使用移轉儀表板,將現有的目錄移轉至 Workspace ONE Access 20.01 Connector。移轉程序是一種分階段方法,可讓您在完成移轉之前先使用新的連接器測試環境。

移轉程序包含下列階段:

  • 安裝 20.01 Connector

    安裝新的 20.01 Connector,其中包含目錄同步、使用者驗證和 Kerberos 驗證服務。請至少安裝目錄同步和使用者驗證服務。如果已設定 Kerberos 驗證方法,請安裝 Kerberos 驗證服務。

  • 移轉到新的連接器

    在此階段中,您可以使用 [移轉目錄] 精靈來移轉所有目錄資料。大多數必要資訊會從您的環境預先填入,但您需要輸入一些機密值,例如目錄繫結使用者密碼。

    在此階段中移轉目錄並不會變更任何現有的目錄、驗證方法或身分識別提供者組態。您仍在使用舊的連接器。在下一步驟中移至預覽階段後,變更才會生效。

  • 預覽

    在預覽階段中,您可以使用新的 20.01 Connector 預覽您的環境。來自 20.01 Connector 的新目錄同步、使用者驗證和 Kerberos 驗證服務會執行目錄同步和使用者驗證。Kerberos 以外的所有驗證方法均處於輸出模式。

    預覽階段旨在讓您使用新服務徹底測試環境。確認目錄同步、使用者驗證和應用程式啟動皆如預期運作。

    在預覽階段中,您無法對目錄、驗證方法或身分識別提供者進行任何變更,也無法新增新的項目。

    從預覽階段,您可以復原為使用舊的連接器。復原後,您在先前階段中所移轉的目錄資料仍會保留。如果您隨後對任何現有的目錄、驗證方法或身分識別提供者進行任何變更,請務必再次移轉目錄資料。

  • 完成移轉

    當您滿意對新環境進行的測試後,請完成移轉。完成移轉後,無法復原為使用舊的連接器。

移轉的最佳做法包括:

  • 開始移轉程序前,請確保未對任何目錄執行目錄同步程序。
  • 如果已啟用 People Search,在開始移轉程序前,請確保未對任何目錄執行照片同步程序。

必要條件

  • 請檢閱移轉至 VMware Workspace ONE Access 20.01 Connector中的需求。
  • 確認您環境中的所有連接器皆為 19.03 版。如果有任何連接器是較舊的版本,請將其升級至 19.03。
  • 準備適用於 20.01 Connector 的一或多個 Windows 伺服器。這些伺服器必須不同於您的 19.03 Connector 伺服器。

    請參閱《安裝 Workspace ONE Access Connector 20.01》中的系統需求

  • 如果您有內部部署 Workspace ONE Access 服務執行個體,請先將其升級至 20.01,然後再移轉連接器。
  • 如果您已針對任何目錄設定 RSA SecurID 驗證方法,請在 RSA Security 主控台中清除節點密碼。
  • 如果有任何 IDP 與多個目錄相關聯,請修改組態,使每個 IDP 僅與一個目錄相關聯。

程序

  1. 按一下身分識別與存取管理索引標籤。
    移轉頁面隨即顯示。
    移轉頁面
  2. 檢閱需求,然後按一下
    [目錄移轉] 儀表板隨即顯示。
  3. 在 [目錄移轉] 儀表板中,按一下安裝 20.01 Connector 區段中的開始使用連結。

    目錄移轉儀表板中的安裝新的連接器窗格
  4. 在 [連接器] 頁面中,按一下新增
    連接器頁面隨即顯示
  5. 在 [虛擬應用程式使用量確認] 快顯視窗中,如果您不打算使用虛擬應用程式 (Horizon、Horizon Cloud 和 Citrix 整合),請選取使用 Workspace ONE Access 20.01 Connector
    如果您想要使用虛擬應用程式,請選取 使用舊版連接器結束移轉程序。
    虛擬應用程式使用情形問題
  6. 遵循 [新增連接器] 精靈來下載連接器安裝程式和所需的組態檔,然後安裝 20.01 Connector。
    如需安裝資訊,請參閱 安裝 Workspace ONE Access Connector 20.01。特別是請參閱 先決條件安裝 Workspace ONE Access Connector
    重要: 安裝連接器時,請務必安裝目錄同步服務和使用者驗證服務。只有在任何舊版連接器上設定了 Kerberos 驗證方法時,才需要 Kerberos 驗證服務。
  7. 當連接器安裝成功完成時,請返回 Workspace ONE Access 服務主控台中的目錄移轉儀表板。
  8. 移轉到新的連接器區段中,逐一移轉所有目錄。
    移轉儀表板中的移轉目錄區段
    [移轉到新的連接器] 區段會列出承租人中的所有 Active Directory 和 LDAP 目錄。您必須先移轉列出的所有目錄,才能完成移轉。
    備註: 在此步驟中移轉目錄並不會變更任何現有的目錄、驗證方法或身分識別提供者組態,只有在下一步驟中預覽變更後才會生效。
    1. 按一下目錄旁邊的移轉按鈕。
      [移轉目錄] 精靈隨即顯示。此精靈已根據您要移轉的目錄加以自訂。會針對目錄中設定的驗證方法顯示其他頁面。
    2. 在 [目錄] 頁面上,輸入目錄的繫結使用者密碼。
      目錄同步主機清單會顯示已安裝目錄同步服務的新 20.01 Connector。選取一或多台主機,以用來同步目錄。
      移轉目錄精靈 - 目錄頁面
    3. (僅在設定 Kerberos 驗證方法時顯示) 在 [Kerberos] 頁面上,指定移轉 Kerberos 驗證方法所需的資訊。
      • 來源連接器:已預先選取來源連接器。如果預先選取的連接器無法使用,您可以選取其他連接器。
      • Kerberos 驗證主機:此清單會顯示已安裝 Kerberos 驗證服務的新 20.01 Connector 主機。選取要用於 Kerberos 驗證的一或多台主機。

      移轉目錄 - Kerberos 頁面

    4. 在 [密碼] 頁面上,指定移轉密碼驗證方法所需的資訊。
      • 來源連接器:已預先選取來源連接器。如果預先選取的連接器無法使用,您可以選取其他連接器。
      • 繫結密碼:輸入目錄的繫結使用者密碼。
      • 使用者驗證主機:此清單會顯示已安裝使用者驗證服務的新 20.01 Connector 主機。選取要用於密碼驗證的一或多台主機。

      MigrateDirectoryPassword

    5. (僅在設定 RADIUS 驗證方法時顯示) 在 [RADIUS] 頁面上,指定移轉 RADIUS 驗證方法所需的資訊。
      • 來源連接器:已預先選取來源連接器。如果預先選取的連接器無法使用,您可以選取其他連接器。
      • 共用密碼:RADIUS 伺服器的共用密碼。
      • 使用者驗證主機:此清單會顯示已安裝使用者驗證服務的新 20.01 Connector 主機。選取要用於 RADIUS 驗證的一或多台主機。

      移轉目錄 - Radius 頁面

    6. (僅在設定 RSA SecurID 驗證方法時才會顯示) 在 [SecurId] 頁面上,指定移轉 RSA SecurID 驗證方法所需的資訊。
      • 來源連接器:已預先選取來源連接器。如果預先選取的連接器無法使用,您可以選取其他連接器。
      • 使用者驗證主機:此清單會顯示已安裝使用者驗證服務的新 20.01 Connector 主機。選取要用於 RSA SecurID 驗證的一或多台主機。

      移轉目錄 - SecurID 頁面

    7. (僅在設定 Kerberos 驗證時才會顯示) 在 [身分識別提供者] 頁面上,輸入連接器負載平衡器的 FQDN,以用於將在移轉期間為 Kerberos 驗證建立的新身分識別提供者。
      目前的負載平衡器 FQDN 隨即顯示以供參考。這是目錄之身分識別提供者頁面中的目前 IdP 主機名稱值。
      如果您只有一個 20.01 Connector,且沒有負載平衡器,請輸入連接器的 FQDN。
      移轉目錄精靈的身分識別提供者頁面
    8. 在 [摘要] 頁面中確認您的選取項目,然後按一下儲存
      目錄移轉資料即會儲存。您可以按一下 [目錄移轉] 儀表板中目錄旁的 摘要按鈕,以查看設定。
      儀表板中的移轉窗格會顯示摘要按鈕
      如果您想要對輸入的資訊進行任何變更,請按一下 [摘要] 頁面中的 重新開始。如此會捨棄您已輸入的目錄移轉資料,並讓您再次移轉目錄。
      DirectorySummary
    9. 移轉其餘的目錄。
    在所有目錄都進行移轉後,即會啟用 [完成移轉] 步驟。
  9. 完成移轉區段中,按一下開始預覽以開始移轉程序。
    移轉儀表板 - 開始預覽
    在預覽階段中,會使用新的 20.01 Connector。目錄同步由新的目錄同步服務執行、使用者驗證由新的使用者驗證服務執行,且 Kerberos 驗證由新的 Kerberos 驗證服務執行。您無法對目錄、驗證方法或身分識別提供者進行任何變更,也無法建立新的項目。您可以在 身分識別提供者索引標籤中查看已轉換的身分識別提供者,以及在 企業驗證方法索引標籤中查看已轉換的驗證方法。Kerberos 以外的所有驗證方法均處於輸出模式。
    重要: 在預覽階段中徹底測試您的環境,並確認它如預期運作。確認目錄同步、使用者登入和應用程式啟動是否正常運作。
  10. 如果您判定您的環境無法正常運作,或您想要對目錄、驗證方法或身分識別提供者進行任何變更,請結束預覽階段並返回使用舊的連接器。
    移至 [身分識別與存取管理] > [管理] > [目錄] 頁面,按一下 繼續移轉,然後在 [目錄移轉] 儀表板的 完成移轉區段中按一下 中止
    完成移轉窗格
    如果您隨後對目錄、驗證方法或身分識別提供者進行任何變更,請務必在 移轉到新的連接器區段中再次移轉目錄。
  11. 當您在預覽階段確認環境如預期運作,且您準備好要完成移轉時,請前往 [身分識別與存取管理] > [管理] > [目錄] 頁面並按一下繼續移轉,以返回 [目錄移轉] 儀表板。
    注意: 完成移轉後,您無法復原為舊的連接器。

    按一下完成以完成移轉。

    移轉儀表板 - 完成移轉區段

結果

所有目錄均會移轉至新的 20.01 Connector。新的目錄同步、使用者驗證和 Kerberos 驗證服務現在會執行目錄同步和使用者驗證。

系統會為每個目錄建立新的身分識別提供者,並顯示在身分識別提供者索引標籤中,並具有名稱:已移轉 IDP for 目錄。新的身分識別提供者類型為 [內建]。對於 Kerberos 驗證,則會建立 Workspace_IDP 類型的單獨身分識別提供者。

除 Kerberos 以外的所有驗證方法均會轉換為輸出方法,並使用 (雲端部署) 尾碼重新命名。例如,密碼驗證方法會重新命名為密碼 (雲端部署)。您可以從企業驗證方法索引標籤上,查看和管理新的驗證方法。

後續步驟

移轉完成後,您可以將舊的 19.03 Connector 從安裝所在的伺服器解除安裝。