. При необходимости создайте новый файл конфигурации в консоли Workspace ONE Access.
    1. а. Войдите в консоль Workspace ONE Access в качестве администратора домена системы.
      Совет: При облачных развертываниях администратором домена системы является администратор, учетные данные которого предоставляются при получении арендатора Workspace ONE Access. При локальных развертываниях администратором домена системы является администратор, созданный при установке экземпляра Workspace ONE Access.
    2. б. Выберите Интеграции > Соединители .
    3. в. Нажмите кнопку Создать.
    4. г. В мастере добавления нового соединителя нажмите кнопку Далее.
    5. д. На странице «Загрузка файла конфигурации» создайте файл конфигурации, создав пароль и нажав кнопку Загрузить файл конфигурации.

      Длина пароля должна составлять не менее 14 символов, и он должен содержать крайней мере одну цифру, одну прописную букву и один специальный символ. Разрешено использовать только указанные ниже специальные символы.

      @ ! , # $ { } ( ) _ + . < > ? *

      Все символы должны быть видимыми, печатаемыми символами ASCII.

      Файл конфигурации используется для создания связи между устанавливаемыми корпоративными службами и арендатором Workspace ONE Access. По умолчанию файл называется es-config.json.
      Осторожно!: Файл конфигурации содержит конфиденциальную информацию, например URL-адрес клиента, идентификатор арендатора, идентификатор клиента и секретный ключ клиента для каждой из корпоративных служб, а также хэш пароля. Очень важно не предоставлять общий доступ к файлу и не публиковать его.
    6. е. Перенесите файл конфигурации на сервер Windows, на котором установлен соединитель предыдущей версии.
  2. Загрузите соединитель Workspace ONE Access Connector 23.09 с портала VMware Customer Connect.
    1. а. Войдите на веб-сайт https://customerconnect.vmware.com/.
    2. б. Перейдите на страницу Загрузка Workspace ONE Access Connector.
    3. в. Загрузите файл Workspace-ONE-Access-Connector-Installer-23.09.0.0.exe.
  3. Сохраните файл установщика на сервере Windows, где установлен соединитель предыдущей версии.
  4. Дважды щелкните файл Workspace-ONE-Access-Connector-Installer-23.09.0.0.exe, чтобы запустить установщик.
    Установщик определит необходимость обновления и поможет выполнить обновление.
    ""
  5. Следуйте указаниям мастера для обновления соединителя.
    • Если во время обновления появляется страница «Укажите конфигурацию», выберите новый или существующий файл конфигурации и укажите его пароль. Имя файла по умолчанию — es-config.json.
    • Во время обновления появится страница «Установка доверенных корневых сертификатов». Доверенные корневые сертификаты можно отправить в хранилище доверия. Соединитель может установить безопасные подключения к серверам и клиентам, цепочка сертификатов которых включает любой из сертификатов, отправленных в хранилище доверия. Ниже приведены сценарии, в которых требуются доверенные корневые сертификаты.
      • Если в экземпляре локальной службы Workspace ONE Access используется самозаверяющий сертификат, необходимо передать его и, при необходимости, промежуточный сертификат в корневой каталог, чтобы установить доверие между корпоративными службами и экземпляром службы Workspace ONE Access (только для локальных установок).
      • При развертывании нескольких экземпляров службы проверки подлинности Kerberos за пределами подсистемы балансировки нагрузки в экземплярах соединителя необходимо установить сертификат корневого центра сертификации подсистемы балансировки нагрузки, чтобы установить доверие между соединителями и подсистемой балансировки нагрузки (только для службы проверки подлинности Kerberos).
      • Если создаются коллекции виртуальных приложений для интеграции с VMware Horizon, Horizon Cloud Service в Microsoft Azure с функцией брокера для отдельных модулей или Horizon Cloud Service в IBM Cloud, а серверы Horizon имеют самозаверяющие сертификаты, необходимо отправить цепочку сертификатов в экземпляры соединителя, в которых установлена служба виртуальных приложений, для установления доверия между соединителями и серверами Horizon (только для службы виртуальных приложений). Если серверы Horizon имеют сертификаты, подписанные общедоступным центром сертификации, их не нужно отправлять в хранилище доверия соединителя. Настоятельно рекомендуется использовать сертификаты, подписанные общедоступным центром сертификации.

      При отправке сертификатов во время обновления обязательно перезапустите службы после завершения обновления.

      Отправка сертификатов является необязательным этапом обновления. Кроме того, после обновления можно отправить сертификаты, снова запустив установщик.

      Мастер установки — страница «Доверенный корневой сертификат»
    • Во время обновления установщик устанавливает OpenJDK 11.
    • Во время обновления можно изменить любые настройки для имеющихся служб. Кроме того, можно установить другие службы. Например, если установленная конфигурация включает в себя только службу синхронизации каталогов, а вы хотите установить службы проверки подлинности пользователей и проверки подлинности Kerberos, это можно сделать во время обновления.

      Для получения информации о требованиях, масштабировании, установке и настройках см. раздел Установка соединителя VMware Workspace ONE Access Connector 23.09.

    • Если используется процесс выборочной установки, во время обновления появится новая страница «Конфигурация Citrix» (только для службы виртуальных приложений). Параметры на этой странице применяются к интеграции Workspace ONE Access со средой Citrix, в которой настроено агрегирование нескольких сред или фильтрация ключевых слов.

      Параметры конфигурации Citrix не выбраны.

      Дополнительные сведения см. в разделе Настройка агрегирования нескольких сайтов и фильтрации ключевых слов Citrix в Workspace ONE Access в документе Настройка ресурсов в Workspace ONE Access и Установка соединителя Workspace ONE Access Connector.

      Параметры можно настроить во время обновления или после обновления, снова запустив установщик соединителя.

    • С помощью соединителя версии 23.09 вместо одного сервера можно указать несколько внешних серверов системного журнала для хранения сообщений о событиях на уровне приложений. Данные серверов системного журнала можно ввести на странице «Указание сведений о сервере системного журнала» во время обновления.

      Используйте следующий формат:

      host:port,host:port,host:port

      Здесь host — это полное доменное имя или IP-адрес сервера системного журнала, а port — это номер порта. Например:

      syslog1.example.com:514,syslog2.example.com:601,syslog3.example.com:163

  6. После успешного завершения обновления убедитесь, что на сервере Windows запущены обновленные службы.
    Если службы не работаю, запустите их.
    Службы соединителя имеют указанные ниже имена.
    • Служба синхронизации каталогов VMware
    • Служба проверки подлинности пользователей VMware
    • Служба проверки подлинности Kerberos VMware
    • Служба виртуальных приложений VMware

    В службах отображается состояние «Выполняется».

Результаты

Обновление соединителя завершено. Чтобы убедиться, что установлена новая версия соединителя, перейдите в раздел Панель управления > Программы > Программы и компоненты на сервере Windows и проверьте указанную версию соединителя.

Дальнейшие действия

  • В консоли Workspace ONE Access щелкните значок обновления на странице Интеграции > Соединители и убедитесь, что обновленные службы активны, а их состояние работоспособности выделено зеленым цветом.
    Например:
    в списке на странице «Соединители» значится один соединитель со службами синхронизации каталогов, проверки подлинности пользователей и виртуальных приложений. Службы находятся в активном состоянии, а в столбце «Работоспособность» отображается зеленый флажок.

    Если состояние работоспособности выделено красным цветом, перезапустите службы.

  • Если в исходной установке был настроен метод проверки подлинности RSA SecurID (облачная среда) и он был удален до обновления соединителя, снова настройте этот метод после обновления всех экземпляров соединителя, для которых установлена служба проверки подлинности пользователей.
    1. Если развернуто несколько экземпляров сервера диспетчера аутентификации RSA, необходимо настроить их за подсистемой балансировки нагрузки и выполнить требования Workspace ONE Access к подсистеме балансировки нагрузки. См. раздел Требования Workspace ONE Access для подсистемы балансировки нагрузки RSA SecurID.
    2. Если прокси-сервер настроен с соединителями, убедитесь, что на нем открыт порт связи, настроенный для сервера диспетчера аутентификации RSA.
    3. В консоли RSA Security Console убедитесь, что соединитель добавлен в качестве агента проверки подлинности с использованием полного доменного имени (FQDN), например connectorserver.example.com. Если соединитель уже добавлен в качестве агента проверки подлинности с использованием имени NetBIOS вместо полного доменного имени (FQDN), добавьте еще одну запись, указав полное доменное имя (FQDN). Оставьте поле IP-адреса пустым для новой записи. Не удаляйте старую запись.
    4. Обновите конфигурацию метода проверки подлинности RSA SecurID (облачная среда) для всех каталогов, которые включали его в исходной установке.

      Подробнее о новой конфигурации см. в разделе Настройка проверки подлинности RSA SecurID в Workspace ONE Access.

    5. Добавьте метод проверки подлинности RSA SecurID (облачная среда) во все политики доступа, включенные в исходную установку.

      Политики доступа можно изменить на странице Ресурсы > Политики.