可以使用 [移轉] 儀表板,將現有目錄和虛擬應用程式集合從 Workspace ONE Access 19.03 或 19.03.0.1 Connector 移轉至 22.09 Connector。移轉程序是一種分階段方法,可讓您在完成移轉之前先使用新的連接器測試環境。

移轉程序包含下列階段:

  • 安裝 22.09 Connector

    安裝新的 22.09 Connector,其中包含目錄同步、使用者驗證、Kerberos 驗證和虛擬應用程式服務。請至少安裝目錄同步服務。如果在舊版連接器上設定了連接器型驗證,請安裝使用者驗證服務。如果在舊版連接器上設定了 Kerberos 驗證方法,請安裝 Kerberos 驗證服務。如果在舊版連接器上設定了虛擬應用程式集合,請安裝虛擬應用程式服務。

  • 移轉目錄

    在此階段中,您可以使用 [移轉目錄] 精靈來移轉所有目錄資料。多數必要資訊會從您的環境預先填入,但您需要輸入一些機密值,例如目錄繫結使用者密碼。

    在此階段中移轉目錄並不會變更任何現有的目錄、驗證方法或身分識別提供者組態。您仍在使用舊的連接器。只有在進入預覽階段後,這些變更才會生效。

  • 移轉虛擬應用程式集合

    在此階段,您選取要將現有虛擬應用程式集合移轉至的連接器。只有在進入預覽階段後,新的設定才會生效。

  • 預覽

    在預覽階段中,您可以使用新的 22.09 Connector 預覽您的環境。22.09 Connector 中的新目錄同步、使用者驗證、Kerberos 驗證和虛擬應用程式服務會執行目錄同步、使用者驗證和虛擬應用程式同步。Kerberos 以外的所有驗證方法均處於輸出模式。

    預覽階段旨在讓您使用新服務徹底測試環境。請確認目錄同步、虛擬應用程式同步、使用者驗證和應用程式啟動皆如預期運作。

    在預覽階段,您無法建立、編輯或刪除目錄、驗證方法、身分識別提供者或虛擬應用程式集合。

    從預覽階段,您可以復原為使用舊的連接器。復原後,您在先前階段中所移轉的目錄資料仍會保留。如果您稍後對任何現有的目錄、驗證方法或身分識別提供者進行了任何變更,請務必再次移轉目錄資料。

  • 完成移轉

    當您滿意對新環境進行的測試後,請完成移轉。完成移轉後,無法復原為使用舊的連接器。

必要條件

  • 檢閱移轉至 Workspace ONE Access Connector 22.09 時的需求中列出的需求。
  • 確認您環境中的所有連接器皆為 19.03.x 版。只要有連接器是舊版本,請先將它們升級至 19.03.x,再開始移轉。
  • 準備適用於 22.09 Connector 的一或多個 Windows 伺服器。

    如需詳細資訊,請參閱移轉至 Workspace ONE Access Connector 22.09 時的需求

  • 如果您使用的是內部部署 Workspace ONE Access 虛擬應用裝置,請先將它升級至 22.09,然後再移轉連接器。
  • 如果您要安裝使用者驗證服務,請確定您的環境不包含任何 22.05、21.x 或 20.x 使用者驗證服務執行個體。在移轉過程中,您將安裝 22.09 Connector。您的環境中的所有使用者驗證服務執行個體必須是 22.09 版。如果您具有混合版本的使用者驗證服務,將無法進行移轉。
  • 如果在 19.03.x Connector 上設定了 RSA SecurID 驗證方法:
    • 請確認您使用的是 RSA 驗證管理員應用裝置 8.2 版 SP1 或更新版本。Workspace ONE Access Connector 22.09 支援 RSA 驗證管理員應用裝置 8.2 SP1 和更新版本。
    • 如果您部署了多個 RSA 驗證管理員伺服器執行個體,必須在負載平衡器後方設定這些執行個體,以便讓 Workspace ONE Access 的整合能發揮功效。請確定您符合《在 Workspace ONE Access 中管理使用者驗證方法》指南的 〈RSA SecurID 負載平衡器的 Workspace ONE Access 需求〉中列出的需求中。
    • 在 RSA 安全性主控台中,請確認使用完整網域名稱 (FQDN) (例如 connectorserver.example.com),將連接器新增為驗證代理程式。如果您已使用 NetBIOS 名稱 (而非 FQDN) 將連接器新增為驗證代理程式,請使用 FQDN 來新增其他項目。將新輸入的 IP 位址欄位保留空白。請勿刪除舊的項目。
    • 在移轉程序過程中,您可以設定 RSA SecurID 驗證方法。設定驗證方法所需的資訊包括:RSA 驗證管理員或負載平衡器伺服器主機名稱、通訊連接埠、存取金鑰以及 RSA 驗證管理員或負載平衡器伺服器 SSL 憑證 (如果伺服器使用自我簽署憑證)。由於您從 RSA 安全性主控台中取得某些資訊,因此,您還需要具有安全性主控台認證。
    • 如果 Proxy 伺服器設有連接器,則必須在 Proxy 伺服器上開啟為 RSA 驗證管理員伺服器設定的通訊連接埠。
  • 如果您要在新的 Windows Server 上安裝使用者驗證服務,請先將 Windows Server 新增為 RSA 驗證管理員伺服器中的代理程式,再開始進行連接器移轉。
  • (僅限 Workspace ONE Access 內部部署安裝) 如果有任何 IDP 與多個目錄相關聯,請修改組態,使每個 IDP 僅與一個目錄相關聯。
  • 開始移轉程序前,請確定未對任何目錄執行目錄同步程序。
  • 如果您已啟用 People Search 功能,在開始移轉程序之前,請確定未對任何目錄執行照片同步程序。
  • 如果您要移轉沒有相關聯目錄的 19.03.x Connector,請留意,當您在步驟 5 中選取最新的 Workspace ONE Access Connector 選項時,系統會將移轉視為完成,並從承租人中刪除 19.03.x Connector。如果您之後決定使用舊版連接器,並使用重設連接器選取項目按鈕來變更選取的連接器,將不會顯示 19.03.x Connector。您必須重新安裝 19.03.x Connector,以透過服務將其重新啟動。

程序

  1. Workspace ONE Access 主控台中,選取整合 > 連接器 (舊版),以移至 [舊版連接器] 頁面。
  2. 在 [舊版連接器] 頁面上,按一下重設連接器選取項目按鈕,並在確認快顯視窗中按一下繼續

    右上角的 [重設連接器選取項目] 按鈕以反白顯示。

    顯示 [重設連接器選取項目] 確認對話方塊。
  3. 在 [連接器使用量確認] 對話方塊中,選取最新的 Workspace ONE Access Connector,按一下確定,然後確認您的選取。
    選取了 [最新的 Workspace ONE Access Connector] 選項。
  4. 選取整合 > 目錄,以移至 [目錄] 頁面。
    此時會顯示 [目錄和虛擬應用程式移轉] 頁面。
    移轉儀表板簡介
  5. 按一下開始移轉
    將顯示 [移轉儀表板]。該儀表板會顯示完成移轉所需的各種步驟。檢閱頁面上的資訊。
  6. 在 [移轉] 儀表板的安裝最新的 Workspace ONE Access Connector 區段中,按一下開始使用

    [移轉] 儀表板中的 [安裝最新的 Workspace ONE Access Connector] 步驟有一個 [開始使用] 按鈕。

    此時會顯示 [連接器] 頁面。

  7. 在 [連接器] 頁面中,按一下新增

    其中顯示 [新增] 按鈕的 [連接器] 頁面
  8. 依照 [新增連接器] 精靈的指示,下載連接器安裝程式和必要的組態檔,然後安裝新的連接器。
    [新增連接器] 精靈的 [下載安裝程式] 頁面
    如需安裝資訊,請參閱 《安裝 VMware Workspace ONE Access Connector 22.09》指南。
    安裝連接器時,請確定安裝目錄同步服務。如果在舊版連接器上設定了連接器型驗證,請安裝使用者驗證服務。只有在任何舊版連接器上設定了 Kerberos 驗證方法時,才需要 Kerberos 驗證服務。如果在舊版連接器上設定了虛擬應用程式集合,或者您打算在新連接器上設定它們,請安裝虛擬應用程式服務。
    注意:
    • 在 Workspace ONE Access 主控台中為連接器產生組態檔時,請確定您所建立的密碼符合規則。

      密碼必須至少有 14 個字元,且至少包含一個數字、一個大寫字元和一個特殊字元。只允許使用以下特殊字元:

      @ ! , # $ { } ( ) _ + . < > ? *

      所有字元都必須為可顯示且可列印的 ASCII 字元。

    • 在安裝期間,安裝程式的 [指定組態檔] 頁面上會顯示用來啟用 FIPS 模式的選項。請勿選取啟用 FIPS 選項。從舊版連接器移轉到 22.09 Connector 時,不支援 FIPS 模式。
    • 在安裝程序結束時,您可能會收到重新啟動系統的提示。如果您在 19.03.x 連接器伺服器上安裝新的連接器,請勿重新啟動系統。只有在整個連接器移轉程序完成後,才能重新啟動系統。
    • 如果您要安裝使用者驗證服務,請確定環境中的所有使用者驗證服務執行個體為 22.09 版,並且沒有 22.05、21.x 或 20.x 使用者驗證服務執行個體。如果您具有混合版本的使用者驗證服務,則無法進行移轉。
  9. 連接器安裝成功完成後,請移至管理主控台中的整合 > 目錄頁面,然後按一下繼續移轉
  10. 在 [移轉] 儀表板的移轉目錄區段中,逐一移轉所有目錄。

    [移轉] 儀表板中的 [移轉目錄] 窗格會列出兩個目錄,每個目錄旁都有一個 [移轉] 按鈕。
    [移轉目錄] 區段會列出承租人中的所有 Active Directory 和 LDAP 目錄。您必須先移轉列出的所有目錄,才能完成移轉。
    備註: 在此步驟中移轉目錄並不會變更任何現有的目錄、驗證方法或身分識別提供者組態,只有在下一步驟中預覽變更後才會生效。
    1. 按一下目錄旁邊的移轉按鈕。
      [移轉目錄] 精靈隨即顯示。此精靈已根據您要移轉的目錄加以自訂。會針對目錄中設定的驗證方法顯示其他頁面。
    2. 在 [目錄] 頁面上,輸入目錄的繫結使用者密碼。
      目錄同步主機清單會顯示已安裝目錄同步服務的新 22.09 Connector 主機。選取一或多台主機,以用來同步目錄。
      移轉目錄精靈 - 目錄頁面
    3. (僅在設定 Kerberos 驗證方法時顯示) 在 [Kerberos] 頁面上,指定移轉 Kerberos 驗證方法所需的資訊。
      • 來源連接器:已預先選取來源連接器。如果預先選取的連接器無法使用,您可以選取其他連接器。
      • Kerberos 驗證主機:此清單會顯示已安裝 Kerberos 驗證服務的新 22.09 Connector 主機。選取要用於 Kerberos 驗證的一或多台主機。

      移轉目錄 - Kerberos 頁面

    4. 在 [密碼] 頁面上,指定移轉密碼驗證方法所需的資訊。
      • 來源連接器:已預先選取來源連接器。如果預先選取的連接器無法使用,您可以選取其他連接器。
      • 繫結密碼:輸入目錄的繫結使用者密碼。
      • 使用者驗證主機:此清單會顯示已安裝使用者驗證服務的新 22.09 Connector 主機。選取要用於密碼驗證的一或多台主機。

      MigrateDirectoryPassword

    5. (僅在設定 RADIUS 驗證方法時顯示) 在 [RADIUS] 頁面上,指定移轉 RADIUS 驗證方法所需的資訊。
      • 來源連接器:已預先選取來源連接器。如果預先選取的連接器無法使用,您可以選取其他連接器。
      • 共用密碼:RADIUS 伺服器的共用密碼。
      • 使用者驗證主機:此清單會顯示已安裝使用者驗證服務的新 22.09 Connector 主機。選取要用於 RADIUS 驗證的一或多台主機。

      移轉目錄 - Radius 頁面

    6. (僅在設定 RSA SecurID 驗證方法時才會顯示) 在 [SecurId] 頁面上,指定移轉 RSA SecurID 驗證方法所需的資訊。
      • 來源連接器:已預先選取來源連接器。如果預先選取的連接器無法使用,您可以選取其他連接器。
      • 允許的驗證嘗試次數:輸入使用 RSA SecurID Token 時的失敗登入嘗試次數上限。預設為五次嘗試。
        備註: 如果您要移轉多個使用 RSA SecurID 驗證的目錄,請針對每一項 RSA SecurID 組態,將其 允許的驗證嘗試次數設定為相同的值。如果值不同,SecurID 驗證將會失敗。
      • SecurID 伺服器主機名稱:輸入 RSA 驗證管理員伺服器主機名稱,例如 myserver.example.com。如果您在負載平衡器後方設定了多個 RSA 驗證管理員伺服器執行個體,請改以輸入負載平衡器的主機名稱。例如:lb.example.com。
      • SecurID 伺服器通訊連接埠:輸入 RSA 驗證管理員執行個體的通訊連接埠。預設連接埠為 5555。若要取得通訊連接埠號碼,請登入 RSA 安全性主控台,導覽至設定 > 系統設定 > RSA SecurID 驗證 API 頁面,然後複製通訊連接埠
      • SecurID 伺服器存取金鑰:輸入 RSA 驗證管理員執行個體中的存取金鑰。若要取得存取金鑰,請在 RSA 安全性主控台中,導覽至設定 > 系統設定 > RSA SecurID 驗證 API 頁面,然後複製代理程式認證下列出的存取金鑰
      • SecurID 伺服器 CA/SSL 憑證:如果 RSA 驗證管理員伺服器或負載平衡器伺服器具有自我簽署憑證,請將該憑證複製並貼到文字方塊中。如果伺服器具有公開憑證授權機構簽發的憑證,則不需要上傳憑證。
      • 驗證方法逾時 (以秒為單位):輸入驗證嘗試所能使用的秒數。過了該時間後,驗證嘗試就算逾時。預設值為 180 秒。
      • 使用者驗證主機:此清單會顯示已安裝使用者驗證服務的新 22.09 Connector 主機。選取要用於 RSA SecurID 驗證的一或多台主機。

      顯示精靈的 SecurID 頁面。
    7. (僅在設定 Kerberos 驗證時才會顯示) 在 [身分識別提供者] 頁面上,輸入連接器負載平衡器的 FQDN,以用於將在移轉期間為 Kerberos 驗證建立的新身分識別提供者。
      目前的負載平衡器 FQDN 隨即顯示以供參考。這是目錄之身分識別提供者頁面中的目前 IdP 主機名稱值。
      如果您只有一個 22.09 Connector,且未設定負載平衡器,請輸入連接器的 FQDN。
      移轉目錄精靈的身分識別提供者頁面
    8. 在 [摘要] 頁面中確認您的選取項目,然後按一下儲存
      目錄移轉資料即會儲存。您可以按一下 [目錄移轉] 儀表板中目錄旁的 檢閱按鈕,以檢視設定。 儀表板上的 [移轉目錄] 區段呈現綠色。列出了移轉的目錄,並在其旁邊顯示一個 [檢閱] 按鈕。
      如果您想要對輸入的資訊進行任何變更,請按一下 [摘要] 頁面中的 重新開始。如此會捨棄您已輸入的目錄移轉資料,並讓您再次移轉目錄。
      DirectorySummary
    9. 移轉其餘的目錄。
  11. 移轉虛擬應用程式集合區段中,選取要將虛擬應用程式集合移轉至的連接器。
    1. 按一下移轉

      [移轉虛擬應用程式集合] 窗格有一個 [移轉] 按鈕。
    2. 在 [移轉虛擬應用程式集合] 視窗中,選取要用於每個虛擬應用程式集合的 22.09 Connector。下拉式功能表會顯示安裝了虛擬應用程式服務的所有連接器。選取一個連接器,且其虛擬應用程式服務處於作用中狀態。狀態顯示於連接器名稱旁邊。您可以新增多個連接器,以實現高可用性。如果您新增多個連接器,請依容錯移轉順序來排列。
      備註: 您必須同時移轉所有虛擬應用程式集合。您不能選取特定的集合來進行移轉。
    3. 按一下儲存
    例如:
    [移轉虛擬應用程式] 視窗

    一旦進入預覽階段,將會移轉虛擬應用程式集合。

    備註: 您可以在完成移轉後新增更多連接器。您也可以變更為虛擬應用程式集合選取的連接器。
  12. 完成移轉區段中,按一下開始預覽以開始移轉程序。

    [完成移轉] 窗格會顯示 [開始預覽] 按鈕。
    在預覽階段中,會使用新的 22.09 Connector。目錄同步由新的目錄同步服務執行;使用者驗證由新的使用者驗證服務執行;Kerberos 驗證由新的 Kerberos 驗證服務執行;虛擬應用程式同步由新的虛擬應用程式服務執行。在預覽階段,對於目錄、驗證方法、身分識別提供者或虛擬應用程式集合,您無法進行任何變更或另外新建。您可以在 整合 > 身分識別提供者頁面中檢視轉換後的身分識別提供者,在 整合 > 連接器驗證方法頁面中檢視轉換後的驗證方法。Kerberos 以外的所有驗證方法均處於輸出模式。

    請留意下列考量事項:

    • 移轉後,在您第一次同步目錄 (手動同步或執行排定的同步) 時,會更新所有使用者。如果目錄的保護措施設定阻止所有使用者進行更新,將無法成功同步。在移轉後,當您在不使用保護措施下執行第一次同步時,或是您是在使用保護措施進行同步,都請務必將更新超過 x% 的目前 Workspace ONE Access 使用者保護措施設定設為空值。

      若要在不使用保護措施下同步目錄,請在目錄頁面上選取同步 > 不使用保護措施進行同步。若要變更目錄的保護措施設定,請按一下目錄頁面上的同步設定,選取保護措施索引標籤,然後進行變更。

    • 請注意,移轉至目錄同步服務後,進行第一次目錄同步時會耗時較久,因為它會對已同步至 Workspace ONE Access 服務的每個使用者進行更新。
    • 如果您的部署中已啟用 People Search,您必須手動同步目錄,而不使用保護措施設定。若要在不使用保護措施下同步目錄,請在目錄頁面上選取同步 > 不使用保護措施進行同步
    重要: 在預覽階段中徹底測試您的環境,並確認它如預期運作。請確認目錄同步、虛擬應用程式同步、使用者登入和應用程式啟動皆正常運作。
  13. 如果您判定您的環境無法正常運作,或您想要對目錄、驗證方法、身分識別提供者或虛擬應用程式集合進行任何變更,請取消預覽階段,並返回使用舊的連接器。
    移至 [整合] > [目錄] 頁面,按一下 繼續移轉,然後在 [目錄移轉] 儀表板的 完成移轉區段中,按一下 中止
    如果您隨後對目錄、驗證方法或身分識別提供者進行任何變更,請務必在 移轉目錄區段中再次移轉目錄。
  14. 當您在預覽階段確認環境如預期運作,且您準備好要完成移轉後,請前往 [整合] > [目錄] 頁面,並按一下繼續移轉,以返回 [目錄移轉] 儀表板。
    注意: 完成移轉後,您無法復原為舊的連接器。

    按一下完成以完成移轉。

結果

所有目錄和虛擬應用程式集合將移轉至新的 22.09 Connector。現在,會由新的目錄同步、使用者驗證、Kerberos 驗證和虛擬應用程式服務執行目錄同步、使用者驗證和虛擬應用程式同步。

系統會為每個目錄建立新的身分識別提供者,並顯示在身分識別提供者頁面中,並具有名稱:directory 的已移轉 IDP。新的身分識別提供者類型為 [內建]。對於 Kerberos 驗證,則會建立 Workspace_IDP 類型的單獨身分識別提供者。

除 Kerberos 以外的所有驗證方法均會轉換為輸出方法,並使用 (雲端部署) 尾碼重新命名。例如,密碼驗證方法會重新命名為密碼 (雲端部署)。您可以從連接器驗證方法頁面中,檢視和管理新的驗證方法。

下一步

  • 移轉完成後,您可以將舊的 19.03.x Connector 從安裝所在的伺服器解除安裝。

    如果您已移轉 ThinApp 虛擬應用程式集合,則可以解除安裝 Linux 連接器。

  • 移轉完成後,您便不再需要使用 Integration Broker 來進行 Citrix 整合。必要功能現在是虛擬應用程式服務的一部分。
  • 對於 Horizon 和 Horizon Cloud 整合,請確定 Horizon 連線伺服器或 Horizon Cloud 承租人的基礎 Horizon Server 具有由受信任憑證授權機構 (CA) 所簽署的有效憑證。如果 Horizon Server 具有自我簽署憑證,您必須將憑證鏈結上傳至已安裝虛擬應用程式服務的 Workspace ONE Access Connector 執行個體,以在連接器與 Horizon Server 之間建立信任。這是從 Workspace ONE Access Connector 21.08 開始提供的新需求。您可以使用連接器安裝程式來上傳憑證。如需詳細資訊,請參閱安裝 VMware Workspace ONE Access Connector 22.09。請確定在上傳憑證後重新啟動連接器服務。