Atualização progressiva

Você pode concluir uma atualização progressiva da release 12.51 (12.5x) ou posterior para a release 12.8.x. Uma atualização progressiva permite substituir um componente existente em seu ambiente pela versão mais recente do componente sem interrupções na disponibilidade do sistema. Enquanto o componente estiver sendo substituído, os demais componentes continuarão protegendo os recursos. Continue substituindo os componentes até que todos eles sejam atualizados ou estejam operando em compatibilidade no modo misto.
casso1283
Você pode concluir uma atualização progressiva da release 12.51 (12.5x) ou posterior para a release 12.8.x. Uma atualização progressiva permite substituir um componente existente em seu ambiente pela versão mais recente do componente sem interrupções na disponibilidade do sistema. Enquanto o componente estiver sendo substituído, os demais componentes continuarão protegendo os recursos. Continue substituindo os componentes até que todos eles sejam atualizados ou estejam operando em compatibilidade no modo misto.
Ordem de atualização para atualização progressiva
Os fluxos a seguir detalham as etapas na ordem em que um ambiente 12.5x simples é atualizado. Cada figura representa um único repositório de políticas e de chaves. No entanto, uma implantação pode usar repositórios de chaves e políticas separados.
Etapas da atualização progressiva
Rolling Upgrade Stages
O processo a seguir detalha o fluxo de atualização:
  1. Na etapa um, introduza no ambiente um novo servidor de políticas 12.8.x no modo de compatibilidade com as seguintes considerações:
    • Os agentes 12.5x continuam se comunicando com o servidor de políticas 12.8.x.
    • O servidor de políticas 12.8.x continua se comunicando com o repositório de políticas e chaves 12.5x.
    • O servidor de políticas 12.5x continua se comunicando com o repositório de políticas e chaves 12.5x.
    Depois que o servidor de políticas 12.8.x estiver funcionando no ambiente, substitua o servidor de políticas 12.5x pelo servidor de políticas 12.8.x.
  2. Na etapa dois, substitua os servidores de políticas restantes pelos novos servidores de políticas 12.8.x de maneira semelhante.
  3. Na etapa três, atualize o repositório de políticas e de chaves 12.5x.
  4. Na etapa quatro, substitua a interface administrativa por uma nova interface administrativa 12.8.x e registre essa nova interface no servidor de políticas 12.8.x.
  5. Substitua cada servidor do Access Gateway em seu ambiente na sequência.
    Se você estiver usando agentes web, observe que a release 12.52 SP1 é a release mais recente dos agentes web.
Conclua as etapas a seguir para executar uma atualização progressiva:
1
Verificar os pré-requisitos
Antes de atualizar, certifique-se de que:
  1. Os erros de integridade do repositório de políticas foram corrigidos.
  2. Se você tiver personalizado qualquer um dos seguintes arquivos em seu ambiente atual, atualize-os manualmente no novo ambiente para que as personalizações sejam refletidas:
    • Os arquivos .txt e .properties nos locais
      sso_installation
      \config e
      sso_installation
      \config\properties
    • cdslog4j.properties
    • JVMOptions.txt
Instalar e configurar o servidor de políticas mais recente
Prepare novos servidores de políticas 12.8.x e substitua sequencialmente os respectivos componentes em seu ambiente. Nesta etapa, você deve:
  1. Decidir qual servidor de políticas deve ser substituído em seu ambiente.
  2. Preparar uma nova máquina para o servidor de políticas 12.8.x.
  3. Substituir o servidor de políticas existente pelo servidor de políticas 12.8.x.
Siga estas etapas
:
  1. Instale um servidor de políticas 12.8.x em uma nova máquina.
    Para obter informações sobre a instalação do servidor de políticas, consulte Instalar o servidor de políticas no UNIX, de acordo com o seu ambiente.
  2. Recompile todos os binários personalizados de 32 bits para um ambiente de 64 bits e copie esses binários recompilados para o servidor de políticas 12.8.x.
  3. Configure o servidor de políticas 12.8.x.
    1. Aponte o servidor de políticas 12.8.x para o repositório de políticas existente.
      Apontar para o repositório de políticas LDAP existente
      1. Abra o console de gerenciamento do servidor de políticas na máquina existente antiga do servidor de políticas.
        Importante:
        Se o UAC (User Account Control - Controle de Conta de Usuário) do Windows estiver ativado, abra o atalho com permissões de administrador. Use as credenciais de administrador mesmo se você estiver conectado ao sistema com permissões de administrador.
      2. Clique na guia
        Dados
        .
      3. Anote as configurações do repositório de políticas e de chaves do servidor de políticas existente.
      4. Abra o console de gerenciamento do servidor de políticas na máquina do servidor de políticas 12.8.x.
      5. Especifique a configuração dos repositórios de políticas e de chaves na guia
        Dados
        .
      6. Clique em
        Aplicar
        .
      7. Clique em
        Test LDAP Connection
        para verificar se o servidor de políticas pode acessar o repositório de políticas.
      8. Na lista de banco de dados, selecione
        Key Store
        .
      9. Na lista de armazenamentos, selecione
        LDAP
        .
      10. Selecione
        Use Policy Store database
        .
      11. Clique em
        OK
        .
      Apontar para o repositório de políticas ODBC existente
      1. Crie uma origem de dados.
        Importante:
        A origem de dados que você cria para o servidor de políticas 12.8.x deve ser igual à origem do servidor de políticas 12.5x ou posterior.
      2. Colete as configurações de DSN no servidor de políticas existente.
      3. Abra o console de gerenciamento do servidor de políticas e clique na guia
        Dados
        .
      4. Na lista de banco de dados, selecione
        Repositório de políticas
        .
      5. Na lista de armazenamentos, selecione
        ODBC
        .
      6. Informe o nome da origem de dados no campo
        Data Source Information
        . A entrada deve corresponder ao nome que você inseriu no campo Nome de origem de dados quando criou a origem de dados.
      7. Informe e confirme o nome de usuário e a senha da conta do banco de dados que tem direitos de acesso total à instância do banco de dados nos respectivos campos.
      8. Especifique o número máximo de conexões de banco de dados que estão alocadas para o
        SiteMinder
        . Mantenha o padrão de 25 conexões para obter o melhor desempenho.
      9. Clique em
        Aplicar
        .
      10. Na lista de banco de dados, selecione
        Key Store
        .
      11. Na lista de armazenamentos, selecione
        ODBC
        .
      12. Selecione
        Use the Policy Store database
        .
      13. Na lista de banco de dados, selecione
        Log de auditoria
        .
      14. Na lista de armazenamentos, selecione ODBC.
      15. Selecione
        Use the Policy Store database
        .
      16. Clique em
        Aplicar
        .
      17. Clique em
        Testar conexão
        para verificar se o servidor de políticas pode acessar o repositório de políticas.
      18. Clique em
        OK
        .
    2. Aponte o servidor de políticas 12.8.x para o repositório de chaves existente.
  4. Execute a ferramenta UpgradeReadinessCheck para identificar os binários personalizados de 32 bits que são configurados no repositório de políticas e em todos os esquemas de autenticação não suportados. Atualize para 64 bits.��Para obter informações detalhadas sobre a ferramenta, consulte Verificação manual de ocorrências com binários personalizados e esquemas de autenticação.
  5. Se você gerenciava objetos de federação legada usando a interface administrativa do FSS em seu ambiente antigo, execute o comando
    XPSSweeper
    uma vez no primeiro novo servidor de políticas 12.8.x a fim de migrar os objetos da federação legada para a interface administrativa.
  6. Verifique se o servidor de políticas está pronto para atender às solicitações em um ambiente.
  7. Repita essas etapas para cada servidor de políticas que você desejar atualizar.
Atualizar o arquivo JVMOptions com as configurações do OIDC
Somente para atualização da release 12.8.02 para a 12.8.03 ou posterior
A partir da release 12.8.02, como um provedor do OpenID Connect, o
SiteMinder
oferece suporte a um terminal conhecido. Para oferecer suporte ao recurso, o formato dos URLs de terminal e do URL do emissor foi alterado para o seguinte formato:
A partir da release 12.8.03, você pode escolher se o recurso de metadados do provedor ficará ativado ou desativado usando o novo campo da interface administrativa
Ativar conhecido
. O status dessa opção gerencia o recurso de metadados do provedor e, com isso, o formato do URL do emissor. Por padrão, o recurso é desativado e os URLs são gerados no seguinte formato:
Se você estiver usando a release 12.8.02 e estiver atualizando o ambiente para 12.8.03 ou posterior, é possível que os URLs dos terminais existentes não funcionem após a atualização. Para resolver esse problema, execute as seguintes etapas depois de atualizar o servidor de políticas:
  1. Abra o arquivo JVMOptions.txt.
  2. Defina a propriedade
    -Dcom.ca.oidc.ReturnNewIssuerURL
    como
    true
    .
  3. Salve a alteração.
  4. Reinicie o servidor de políticas.
  5. Repita as etapas de 1 a 4 em todos os servidores de políticas depois de atualizá-los para a release 12.8.03 ou posterior.
Atualizar o repositório de políticas existente
Atualize o repositório de políticas existente depois de atualizar todos os servidores de políticas necessários em seu ambiente.
Importar as definições de dados do repositório de políticas
Importar as definições de dados do repositório de políticas define os tipos de objeto que podem ser criados e armazenados no repositório de políticas.
Siga estas etapas
:
  1. Abra uma janela de comando e vá para
    sso_home
    \xps\dd.
    sso_home
    especifica o caminho de instalação do servidor de políticas.
  2. Execute o seguinte comando para importar as definições de dados necessárias:
    XPSDDInstall SmMaster.xdd
  3. Se o seu ambiente estiver integrado ao Symantec Identity Manager, execute o seguinte comando para importar as definições de dados necessárias para a integração:
    XPSDDInstall IdmSmObjects.xdd
Importar os objetos do repositório de políticas padrão
Importar os objetos do repositório de políticas padrão configura o repositório de políticas para uso com a interface administrativa e o servidor de políticas.
Considere os itens a seguir:
  • Para importar os objetos do repositório de políticas, o utilitário de importação requer acesso de gravação para
    sso_home
    \bin.
    sso_home
    especifica o caminho de instalação do servidor de políticas.
  • Se o UAC (User Account Control - Controle de Conta de Usuário) do Windows estiver ativado, abra as janelas de linha de comando com permissões de administrador, mesmo se sua conta tiver privilégios de administrador.
Siga estas etapas
:
  1. Abra uma janela de comando e vá para
    sso_home
    \db.
  2. Importe
    um
    dos seguintes arquivos:
    • smpolicy.xml:
      importe smpolicy.xml executando o seguinte comando:
      XPSImport smpolicy.xml -npass
    • smpolicy-secure.xml
      : importe smpolicy-secure.xml executando o seguinte comando:
      XPSImport smpolicy-secure.xml -npass
-npass
especifica que não há necessidade de frase secreta. Os objetos do repositório de políticas padrão não contêm dados criptografados.
Use um dos arquivos para configurar um novo repositório de políticas e atualizar um repositório existente. Quando importado como parte de uma atualização, o arquivo não substitui os objetos padrão existentes que foram modificados. Ambos os arquivos incluem os objetos do repositório de políticas padrão. Esses objetos incluem as configurações de segurança padrão nos modelos ACO (Agent Configuration Object - Objeto de Configuração do Agente) padrão. O arquivo seguro fornece configurações de segurança mais restritivas.
Os objetos do repositório de políticas padrão são importados.
Importar os objetos do repositório de políticas da federação
Se desejar usar o OAuth ou o OpenID Connect, importe as entidades padrão do OAuth, bem como os objetos de escopos e declarações padrão para o OpenID Connect.
Siga estas etapas
:
  1. Abra uma janela de comando e vá para
    siteminder_home
    \db.
  2. Importe o arquivo
    default-fedobjects-config.xml
    usando o seguinte comando:
    XPSImport default-fedobjects-config.xml -npass
    -npass
    especifica que não há necessidade de frase secreta.
Atualizar o esquema do repositório de políticas
Observação:
esse procedimento será necessário apenas se você tiver configurado a variável de serviço web com variáveis aninhadas.
Para atualizar para a release 12.8.x com uma variável de serviço web configurada com variáveis aninhadas em um banco de dados Microsoft SQL Server, MySQL ou IBM DB2, atualize o esquema do repositório de políticas. O script de atualização para cada banco de dados está localizado em
sso_home
\db\SQL.
Se estiver usando um banco de dados Microsoft SQL Server, certifique-se de que os dados em nestedvariableoid não sejam NULOS e execute o seguinte script no banco de dados:
sm_mssql_ps_upgrade_nestedvariables_to_12.52.sql
Para usar um banco de dados MySQL, execute o seguinte script no banco de dados:
sm_mysql_ps_upgrade_nestedvariables_to_12.52.sql
Para usar um banco de dados IBM DB2, execute o seguinte script de atualização no banco de dados:
sm_db2_ps_upgrade_nestedvariables_to_12.52.sql
Migrar a ID do emissor do assertion
Se você estiver gerenciando objetos de federação legada em seu ambiente r12.5x ou posterior, migre a ID do emissor do assertion, do produtor antigo para o produtor 12.8.x. A migração da ID impede que as transações de SAML 1.1 falhem no provedor de serviços.
Siga estas etapas
:
  1. Efetue logon em um sistema de host do servidor de políticas 12.5x ou posterior e vá para o seguinte local:
    sso_home
    \config\properties
    sso_home
    especifica o caminho de instalação do servidor de políticas.
  2. Copie o seguinte arquivo:
    AMAssertionGenerator.properties
  3. Efetue logon em um sistema de host do servidor de políticas 12.8.x e vá para o seguinte local:
    siteminder_home
    \config\properties
  4. Renomeie a versão 12.8.x do arquivo de propriedades do gerador de assertion para o seguinte valor:
    newAMAssertionGenerator.properties
  5. Adicione a versão 12.5x ou posterior do arquivo de propriedades ao diretório.
    A migração foi concluída.
Reiniciar todos os servidores de políticas
Conclua a atualização do repositório de políticas reiniciando todos os servidores de políticas que estão se comunicando com o repositório de políticas.
Atualizar objetos do cliente OIDC
Somente para atualização da release 12.8.02 para a 12.8.03
ou posterior
Para garantir que os terminais do OIDC da release 12.8.02 continuem funcionando na release 12.8.03 ou posterior, execute o seguinte comando em qualquer um dos servidores de políticas da release 12.8.03 ou posterior após a atualização do repositório de políticas:
Windows
:
siteminder_installation_path
\bin\UpdateOIDCClientConfig.bat
Linux
:
siteminder_installation_path
/bin/UpdateOIDCClientConfig.sh
Os clientes OIDC existentes retornam URLs do emissor e URLs do terminal no seguinte formato:
Issuer URL: https://Access_Gateway_server:port/affwebservices/CASSO/oidc/
client_name
Endpoint URL: https:/Access_Gateway_server:port/affwebservices/CASSO/oidc/
client_name
/
endpoint
Além disso, se você tentar modificar ou excluir objetos OIDC de uma versão mais antiga da interface administrativa ou usando APIs REST, a operação falhará. Se você não estiver pronto para atualizar a interface administrativa para a release 12.8.03 ou posterior, atualize o esquema do repositório de políticas e, em seguida, execute as seguintes etapas:
  1. Abra o prompt de comando na instância do servidor de políticas e vá para
    siteminder_installation_path
    \xps\dd.
  2. Execute o seguinte comando para atualizar o esquema:
    XPSDDInstall <siteminder_home>\xps\dd\upgrade_oidc_schema_pre_12_8_3.xdd
Instalar e configurar a interface administrativa mais recente
Prepare uma nova interface administrativa 12.8.x e registre-a com o servidor de políticas 12.8.x.
Para instalar uma interface administrativa 12.8.x, consulte instalar interface administrativa no UNIX, de acordo com o seu ambiente.
Instalar e configurar o Access Gateway mais recente
Prepare uma nova máquina com o Access Gateway 12.8.x e substitua o Access Gateway existente pelo novo de acordo com a ordem de migração. Para obter informações, consulte Instalar o Access Gateway.