使用移轉儀表板,將現有的目錄移轉至 Workspace ONE Access 20.10 Connector。移轉程序是一種分階段方法,可讓您在完成移轉之前先使用新的連接器測試環境。

移轉程序包含下列階段:

  • 安裝 20.10 Connector

    安裝新的 20.10 Connector,其中包含目錄同步、使用者驗證和 Kerberos 驗證服務。請至少安裝目錄同步和使用者驗證服務。如果已設定 Kerberos 驗證方法,請安裝 Kerberos 驗證服務。

  • 移轉到新的連接器

    在此階段中,您可以使用 [移轉目錄] 精靈來移轉所有目錄資料。多數必要資訊會從您的環境預先填入,但您需要輸入一些機密值,例如目錄繫結使用者密碼。

    在此階段中移轉目錄並不會變更任何現有的目錄、驗證方法或身分識別提供者組態。您仍在使用舊的連接器。在下一步驟中移至預覽階段後,變更才會生效。

  • 預覽

    在預覽階段中,您可以使用新的 20.10 Connector 預覽您的環境。來自 20.10 Connector 的新目錄同步、使用者驗證和 Kerberos 驗證服務會執行目錄同步和使用者驗證。Kerberos 以外的所有驗證方法均處於輸出模式。

    預覽階段旨在讓您使用新服務徹底測試環境。確認目錄同步、使用者驗證和應用程式啟動皆如預期運作。

    在預覽階段中,您無法對目錄、驗證方法或身分識別提供者進行任何變更,也無法新增新的項目。

    從預覽階段,您可以復原為使用舊的連接器。復原後,您在先前階段中所移轉的目錄資料仍會保留。如果您稍後對任何現有的目錄、驗證方法或身分識別提供者進行了任何變更,請務必再次移轉目錄資料。

  • 完成移轉

    當您滿意對新環境進行的測試後,請完成移轉。完成移轉後,無法復原為使用舊的連接器。

必要條件

  • 請檢閱移轉至 VMware Workspace ONE Access 20.10 Connector中的需求。
  • 確認您環境中的所有連接器皆為 19.03.x 版。如果有任何較舊版本的連接器,請將其升級至 19.03.x
  • 為新的 20.10 Connector 準備一或多個 Windows Server。請參閱《安裝 Workspace ONE Access Connector 20.10》中的大小調整準則

    您可以在新的伺服器或舊版 19.03.x Connector 伺服器上安裝 20.10 Connector。不過,如果您的舊版連接器上已設定 Kerberos 驗證,則必須使用個別的 Windows Server 來安裝 20.10 Kerberos 驗證服務。請勿在 19.03.x Connector 伺服器上安裝新的 Kerberos 驗證服務。Workspace ONE Access 不支援相同伺服器上有多個 Kerberos 執行個體。

    如果您的舊版連接器上未設定 Kerberos 驗證,而您想要在舊版 19.03.x Connector 伺服器上安裝新的 20.10 Connector,請參閱在執行 Workspace ONE Access 19.03.x 的 Windows Server 上移轉至最新的連接器以瞭解其他需求。

  • 如果您有內部部署 Workspace ONE Access 服務執行個體,請先將其升級至 20.10,然後再移轉連接器。
  • 如果您已針對任何目錄設定 RSA SecurID 驗證方法,請在 RSA Security 主控台中清除節點密碼。

    此外,如果您要在新的 Windows Server 上安裝使用者驗證服務,請先將 Windows Server 新增為 SecurID 伺服器中的代理程式,再開始進行連接器移轉。

  • 如果有任何 IDP 與多個目錄相關聯,請修改組態,使每個 IDP 僅與一個目錄相關聯。
  • 開始移轉程序前,請確保未對任何目錄執行目錄同步程序。
  • 如果您已啟用 People Search 功能,在開始移轉程序之前,請確定未對任何目錄執行照片同步程序。
  • 如果您要移轉沒有相關聯目錄的 19.03.x Connector,請注意,當您在步驟 5 中選取 Workspace ONE Access Connector 20.10 選項時,系統會將移轉視為完成,並從服務中刪除 19.03.x Connector。如果您後續決定要使用舊版連接器,並使用重設虛擬應用程式使用量按鈕變更了連接器選擇,將不會顯示 19.03.x Connector。您必須重新安裝 19.03.x Connector,以透過服務將其重新啟動。

程序

  1. 按一下身分識別與存取管理索引標籤。
    移轉頁面隨即顯示。
    移轉頁面
  2. 檢閱需求,然後按一下
    [目錄移轉] 儀表板隨即顯示。
  3. 在 [目錄移轉] 儀表板中,按一下安裝 20.01 或更新版本的連接器區段中的開始使用連結。

    目錄移轉儀表板中的安裝新的連接器窗格
  4. 在 [連接器] 頁面中,按一下新增
    連接器頁面隨即顯示
  5. 在 [虛擬應用程式使用量確認] 快顯視窗中,如果您不打算使用虛擬應用程式 (Horizon、Horizon Cloud 和 Citrix 整合),請選取 Workspace ONE Access Connector 20.10
    如果您想要使用虛擬應用程式,請選取 舊版連接器以結束移轉程序。只有舊版連接器支援虛擬應用程式。
    虛擬應用程式使用情形問題
    重要: 請考量您的業務需求,謹慎做出選擇。如果您稍後想要變更選擇,您將只能在移轉程序中的特定點執行變更。請參閱 在 Workspace ONE Access 中重設虛擬應用程式使用量選項
  6. 依照 [新增連接器] 精靈的指示,下載連接器安裝程式和必要的組態檔,然後安裝新的連接器。
    重要: 安裝連接器時,請務必安裝目錄同步服務和使用者驗證服務。只有在任何舊版連接器上設定了 Kerberos 驗證方法時,才需要 Kerberos 驗證服務。
  7. 當連接器安裝成功完成時,請返回 Workspace ONE Access 服務主控台中的 [目錄移轉] 儀表板。
  8. 移轉到新的連接器區段中,逐一移轉所有目錄。
    移轉儀表板中的移轉目錄區段
    [移轉到新的連接器] 區段會列出承租人中的所有 Active Directory 和 LDAP 目錄。您必須先移轉列出的所有目錄,才能完成移轉。
    備註: 在此步驟中移轉目錄並不會變更任何現有的目錄、驗證方法或身分識別提供者組態,只有在下一步驟中預覽變更後才會生效。
    1. 按一下目錄旁邊的移轉按鈕。
      [移轉目錄] 精靈隨即顯示。此精靈已根據您要移轉的目錄加以自訂。會針對目錄中設定的驗證方法顯示其他頁面。
    2. 在 [目錄] 頁面上,輸入目錄的繫結使用者密碼。
      目錄同步主機清單會顯示已安裝目錄同步服務的新 20.10 Connector 主機。選取一或多台主機,以用來同步目錄。
      移轉目錄精靈 - 目錄頁面
    3. (僅在設定 Kerberos 驗證方法時顯示) 在 [Kerberos] 頁面上,指定移轉 Kerberos 驗證方法所需的資訊。
      • 來源連接器:已預先選取來源連接器。如果預先選取的連接器無法使用,您可以選取其他連接器。
      • Kerberos 驗證主機:此清單會顯示已安裝 Kerberos 驗證服務的新 20.10 Connector 主機。選取要用於 Kerberos 驗證的一或多台主機。

      移轉目錄 - Kerberos 頁面

    4. 在 [密碼] 頁面上,指定移轉密碼驗證方法所需的資訊。
      • 來源連接器:已預先選取來源連接器。如果預先選取的連接器無法使用,您可以選取其他連接器。
      • 繫結密碼:輸入目錄的繫結使用者密碼。
      • 使用者驗證主機:此清單會顯示已安裝使用者驗證服務的新 20.10 Connector 主機。選取要用於密碼驗證的一或多台主機。

      MigrateDirectoryPassword

    5. (僅在設定 RADIUS 驗證方法時顯示) 在 [RADIUS] 頁面上,指定移轉 RADIUS 驗證方法所需的資訊。
      • 來源連接器:已預先選取來源連接器。如果預先選取的連接器無法使用,您可以選取其他連接器。
      • 共用密碼:RADIUS 伺服器的共用密碼。
      • 使用者驗證主機:此清單會顯示已安裝使用者驗證服務的新 20.10 Connector 主機。選取要用於 RADIUS 驗證的一或多台主機。

      移轉目錄 - Radius 頁面

    6. (僅在設定 RSA SecurID 驗證方法時才會顯示) 在 [SecurId] 頁面上,指定移轉 RSA SecurID 驗證方法所需的資訊。
      • 來源連接器:已預先選取來源連接器。如果預先選取的連接器無法使用,您可以選取其他連接器。
      • 使用者驗證主機:此清單會顯示已安裝使用者驗證服務的新 20.10 Connector 主機。選取要用於 RSA SecurID 驗證的一或多台主機。

      移轉目錄 - SecurID 頁面

    7. (僅在設定 Kerberos 驗證時才會顯示) 在 [身分識別提供者] 頁面上,輸入連接器負載平衡器的 FQDN,以用於將在移轉期間為 Kerberos 驗證建立的新身分識別提供者。
      目前的負載平衡器 FQDN 隨即顯示以供參考。這是目錄之身分識別提供者頁面中的目前 IdP 主機名稱值。
      如果您只有一個 20.10 Connector,且沒有負載平衡器,請輸入連接器的 FQDN。
      移轉目錄精靈的身分識別提供者頁面
    8. 在 [摘要] 頁面中確認您的選取項目,然後按一下儲存
      目錄移轉資料即會儲存。您可以按一下 [目錄移轉] 儀表板中目錄旁的 摘要按鈕,以查看設定。
      儀表板中的移轉窗格會顯示摘要按鈕
      如果您想要對輸入的資訊進行任何變更,請按一下 [摘要] 頁面中的 重新開始。如此會捨棄您已輸入的目錄移轉資料,並讓您再次移轉目錄。
      DirectorySummary
    9. 移轉其餘的目錄。
    在所有目錄都進行移轉後,即會啟用 完成移轉步驟。
  9. 完成移轉區段中,按一下開始預覽以開始移轉程序。
    移轉儀表板 - 開始預覽
    在預覽階段中,會使用新的 20.10 Connector。目錄同步由新的目錄同步服務執行、使用者驗證由新的使用者驗證服務執行,且 Kerberos 驗證由新的 Kerberos 驗證服務執行。您無法對目錄、驗證方法或身分識別提供者進行任何變更,也無法建立新的項目。您可以在 身分識別提供者索引標籤中查看已轉換的身分識別提供者,以及在 企業驗證方法索引標籤中查看已轉換的驗證方法。Kerberos 以外的所有驗證方法均處於輸出模式。

    如果您的 Workspace ONE Access 服務部署中已啟用 People Search 功能,則您必須手動同步目錄,而不使用保護措施設定。在 Workspace ONE Access 主控台中,選取 [身分識別與存取管理] > [目錄] 頁面中的目錄,然後按一下同步 > 不使用保護措施進行同步

    重要: 在預覽階段中徹底測試您的環境,並確認它如預期運作。確認目錄同步、使用者登入和應用程式啟動是否正常運作。
  10. 如果您判定您的環境無法正常運作,或您想要對目錄、驗證方法或身分識別提供者進行任何變更,請結束預覽階段並返回使用舊的連接器。
    移至 [身分識別與存取管理] > [管理] > [目錄] 頁面,按一下 繼續移轉,然後在 [目錄移轉] 儀表板的 完成移轉區段中按一下 中止
    完成移轉窗格
    如果您隨後對目錄、驗證方法或身分識別提供者進行任何變更,請務必在 移轉到新的連接器區段中再次移轉目錄。
  11. 當您在預覽階段確認環境如預期運作,且您準備好要完成移轉後,請前往 [身分識別與存取管理] > [管理] > [目錄] 頁面並按一下繼續移轉,以返回 [目錄移轉] 儀表板。
    注意: 完成移轉後,您無法復原為舊的連接器。

    按一下完成以完成移轉。

    移轉儀表板 - 完成移轉區段

結果

所有目錄均會移轉至新的 20.10 Connector。新的目錄同步、使用者驗證和 Kerberos 驗證服務現在會執行目錄同步和使用者驗證。

系統會為每個目錄建立新的身分識別提供者,並顯示在身分識別提供者索引標籤中,並具有名稱:已移轉 IDP for 目錄。新的身分識別提供者類型為 [內建]。對於 Kerberos 驗證,則會建立 Workspace_IDP 類型的單獨身分識別提供者。

除 Kerberos 以外的所有驗證方法均會轉換為輸出方法,並使用 (雲端部署) 尾碼重新命名。例如,密碼驗證方法會重新命名為密碼 (雲端部署)。您可以從企業驗證方法索引標籤上,查看和管理新的驗證方法。

後續步驟

移轉完成後,您可以將舊的 19.03.x Connector 從安裝所在的伺服器解除安裝。