Выполните перенос имеющихся каталогов в Workspace ONE Access Connector 20.10 с помощью панели управления переносом. Процесс переноса выполняется поэтапно, позволяя перед его завершением протестировать среду с помощью новых соединителей.

Процесс переноса включает в себя следующие этапы.

  • Установка Connector 20.10

    Установите новые соединители Connector 20.10, которые содержат службы синхронизации каталогов, проверки подлинности пользователей и проверки подлинности Kerberos. Как минимум, установите службу синхронизации каталогов и проверки подлинности пользователей. Установите службу проверки подлинности Kerberos, если у вас настроен метод проверки подлинности Kerberos.

  • Перенос на новые соединители

    На этом этапе осуществляется перенос всех данных каталога с помощью мастера переноса каталогов. Большая часть необходимой информации предварительно заполняется из сведений о среде, но некоторые конфиденциальные данные, такие как пароль пользователя привязки каталога, вводятся вручную.

    При переносе каталогов на этом этапе не изменяется ни один из существующих каталогов, методов проверки подлинности или конфигураций поставщиков удостоверений. Все еще используются старые соединители. Изменения вступят в силу только после перехода к этапу предварительного просмотра на следующем шаге.

  • Предварительный просмотр

    На этапе предварительного просмотра показана среда с новыми Connector 20.10. Новые службы синхронизации каталогов, проверки подлинности пользователей и проверки подлинности Kerberos из Connector 20.10 выполняют синхронизацию каталогов и проверку подлинности пользователей. Все методы проверки подлинности, кроме Kerberos, работают в режиме поддержки исходящих соединений.

    Этап предварительного просмотра предназначен для тщательного тестирования среды с новыми службами. Проверьте правильность работы синхронизации каталогов, проверки подлинности пользователей и запуска приложений.

    На этапе предварительного просмотра нельзя изменять или добавлять каталоги, методы проверки подлинности и поставщиков удостоверений.

    На этапе предварительного просмотра можно выполнить откат к использованию старых соединителей. При откате сохраняются данные каталогов, перенос которых был выполнен на предыдущем этапе. Если позже будут внесены любые изменения в существующие каталоги, методы проверки подлинности или поставщики удостоверений, обязательно повторите перенос данных каталогов.

  • Завершение переноса

    Когда будут получены удовлетворительные результаты тестирования новой среды, можно завершить перенос. После завершения переноса откат к использованию старых соединителей будет невозможен.

Необходимые условия

  • См. требования в Миграция на VMware Workspace ONE Access Connector 20.10.
  • Убедитесь, что в среде установлены только соединители версии 19.03.x. Если имеются соединители более ранней версии, обновите их до версии 19.03.x.
  • Подготовьте один или несколько серверов Windows для новых соединителей Connector 20.10. См. пункт Рекомендации по масштабированию в разделе Установка Workspace ONE Access Connector 20.10.

    Connector 20.10 можно установить как на новом сервере, так и на сервере устаревших соединителей Connector 19.03.x. Однако если на устаревшем соединителе настроена проверка подлинности Kerberos, для установки службы проверки подлинности Kerberos 20.10 необходимо использовать отдельный сервер Windows. Не устанавливайте новую службу проверки подлинности Kerberos на сервере соединителя Connector 19.03.x. Workspace ONE Access не поддерживает несколько экземпляров Kerberos на одном сервере.

    Если проверка подлинности Kerberos не настроена на устаревшем соединителе и необходимо установить новый Connector 20.10 на сервере устаревших соединителей версии 19.03.x, дополнительные требования см. в разделе Миграция на последний соединитель на сервере Windows, на котором запущен Workspace ONE Access Connector 19.03.x.

  • Если имеется локальный экземпляр службы Workspace ONE Access, перед переносом соединителей обновите его до версии 20.10.
  • Если используется метод проверки подлинности RSA SecurID, настроенный для любого каталога, очистите секрет для узла в консоли RSA Security.

    Кроме того, при установке службы проверки подлинности пользователей на новом сервере Windows перед началом переноса соединителей добавьте сервер Windows в качестве агента на сервер SecurID.

  • Если какой-либо поставщик удостоверений связан с несколькими каталогами, измените конфигурацию так, чтобы каждый поставщик удостоверений был связан только с одним каталогом.
  • Перед началом процесса переноса убедитесь, что ни для одного из каталогов не запущен процесс синхронизации каталогов.
  • Если включен компонент People Search, перед началом процесса переноса убедитесь, что ни для одного из каталогов не запущен процесс синхронизации фотографий.
  • Помните, что если во время переноса Connector 19.03.x, с которым не связан ни один каталог, выбрать параметр Workspace ONE Access Connector 20.10 на шаге 5, перенос считается завершенным, а Connector 19.03.x удаляется из службы. Если вы позже решите использовать устаревшие соединители и измените выбранные соединители с помощью кнопки Сброс использования виртуальных приложений, то Connector 19.03.x не отобразится. Connector 19.03.x понадобится переустановить для его повторной активации в службе.

Процедура

  1. Откройте вкладку Управление учетными данными и доступом.
    Отобразится страница переноса.
    Страница переноса
  2. Просмотрите требования, а затем нажмите кнопку Да.
    Отобразится панель управления переносом каталогов.
  3. На панели управления переносом каталогов щелкните ссылку Начало работы в разделе Установка Connector 20.01 или более поздних версий.

    Панель установки новых соединителей в панели управления переносом каталогов
  4. На странице «Соединители» щелкните Создать.
    Отобразится страница «Соединители»
  5. Во всплывающем окне «Подтверждение использования виртуальных приложений» выберите Workspace ONE Access Connector 20.10, если не будут использоваться виртуальные приложения (интеграции Horizon, Horizon Cloud и Citrix).
    Если виртуальные приложения будут использоваться, выберите Устаревшие соединители, чтобы выйти из процесса переноса. Виртуальные приложения поддерживаются только с устаревшими соединителями.
    Вопрос об использовании виртуальных приложений
    Важно!: Принимайте взвешенное решение, учитывая свои бизнес-потребности. Если позже понадобится изменить выбранные варианты, это можно будет сделать только до определенного момента в процессе переноса. См. Сброс параметра использования виртуальных приложений в Workspace ONE Access.
  6. Следуйте указаниям мастера добавления нового соединителя, чтобы загрузить установщик соединителя и необходимый файл конфигурации, а затем установите новый соединитель.
    Сведения об установке см. в разделе Установка VMware Workspace ONE Access Connector 20.10. В частности, см. пункты Предварительные требования для установки Workspace ONE Access Connector и Установка Workspace ONE Access Connector.
    Важно!: При установке соединителя убедитесь, что установлены службы синхронизации каталогов и проверки подлинности пользователей. Служба проверки подлинности Kerberos требуется только в том случае, если используется метод проверки подлинности Kerberos на любом из устаревших соединителей.
  7. После успешного завершения установки соединителя вернитесь на панель управления переносом каталогов в служебной консоли Workspace ONE Access.
  8. В разделе Перенос на новые соединители выполните перенос всех каталогов по одному.
    Раздел переноса каталогов на панели управления переносом
    В разделе «Перенос на новые соединители» приведены все каталоги Active Directory и LDAP в арендаторе. Прежде чем завершить перенос, необходимо выполнить перенос всех указанных каталогов.
    Примечание: При переносе каталогов на этом шаге не изменяются существующие каталоги, методы проверки подлинности или конфигурации поставщиков удостоверений, изменения вступят в силу только после предварительного просмотра изменений на следующем шаге.
    1. а. Нажмите кнопку Перенос рядом с каталогом.
      Откроется мастер переноса каталогов. Мастер подстраивается под переносимый каталог. Для методов проверки подлинности, настроенных в каталоге, появятся дополнительные страницы.
    2. б. На странице каталога введите пароль пользователя привязки для каталога.
      В списке Узлы синхронизации каталогов отображаются новые узлы Connector 20.10, на которых установлена служба синхронизации каталогов. Выберите один или несколько узлов, которые будут использоваться для синхронизации каталога.
      Мастер переноса каталогов — страница каталога
    3. в. (Отображается только в том случае, если настроен метод проверки подлинности Kerberos.) На странице «Kerberos» укажите информацию, необходимую для переноса метода проверки подлинности Kerberos.
      • Исходный соединитель. Исходный соединитель выбран предварительно. Можно выбрать другой соединитель, если предустановленный соединитель недоступен.
      • Узлы проверки подлинности Kerberos. В списке отображаются новые узлы Connector 20.10, на которых установлена служба проверки подлинности Kerberos. Выберите один или несколько узлов, которые будут использоваться для проверки подлинности Kerberos.

      Перенос каталога — страница Kerberos

    4. г. На странице «Пароль» укажите информацию, необходимую для переноса метода проверки подлинности с помощью пароля.
      • Исходный соединитель. Исходный соединитель выбран предварительно. Можно выбрать другой соединитель, если предустановленный соединитель недоступен.
      • Пароль привязки. Введите пароль пользователя привязки для каталога.
      • Узлы проверки подлинности пользователей. В списке отображаются новые узлы Connector 20.10, на которых установлена служба проверки подлинности пользователей. Выберите один или несколько узлов, которые будут использоваться для проверки подлинности с помощью пароля.

      Пароль для переноса каталога

    5. д. (Отображается только в том случае, если настроен метод проверки подлинности RADIUS.) На странице «RADIUS» укажите информацию, необходимую для переноса метода проверки подлинности RADIUS.
      • Исходный соединитель. Исходный соединитель выбран предварительно. Можно выбрать другой соединитель, если предустановленный соединитель недоступен.
      • Общий секрет. Общий секрет для сервера RADIUS.
      • Узлы проверки подлинности пользователей. В списке отображаются новые узлы Connector 20.10, на которых установлена служба проверки подлинности пользователей. Выберите один или несколько узлов, которые будут использоваться для проверки подлинности RADIUS.

      Перенос каталога — страница RADIUS

    6. е. (Отображается только в том случае, если настроен метод проверки подлинности RSA SecurID.) На странице «SecurId» укажите информацию, необходимую для переноса метода проверки подлинности RSA SecurID.
      • Исходный соединитель. Исходный соединитель выбран предварительно. Можно выбрать другой соединитель, если предустановленный соединитель недоступен.
      • Узлы проверки подлинности пользователей. В списке отображаются новые узлы Connector 20.10, на которых установлена служба проверки подлинности пользователей. Выберите один или несколько узлов, которые будут использоваться для проверки подлинности RSA SecurID.

      Перенос каталога — страница SecurID

    7. ё. (Отображается только в том случае, если настроена проверка подлинности Kerberos.) На странице «Поставщик удостоверений» введите полное доменное имя подсистемы балансировки нагрузки соединителя, чтобы оно использовалось для нового поставщика удостоверений, который будет создан для проверки подлинности Kerberos во время переноса.
      Для справки отображается текущее полное доменное имя подсистемы балансировки нагрузки. Это текущее значение параметра Имя узла поставщика удостоверений на странице поставщика удостоверений каталога.
      Если используется только один Connector 20.10 без подсистемы балансировки нагрузки, введите полное доменное имя (FQDN) соединителя.
      Страница поставщика удостоверений в мастере переноса каталогов
    8. ж. На странице «Сводка» проверьте выбранные параметры и нажмите Сохранить.
      Данные переноса каталога будут сохранены. Чтобы просмотреть параметры, нажмите кнопку Сводка рядом с каталогом на панели управления переносом каталогов.
      На панели переноса в панели управления отображается кнопка «Сводка»
      Если необходимо изменить введенные данные, щелкните Начать сначала на странице «Сводка». При этом сбрасываются данные переноса, введенные для каталога, и перенос каталога можно начать сначала.
      Сводка каталога
    9. з. Выполните перенос остальных каталогов.
    После переноса всех каталогов будет запущен шаг Завершение переноса.
  9. В разделе Завершение переноса нажмите Начать предварительный просмотр, чтобы начать процесс переноса.
    Панель управления переносом — начать предварительный просмотр
    На этапе предварительного просмотра используются новые соединители Connector 20.10. Синхронизация каталогов выполняется новой службой синхронизации каталогов, проверка подлинности пользователей выполняется новой службой проверки подлинности пользователей, а проверка подлинности Kerberos выполняется новой службой проверки подлинности Kerberos. Нельзя изменять или создавать каталоги, методы проверки подлинности и поставщиков удостоверений. Преобразованные поставщики удостоверений можно просмотреть на вкладке Поставщики удостоверений, а преобразованные методы проверки подлинности — на вкладках Корпоративные методы проверки подлинности. Все методы проверки подлинности, кроме Kerberos, работают в режиме поддержки исходящих соединений.

    Если в развертывании службы Workspace ONE Access включен компонент People Search, необходимо вручную синхронизировать каталоги без настроек защиты. В консоли Workspace ONE Access выберите каталог на странице «Управление учетными данными и доступом» > «Каталоги» и щелкните Синхронизация > Синхронизация без мер безопасности.

    Важно!: Тщательно протестируйте свою среду на этапе предварительного просмотра и убедитесь, что она работает должным образом. Убедитесь, что синхронизация каталогов, вход пользователей в систему и запуск приложений работают.
  10. Если обнаружены отклонения в работе среды либо необходимо изменить каталоги, методы проверки подлинности или поставщики удостоверений, выйдите из этапа предварительного просмотра и вернитесь к использованию старых соединителей.
    Перейдите на страницу «Управление учетными данными и доступом» > «Управление» > «Каталоги», нажмите Продолжить перенос, затем нажмите Прервать в разделе Завершение переноса на панели управления переносом каталогов.
    Панель завершения переноса
    В случае внесения любых изменений в каталоги, методы проверки подлинности или поставщики удостоверений, обязательно повторите перенос каталогов в разделе Перенос на новые соединители.
  11. Чтобы завершить перенос после проверки правильности работы среды на этапе предварительного просмотра, вернитесь к панели управления переносом каталогов. Для этого перейдите на страницу «Управление учетными данными и доступом» > «Управление» > «Каталоги» и нажмите Продолжить перенос.
    Осторожно!: После завершения переноса откат к старым соединителям будет невозможен.

    Нажмите Завершить, чтобы завершить перенос.

    Панель управления переносом — раздел завершения переноса

Результаты

Выполнен перенос всех каталогов на новые соединители Connector 20.10. Новые службы синхронизации каталогов, проверки подлинности пользователей и проверки подлинности Kerberos теперь выполняют синхронизацию каталогов и проверку подлинности пользователей.

Для каждого каталога создаются новые поставщики удостоверений, которые появляются на вкладке Поставщики удостоверений с именем Мигрированный IDP для каталога. Новые поставщики удостоверений имеют тип «встроенный». Для проверки подлинности Kerberos создается отдельный поставщик удостоверений типа Workspace_IDP.

Все методы проверки подлинности, кроме Kerberos, преобразуются в исходящие методы и переименовываются с добавлением суффикса (облачное развертывание). Например, метод проверки подлинности Пароль будет переименован в метод Пароль (облачная среда). Просмотр и управление новыми методами проверки подлинности доступны на вкладке Корпоративные методы проверки подлинности.

Дальнейшие действия

После завершения переноса можно удалить старые версии Connector 19.03.x с серверов, на которых они установлены.