Actualización gradual

Se puede completar una actualización gradual de la versión 12.51 (12.5x) o posterior a la versión 12.8.x. Una actualización gradual le permite reemplazar un componente existente en el entorno con la última versión del componente sin interrumpir la disponibilidad del sistema.Mientras se reemplaza el componente, los componentes restantes continúan protegiendo los recursos.Continúe reemplazando los componentes hasta que todos los componentes estén actualizados o en funcionamiento con la compatibilidad de modo mixto.
casso1283
Se puede completar una actualización gradual de la versión 12.51 (12.5x) o posterior a la versión 12.8.x. Una actualización gradual le permite reemplazar un componente existente en el entorno con la última versión del componente sin interrumpir la disponibilidad del sistema.Mientras se reemplaza el componente, los componentes restantes continúan protegiendo los recursos.Continúe reemplazando los componentes hasta que todos los componentes estén actualizados o en funcionamiento con la compatibilidad de modo mixto.
Orden de la actualización para llevar a cabo la actualización gradual
Los siguientes flujos detallan las fases del orden en el que se actualiza un entorno 12.5x sencillo.Cada imagen representa un único almacén de políticas y un almacén de claves. Sin embargo, una implementación puede usar diferentes almacenes de claves y políticas.
Fases de la actualización gradual
Rolling Upgrade Stages
El siguiente proceso detalla el flujo de la actualización:
  1. En la fase uno, introduzca un nuevo Servidor de políticas de la versión 12.8.x en el entorno con un modo de compatibilidad con las consideraciones siguientes:
    • Los agentes de la versión 12.5x continúan comunicándose con el Servidor de políticas de la versión 12.8.x.
    • El Servidor de políticas de la versión 12.8.x continúa comunicándose con el almacén de políticas y claves de la versión 12.5x.
    • El Servidor de políticas de la versión 12.5x continúa comunicándose con el almacén de políticas y claves de la versión 12.5x.
    Una vez que el Servidor de políticas de la versión 12.8.x funciona en el entorno, reemplace un Servidor de políticas de la versión 12.5x por el Servidor de políticas de la versión 12.8.x.
  2. En la fase dos, reemplace los Servidores de políticas restantes por los nuevos Servidores de políticas de la versión 12.8.x con un método similar.
  3. En la fase tres, actualice el almacén de políticas y el almacén de claves de la versión 12.5x.
  4. En la fase cuatro, sustituya la interfaz de usuario administrativa por una nueva interfaz de usuario administrativa de la versión 12.8.x y registre la nueva interfaz de usuario administrativa de la versión 12.8.x con el Servidor de políticas de la versión 12.8.x.
  5. Reemplace cada servidor de Access Gateway secuencialmente en el entorno.
    Si está utilizando agentes web, tenga en cuenta que la versión 12.52 SP1 es la última versión para los agentes web.
Complete los pasos siguientes para realizar una actualización gradual:
1
Verificación de los requisitos previos
Antes de la actualización, asegúrese de que:
  1. Se han corregido los errores de integridad del almacén de políticas.
  2. Si se ha personalizado cualquiera de los siguientes archivos en el entorno actual, actualice manualmente estos archivos en el nuevo entorno para reflejar las personalizaciones:
    • Los archivos .txt y .properties en las ubicaciones
      instalación_sso
      \config e
      instalación_sso
      \config\properties.
    • cdslog4j.properties
    • JVMOptions.txt
Instalación y configuración del último Servidor de políticas
Prepare a los nuevos Servidores de políticas de la versión 12.8.x y reemplace secuencialmente sus respectivos componentes en el entorno. En este paso, se debe:
  1. Decidir qué Servidor de políticas se debe reemplazar en el entorno.
  2. Preparar un nuevo equipo del Servidor de políticas de la versión 12.8.x.
  3. Reemplazar el Servidor de políticas existente con el Servidor de políticas de la versión 12.8.x.
Lleve a cabo los pasos siguientes
:
  1. Instale el Servidor de políticas de la versión 12.8.x en un nuevo equipo.
    Para obtener más información sobre la instalación del Servidor de políticas, consulte Instalación del Servidor de políticas en UNIX en función del entorno.
  2. Recompile cualquier archivo binario personalizado de 32 bits para un entorno de 64 bits y copie estos archivos binarios recompilados en el Servidor de políticas de la versión 12.8.x.
  3. Configure el Servidor de políticas de la versión 12.8.x.
    1. Apunte el Servidor de políticas de la versión 12.8.x al almacén de políticas existente.
      Apunte al almacén de políticas de LDAP existente
      1. Abra la Consola de gestión del Servidor de políticas en el equipo anterior existente del Servidor de políticas.
        Importante
        : Si el Control de cuentas de usuario (UAC) está habilitado en Windows, abra el acceso directo con permisos de administrador. Use las credenciales de administrador incluso si se ha iniciado sesión en el sistema con permisos de administrador.
      2. Haga clic en la ficha
        Datos
        .
      3. Anote la configuración del almacén de políticas y del almacén de claves del Servidor de políticas existente.
      4. Abra la Consola de gestión del Servidor de políticas en el equipo del Servidor de políticas de la versión 12.8.x.
      5. Especifique la configuración del almacén de políticas y del almacén de claves en la ficha
        Datos
        .
      6. Haga clic en
        Aplicar
        .
      7. Haga clic en
        Probar conexión de LDAP
        para verificar que el Servidor de políticas puede acceder al almacén de políticas.
      8. En la lista Base de datos, seleccione
        Almacén de claves
        .
      9. En la lista Almacenamiento, seleccione
        LDAP
        .
      10. Seleccione
        Utilizar base de datos del almacén de políticas
        .
      11. Haga clic en
        Aceptar
        .
      Apunte al almacén de políticas de ODBC existente
      1. Cree un origen de datos.
        Importante
        : El origen de datos que se crea para el Servidor de políticas de la versión 12.8.x debe ser el mismo que el del Servidor de políticas de la versión 12.5x o posterior.
      2. Recopile la configuración de DSN del Servidor de políticas existente.
      3. Abra la Consola de gestión del Servidor de políticas y haga clic en la ficha
        Datos
        .
      4. En la lista Base de datos, seleccione
        Almacén de políticas
        .
      5. En la lista Almacenamiento, seleccione
        ODBC
        .
      6. Escriba el nombre del origen de datos en el campo
        Información del origen de datos
        . La entrada debe coincidir con el nombre que se ha especificado en el campo Nombre de origen de datos cuando se creó el origen de datos.
      7. Especifique y confirme el nombre de usuario y la contraseña de la cuenta de la base de datos que tiene derechos de acceso total a la instancia de la base de datos en los campos respectivos.
      8. Especifique el número máximo de conexiones de la base de datos asignadas a
        SiteMinder
        .Mantenga la opción predeterminada de 25 conexiones para obtener el mejor rendimiento.
      9. Haga clic en
        Aplicar
        .
      10. En la lista Base de datos, seleccione
        Almacén de claves
        .
      11. En la lista Almacenamiento, seleccione
        ODBC
        .
      12. Seleccione
        Utilizar base de datos del almacén de políticas
        .
      13. En la lista Base de datos, seleccione
        Registros de auditoría
        .
      14. En la lista Almacenamiento, seleccione ODBC.
      15. Seleccione
        Utilizar base de datos del almacén de políticas
        .
      16. Haga clic en
        Aplicar
        .
      17. Haga clic en
        Probar conexión
        para verificar que el Servidor de políticas puede acceder al almacén de políticas.
      18. Haga clic en
        Aceptar
        .
    2. Apunte el Servidor de políticas de la versión 12.8.x al almacén de claves existente.
  4. Ejecute la herramienta UpgradeReadinessCheck para identificar los archivos binarios personalizados de 32 bits que están configurados en el almacén de políticas y todos los esquemas de autenticación no admitidos. Actualice estos archivos a 64 bits. Para obtener información detallada sobre la herramienta, consulte Comprobación manual de incidencias con esquemas de autenticación y archivos binarios personalizados.
  5. Si se han gestionado objetos de federación heredados mediante la interfaz de usuario administrativa de FSS en el entorno anterior, ejecute el comando
    XPSSweeper
    una vez en la primera instancia del Servidor de políticas de la versión 12.8.x nuevo para migrar los objetos de federación heredados a la interfaz de usuario administrativa.
  6. Compruebe que este Servidor de políticas está listo para atender solicitudes en un entorno.
  7. Repita estos pasos para cada Servidor de políticas que se desea actualizar.
Actualización del archivo JVMOptions con las configuraciones de OIDC
Solamente para actualizar de la versión 12.8.02 a la versión 12.8.03 o posterior
A partir de la versión 12.8.02,
SiteMinder
como proveedor de OpenID Connect es compatible con el punto final conocido. Para admitir la función, el formato de las direcciones URL del emisor y de los puntos finales ha cambiado al formato siguiente:
A partir de la versión 12.8.03, se puede gestionar si la función de metadatos del proveedor está habilitada o deshabilitada utilizando el nuevo campo
Habilitar conocido
en la interfaz de usuario administrativa. El estado de esta opción gestiona la función de metadatos del proveedor y, por lo tanto, el formato de la dirección URL del emisor. De forma predeterminada, la función está deshabilitada y las direcciones URL se generan en el formato siguiente:
Si se está utilizando la versión 12.8.02 y se está actualizando el entorno a la versión 12.8.03 o posterior, es posible que las direcciones URL de los puntos finales existentes no sigan funcionando después de realizar la actualización. Para solucionar el problema, realice los siguientes pasos después de actualizar el Servidor de políticas:
  1. Abra el archivo JVMOptions.txt.
  2. Establezca la propiedad
    -Dcom.ca.oidc.ReturnNewIssuerURL
    en
    true
    .
  3. Guarde el cambio.
  4. Reinicie el Servidor de políticas.
  5. Repita los pasos 1-4 en todos los Servidores de políticas después de actualizarlos a la versión 12.8.03 o posterior.
Actualización del almacén de políticas existente
Actualice el almacén de políticas existente después de actualizar todos los Servidores de políticas necesarios del entorno.
Importación de las definiciones de datos del almacén de políticas
La importación de las definiciones de datos del almacén de políticas define los tipos de objetos que se pueden crear y almacenar en el almacén de políticas.
Lleve a cabo los pasos siguientes:
  1. Abra una ventana de comandos y vaya
    sso_home
    \xps\dd.
    sso_home
    especifica la ruta de instalación del Servidor de políticas.
  2. Ejecute el siguiente comando para importar las definiciones de datos necesarias:
    XPSDDInstall SmMaster.xdd
  3. Si el entorno está integrado con Symantec Identity Manager, ejecute el siguiente comando para importar las definiciones de datos necesarias para la integración:
    XPSDDInstall IdmSmObjects.xdd
Importación de los objetos del almacén de políticas predeterminado
La importación de los objetos del almacén de políticas predeterminado configura el almacén de políticas para su uso con la interfaz de usuario administrativa y el Servidor de políticas.
Tenga en cuenta lo siguiente:
  • Para importar los objetos del almacén de políticas, la utilidad de importación requiere tener acceso de escritura a
    sso_home
    \bin.
    sso_home
    especifica la ruta de instalación del Servidor de políticas.
  • Si el Control de cuentas de usuario de Windows (UAC) está habilitado, abra las ventanas de la línea de comandos con permisos de administrador, incluso si la cuenta tiene privilegios de administrador.
Lleve a cabo los pasos siguientes:
  1. Abra una ventana de comandos y vaya a
    sso_home
    \db.
  2. Importe
    uno
    de los siguientes archivos:
    • smpolicy.xml:
      Importe smpolicy.xml ejecutando el comando siguiente:
      XPSImport smpolicy.xml -npass
    • smpolicy-secure.xml:
      Importe smpolicy-secure.xml ejecutando el comando siguiente:
      XPSImport smpolicy-secure.xml -npass
-npass
especifica que no se necesita una frase de contraseña. Los objetos del almacén de políticas predeterminado no contienen datos cifrados.
Use uno de los archivos para configurar un nuevo almacén de políticas y para actualizar un almacén existente. Cuando se importa como parte de una actualización, el archivo no sobrescribe los objetos predeterminados existentes que se han modificado. Ambos archivos incluyen los objetos del almacén de políticas predeterminado. Estos objetos incluyen la configuración de seguridad predeterminada en las plantillas predeterminadas del Objeto de configuración del agente (ACO). El archivo seguro proporciona una configuración de seguridad más restrictiva.
Se han importado los objetos del almacén de políticas predeterminado.
Importación de los objetos del almacén de políticas de la federación
Si desea utilizar OAuth u OpenID Connect, importe las entidades predeterminadas de OAuth, así como las reclamaciones predeterminadas y los objetos de ámbitos para OpenID Connect.
Lleve a cabo los pasos siguientes
:
  1. Abra una ventana de comandos y vaya a
    siteminder_home
    \db.
  2. Importe el archivo
    default-fedobjects-config.xml
    mediante el siguiente comando:
    XPSImport default-fedobjects-config.xml -npass
    -npass
    especifica que no se necesita una frase de contraseña.
Actualización del esquema del almacén de políticas
Nota:
Este procedimiento solo es necesario si se ha configurado una variable del servicio web con variables anidadas.
Para actualizar a la versión 12.8.x con una variable del servicio web configurada con variables anidadas en una base de datos de Microsoft SQL Server, MySQL o IBM DB2, actualice el esquema del almacén de políticas. El script de actualización para cada base de datos se ubica en
sso_home
\db\SQL.
Si se está utilizando una base de datos de Microsoft SQL Server, asegúrese de que los datos del objeto de la variable anidada no sean NULOS y ejecute el siguiente script en la base de datos:
sm_mssql_ps_upgrade_nestedvariables_to_12.52.sql
Para utilizar una base de datos de MySQL, ejecute el siguiente script en la base de datos:
sm_mysql_ps_upgrade_nestedvariables_to_12.52.sql
Para utilizar una base de datos de IBM DB2, ejecute el siguiente script en la base de datos:
sm_db2_ps_upgrade_nestedvariables_to_12.52.sql
Migración del ID del emisor de la aserción
Si se están gestionando objetos de la federación heredados en el entorno r12.5x o posterior, migre el ID del emisor de la aserción del productor anterior al productor de la versión 12.8.x. La migración del ID evita que se produzca un error en las transacciones de SAML 1.1 en el proveedor de servicios.
Lleve a cabo los pasos siguientes:
  1. Inicie sesión en un sistema de host del Servidor de políticas de la versión 12.5x o posterior y vaya a la siguiente ubicación:
    sso_home
    \config\properties
    sso_home
    especifica la ruta de instalación del Servidor de políticas.
  2. Copie el siguiente archivo:
    AMAssertionGenerator.properties
  3. Inicie sesión en un sistema de host del Servidor de políticas de la versión 12.8.x y vaya a la siguiente ubicación:
    siteminder_home
    \config\properties
  4. Renombre la versión 12.8.x del archivo de propiedades del generador de aserciones al siguiente valor:
    newAMAssertionGenerator.properties
  5. Agregue la versión 12.5x o posterior del archivo de propiedades al directorio.
    La migración se ha completado.
Reinicio de todos los Servidores de políticas
Complete la actualización del almacén de políticas reiniciando todos los Servidores de políticas que se comunican con el almacén de políticas.
Actualización de los objetos de cliente de OIDC
Solo para actualizar de la versión 12.8.02 a la versión 12.8.03
o posterior
Para asegurarse de que los puntos finales de OIDC de la versión 12.8.02 continúan funcionando en la versión 12.8.03 o posterior, ejecute el siguiente comando en cualquiera de los Servidores de políticas de la versión 12.8.03 o posterior después de actualizar el almacén de políticas:
Windows
:
ruta_instalación_siteminder
\bin\UpdateOIDCClientConfig.bat
Linux
:
ruta_instalación_siteminder
/bin/UpdateOIDCClientConfig.sh
Los clientes de OIDC existentes devuelven direcciones URL del emisor y direcciones URL del punto final con el siguiente formato:
Issuer URL: https://Access_Gateway_server:port/affwebservices/CASSO/oidc/
client_name
Endpoint URL: https:/Access_Gateway_server:port/affwebservices/CASSO/oidc/
client_name
/
endpoint
Además, si se intenta modificar o suprimir los objetos de OIDC de una versión anterior de la interfaz de usuario administrativa o de las API de REST, se produce un error en la operación. Si no está preparado para actualizar la interfaz de usuario administrativa a la versión 12.8.03 o posterior, actualice el esquema del almacén de políticas y, a continuación, realice los siguientes pasos:
  1. Abra la línea de comandos en la instancia del Servidor de políticas y vaya a
    ruta_instalación_siteminder
    \xps\dd.
  2. Ejecute el siguiente comando para actualizar el esquema:
    XPSDDInstall <siteminder_home>\xps\dd\upgrade_oidc_schema_pre_12_8_3.xdd
Instalación y configuración de la interfaz de usuario administrativa más reciente
Prepare una nueva interfaz de usuario administrativa de la versión 12.8.x y regístrela en el Servidor de políticas de la versión 12.8.x.
Para instalar una interfaz de usuario administrativa de la versión 12.8.x, consulte Instalación de la interfaz de usuario administrativa en UNIX en función del entorno.
Instalación y configuración de la última instancia de Access Gateway
Prepare un nuevo equipo de Access Gateway de la versión 12.8.x y sustituya la instancia existente de Access Gateway con la nueva según el orden de migración. Para obtener más información, consulte Instalación de Access Gateway.