Vários conceitos são essenciais para a compreensão de como o serviço do VMware Identity Manager se integra ao seu ambiente Active Directory ou diretório LDAP.

VMware Identity Manager Connector

O VMware Identity Manager Connector, um componente de serviço, executa as seguintes funções.

  • Sincroniza os dados de usuário e grupo do seu Active Directory ou diretório LDAP com o serviço do VMware Identity Manager.

  • Ao ser usado como um provedor de identidade, ele autentica os usuários para o serviço do VMware Identity Manager.

    O conector é o provedor de identidade padrão. Você também pode usar provedores de identidade de terceiros que suportam o protocolo SAML 2.0. Use um provedor de identidade de terceiros para um tipo de autenticação com o qual o conector não é compatível ou se o provedor de identidade de terceiros for preferível com base na sua política de segurança empresarial.

    Observação:

    Se você usar provedores de identidade de terceiros, pode configurar o conector para sincronizar dados de usuário e de grupo ou configurar provisionamento de usuários Just-in-Time. Consulte a seção Provisionamento de usuários Just-in-Time em Administração do VMware Identity Manager para obter mais informações.

Diretório

O serviço do VMware Identity Manager tem o seu próprio conceito de um diretório, correspondente ao Active Directory ou ao diretório LDAP no seu ambiente. Esse diretório utiliza atributos para definir usuários e grupos. Crie um ou mais diretórios no serviço e, em seguida, sincronize-os com o Active Directory ou o diretório do LDAP. Você pode criar os seguintes tipos de diretório no serviço.

  • Active Directory

    • Active Directory via LDAP. Crie este tipo de diretório se você pretende se conectar a um único ambiente de domínio do Active Directory. Para o tipo de diretório Active Directory via LDAP, o conector vincula-se ao Active Directory usando autenticação de vinculação simples.

    • Active Directory, Autenticação integrada do Windows. Crie este tipo de diretório se você pretende se conectar a um ambiente de vários domínios ou florestas do Active Directory. O conector vincula-se ao Active Directory usando a autenticação integrada do Windows.

    O tipo e o número de diretórios que você cria varia de acordo com o ambiente do Active Directory, como domínio único ou vários domínios, e do tipo de confiança usado entre os domínios. Na maioria dos ambientes, você cria um diretório.

  • Diretório LDAP

O serviço não tem acesso direto ao Active Directory ou diretório LDAP. Somente o conector tem acesso direto. Portanto, você associa a uma instância do conector cada diretório criado no serviço.

Trabalhador

Quando você associa um diretório a uma instância do conector, o conector cria uma partição para o diretório associado chamado de trabalhador. Uma instância do conector pode ter vários trabalhadores associados a ela. Cada trabalhador atua como um provedor de identidade. Você define e configura os métodos de autenticação por trabalhador.

O conector sincroniza os dados de usuário e de grupo entre o Active Directory ou o diretório LDAP e o serviço usando um ou mais agentes de trabalho.

Importante:

Você não pode ter dois agentes de trabalho do tipo Active Directory, Autenticação Integrada do Windows na mesma instância do conector.

Considerações de segurança

Para os diretórios corporativos integrados com o serviço do VMware Identity Manager, as configurações de segurança, como regras de complexidade de senha de usuário e políticas de bloqueio de conta, devem ser definidas diretamente no diretório corporativo. O VMware Identity Manager não substitui essas configurações.