Atualização para o
VMware Identity Manager
3.3 (Windows)
SETEMBRO DE 2018
Atualização para o VMware Identity Manager 3.3 (Windows)
Você pode encontrar a documentação técnica mais atualizada no site da VMware, em:
https://docs.vmware.com/br/
O site da VMware também fornece as atualizações mais recentes de produtos. Caso tenha comentários sobre esta documentação, envie seu feedback para:
docfeedback@vmware.com VMware, Inc. 3401 Hillview Ave. Palo Alto, CA 94304 www.vmware.com VMware Brasil
Rua Surubim, 504 4º andar CEP 04571-050 Cidade Monções São Paulo SÃO PAULO: 04571-050 Brasil Tel: +55 11 55097200 Fax: + 55. 11. 5509-7224 www.vmware.com/br
Conteúdo
Sobre como atualizar para o mais recente VMware Identity Manager para Windows 4
1
Preparação para a atualização 5Adicionar a função db_owner antes do upgrade 5
Desabilitar os grupos de disponibilidade AlwayOn do SQL Server antes do upgrade 7
2
Atualização do servidor no Cluster (Windows) 93
Configuração pós-atualização_ Windows 114
Solucionando problemas nos erros de atualização 12Sobre como atualizar para o mais recente
VMware Identity Manager para Windows
Atualização para o mais recente VMware Identity Manager (Windows) descreve como atualizar a máquina do VMware Identity Manager com base em Windows da versão 3.2.0.1 para a 3.3. Para obter informações sobre como atualizar o VMware Identity Manager para Linux, consulteAtualização do VMware Identity Manager 3.3 (Linux).
Público-alvo
Essas informações destinam-se a qualquer pessoa que deseja instalar, atualizar e configurar o
VMware Identity Manager. Elas foram escritas para administradores experientes de sistemas Windows ou Linux que estão familiarizados com a tecnologia de máquina virtual.
Preparação para a atualização
1
O processo de upgrade não difere significativamente do processo de instalação. Os valores e asconfigurações que você definiu são preenchidos automaticamente. Você pode verificar as configurações e selecionar Próximo no instalador.
Caminho de atualização suportado
Para atualizar para a versão 3.3, o VMware Identity Manager deve ser da versão 3.2.0.1.
O VMware Identity Manager 3.1 para Windows foi instalado como parte da instalação do AirWatch para versões do AirWatch 9.2. até a 3.x. Para atualizar da 3.1 até a 3.3, consulte o guia Migrar o VMware Identity Manager para Windows para a versão 3.3.
Etapas de pré-requisitos
Antes de iniciar a atualização, certifique-se de concluir as etapas a seguir.
n Tire um instantâneo do banco de dados e dos nós do VMware Identity Manager antes de atualizar
para a versão mais recente.
n Se você revogou a função db_owner no banco de dados do Microsoft SQL, deverá adicionar a
função de volta antes de realizar o upgrade, caso contrário, ele falhará. Consulte Adicionar a função db_owner antes do upgrade.
n Para fazer upgrade de um servidor do VMware Identity Manager equipado com grupos de
disponibilidade do SQL Server, você deve desabilitar os grupos de disponibilidade antes de fazer upgrade do servidor. Após o upgrade, você deve reabilitar os grupos de disponibilidade. Consulte Desabilitar os grupos de disponibilidade AlwayOn do SQL Server antes do upgrade
Este capítulo inclui os seguintes tópicos:
n Adicionar a função db_owner antes do upgrade
n Desabilitar os grupos de disponibilidade AlwayOn do SQL Server antes do upgrade
Adicionar a função db_owner antes do upgrade
Se você revogou a função db_owner do banco de dados Microsoft SQL, deverá adicioná-la novamente antes de fazer upgrade para a versão mais recente do VMware Identity Manager.
Pré-requisitos
Leia em Instalando e configurando o VMware Identity Manager (Windows), informações sobre pré-requisitos para a criação do banco de dados.
Adicione a função db_owner ao mesmo usuário que foi usado durante a instalação:
Procedimentos
1 Faça login no Microsoft SQL Server Management Studio como um usuário com privilégios de sysadmin.
2 Conecte-se à instância do banco de dados do VMware Identity Manager. 3 Insira os comandos a seguir.
Se você estiver usando o modo de Autenticação do Windows, use os seguintes comandos: USE <saasdb>;
ALTER ROLE db_owner ADD MEMBER <domain\username>; GO
Garanta que substituiu <saasdb> pelo seu nome de banco de dados e <domínio\nome de usuário> pelo nome de usuário e domínio relevantes.
Se você estiver usando o modo de Autenticação do SQL Server, use os seguintes comandos: USE <saasdb>;
ALTER ROLE db_owner ADD MEMBER <loginusername>; GO
Garanta que substituiu <saasdb> pelo seu nome de banco de dados e <nomedeusuáriodelogin> pelo nome de usuário relevante.
Alterar as funções de nível de banco de dados
Quando o esquema saas é usado para criar o banco de dados do Microsoft SQL para o serviço do VMware Identity Manager, a associação de função de banco de dados é concedida à função db_owner. Os membros da função de banco de dados fixa db_owner podem executar todas as atividades de manutenção e configuração do banco de dados.
Depois que o banco de dados for definido e configurado no serviço do VMware Identity Manager, você poderá revogar o acesso à db_owner e adicionar db_datareader e db_datawriter como as funções de banco de dados. Os membros da função db_datareader podem ler todos os dados de todas as tabelas de usuário. O membro da função db_datawriter pode adicionar, excluir ou alterar dados em todas as tabelas de usuário.
Observação Se você revogar o acesso ao db_owner, certifique-se de que a função db_owner seja concedida novamente antes de iniciar uma atualização para uma nova versão do
VMware Identity Manager.
Pré-requisitos
A função de usuário para o Microsoft SQL Server Management Studio como sysadmin ou como uma conta de usuário com privilégios de sysadmin.
Procedimentos
1 Na sessão do Microsoft SQL Server Management Studio como um administrador com privilégios de sysadmin, conecte-se à instância do banco de dados <saasdb>para o VMware Identity Manager. 2 Revogue a função db_owner no banco de dados, insira o comando a seguir
Modo de autenticação Comando
Autenticação do Windows
(domínio\usuário) ALTER ROLE db_owner DROP MEMBER <domain\username>;
Autenticação do SQL
Server (usuário local) ALTER ROLE db_owner DROP MEMBER <loginusername>;
3 Adicione a associação de função db_datawriter e db_datareader ao banco de dados.
Modo de autenticação Comando
Autenticação do Windows
(domínio\usuário) ALTER ROLE db_datawriter ADD MEMBER <domain\username>; GO
ALTER ROLE db_datareader ADD MEMBER <domain\username>; GO
Autenticação do SQL
Server (usuário local) ALTER ROLE db_datawriter ADD MEMBER <loginusername>; GO
ALTER ROLE db_datareader ADD MEMBER <loginusername>; GO
Desabilitar os grupos de disponibilidade AlwayOn do SQL
Server antes do upgrade
Se você habilitar o Microsoft SQL AlwaysON, antes de fazer upgrade de um servidor do VMware Identity Manager, deverá desativar os grupos de disponibilidade.
Procedimentos
1 Nas sessões do Microsoft SQL Server Management Studio como administrador com privilégios de administrador do sistema, conecte-se à instância do banco de dados para o VMware Identity Manager (<saasdb>).
2 Para desabilitar grupos de disponibilidade, insira o seguinte comando. USE master;
ALTER AVAILABILITY GROUP <groupname> REMOVE DATABASE <saasdb>;
Reabilitar os grupos de disponibilidade AlwaysOn
Após fazer upgrade de um servidor do VMware Identity Manager, você deverá reabilitar os grupos de disponibilidade AlwayON.
Procedimentos
1 Nas sessões do Microsoft SQL Server Management Studio como administrador com privilégios de administrador do sistema, conecte-se à instância do banco de dados para o VMware Identity Manager (<saasdb>).
2 Para reabilitar grupos de disponibilidade, insira o seguinte comando. USE master;
ALTER AVAILABILITY GROUP <groupname> ADD DATABASE <saasdb>;
3 Para sincronizar novamente todos os nós secundários, execute o seguinte comando. ALTER DATABASE <saasdb> SET HADR AVAILABILITY GROUP = <groupname>;
Atualização do servidor no
Cluster (Windows)
2
Para cada nó no cluster, atualize o VMware Identity Manager para Windows. Conte com algum tempo de inatividade durante o upgrade e planeje o momento para o seu upgrade de acordo com essa possível demora.
Pré-requisitos
n Pare todos os nós com exceção de um dos que constam no balanceador de carga. Procedimentos
1 Clique duas vezes no instalador do VMware Identity Manager.
Execute o instalador a partir de uma conta com privilégios de administrador. 2 Para iniciar o upgrade, clique em Avançar.
3 Aceite o Contrato de Licença de Usuário Final (EULA) e clique em Avançar.
4 Se o do Programa de aperfeiçoamento da experiência do cliente não estiver habilitado, convidamos você a participar do programa. Na caixa de diálogo Programa de aperfeiçoamento da experiência
do cliente, a ação padrão é definida como Sim.
Este produto participa do Programa de aperfeiçoamento da experiência do cliente (“CEIP”) da VMware. Os detalhes sobre os dados recolhidos pelo CEIP e os fins para os quais eles são utilizados pela VMware são estabelecidos pelo Centro de Confiança e Garantia, em
http://www.vmware.com/trustvmware/ceip.html. Caso prefira não participar do CEIP da VMware para este produto, desmarque a caixa.
Você pode participar ou deixar de participar do CEIP da VMware para este produto a qualquer momento.
Observação Se a sua rede estiver configurada para acessar a Internet por meio do proxy HTTP, para enviar à VMware os dados coletados pelo CEIP, você deverá ajustar as configurações de proxy na máquina do VMware Identity Manager.
5 Os pré-requisitos do VMware Identity Manager são listados. O instalador verifica os módulos necessários. Você será solicitado a instalar qualquer módulo ausente.
7 Na caixa de diálogo de configuração, confirme se o nome do host do servidor interno e o número da porta 443 estão corretos e clique em Avançar.
8 Na caixa de diálogo Conta de Serviço do VMware Identity Manager, marque a caixa de seleção se você quiser executar o serviço como usuário de domínio do Windows e insira o nome de usuário e a senha da conta do domínio a ser usada. O nome de usuário deve estar no formato DOMÍNIO\Nome de usuário.
Execute o serviço como usuário de domínio nos seguintes casos.
n Se você pretende conectar-se ao Active Directory (Autenticação Integrada do Windows). n Se você planeja usar a autenticação Kerberos com o KDC da empresa.
n Se você planeja integrar o Horizon (View) ao VMware Identity Manager e deseja usar a opção
Executar Sincronização de Diretório.
Se você não usar uma conta de usuário de domínio, o serviço será executado como sistema local. 9 Clique em Instalar para iniciar o upgrade.
Durante o upgrade, as seguintes ações são executadas.
n Faz-se o upgrade dos arquivos nesse diretório para a última versão do
VMware Identity Manager. 10 Clique em Concluir.
Próximo passo
Faça upgrade dos outros nós no cluster.
Se você desabilitou os grupos de disponibilidade do SQL Server, reabilite os grupos de disponibilidade. Consulte Reabilitar os grupos de disponibilidade AlwaysOn
Se você adicionou a função db_owner para o upgrade, poderá desabilitá-la. Consulte Alterar as funções de nível de banco de dados
Configuração pós-atualização_
Windows
3
Após a atualização para o VMware Identity Manager 3.3, talvez você precise definir algumas das configurações.
Habilitar o Proxy de Certificado para Single Sign-On
Móvel do Android para o monitoramento de diagnóstico
Se o Single Sign-On Móvel do Android estiver configurado, depois de atualizar o VMware Identity Manager, você deverá ativar o Proxy de Certificado na interface do usuário para ativar o monitoramento de diagnóstico.
Vá para a página Configurações do Appliance > Configuração de proxy de certificado SSO do
Android de SSO Móvel e selecione Habilitar Proxy de Certificado. Clique em Salvar.
Arquivos de configuração Log4j
Se algum arquivo de configuração log4j em uma instância do VMware Identity Manager tiver sido editado, novas versões dos arquivos não serão instaladas automaticamente durante o upgrade. No entanto, após o upgrade, os logs controlados por esses arquivos não funcionarão.
Para resolver esse problema:
1 Faça login na máquina com Windows.
2 Procure arquivos log4j com o sufixo .rpmnew. find / -name "**log4j.properties.rpmnew"
3 Para cada arquivo encontrado, copie o novo arquivo para o antigo arquivo log4j correspondente sem o sufixo .rpmnew.
Integração do Citrix
Para realizar a integração do Citrix no VMware Identity Manager 3.3, todos os conectores externos devem ter a versão 2018.8.1.0 (a versão do conector na versão 3.3) ou posteriores.
Você também deve atualizar para o Integration Broker 3.32 ou posterior. A atualização não está disponível para o Integration Broker. Desinstale a versão antiga e, em seguida, instale a nova versão.
Solucionando problemas nos
erros de atualização
4
Você pode solucionar problemas de atualização revendo os logs de erro. Caso o
VMware Identity Manager seja iniciado, você poderá retornar a uma instância anterior revertendo para um instantâneo.
Coletando um pacote de arquivos de log
Você pode coletar um pacote de arquivos de log. Você obtém o pacote da página de configuração do appliance do VMware Identity Manager.
Os seguintes arquivos de log são coletados no pacote.
Tabela 4‑1. Arquivos de log
Componente Localização do arquivo de log Descrição
Logs do Apache Tomcat (catalina.log)
/opt/vmware/horizon/workspace/logs/catal ina.log
As mensagens de registro do Apache Tomcat que não estão registradas em outros arquivos de log.
Logs do Configurador (configurator.log)
/opt/vmware/horizon/workspace/logs/confi gurator.log
Solicita que o Configurador receba do cliente REST e da interface Web. Logs do conector /opt/vmware/horizon/workspace/logs/conne
ctor.log
Um registro de cada solicitação recebida da interface Web. Cada entrada de log inclui também a URL, o carimbo de data/hora e as exceções da solicitação. Nenhuma ação de sincronização é registrada.
/opt/vmware/horizon/workspace/logs/conne ctor-dir-sync.log
Mensagens relacionadas à sincronização de diretório.
Logs de Serviço (horizon.log) /opt/vmware/horizon/workspace/logs/horiz on.log
O log de serviço registra a atividade que ocorre no appliance do
VMware Identity Manager, como atividades relacionadas a direitos, usuários e grupos.
Logs do Catálogo Unificado (greenbox_web.log)
/opt/vmware/horizon/workspace/logs/green box_web.log
Registra a atividade relacionada ao catálogo unificado.
Procedimentos
1 Faça login na página de configuração do appliance do VMware Identity Manager em https://identitymanagerURL:8443/cfg/logs.
2 Clique em Preparar pacote de logs. 3 Baixe o pacote.
