Perguntas frequentes sobre migração de Tenant para clientes conjuntos do Centrify e Idaptive

Regras, novidades, contato, etc.
Responder
tiagotoledo
Site Admin
Mensagens: 121
Registado: quinta nov 09, 2017 11:35 am

Perguntas frequentes sobre migração de Tenant para clientes conjuntos do Centrify e Idaptive

Mensagem por tiagotoledo »

Perguntas frequentes sobre migração de Tenant para clientes conjuntos do Centrify e Idaptive

http://tiagobigode.com.br/perguntas-fre ... -idaptive/

https://centrify.force.com/support/Arti ... d-Idaptive

Este artigo descreve o processo geral de divisão dos Tenants (inquilinos) Idaptive e Centrify, bem como as ações do Cliente que devem ocorrer em vários estágios da mudança.

Consulte o artigo KB-17161: Preparando a alteração do URL do tenant (inquilino) para centrify.net para obter informações sobre a alteração no seu URL do Centrify. O documento é organizado por componente funcional impactado. Se não estiver listado, a expectativa é que a funcionalidade não seja afetada.

1. Por que o Idaptive e o Centrify estão realizando essas mudanças?

Como parte da separação comercial do Idaptive do Centrify, a migração dos serviços Application e Endpoint da nuvem Centrify para a nuvem Idaptive deve começar em outubro de 2019. Após a divisão, os clientes terão acesso a dois tenants (inquilinos) independentes – um inquilino Idaptive e um inquilino do Centrify.

2. O que está mudando?

Como o nome indica, os inquilinos existentes serão divididos em dois inquilinos separados. Um inquilino para a funcionalidade e experiência do Centrify no serviço em nuvem de produção Centrify e um inquilino para a funcionalidade e experiência do Idaptive no serviço em nuvem de produção Idaptive.

Após a migração, o inquilino Idaptive se tornará o provedor de identidade autorizativo (IDP) do inquilino Centrify por meio de um relacionamento Federado inserido automaticamente, permitindo uma experiência consistente de entrada para qualquer um dos produtos. Um aplicativo PAS (Centrify Privileged Access Service) estará disponível no Idaptive User Portal após a migração para facilitar o acesso aos serviços PAS no portal Centrify. Todas as funções, direitos e atribuições de direitos existentes existirão nos dois inquilinos.

3. O URL do inquilino será alterado?

O ID do inquilino para inquilinos Idaptive ou Centrify não será alterado durante a migração. O URL padrão para inquilinos Idaptive manterá * .centrify.com e um novo URL de inquilino denominado * .idaptive.app será adicionado ao inquilino Idaptive após a migração como um URL adicional. O URL do inquilino para os serviços em nuvem do Centrify mudará de centrify.com para centrify.net. Antes da divisão, o centrify.net estará disponível em 30 de setembro de 2019, o que proporcionará aos clientes a oportunidade de atualizar quaisquer indicadores e URLs de integração do Centrify PAS. Todos os URLs existentes continuarão funcionando normalmente antes da migração.

4. Haverá um impacto nos conectores?

Após a conclusão da divisão do inquilino, os conectores do Centrify funcionarão com o inquilino do Centrify e os conectores do Idaptive trabalharão com o inquilino do Idaptive.

Todos os conectores devem estar na versão 19.5 ou acima antes da divisão. A recomendação para a menor interrupção durante a divisão inicial é co-hospedar os conectores Idaptive na mesma máquina que executa os conectores Centrify.

Método de instalação automática – Se todos os conectores Centrify existentes estiverem executando a versão 19.5 (ou superior) e a opção de atualização automática estiver ativada, o Idaptive pode automatizar o download e a instalação de conectores em seu nome para serem implantados em máquinas que executam o conector Centrify.

Método de instalação manual – Se a atualização automática não estiver ativada em todos os conectores e o conector não for atualizado para 19.5, os clientes deverão baixar, instalar e registrar manualmente os conectores Idaptive.

Notifique o Idaptive para sua preferência de instalação enviando um e-mail para customersuccess@idaptive.com.

A instalação de novos conectores do Centrify deve especificar o URL do inquilino específico.

Ao registrar o conector recém-instalado após inserir as credenciais de administrador, clique no botão Avançado. Digite o URL do inquilino do Centrify.

Exemplo: abc1234.my.centrify.net

Nota: A afinidade do conector para as configurações do App Gateway é mapeada automaticamente do conector Centrify para o conector Idaptive apropriado que está sendo executado no mesmo host do conector durante o processo de divisão. Se os Clientes optarem por implantar conectores Idaptive em novos hosts, toda a afinidade do conector por recursos como o gateway de aplicativo não será migrada. Esses recursos serão padronizados para os modos “Usar todos os conectores disponíveis”.

5. Haverá um impacto para os usuários finais?

Todos os serviços de inquilino ficarão indisponíveis por um breve período durante a janela de manutenção de movimentação. A quantidade de tempo para a mudança varia de acordo com o tamanho do inquilino. Na maioria dos casos, a janela de manutenção esperada é de apenas alguns minutos (5 a 10), mas pode levar até uma hora para grandes inquilinos.

Após a divisão, os clientes terão acesso a dois inquilinos independentes. Esses inquilinos terão a forma de inquilino Idaptive e centrify. Os usuários que entrarem no inquilino do Centrify passarão pelo Idaptive como o provedor de identidade federado (IDP). Certifique-se de comunicar essas alterações aos seus usuários finais antes da divisão.

Para obter informações adicionais sobre a federação de parceiros de negócios, consulte a Idaptive Online Documentation.

6. Haverá um impacto no agente do Windows (DZWin) e no ZSO?

Os clientes que usam o Direct Authorize for Windows (DZWin) com ZSO precisarão remover a personalização e re-personalizar após a migração clicando com o botão direito do mouse no ícone do agente na bandeja do sistema. Novas instalações executadas após a migração não precisarão ser personalizadas novamente.

7. Haverá um impacto nos aplicativos existentes?

Todos os aplicativos serão movidos e disponibilizados pelo inquilino Idaptive após a divisão e espera-se que funcionem sem modificações. O inquilino do Centrify começará com uma lista vazia de aplicativos implantados. A única exceção são os aplicativos OAuth Client, que permanecerão no inquilino Centrify e serão copiados para o inquilino Idaptive. O provisionamento de saída continuará funcionando após a divisão do inquilino Idaptive. O Centrify não terá mais recursos de provisionamento de aplicativos.

Nota: Se os administradores configuraram aplicativos usando o URL genérico de cloud.centrify.com em vez do URL específico do inquilino (<tenantID> .my.centrify.com), esses aplicativos falharão ao redirecionar para o inquilino correto após a migração. Revise e atualize as configurações atuais de aplicativos implantados nos portais do Portal de administração e do provedor de serviços (SP) antes da migração agendada.

8. Haverá algum impacto nos relatórios personalizados?

Como parte da divisão de inquilinos, os relatórios serão duplicados e estarão disponíveis nos inquilinos Centrify e Idaptive. Quaisquer relatórios personalizados com alias de coluna na cláusula “where” da consulta SQL precisarão ser atualizados. Os alias da coluna precisarão ser substituídos pelos nomes reais das colunas para que o relatório funcione com êxito na divisão de postagem do inquilino Idaptive.

Como exemplo, a seguinte consulta SQL:

Select username as name from user where name = ‘ joe’

precisará ser modificado como abaixo:

Select username as name from user where username = ‘joe’

9. Haverá algum impacto nos dispositivos móveis?

Todos os dispositivos móveis existentes que foram registrados com sucesso usando o aplicativo móvel Idaptive (ou Centrify) serão movidos e disponibilizados pelo inquilino Idaptive após a divisão e espera-se que funcionem sem modificações.

Para que o Centrify Privilege Access Service funcione em um celular, será necessário instalar o aplicativo móvel Centrify.

Nota: Se os administradores tiverem registrado algum dispositivo usando o URL da web descontinuado de cloud.centrify.com/enroll, em vez do aplicativo móvel Idaptive (ou Centrify), esses dispositivos não conseguirão redirecionar para o inquilino correto após a migração e deverão ser registrados novamente.

10. Haverá algum impacto nas notificações por push do MFA?

Para que as notificações por push do MFA funcionem com os inquilinos Centrify e Idaptive, os clientes precisam instalar o aplicativo móvel Centrify, além do aplicativo móvel Idaptive. Um único aplicativo móvel, Centrify ou Idaptive, não poderá enviar notificações de MFA para os dois inquilinos.

11. Haverá algum impacto para os inquilinos do provedor de serviços gerenciados (MSP) ou para os inquilinos filhos (SMB)?

Todas as PMEs existentes serão transferidas para um inquilino Idaptive MSP recém-criado. Após a criação do novo inquilino MSP, um a um, as SMBs serão copiadas para o novo inquilino e removidas do inquilino Centrify MSP. Posteriormente, o inquilino do Centrify será dividido. Os inquilinos Centrify e Idaptive resultantes da divisão não terão recursos MSP. Somente o inquilino Idaptive MSP recém-criado terá recursos de MSP.

12. Haverá algum impacto no Analytics?

O serviço do Google Analytics continuará funcionando normalmente após a divisão do inquilino. Não haverá impacto nos clientes existentes.

13. Haverá algum impacto na autenticação RADIUS?

Após a conclusão da divisão do inquilino, a autenticação RADIUS estará disponível no inquilino do Centrify. Se o RADIUS for necessário para o inquilino Idaptive, siga https://docs.idaptive.com/Content/CoreS ... Config.htm. Se os conectores Centrify e Idaptive estiverem em execução no mesmo servidor, verifique se não há conflitos de portas entre a configuração do Centrify e do Idaptive RADIUS. Entre em contato com o suporte do Idaptive em https://support.idaptive.com ou ligue para a linha de suporte do Idaptive em 408-495-8118 para obter ajuda com a ativação.

14. Haverá algum impacto nos serviços de diretório?

Após a conclusão da divisão do inquilino, os usuários LDAP poderão se conectar com êxito ao inquilino do Centrify. Para permitir que os usuários LDAP efetuem login no inquilino Idaptive após a divisão, siga as etapas abaixo:

Adicione um conector Idaptive antes da divisão e adicione um serviço LDAP no Portal Administrativo, fazendo uma conexão com o servidor LDAP através do conector Idaptive.

Se você não teve a chance de adicionar um serviço LDAP no Admin Portal através do conector Idaptive antes da divisão, adicione-o após a divisão

Entre em contato com o suporte do Idaptive em https://support.idaptive.com ou ligue para a linha de suporte do Idaptive em 408-495-8118 para obter ajuda com a ativação.

15. Quanto tempo a divisão e a migração levarão?

A quantidade de tempo para a mudança varia de acordo com o tamanho do inquilino. Na maioria dos casos, a janela de manutenção esperada é de apenas alguns minutos, mas pode levar até uma hora para grandes inquilinos.

16. Os dados atuais serão copiados para os dois inquilinos?

Durante a operação de divisão, os dados do inquilino foram replicados para os dois inquilinos resultantes, com algumas exceções.

Os últimos 12 meses de todos os eventos na tabela Eventos serão copiados para o inquilino Idaptive. O inquilino Centrify continuará a ter todos os eventos. Após a migração, apenas os eventos relacionados a cada produto serão registrados no respectivo inquilino, por exemplo, Eventos PAS no inquilino Centrify, eventos Idaptive no inquilino Idaptive.

As chaves U2F continuarão funcionando através do inquilino Idaptive (elas não estarão visíveis no inquilino Centrify), mas só funcionarão se o usuário estiver no URL <tenant> .my.centify.com que eles usaram quando a chave U2F foi registrada . As chaves U2F podem ser registradas novamente para trabalhar com o inquilino do Centrify após a divisão, se desejado, para uso nas políticas Step Up MFA no produto Centrify.

Quaisquer parceiros existentes (federações, B2B, B2C) são movidos para o inquilino Idaptive.

O provisionamento de entrada continuará a funcionar após a divisão do inquilino Idaptive. O Centrify não terá mais recursos de provisionamento de entrada.

Por algum tempo antes da migração, a criação e execução de novos trabalhos serão desativadas. Após a conclusão da migração, todos os trabalhos recorrentes regularmente serão retomados.

Todas as sessões atuais (usuários logados, OAuth2) ou autenticações em andamento (MFA) não são movidas para novos inquilinos; todos os usuários devem efetuar login novamente.

Nota: O inquilino Idaptive estará disponível e funcionará após a divisão, os dados do evento histórico serão copiados de forma assíncrona e, como resultado, ficarão disponíveis ao longo do tempo.

17. Existem ações necessárias do Cliente antes da divisão do inquilino?

Consulte a seção abaixo e preencha os requisitos de migração antes do horário de migração agendado.

Rede e firewall – Atualize o firewall e a segurança da rede. Durante a migração, os inquilinos Idaptive passarão do MS Azure para o Amazon Web Services (AWS). Os clientes devem colocar na lista branca os recursos de firewall e porta listados neste documento antes da data de migração agendada. Se o conector Idaptive não conseguir estabelecer uma conexão com *.idaptive.app, o login do usuário falhará. Os clientes devem garantir a conectividade com *.centrify.net antes da migração. Os administradores podem executar um teste simples para verificar rapidamente a conectividade básica inserindo o seguinte URL em um navegador da web a partir de um host executando o conector Idaptive: https://connectivity.my.idaptive .app/my

Se o URL puder ser resolvido, uma página de login Idaptive na AWS será exibida. Não é necessário fazer login, mas confirma em um nível básico a capacidade de acessar os recursos da AWS. Revise todos os filtros de firewall ou de e-mail da sua organização e atualize conforme necessário antes da data de mudança programada, conforme detalhado na seção de documentação on-line do Idaptive Requisitos de firewall e endereço IP externo, se você não conseguir resolver o URL.

Autenticação Multifatorial (MFA) – Os clientes devem garantir que todos os conectores estejam na versão 19.5 ou acima antes da divisão do inquilino e é necessário seguir a Fase 1 do KB-17161: Preparando a alteração da URL do inquilino para centrify.net para definir explicitamente o URL do inquilino do MFA para o domínio centrify.com. Após a conclusão da migração, é necessário seguir a Fase 2 do KB-17161: Preparando a alteração do URL do inquilino para centrify.net para configurar agentes MFA CDC, DZWin e conectores para usar o domínio centrify.net mais recente.

Aplicativos – scripts, aplicativos ou automação personalizados que usam credenciais do OAuth para chamar APIs de serviço podem precisar ser alterados se a API de destino for para a funcionalidade do Centrify. Nesse caso, o aplicativo cliente precisa ser alterado para usar a URL <tenant>.my.centrify.net. Nenhuma ação é necessária para o uso da API Idaptive.

Bookmarks – Os clientes devem atualizar os bookmarks antes da mudança. Sugerimos que quaisquer indicadores específicos do PAS (Centirfy Privileged Access Service) sejam adicionados/atualizados pelos usuários que usam o PAS para <tenant>.my.centrify.net quando disponíveis, enquanto os indicadores específicos do Idaptive existentes (<tenant>.my.centrify. com) continuará a funcionar.

Nota: Marcadores específicos do Idaptive (<tenant>.my.idaptive.app) não podem ser criados ou usados ​​até depois da divisão.

UNIX e Windows – Idealmente, os clientes devem atualizar todos os Centrify Clients para 19.5 ou superior para divisão de inquilino transparente. Se não for possível atualizar para a versão 19.5 antes da divisão, os clientes UNIX, Linux e Windows devem ser desinscritos e reinscritos usando a nova URL de inquilino ou as configurações de URL do cliente em cada host devem ser atualizadas para a funcionalidade contínua. A versão atual de todos os clientes pode ser visualizada executando o seguinte relatório personalizado no produto:

SELECT Server.Name, Server.FQDN, Server.AgentVersion FROM Server WHERE Server.AgentVersion != “”

Federação do ADFS – Quando um inquilino é configurado para usar o ADFS como um IdP e a URL padrão do inquilino é alterada de *.my.centrify.com para *my.idaptive.app, o serviço usa o novo domínio Idaptive no Assertion Consumer Service ( ACS) no SAML. Os clientes devem consultar o artigo do Idaptive KB-8577: Como migrar as configurações do ADFS do Centrify para o Idaptive para obter as etapas para atualizar a configuração.

Extensão do navegador – os clientes que ativaram a política de aplicativo ‘Definir versão da extensão do navegador’ devem desabilitar a interface do usuário das políticas para todos os usuários para garantir a compatibilidade quando a extensão do navegador Centrify e Idaptive estiver instalada na mesma máquina. As versões mais antigas da Centrify Browser Extension (CBE) não podem coexistir com a Idaptive Browser Extension (IBE).

18. Existem ações necessárias do Cliente após a divisão do inquilino?

Leia o abaixo e conclua as etapas pós-migração após a conclusão da migração.

Se os conectores Idaptive não foram instalados em todas as máquinas que executam os conectores Centrify antes da divisão, os Clientes deverão atualizar manualmente o mapeamento do conector para qualquer aplicativo do App Gateway em que um conector Idaptive correspondente não possa ser encontrado no mesmo host do conector Centrify. Para obter informações adicionais, consulte a seção de ajuda on-line do Idaptive, Configurando o App Gateway.

As chaves U2F funcionarão apenas ao usar o nome do host *.my.centrify.com para o qual foram registradas, que agora será o inquilino Idaptive. Os administradores que desejam usar suas chaves U2F com o nome de host Idaptive (<tenant>.my.idaptive.app) devem solicitar que seus usuários registrem novamente as chaves.

Para usar qualquer chave U2F com o inquilino do Centrify, elas devem ser registradas novamente pelo usuário enquanto estiverem conectadas ao inquilino do Centrify no URL <tenant>.my.centrify.net.

Como todas as Federações (B2B e B2C) são movidas para Idaptive, pode ser desejável ter um relacionamento direto de IDP-> Centrify, dependendo da intenção e desejo do cliente. Agora é possível recriar o relacionamento anterior por um administrador de nuvem no locatário do Centrify.

19. Como saberei quando a manutenção estiver concluída?

Você receberá uma notificação por e-mail diretamente quando essas atualizações forem concluídas. Após a manutenção, recomendamos que você efetue login no inquilino Idaptive e confirme se o serviço do conector está em execução e exibe um estado conectado. Certifique-se de acessar aplicativos e outros serviços usados​​regularmente. Para garantir a operação dos inquilinos migrados e validar a configuração adequada, o Idaptive e o Centirfy Operations terão acesso limitado e somente leitura aos dados do inquilino por um breve período após a migração. O token que permite esse acesso expirará em 30 minutos.

Também recomendamos que você assine o Idaptive Trust em trust.idaptive.com e o Centrify Uptime em uptime.centrify.com para que possamos enviar alertas para futuras atualizações ou alterações no status do serviço em nuvem. Os clientes que se registram receberão um e-mail separado para confirmar o registro e você poderá gerenciar facilmente sua assinatura ou cancelar a inscrição a qualquer momento.

20. Com quem devo entrar em contato para problemas após a conclusão da migração?

Se você encontrar algum problema de produção após a migração, o Suporte Técnico é o principal local para relatar ou escalar qualquer problema.

Problemas específicos do inquilino idaptive: entre em contato com o suporte do Idaptive em https://support.idaptive.com ou ligue para a linha de suporte do Idaptive em 408-495-8118 para obter assistência urgente.

Problemas específicos do inquilino do Centrify: Entre em contato com o Suporte do Centrify em https://www.centrify.com/support ou ligue para a linha de suporte do Centrify em 877-531-7809 para obter assistência urgente.

Às vezes, a melhor maneira de resolver um problema é conceder acesso somente leitura ao Idaptive ou Centirfy ao seu inquilino, para que os engenheiros possam revisar sua configuração. Para obter mais informações, consulte a documentação online do Centrify ou a documentação on-line do Idaptive.

21. Com quem devo entrar em contato para outras questões relacionadas à minha migração?

Se você tiver perguntas relacionadas à sua migração ou às Perguntas frequentes, entre em contato com um dos endereços de e-mail abaixo para que possamos responder rapidamente.

Perguntas específicas do Idaptive: customersuccess@idaptive.com

Perguntas específicas do Centrify: support@centrify.com
Topo
Responder

Voltar para “Geral”