VMware Identity Manager 3.3.3 | Октябрь 2020 г. | Сборка 17121420 VMware Identity Manager 3.3.3 (для Windows) | Октябрь 2020 г | Сборка VMware Identity Manager Connector Installer.exe Дата выпуска: ноябрь 2020 года Обновление: 17 декабря 2021 г. 25 января 2021 г. 18 декабря 2020 г. 8 декабря 2020 г.

17.12.2021 г. Установлено влияние CVE-2021-44228 и CVE-2021-45046 на этот выпуск. Для устранения этой уязвимости доступны исправления и обходные пути. Дополнительные сведения см. в VMware Security Advisory VMSA-2021-0028.

17.12.2021 г. На этот выпуск также влияет CVE-2021-22056. Для устранения этой уязвимости доступны исправления и обходные пути. Дополнительные сведения см. в VMware Security Advisory VMSA-2021-0030.

08.12.2020 г. Установлено влияние CVE-2020-4006 на этот выпуск. Для устранения этой уязвимости доступны исправления и обходные пути. Дополнительные сведения см. в VMSA-2020-0027.

Что такое информация о версии

В информации о версии рассматриваются указанные ниже темы.

• Продукты, которые можно обновить до VMware Identity Manager 3.3.3
• Новые возможности в версии 3.3.3
• Интернационализация
• Совместимость, установка и обновление
• Документация
• Известные проблемы

Продукты VMware, которые можно обновить до VMware Identity Manager 3.3.3

• Продукты VMware vRealize, такие как vRealize Automation, vRealize Suite Lifecycle Manager (vRSLCM), vRealize Operations, vRealize Business, vRealize Log Insight и vRealize Network Insight для проверки подлинности и единого входа.

  • Для продуктов vRealize, которые развернуты и управление которыми осуществляется с помощью vRealize Suite Lifecycle Manager, может использоваться только VMware Identity Manager 3.3.1, 3.3.2 или 3.3.3.

  • vRealize Suite Lifecycle Manager теперь может выполнять абсолютно новую установку VMware Identity Manager 3.3.3 либо обновление VMware Identity Manager 3.3.1 или 3.3.2 до версии 3.3.3.

• VMware NSX-T Data Center для проверки подлинности и единого входа
  • NSX-T можно развернуть с помощью VMware Identity Manager
  • 3.3.3 или выполнить обновление VMware Identity Manager 3.3.1 или 3.3.2 до версии 3.3.3.

Новые возможности VMware Identity Manager 3.3.3

• Миграция Photon OS

  В VMware Identity Manager 3.3.3 базовая операционная система перенесена с SUSE Linux 11 SP4 в VMware Photon 3.0. Photon 3.0 устраняет известные уязвимости в системе безопасности и представляет собой обновленный программный стек. 

• Поддержка переноса арендаторов из vRA 7.5/vRA 7.6 в VMware Identity Manager
• Изменения в конфигурации развертывания по умолчанию

  В зависимости от требований к ЦП и памяти во время развертывания доступны различные варианты размеров

  • жесткий диск на 100 ГБ;
  • 8 ГБ ОЗУ;
  • 4 процессора vCPU.
  • Очень маленький: 4 ЦП/8 ГБ памяти
  • Маленький: 6 ЦП/10 ГБ памяти
  • Средний: 8 ЦП/16 ГБ памяти
  • Большой: 10 ЦП/16 ГБ памяти
  • Очень большой: 12 ЦП/32 ГБ памяти
  • Обновлено 25 января 2021 г. Сверхбольшой: 14 ЦП/48 ГБ памяти
• Поддержка сертификатов 4096-битных ключей

  Теперь поддерживаются сертификаты SSL 4096-битных ключей для службы и соединителя. Эта реализация обеспечивает повышенную стойкость шифрования сертификатов SSL.

• Встроено в перенос во внешний соединитель для примеров использования IWA/Kerberos

  Обновлено 18 декабря 2020 г.  VMware Identity Manager 3.3.3 не поддерживает IWA (встроенную проверку подлинности Windows) со встроенным соединителем Linux. Это не повлияет на клиентов vRA 8.x, которые используют LDAP или IWA с внешним соединителем Windows. Дополнительные сведения см. в статье https://kb.vmware.com/s/article/82013.

• Оператор может сбросить пароль консоли (или пароль оператора) с помощью команды hznAdminTool:

   /usr/sbin/hznAdminTool setOperatorPassword

Интернационализация

Версия VMware Identity Manager 3.3 доступна на следующих языках.

• Английский
• Французский
• Немецкий
• Испанский
• Японский
• Китайский (упрощенное письмо)
• Корейский
• Китайский (традиционное письмо)
• Русский
• Итальянский
• Португальский (Бразилия)
• Нидерландский

Совместимость, установка и обновление

Совместимость с VMware vCenter™ и VMware ESXi™

Устройство VMware Identity Manager поддерживает следующие версии vSphere и ESXi.

• 6.5 U3, 6.7 U2, 6.7 U3, 7

Совместимость компонентов

Поддерживаемые версии Windows Server

• Windows Server 2012 R2
• Windows Server 2016

Поддерживаемые веб-браузеры

• Mozilla Firefox (новейшая версия)
• Google Chrome 42.0 и более поздних версий
• Internet Explorer 11
• Safari 6.2.8 и более поздних версий
• Microsoft Edge (новейшая версия)

Поддерживаемые базы данных

• Postgres 9.6.19
• MS SQL 2012, 2014 и 2016

Поддерживаемые серверы каталогов

• Active Directory в Windows Server 2012 R2, 2016 и 2019. На функциональном уровне домена и леса поддерживается Windows 2003 и более новые версии этой ОС.
• OpenLDAP — 2.4.42
• Oracle LDAP — Directory Server Enterprise Edition 11g, выпуск 1 (11.1.1.7.0)
• IBM Tivoli LDAP - IBM Security Directory Server 6.3.1

Обновление. Версии компонентов больше не поддерживаются

• Windows Server 2008 R2
• Windows Server 2012

Влияние на соединители Workspace ONE Access Connector или базу данных, которые могут быть установлены в этих версиях Windows Server. Влияние на Active Directory, работающую в этих более ранних версиях Windows Server.

Таблица совместимости продуктов VMware содержит подробную информацию о совместимости текущих и предыдущих версий продуктов и компонентов VMware.

Сведения о других системных требованиях см. в руководстве по установке VMware Identity Manager 3.3 в центре документации по VMware Workspace ONE Access.

Обновление до версии VMware Identity Manager 3.3.3

Примечание.

• Чтобы получить доступ к странице «Настройки устройства» в консоли Workspace ONE Access, убедитесь, что вам назначена роль оператора для арендатора по умолчанию.
• Чтобы настроить параметры SMTP, необходимо войти в систему как пользователь-оператор арендатора по умолчанию из системного домена, а не как администратор-арендатор.
  • Администраторы арендаторов нестандартных арендаторов не уполномочены настраивать параметры SMTP.
• Перенос бизнес-групп VMware vRealize Automation 7.5 или 7.6 в vRealize 8.2

Для обновления VMware Identity Manager до версии 3.3.3 см. статью «Обновление VMware Identity Manager 3.3.3» в центре документации по VMware Workspace ONE Access. Во время обновления все службы будут остановлены, поэтому при его планировании следует учитывать предполагаемое время простоя, если настроен только один соединитель.

VMware Identity Manager можно обновить с версии 3.3.1 или 3.3.2 непосредственно до версии 3.3.3. Чтобы обновить более ранние версии, сначала необходимо выполнить обновление до версии 3.3.1, а затем с этой версии до версии 3.3.3.

Примечание. Если при обновлении VMware Identity Manager для Linux до версии 3.3.2 появляется следующее сообщение об ошибке и процесс обновления прерывается, выполните действия ниже, чтобы обновить сертификат. После обновления сертификата перезапустите обновление.

«Перед этим обновлением необходимо выполнить обновление конфигурации проверки подлинности с помощью сертификата для арендатора <tenantName>. Не удалось выполнить проверку перед обновлением. Выполняется прерывание обновления.»

1. Войдите в консоль VMware Identity Manager.
2. Перейдите в раздел «Управление учетными данными и доступом» > «Настройка».
3. На странице Соединители щелкните ссылку в столбце Рабочий процесс.
4. На вкладке Адаптеры проверки подлинности нажмите CertificateAuthAdapter.
5. В разделе Загруженные сертификаты ЦС щелкните красный значок X рядом с сертификатом для удаления.
6. В разделе Сертификаты корневого и промежуточного центров сертификации щелкните Выбрать файл и повторно добавьте сертификат.
7. Нажмите кнопку Сохранить.

Перенос бизнес-групп VMware vRealize Automation 7.5 или 7.6 в vRealize 8.2

Чтобы перенести бизнес-группы из VMware vRealize Automation 7.5 или 7.6 в версию 8.2, необходимо перенести по одному арендатору за раз из встроенной службы VMware Identity Manager 3.1 во внешнюю службу VMware Identity Manager 3.3.3, как описано в следующей процедуре.
Предпосылки

• VMware Identity Manager — это встроенная служба в vRealize Automation 7.5 и 7.6
• Начиная с vRealize Automation 8.0, VMware Identity Manager становится внешней службой
• vRealize Automation 8.0 и 8.1 поддерживают только новые установки
• vRealize Automation 8.2 поддерживает перенос бизнес-групп из vRealize Automation 7.5 или 7.6. Для переноса бизнес-групп VMware Identity Manager 3.3.3 переносит каждого арендатора из VMware Identity Manager на vRA в версию 3.3.3.

Необходимое условие

• Необходимо настроить действительные адреса электронной почты для всех локальных пользователей арендаторов vRealize Automation 7.5 и 7.6, которых необходимо перенести
•  Включите удаленное подключение к базе данных vRA, чтобы получить к ней доступ. ТОЛЬКО с компьютера vIDM для чтения ID пользователей для настраиваемой миграции групп
• Сведения о сервере SMTP перенесенного арендатора должны быть настроены в службе VMware Identity Manager. Эта информация необходима, чтобы получить инструкции по электронной почте для сброса пароля для всех локальных пользователей.

Процедура

В VMware Identity Manager 3.3.3 миграция по арендаторам выполняется с использованием vRealize Lifecycle Manager. vRealize Lifecycle Manager предоставляет интерфейс пользователя для использования REST API для миграции арендаторов VMware Identity Manager 3.3.3 для миграции по арендаторам. См. раздел Миграция арендаторов с помощью vRealize Suite Lifecycle Manager.

REST API для миграции арендаторов VMware Identity Manager 3.3.3 управляют переносом следующих конфигураций из vRealize Automation 7.5 или 7.6 в VMware Identity Manager 3.3.3.

• Конфигурация арендатора
• Конфигурация сопоставления атрибутов пользователя
• Конфигурация каталога, например локальный каталог, LDAP, IWA, OpenLDAP и JIT
• По умолчанию пользователь подключения будет указан в перенесенных арендаторах как администратор с правами только для чтения
• Конфигурация стороннего поставщика удостоверений
• Политика доступа и конфигурация сетевого диапазона
• Конфигурация настраиваемых групп
• Конфигурация ролей и наборов правил

Ограничения переноса арендаторов в VMware Identity Manager 3.3.3

• Адаптеры проверки подлинности. В процессе переноса арендаторов переносится только PasswordIdpAdapter. Если в vRealize Automation 7.5 или 7.6 настроены другие адаптеры проверки подлинности, в VMware Identity Manager 3.3.3 их необходимо настроить вручную.
• Перенос сторонних поставщиков удостоверений. В процессе переноса арендаторов переносятся конфигурации сторонних поставщиков удостоверений. После переноса необходимо скопировать вручную метаданные поставщика службы VMware Identity Manager для внешнего стороннего поставщика удостоверений.

Соединитель VMware Identity Manager Connector 3.3.3 (Windows)

Если соединитель VMware Identity Manager Connector 3.3.1 и 3.3.2 для Windows установлен с помощью vRealize Suite Lifecycle Manager, будет невозможно выполнить обновление до версии 3.3.3.  Необходимо установить новую версию соединителя Connector 3.3.3.

Если соединитель VMware Identity Manager Connector 3.3.1 или 3.3.2 для Windows установлен с помощью установщика в формате EXE будет невозможно выполнить обновление Connector до версии 3.3.3.

Документация

Документация по VMware Identity Manager 3.3 доступна в центре документации по VMware Workspace ONE Access. Руководство по обновлению до версии 3.3.3 можно найти в подразделе VMware Identity Manager 3.3 раздела установки и архитектуры.

Известные проблемы

• Невозможно сохранить конфигурацию поставщика удостоверений в среде для нескольких сайтов VMware Identity Manager 3.3.3 со встроенными соединителями с дополнительного сайта

  При использовании встроенного соединителя со службой VMware Identity Manager в среде для нескольких сайтов невозможно сохранить конфигурацию поставщика удостоверений на дополнительном сайте.

  Обходное решение: Используйте внешний соединитель для дополнительного сайта.

• Сбой синхронизации после обновления до VMware Identity Manager 3.3.3

  После обновления VMware Identity Manager 3.3.2 до версии 3.3.3 если встроенный соединитель используется с Active Directory через IWA, пользователи могут войти в систему, но синхронизация каталогов завершится сбоем, пока встроенный соединитель не будет перенесен во внешний соединитель VMware Identity Manager на сервере Windows.

  Решение. Обходное решение отсутствует. Каталог необходимо перенести из встроенного соединителя во внешний соединитель VMware Identity Manager Connector.