VMware Identity Manager 3.3.3 版本說明

VMware Identity Manager 3.3.3 | 2020 年 10 月 | 組建編號 17121420

VMware Identity Manager (Windows) 3.3.3 | 2020 年 10 月 | 組建編號 VMware Identity Manager Connector Installer.exe

發行日期：2020 年 11 月

更新日期：

2021 年 12 月 17 日
2021 年 1 月 25 日
2020 年 12 月 18 日
2020 年 12 月 8 日

12/17/2021 此版本已確認受 CVE-2021-44228 和 CVE-2021-45046 影響。已提供可用來處理此弱點的修正和因應措施。如需詳細資訊，請參閱 VMware 安全性建議 VMSA-2021-0028。

12/17/2021 此版本也受 CVE-2021-22056 影響。已提供可用來處理此弱點的修正和因應措施。如需詳細資訊，請參閱 VMware 安全性建議 VMSA-2021-0030。

12/08/2020 此版本已確認受 CVE-2020-4006 影響。已提供可用來處理此弱點的修正和因應措施。如需詳細資訊，請參閱 VMSA-2020-0027。

版本說明的內容

版本說明涵蓋下列主題。

可升級至 VMware Identity Manager 3.3.3 的產品
3.3.3 中的新功能
國際化
相容性、安裝和升級
說明文件
已知問題

可升級至 VMware Identity Manager 3.3.3 的 VMware 產品

VMware vRealize 產品，例如 vRealize Automation、vRealize Suite Lifecycle Manager (vRSLCM)、vRealize Operations、vRealize Business、vRealize Log Insight，以及用於驗證和 SSO 的 vRealize Network Insight
- 透過 vRealize Suite Lifecycle Manager 部署和管理的 vRealize 產品只能耗用 VMware Identity Manager 3.3.1、3.3.2 或 3.3.3。
- vRealize Suite Lifecycle Manager 現在可以處理 VMware Identity Manager 3.3.3 的全新安裝，或從 VMware Identity Manager 3.3.1 或 3.3.2 升級至 3.3.3。
用於驗證和 SSO 的 VMware NSX-T Data Center
- NSX-T 可使用 VMware Identity Manager 進行部署
- 3.3.3 或從 VMware Identity Manager 3.3.1 或 3.3.2 升級至 3.3.3。

VMware Identity Manager 3.3.3 的新功能

Photon OS 移轉
在 VMware Identity Manager 3.3.3 中，基礎作業系統已從 SUSE Linux 11 SP4 移轉至 VMware Photon 3.0。Photon 3.0 可解決已知的安全性漏洞，屬於更新的軟體堆疊。
從 vRA 7.5/vRA 7.6 至 VMware Identity Manager 的承租人移轉支援
預設部署組態變更
根據需求，部署時會有不同的 CPU 和記憶體大小調整選項可供選擇
- 100 GB 硬碟
- 8 GB RAM
- 4 個 vCPU
- 超小型：4 個 CPU/8 GB 記憶體
- 小型：6 個 CPU/10 GB 記憶體
- 中型：8 個 CPU/16 GB 記憶體
- 大型：10 個 CPU/16 GB 記憶體
- 超大型：12 個 CPU/32 GB 記憶體
- 更新日期：2021 年 1 月 25 日特大型：14 個 CPU/48 GB 記憶體
支援 4096 金鑰憑證
我們現在支援服務和連接器的 4096 位元金鑰 SSL 憑證。透過這項實作，我們增加了 SSL 憑證的加密強度。
IWA/Kerberos 使用案例的內嵌式至外部連接器移轉
更新日期：2020 年 12 月 18 日 VMware Identity Manager 3.3.3 不支援使用內嵌式 Linux 連接器的 IWA (整合式 Windows 驗證)。將 LDAP 或 IWA 與外部 Windows 連接器搭配使用的 vRA 8.x 客戶不受影響。如需詳細資料，請參閱 https://kb.vmware.com/s/article/82013。

操作員可以使用 hznAdminTool 命令重設主控台密碼 (或操作員密碼)：
```
 /usr/sbin/hznAdminTool setOperatorPassword
```

國際化

VMware Identity Manager 3.3 提供下列語言版本。

英文
法文
德文
西班牙文
日文
簡體中文
韓文
繁體中文
俄文
義大利文
葡萄牙文 (巴西)
荷蘭文

相容性、安裝和升級

VMware vCenter™ 和 VMware ESXi™ 相容性

VMware Identity Manager 應用裝置支援下列版本的 vSphere 和 ESXi。

6.5 U3、6.7 U2、6.7 U3、7

元件相容性

支援的 Windows Server

Windows Server 2012 R2
Windows Server 2016

支援的 Web 瀏覽器

Mozilla Firefox，最新版本
Google Chrome 42.0 或更新版本
Internet Explorer 11
Safari 6.2.8 或更新版本
Microsoft Edge，最新版本

支援的資料庫

Postgres 9.6.19
MS SQL 2012、2014 和 2016

支援的目錄伺服器

Windows Server 2012 R2、2016 和 2019 (具有網域功能層級) 上的 Active Directory，以及 Windows 2003 及更新版本 (具有樹系功能層級) 的 Active Directory。
OpenLDAP - 2.4.42
Oracle LDAP - Directory Server Enterprise Edition 11g 第 1 版 (11.1.1.7.0)
IBM Tivoli LDAP - IBM Security Directory Server 6.3.1

更新：將不再支援元件版本

Windows Server 2008 R2
Windows Server 2012

這會影響可能在這些 Windows Server 版本上安裝的 Workspace ONE Access Connector 或資料庫。這會影響到在這些舊版 Windows Server 版本上執行的 Active Directory。

VMware 產品互通性對照表提供目前版本和舊版 VMware 產品與元件的相容性詳細資料。

如需其他系統需求，請參閱 VMware Workspace ONE Access 說明文件中心上適用於 3.3 版的《VMware Identity Manager 安裝指南》。

升級至 VMware Identity Manager 3.3.3

注意：

若要存取 Workspace ONE Access 主控台中的 [應用裝置設定] 頁面，請確定您已獲指派預設承租人的操作員角色。
若要設定 SMTP 設定，您必須從系統網域以預設承租人的操作員使用者 (而非管理員承租人) 的身分登入。
- 非預設承租人的承租人管理員未獲授權，無法設定 SMTP 設定。
將 VMware vRealize Automation 7.5 或 7.6 業務群組移轉至 vRealize 8.2 版

若要升級至 VMware Identity Manager 3.3.3，請參閱 VMware Workspace ONE Access 說明文件中心上的《升級 VMware Identity Manager 3.3.3》。升級期間，所有服務都會停止，因此如果僅設定了一個連接器，計劃升級時請留意預期的停機時間。

您可以將 VMware Identity Manager 從 3.3.1 或 3.3.2 版直接升級至 3.3.3 版。若要從舊版升級，先升級至 3.3.1，然後再將 3.3.1 升級至 3.3.3。

注意：升級至 Linux 版 VMware Identity Manager 3.3.2 時，如果您看到下列錯誤訊息且升級中止，請遵循下列步驟以更新憑證。更新憑證之後，請重新啟動升級。

「承租人 <tenantName> 在升級之前需要憑證驗證組態更新。預先更新檢查失敗，正在中止升級。」

登入 VMware Identity Manager 主控台。
導覽至身分識別與存取管理 > 設定。
在連接器頁面中，按一下工作執行緒資料行中的連結
按一下驗證配接器索引標籤，然後按一下 CertificateAuthAdapter。
在已上傳的 CA 憑證區段中，按一下憑證旁邊的紅色 X 將其移除。
在根和中繼 CA 憑證區段中，按一下選取檔案以重新新增憑證。
按一下儲存。

將 VMware vRealize Automation 7.5 或 7.6 業務群組移轉至 vRealize 8.2 版

若要將業務群組從 VMware vRealize Automation 7.5 或 7.6 移轉至 8.2 版，您必須如下列程序中所述，一次將一個承租人從內嵌式 VMware Identity Manager 3.1 服務移轉至外部 VMware Identity Manager 3.3.3 服務。
背景

VMware Identity Manager 為 vRealize Automation 7.5 和 7.6 中的內嵌式服務
從 vRealize Automation 8.0 開始，VMware Identity Manager 已成為外部服務
vRealize Automation 8.0 和 8.1 僅支援全新安裝
vRealize Automation 8.2 支援從 vRealize Automation 7.5 或 7.6 移轉業務群組。若要達成業務群組移轉，VMware Identity Manager 3.3.3 會將每個承租人從 vRA 上的 VMware Identity Manager 移轉至 3.3.3。

必要條件

必須為需要移轉 vRealize Automation 7.5 和 7.6 承租人的所有本機使用者設定有效的電子郵件
啟用與 vRA 資料庫的遠端連線以存取資料庫。僅從 vIDM 機器讀取用於自訂群組移轉的使用者識別碼
必須在 VMware Identity Manager 服務中設定要移轉之承租人的 SMTP 伺服器資訊。需要此資訊才能接收電子郵件指示，以重設所有本機使用者的密碼。

程序

您可以使用 vRealize Lifecycle Manager 在 VMware Identity Manager 3.3.3 中逐一移轉承租人。vRealize Lifecycle Manager 提供使用者介面，可利用 VMware Identity Manager 3.3.3 承租人移轉 REST API 逐一移轉承租人。請參閱使用 vRealize Suite Lifecycle Manager 移轉承租人。

VMware Identity Manager 3.3.3 承租人移轉 REST API 會負責將下列組態從 vRealize Automation 7.5 或 7.6 移轉至 VMware Identity Manager 3.3.3。

承租人組態
使用者屬性對應組態
目錄組態，例如本機、LDAP、IWA、OpenLDAP 和 JIT
依預設，在移轉的承租人中，繫結使用者會列為唯讀管理員
第三方身分識別提供者組態
存取原則與網路範圍組態
自訂群組組態
角色和規則集組態

VMware Identity Manager 3.3.3 中的承租人移轉限制

驗證配接器：承租人移轉程序僅會移轉 PasswordIdpAdapter。如果在 vRealize Automation 7.5 或 7.6 中設定了其他驗證配接器，則必須在 VMware Identity Manager 3.3.3 中手動設定。
第三方身分識別提供者移轉：承租人移轉程序會移轉第三方身分識別提供者組態。移轉後，您必須手動將 VMware Identity Manager 服務提供者中繼資料複製到外部第三方身分識別提供者。

VMware Identity Manager Connector 3.3.3 (Windows)

如果您已使用 vRealize Suite Lifecycle Manager 安裝 Windows 版 VMware Identity Manager Connector 3.3.1 和 3.3.2，則無法升級至 3.3.3。您必須安裝新的 Connector 3.3.3 版本。

如果您已使用 .exe 安裝程式安裝 Windows 版 VMware Identity Manager Connector 3.3.1 或 3.3.2，可以將連接器升級至 3.3.3。

說明文件

VMware Identity Manager 3.3 說明文件位於 VMware Workspace ONE Access 說明文件中心。3.3.3 升級指南可在「安裝與架構」區段中的 VMware Identity Manager 3.3 下找到。

已知問題

無法在次要站台中將身分識別提供者組態儲存在與內嵌式連接器搭配使用的 VMware Identity Manager 3.3.3 多站台環境中
在多站台環境中將內嵌式連接器與 VMware Identity Manager 服務搭配使用時，如果使用內嵌式連接器，則無法在次要站台中儲存身分識別提供者組態。

因應措施：針對次要站台使用外部連接器。
升級至 VMware Identity Manager 3.3.3 後同步失敗
從 VMware Identity Manager 3.3.2 升級至 3.3.3 後，如果內嵌式連接器正與透過 IWA 的 Active Directory 搭配使用，則使用者可以登入，但目錄同步將會失敗，直到內嵌式連接器移轉至 Windows Server 上的 VMware Identity Manager 外部連接器為止。

因應措施。無因應措施。您必須將目錄從內嵌式連接器移轉至 VMware Identity Manager 外部連接器。