可以使用 [移轉] 儀表板,將現有目錄和虛擬應用程式集合從 Workspace ONE Access 19.03 或 19.03.0.1 Connector 移轉至 21.08 Connector。移轉程序是一種分階段方法,可讓您在完成移轉之前先使用新的連接器測試環境。

移轉程序包含下列階段:

  • 安裝 21.08 Connector

    安裝新的 21.08 Connector,其中包含目錄同步、使用者驗證、Kerberos 驗證和虛擬應用程式服務。請至少安裝目錄同步服務。如果在舊版連接器上設定了連接器型驗證,請安裝使用者驗證服務。如果在舊版連接器上設定了 Kerberos 驗證方法,請安裝 Kerberos 驗證服務。如果在舊版連接器上設定了虛擬應用程式集合,請安裝虛擬應用程式服務。

  • 移轉目錄

    在此階段中,您可以使用 [移轉目錄] 精靈來移轉所有目錄資料。多數必要資訊會從您的環境預先填入,但您需要輸入一些機密值,例如目錄繫結使用者密碼。

    在此階段中移轉目錄並不會變更任何現有的目錄、驗證方法或身分識別提供者組態。您仍在使用舊的連接器。只有在進入預覽階段後,這些變更才會生效。

  • 移轉虛擬應用程式集合

    在此階段,您選取要將現有虛擬應用程式集合移轉至的連接器。只有在進入預覽階段後,新的設定才會生效。

  • 預覽

    在預覽階段中,您可以使用新的 21.08 Connector 預覽您的環境。21.08 Connector 中的新目錄同步、使用者驗證、Kerberos 驗證和虛擬應用程式服務會執行目錄同步、使用者驗證和虛擬應用程式同步。Kerberos 以外的所有驗證方法均處於輸出模式。

    預覽階段旨在讓您使用新服務徹底測試環境。請確認目錄同步、虛擬應用程式同步、使用者驗證和應用程式啟動皆如預期運作。

    在預覽階段,您無法建立、編輯或刪除目錄、驗證方法、身分識別提供者或虛擬應用程式集合。

    從預覽階段,您可以復原為使用舊的連接器。復原後,您在先前階段中所移轉的目錄資料仍會保留。如果您稍後對任何現有的目錄、驗證方法或身分識別提供者進行了任何變更,請務必再次移轉目錄資料。

  • 完成移轉

    當您滿意對新環境進行的測試後,請完成移轉。完成移轉後,無法復原為使用舊的連接器。

必要條件

  • 請檢閱移轉至 Workspace ONE Access Connector 21.08 時的需求中列出的需求。
  • 確認您環境中的所有連接器皆為 19.03.x 版。只要有連接器是舊版本,請將它們升級至 19.03.x 以便移轉。
  • 為新的 21.08 Connector 準備一或多個 Windows Server。請參閱《安裝 Workspace ONE Access Connector 21.08》中的〈大小調整準則〉

    您可以在新的伺服器或舊版 19.03.x Connector 伺服器上安裝 21.08 Connector。不過,如果您的舊版連接器上已設定 Kerberos 驗證,則必須使用個別的 Windows Server 來安裝 21.08 Kerberos 驗證服務。請勿在 19.03.x Connector 伺服器上安裝新的 Kerberos 驗證服務。Workspace ONE Access 不支援相同伺服器上有多個 Kerberos 執行個體。

    如果您的舊版連接器上未設定 Kerberos 驗證,而您想要在舊版 19.03.x Connector 伺服器上安裝新的 21.08 Connector,請參閱移轉至執行 Workspace ONE Access 19.03.x 的 Windows Server 上的最新連接器,以瞭解其他需求和準則。

  • 如果您有內部部署 Workspace ONE Access 服務執行個體,請先將其升級至 21.08,然後再移轉連接器。
  • 如果您要安裝使用者驗證服務,請確定您的環境不包含任何 20.x 使用者驗證服務執行個體。在移轉過程中,您將安裝 21.08 Connector。所有使用者驗證服務執行個體必須是 21.08 版。如果您具有混合版本的使用者驗證服務,將無法進行移轉。
  • 如果在 19.03.x Connector 上設定了 RSA SecurID 驗證方法:
    • 請確認您使用的是 RSA 驗證管理員應用裝置 8.2 版 SP1 或更新版本。Workspace ONE Access Connector 21.08 支援 RSA 驗證管理員應用裝置 8.2 SP1 和更新版本。
    • 如果您部署了多個 RSA 驗證管理員伺服器執行個體,必須在負載平衡器後方設定這些執行個體,以便讓 Workspace ONE Access 的整合能發揮功效。請確定您符合《在 Workspace ONE Access 中管理使用者驗證方法》指南的 〈RSA SecurID 負載平衡器的 Workspace ONE Access 需求〉中列出的需求中。
    • 在 RSA 安全性主控台中,請確認使用完整網域名稱 (FQDN) (例如 connectorserver.example.com),將連接器新增為驗證代理程式。如果您已使用 NetBIOS 名稱 (而非 FQDN) 將連接器新增為驗證代理程式,請使用 FQDN 來新增其他項目。將新輸入的 IP 位址欄位保留空白。請勿刪除舊的項目。
    • 在移轉程序過程中,您可以設定 RSA SecurID 驗證方法。設定驗證方法所需的資訊包括:RSA 驗證管理員或負載平衡器伺服器主機名稱、通訊連接埠、存取金鑰以及 RSA 驗證管理員或負載平衡器伺服器 SSL 憑證 (如果伺服器使用自我簽署憑證)。由於您從 RSA 安全性主控台中取得某些資訊,因此,您還需要具有安全性主控台認證。
    • 如果 Proxy 伺服器設有連接器,則必須在 Proxy 伺服器上開啟為 RSA 驗證管理員伺服器設定的通訊連接埠。
  • 如果您要在新的 Windows Server 上安裝使用者驗證服務,請先將 Windows Server 新增為 RSA 驗證管理員伺服器中的代理程式,再開始進行連接器移轉。
  • (僅限 Workspace ONE Access 內部部署安裝) 如果有任何 IDP 與多個目錄相關聯,請修改組態,使每個 IDP 僅與一個目錄相關聯。
  • 開始移轉程序前,請確定未對任何目錄執行目錄同步程序。
  • 如果您已啟用 People Search 功能,在開始移轉程序之前,請確定未對任何目錄執行照片同步程序。
  • 如果您要移轉沒有相關聯目錄的 19.03.x Connector,請留意,當您在步驟 5 中選取 Workspace ONE Access Connector 21.08 選項時,系統會將移轉視為完成,並從服務中刪除 19.03.x Connector。如果您之後決定使用舊版連接器,並使用重設連接器選取項目按鈕來變更選取的連接器,則不會顯示 19.03.x Connector。您必須重新安裝 19.03.x Connector,以透過服務將其重新啟動。

程序

  1. 按一下身分識別與存取管理索引標籤。
    移轉頁面隨即顯示。 移轉儀表板簡介
    備註: 如果您先前選取了使用舊版連接器選項,則不會顯示移轉頁面。您需要變更選取的連接器。移至 身分識別與存取管理 > 設定 > 舊版連接器 (或 連接器) 頁面,按兩下 重設連接器選取項目按鈕,然後選取 Workspace ONE Access Connector 21.08
  2. 檢閱需求,然後按一下開始使用
    將顯示 [移轉] 儀表板。該頁面會顯示完成移轉所需的各種步驟。
  3. 在 [移轉] 儀表板中,按一下安裝 21.08 Connector 區段中的開始使用連結。
    儀表板中的 [安裝 21.08 Connector] 窗格顯示 [開始使用] 按鈕。
  4. 在 [連接器] 頁面中,按一下新增

    影像顯示 [連接器] 頁面,其中有一個 [新增] 按鈕。
  5. 選取連接器視窗中檢閱資訊,並選取 Workspace ONE Access Connector 21.08 選項。
    注意: Workspace ONE Access Connector 21.08 不支援與 Horizon Cloud Service on IBM Cloud、具有單單一網繭代理的 Horizon Cloud Service on Microsoft Azure 或 ThinApp 的整合。如果您打算整合這些類型的虛擬應用程式,請選取 舊版連接器,以結束移轉程序。僅舊版連接器支援這些類型的虛擬應用程式。
    重要: 請考量您的業務需求,謹慎做出選擇。如果您稍後想要變更選擇,您將只能在移轉程序中的特定點執行變更。請參閱 在 Workspace ONE Access 中重設連接器選取項目
  6. 依照 [新增連接器] 精靈的指示,下載連接器安裝程式和必要的組態檔,然後安裝新的連接器。
    如需安裝資訊,請參閱 安裝 VMware Workspace ONE Access Connector 21.08。具體而言,請參閱「安裝 Workspace ONE Access Connector 的先決條件」和「安裝 Workspace ONE Access Connector」。
    安裝連接器時,請確定安裝目錄同步服務。如果在舊版連接器上設定了連接器型驗證,請安裝使用者驗證服務。只有在任何舊版連接器上設定了 Kerberos 驗證方法時,才需要使用 Kerberos 驗證服務。如果在舊版連接器上設定了虛擬應用程式集合,或者您打算在新連接器上設定它們,請安裝虛擬應用程式服務。
    注意: 在安裝程序結束時,您可能會收到重新啟動系統的提示。如果您在 19.03.x 連接器伺服器上安裝 21.08 連接器,請勿重新啟動系統。只有在整個連接器移轉程序完成後,才能重新啟動系統。
    注意: 如果要安裝使用者驗證服務,請確定環境中的所有使用者驗證服務執行個體為 21.08 版,並且沒有 20. x 使用者驗證服務執行個體。如果您具有混合版本的使用者驗證服務,則無法進行移轉。
  7. 當連接器安裝成功完成時,請返回 Workspace ONE Access 服務主控台中的 [移轉] 儀表板。
  8. 移轉到新的連接器區段中,逐一移轉所有目錄。

    [移轉] 儀表板中的 [移轉目錄] 窗格會列出兩個目錄,每個目錄旁都有一個 [移轉] 按鈕。
    [移轉目錄] 區段會列出承租人中的所有 Active Directory 和 LDAP 目錄。您必須先移轉列出的所有目錄,才能完成移轉。
    備註: 在此步驟中移轉目錄並不會變更任何現有的目錄、驗證方法或身分識別提供者組態,只有在下一步驟中預覽變更後才會生效。
    1. 按一下目錄旁邊的移轉按鈕。
      [移轉目錄] 精靈隨即顯示。此精靈已根據您要移轉的目錄加以自訂。會針對目錄中設定的驗證方法顯示其他頁面。
    2. 在 [目錄] 頁面上,輸入目錄的繫結使用者密碼。
      目錄同步主機清單會顯示已安裝目錄同步服務的新 21.08 Connector 主機。選取一或多台主機,以用來同步目錄。
      移轉目錄精靈 - 目錄頁面
    3. (僅在設定 Kerberos 驗證方法時顯示) 在 [Kerberos] 頁面上,指定移轉 Kerberos 驗證方法所需的資訊。
      • 來源連接器:已預先選取來源連接器。如果預先選取的連接器無法使用,您可以選取其他連接器。
      • Kerberos 驗證主機:此清單會顯示已安裝 Kerberos 驗證服務的新 21.08 Connector 主機。選取要用於 Kerberos 驗證的一或多台主機。

      移轉目錄 - Kerberos 頁面

    4. 在 [密碼] 頁面上,指定移轉密碼驗證方法所需的資訊。
      • 來源連接器:已預先選取來源連接器。如果預先選取的連接器無法使用,您可以選取其他連接器。
      • 繫結密碼:輸入目錄的繫結使用者密碼。
      • 使用者驗證主機:此清單會顯示已安裝使用者驗證服務的新 21.08 Connector 主機。選取要用於密碼驗證的一或多台主機。

      MigrateDirectoryPassword

    5. (僅在設定 RADIUS 驗證方法時顯示) 在 [RADIUS] 頁面上,指定移轉 RADIUS 驗證方法所需的資訊。
      • 來源連接器:已預先選取來源連接器。如果預先選取的連接器無法使用,您可以選取其他連接器。
      • 共用密碼:RADIUS 伺服器的共用密碼。
      • 使用者驗證主機:此清單會顯示已安裝使用者驗證服務的新 21.08 Connector 主機。選取要用於 RADIUS 驗證的一或多台主機。

      移轉目錄 - Radius 頁面

    6. (僅在設定 RSA SecurID 驗證方法時才會顯示) 在 [SecurId] 頁面上,指定移轉 RSA SecurID 驗證方法所需的資訊。
      • 來源連接器:已預先選取來源連接器。如果預先選取的連接器無法使用,您可以選取其他連接器。
      • 允許的驗證嘗試次數:輸入使用 RSA SecurID Token 時的失敗登入嘗試次數上限。預設為五次嘗試。
        備註: 如果您要移轉多個使用 RSA SecurID 驗證的目錄,請針對每一項 RSA SecurID 組態,將其 允許的驗證嘗試次數設定為相同的值。如果值不同,SecurID 驗證將會失敗。
      • SecurID 伺服器主機名稱:輸入 RSA 驗證管理員伺服器主機名稱,例如 myserver.example.com。如果您在負載平衡器後方設定了多個 RSA 驗證管理員伺服器執行個體,請改以輸入負載平衡器的主機名稱。例如:lb.example.com。
      • SecurID 伺服器通訊連接埠:輸入 RSA 驗證管理員執行個體的通訊連接埠。預設連接埠為 5555。若要取得通訊連接埠號碼,請登入 RSA 安全性主控台,導覽至設定 > 系統設定 > RSA SecurID 驗證 API 頁面,然後複製通訊連接埠
      • SecurID 伺服器存取金鑰:輸入 RSA 驗證管理員執行個體中的存取金鑰。若要取得存取金鑰,請在 RSA 安全性主控台中,導覽至設定 > 系統設定 > RSA SecurID 驗證 API 頁面,然後複製代理程式認證下列出的存取金鑰
      • SecurID 伺服器 CA/SSL 憑證:如果 RSA 驗證管理員伺服器或負載平衡器伺服器具有自我簽署憑證,請將該憑證複製並貼到文字方塊中。如果伺服器具有公開憑證授權機構簽發的憑證,則不需要上傳憑證。
      • 驗證方法逾時 (以秒為單位):輸入驗證嘗試所能使用的秒數。過了該時間後,驗證嘗試就算逾時。預設值為 180 秒。
      • 使用者驗證主機:此清單會顯示已安裝使用者驗證服務的新 21.08 Connector 主機。選取要用於 RSA SecurID 驗證的一或多台主機。

      顯示精靈的 SecurID 頁面。
    7. (僅在設定 Kerberos 驗證時才會顯示) 在 [身分識別提供者] 頁面上,輸入連接器負載平衡器的 FQDN,以用於將在移轉期間為 Kerberos 驗證建立的新身分識別提供者。
      目前的負載平衡器 FQDN 隨即顯示以供參考。這是目錄之身分識別提供者頁面中的目前 IdP 主機名稱值。
      如果您只有一個 21.08 Connector,且沒有負載平衡器,請輸入連接器的 FQDN。
      移轉目錄精靈的身分識別提供者頁面
    8. 在 [摘要] 頁面中確認您的選取項目,然後按一下儲存
      目錄移轉資料即會儲存。您可以按一下 [目錄移轉] 儀表板中目錄旁的 摘要按鈕,以查看設定。 儀表板上的 [移轉目錄] 區段呈現綠色。列出了移轉的目錄,並在其旁邊顯示一個 [檢閱] 按鈕。
      如果您想要對輸入的資訊進行任何變更,請按一下 [摘要] 頁面中的 重新開始。如此會捨棄您已輸入的目錄移轉資料,並讓您再次移轉目錄。
      DirectorySummary
    9. 移轉其餘的目錄。
  9. 移轉虛擬應用程式集合區段中,選取要將虛擬應用程式集合移轉至的連接器。
    1. 按一下移轉

      [移轉虛擬應用程式集合] 窗格有一個 [移轉] 按鈕。
    2. 在 [移轉虛擬應用程式集合] 視窗中,選取要用於每個虛擬應用程式集合的 21.08 Connector。下拉式功能表會顯示安裝了虛擬應用程式服務的所有連接器。選取一個連接器,且其虛擬應用程式服務處於作用中狀態。狀態顯示於連接器名稱旁邊。您可以新增多個連接器,以實現高可用性。如果您新增多個連接器,請依容錯移轉順序來排列。
      備註: 您必須同時移轉所有虛擬應用程式集合。您不能選取特定的集合來進行移轉。
    3. 按一下儲存
    例如:
    [移轉虛擬應用程式] 視窗

    一旦進入預覽階段,將會移轉虛擬應用程式集合。

    備註: 您可以在完成移轉後新增更多連接器。您也可以變更為虛擬應用程式集合選取的連接器。
  10. 完成移轉區段中,按一下開始預覽以開始移轉程序。

    [完成移轉] 窗格會顯示 [開始預覽] 按鈕。
    在預覽階段中,會使用新的 21.08 Connector。目錄同步由新的目錄同步服務執行;使用者驗證由新的使用者驗證服務執行;Kerberos 驗證由新的 Kerberos 驗證服務執行;虛擬應用程式同步由新的虛擬應用程式服務執行。在預覽階段,對於目錄、驗證方法、身分識別提供者或虛擬應用程式集合,您無法進行任何變更或另外新建。您可以在 身分識別提供者索引標籤中檢視已轉換的身分識別提供者,以及在 連接器驗證方法索引標籤中檢視已轉換的驗證方法。Kerberos 以外的所有驗證方法均處於輸出模式。
    備註:Workspace ONE Access 21.08 內部部署虛擬應用裝置中, 連接器驗證方法索引標籤的名稱為 企業驗證方法
    備註: 如果您的 Workspace ONE Access 服務部署中已啟用 People Search 功能,則您必須手動同步目錄,而不使用保護措施設定。在 Workspace ONE Access 主控台中,選取 [身分識別與存取管理] > [目錄] 頁面中的目錄,然後按一下 同步 > 不使用保護措施進行同步
    重要: 在預覽階段中徹底測試您的環境,並確認它如預期運作。請確認目錄同步、虛擬應用程式同步、使用者登入和應用程式啟動皆正常運作。
  11. 如果您判定您的環境無法正常運作,或您想要對目錄、驗證方法、身分識別提供者或虛擬應用程式集合進行任何變更,請取消預覽階段,並返回使用舊的連接器。
    移至 [身分識別與存取管理] > [管理] > [目錄] 頁面,按一下 繼續移轉,然後在 [目錄移轉] 儀表板的 完成移轉區段中,按一下 中止
    [完成移轉] 窗格有一個 [中止] 按鈕和一個 [完成] 按鈕。
    如果您隨後對目錄、驗證方法或身分識別提供者進行任何變更,請務必在 移轉到新的連接器區段中再次移轉目錄。
  12. 當您在預覽階段確認環境如預期運作,且您準備好要完成移轉後,請前往 [身分識別與存取管理] > [管理] > [目錄] 頁面並按一下繼續移轉,以返回 [目錄移轉] 儀表板。
    注意: 完成移轉後,您無法復原為舊的連接器。

    按一下完成以完成移轉。


    [完成移轉] 窗格有一個 [中止] 按鈕和一個 [完成] 按鈕。

結果

所有目錄和虛擬應用程式集合將移轉至新的 21.08 Connector。現在,會由新的目錄同步、使用者驗證、Kerberos 驗證和虛擬應用程式服務執行目錄同步、使用者驗證和虛擬應用程式同步。

系統會為每個目錄建立新的身分識別提供者,並顯示在身分識別提供者索引標籤中,並具有名稱:已移轉 IDP for 目錄。新的身分識別提供者類型為 [內建]。對於 Kerberos 驗證,則會建立 Workspace_IDP 類型的單獨身分識別提供者。

除 Kerberos 以外的所有驗證方法均會轉換為輸出方法,並使用 (雲端部署) 尾碼重新命名。例如,密碼驗證方法會重新命名為密碼 (雲端部署)。您可以從連接器驗證方法索引標籤中,檢視和管理新的驗證方法。

備註:Workspace ONE Access 21.08 內部部署虛擬應用裝置中,該索引標籤的名稱為 企業驗證方法

下一步

移轉完成後,您可以將舊的 19.03.x Connector 從安裝所在的伺服器解除安裝。

移轉完成後,您便不再需要使用 Integration Broker 來進行 Citrix 整合。必要功能現在是虛擬應用程式服務的一部分。

針對 Horizon 整合,確保 Horizon Connection Server 擁有由信任的憑證授權機構 (CA) 所簽署的有效憑證。如果 Horizon Connection Server 擁有自我簽署憑證,您必須將憑證鏈結上傳至已安裝虛擬應用程式服務的 Workspace ONE Access Connector 執行個體,以在連接器與 Horizon Connection Server 之間建立信任。這是 Workspace ONE Access Connector 21.08 中的新需求。您可以使用連接器安裝程式上傳憑證。如需詳細資訊,請參閱安裝 VMware Workspace ONE Access Connector。請確定在上傳憑證後重新啟動連接器服務。