Чтобы обновить соединитель Workspace ONE Access для Windows до версии 23.09, загрузите новый установщик с VMware Customer Connect на сервер соединителя и запустите установщик. Удалять старую версию соединителя не нужно.
Во время обновления приостанавливается работа имеющихся служб синхронизации каталогов, проверки подлинности пользователей, проверки подлинности Kerberos и служб виртуальных приложений. По завершении обновления данные службы будут автоматически перезапущены.
Важные рекомендации
- Режим FIPS
Если выполняется обновление установки с версии 22.05 или 22.09, для которой включен режим FIPS, обновленный соединитель будет запущен в режиме FIPS. Если выполняется обновление установки с версии 22.05 или 22.09, для которой не включен режим FIPS, или с более ранней версии, чем 22.05, обновленный соединитель будет запущен в режиме без FIPS. Во время обновления или после него нельзя выбрать или отменить режим FIPS. Чтобы изменить параметр режима FIPS, необходимо выполнить новую установку. Дополнительные сведения см. в разделе Обновление соединителя VMware Workspace ONE Access Connector до версии 23.09.
- Файл es-config.json
Файл конфигурации es-config.json устанавливает подключение между службами Workspace ONE Access и соединителем. В большинстве случаев, обновленный и имеющийся соединители могут использовать один файл конфигурации. Однако в некоторых случаях необходимо создать новый файл es-config.json в консоли Workspace ONE Access.
- Если при обновлении с версии 20.01.x или 20.10.x планируется установить службу виртуальных приложений во время или после обновления, необходимо создать и использовать новый файл конфигурации es-config.json. Если установка службы виртуальных приложений не планируется, новый файл конфигурации не требуется. Обновленный и имеющийся соединители могут использовать один файл конфигурации.
- При обновлении с версии 21.08.x или 22.05 и после создания файла конфигурации es-config.json после выпуска Workspace ONE Access 21.08 или облачной версии за сентябрь 2021 г. новый файл es-config.json создавать не нужно.
- Независимо от версии, с которой выполняется обновление, если пароль существующего файла конфигурации es-config.json не соответствует требованиям текущего пароля, создайте новый файл конфигурации с паролем, который соответствует этим требованиям.
Длина пароля должна составлять не менее 14 символов, и он должен содержать крайней мере одну цифру, одну прописную букву и один специальный символ. Разрешено использовать только указанные ниже специальные символы.
@ ! , # $ { } ( ) _ + . < > ? *
Все символы должны быть видимыми, печатаемыми символами ASCII.
- Если вы забыли пароль для существующего файла конфигурации, создайте новый файл конфигурации и используйте его во время обновления.
Чтобы создать новый файл в консоли Workspace ONE Access, перейдите в раздел , нажмите Создать, а затем создайте новый файл на странице мастера «Загрузить файл конфигурации».
Осторожно!: Файл конфигурации содержит конфиденциальную информацию, например URL-адрес клиента, идентификатор арендатора, идентификатор клиента и секретный ключ клиента для каждой из корпоративных служб, а также хэш пароля. Очень важно не предоставлять общий доступ к файлу и не публиковать его. - Конфигурация метода проверки подлинности RSA SecurID (облачная среда) изменена, начиная с выпуска 21.08. При обновлении соединителя с версии 20.10.x или более ранней, в котором настроен метод проверки подлинности RSA SecurID (облачная среда), удалите этот метод из политик доступа, прежде чем обновить все экземпляры службы проверки подлинности пользователей, а затем снова его настройте после обновления. Так как это приводит к простою при входе с использованием RSA SecurID, соответствующим образом спланируйте время обновления.
Ниже приведены шаги высокого уровня по обновлению.
- Убедитесь, что используется устройство диспетчера аутентификации RSA 8.2 с пакетом обновления 1 (SP1) или более поздних версий, которые поддерживает Workspace ONE Access Connector 21.08 или более поздних версий.
- Перед обновлением соединителя удалите метод проверки подлинности RSA SecurID (облачная среда) из политик доступа, в которых он используется.
- Обновите все соединители, на которых установлена служба проверки подлинности пользователей, до версии 23.09.
- Если прокси-сервер настроен с соединителями, убедитесь, что на нем открыт порт связи, настроенный для сервера диспетчера аутентификации RSA.
- Если развернуто несколько экземпляров сервера диспетчера аутентификации RSA, необходимо настроить их за подсистемой балансировки нагрузки и выполнить требования Workspace ONE Access к подсистеме балансировки нагрузки.
- В консоли RSA Security Console убедитесь, что соединитель добавлен в качестве агента проверки подлинности с использованием полного доменного имени (FQDN), например connectorserver.example.com.
- Обновите конфигурацию метода проверки подлинности RSA SecurID (облачная среда).
- Добавьте метод проверки подлинности RSA SecurID (облачная среда) в политики доступа.
- Убедитесь, что все экземпляры соединителя, на которых установлена служба проверки подлинности пользователей, обновлены до версии 23.09. Workspace ONE Access не поддерживает сочетание версий службы проверки подлинности пользователей.
- Соединитель Workspace ONE Access Connector 23.09 поддерживает указанные ниже типы прокси-серверов.
- Прокси-серверы HTTP, не прошедшие проверку подлинности
- Прокси-серверы HTTPS (SSL), не прошедшие проверку подлинности
- Прокси-серверы HTTPS (SSL), прошедшие проверку подлинности
Необходимые условия
- См. раздел Обновление соединителя VMware Workspace ONE Access Connector до версии 23.09.
- Если установленные соединитель расположен на виртуальном сервере Windows, сделайте моментальный снимок виртуальной машины перед обновлением.
- Если планируется установить службу проверки подлинности Kerberos или службу виртуальных приложений, убедитесь, что сервер соединителя присоединен к домену.
- Если настроен метод проверки подлинности RSA SecurID (облачная среда), убедитесь, что используется устройство диспетчера аутентификации RSA версии 8.2 с пакетом обновления 1 (SP1) или более поздней версии.
- Если при обновлении соединителя с версии 20.10.x или более ранней в этом соединителе настроен метод проверки подлинности RSA SecurID (облачная среда), то перед обновлением любых экземпляров соединителя, для которых установлена служба проверки подлинности пользователей, удалите этот метод из политик доступа.
- В консоли Workspace ONE Access перейдите в раздел .
- Просмотрите каждую политику и удалите метод проверки подлинности RSA SecurID (облачная среда), если он входит в политику.
Запишите внесенные изменения, чтобы у вас была информация, необходимая для обратного добавления этого метода проверки подлинности после обновления соединителя.
- Если выполняется обновление с версии 20.01.x и при этом настроен каталог типа «Active Directory со встроенной проверкой подлинности Windows (IWA)», отмените выбор параметра STARTTLS в конфигурации каталога в консоли Workspace ONE Access перед обновлением. После обновления возможности каталога Active Directory с протоколом IWA будут несовместимы с параметром STARTTLS.
Чтобы изменить конфигурацию каталога, перейдите на страницу Все подключения объектов, входящих в данный каталог, выполняются с использованием протокола STARTTLS и нажмите кнопку Сохранить.
выберите каталог, снимите флажокПримечание: Если к соединителю версии 20.01 применено исправление, описанное в статье базы знаний 77158, либо он обновлен до версии 20.01.0.1 или более поздней версии, возможно, выбор параметра STARTTLS уже отменен для каталога Active Directory с протоколом IWA. Убедитесь, что выбор данного параметра отменен. - В консоли Workspace ONE Access приостановите все службы соединителя.
- Выберите .
- Выберите соединитель, а затем щелкните элемент Управление.
- Щелкните переключатель рядом с именем каждой службы, чтобы приостановить ее работу.
- Убедитесь в наличии указанных ниже сведений об учетной записи.
- Учетные данные для VMware Customer Connect
- Если имеющаяся установка содержит службу проверки подлинности Kerberos или службу виртуальных приложений, необходимы учетные данные пользователя домена, используемые для запуска службы.
- Если планируется установить службу проверки подлинности Kerberos или службу виртуальных приложений во время обновления, для запуска этих служб необходима учетная запись пользователя домена. В то время как эти службы выполняются с правами учетной записи пользователя домена, службы синхронизации каталогов и проверки подлинности пользователей выполняются с более низкими правами.
- Если используется метод проверки подлинности RSA SecurID (облачная среда), требуются учетные данные консоли RSA Security Console, чтобы получить сведения, необходимые для повторной настройки метода проверки подлинности в консоли Workspace ONE Access после обновления всех экземпляров соединителя.
Процедура
Результаты
Обновление соединителя завершено. Чтобы убедиться, что установлена новая версия соединителя, перейдите в раздел
на сервере Windows и проверьте указанную версию соединителя.Дальнейшие действия
- В консоли Workspace ONE Access щелкните значок обновления на странице и убедитесь, что обновленные службы активны, а их состояние работоспособности выделено зеленым цветом.
Например:
Если состояние работоспособности выделено красным цветом, перезапустите службы.
- Если в исходной установке был настроен метод проверки подлинности RSA SecurID (облачная среда) и он был удален до обновления соединителя, снова настройте этот метод после обновления всех экземпляров соединителя, для которых установлена служба проверки подлинности пользователей.
- Если развернуто несколько экземпляров сервера диспетчера аутентификации RSA, необходимо настроить их за подсистемой балансировки нагрузки и выполнить требования Workspace ONE Access к подсистеме балансировки нагрузки. См. раздел Требования Workspace ONE Access для подсистемы балансировки нагрузки RSA SecurID.
- Если прокси-сервер настроен с соединителями, убедитесь, что на нем открыт порт связи, настроенный для сервера диспетчера аутентификации RSA.
- В консоли RSA Security Console убедитесь, что соединитель добавлен в качестве агента проверки подлинности с использованием полного доменного имени (FQDN), например connectorserver.example.com. Если соединитель уже добавлен в качестве агента проверки подлинности с использованием имени NetBIOS вместо полного доменного имени (FQDN), добавьте еще одну запись, указав полное доменное имя (FQDN). Оставьте поле IP-адреса пустым для новой записи. Не удаляйте старую запись.
- Обновите конфигурацию метода проверки подлинности RSA SecurID (облачная среда) для всех каталогов, которые включали его в исходной установке.
Подробнее о новой конфигурации см. в разделе Настройка проверки подлинности RSA SecurID в Workspace ONE Access.
- Добавьте метод проверки подлинности RSA SecurID (облачная среда) во все политики доступа, включенные в исходную установку.
Политики доступа можно изменить на странице
.