Implantando o VMware Identity Manager na DMZ

Você pode implantar o appliance virtual do VMware Identity Manager na DMZ se não quiser implantá-lo na rede corporativa. Se você implantar o appliance do VMware Identity Manager na DMZ, também implantará um conector autônomo do VMware Identity Manager no modo de conexão somente de saída na rede corporativa.

Requisitos de configuração do sistema e da rede

Os requisitos de configuração do sistema e da rede para a implantação do VMware Identity Manager na DMZ são semelhantes aos requisitos para a implantação do VMware Identity Manager na rede corporativa, descritos nos "Requisitos para a configuração do sistema e da rede" e "Preparando para implantar o VMware Identity Manager" em Instalação e configuração do VMware Identity Manager, exceto as diferenças listadas aqui.

Você não precisa abrir uma porta de firewall de entrada para nenhum appliance na rede corporativa.
O appliance virtual do VMware Identity Manager é implantado na DMZ. O conector do VMware Identity Manager é implantado na rede corporativa no modo de conexão somente de saída e se comunica com o serviço através de um canal de comunicação baseado em Websocket.
Você não precisa implantar um proxy reverso ou um balanceador de carga para permitir o acesso externo ao VMware Identity Manager.
Será necessário um balanceador de carga somente se você configurar a alta disponibilidade e a redundância para o appliance virtual do VMware Identity Manager.
Se você configurar a autenticação de certificado no conector incorporado, precisará ativar a passagem SSL no balanceador de carga para a porta configurada como a porta de passagem SSL para a autenticação de certificado. A porta padrão é 7443.

As seguintes portas são usadas. Sua implantação pode exigir apenas um subconjunto delas.


Porta	Origem	Target	Descrição
443	Balanceador de carga	Appliance virtual do VMware Identity Manager	HTTPS
443	Appliance virtual do VMware Identity Manager	Balanceador de carga	HTTPS Necessário para validar o FQDN do balanceador de carga quando ele é definido.
443	Conector	Host de serviço do VMware Identity Manager	HTTPS
443	Conector	Balanceador de carga do serviço do VMware Identity Manager	HTTPS
443	Navegadores	Appliance virtual do VMware Identity Manager	HTTPS
88	Navegadores	Appliance virtual do VMware Identity Manager	TCP/UDP Somente SSO para iOS
5262	Navegadores	Appliance virtual do VMware Identity Manager	TCP/UDP Somente SSO para Android
88	Appliance virtual do VMware Identity Manager	Servidor KDC híbrido na nuvem. O nome do host é kdc.<realm>. Por exemplo, kdc.op.vmwareidentity.com.	Porta UDP usada para autenticar as atualizações configuração de adaptadores de autenticação de SSO móvel do iOS que são salvas no serviço do KDC na nuvem. Esta porta será usada somente se o recurso de SSO móvel do iOS do KDC híbrido for usado.
443, 80	Appliance virtual do VMware Identity Manager	vapp-updates.vmware.com	Acesso ao servidor de upgrade da VMware
443	Appliance virtual do VMware Identity Manager	catalog.vmwareidentity.com	Acesso ao catálogo na nuvem
443	Appliance virtual do VMware Identity Manager	discovery.awmdm.com	Acesso à descoberta automática do aplicativo Workspace ONE
8443	Navegadores	Appliance virtual do VMware Identity Manager	Porta do administrador HTTPS
25	Appliance virtual do VMware Identity Manager	servidor SMTP	Porta TCP para transmitir mensagens de saída
53	Appliance virtual do VMware Identity Manager	Servidor DNS	TCP/UDP Todos os appliances virtuais devem ter acesso ao servidor DNS na porta 53 e permitir o tráfego SSH de entrada na porta 22.
443, 8443	Appliance virtual do VMware Identity Manager	Appliance virtual do VMware Identity Manager	HTTP/HTTPS Para todas as instâncias do VMware Identity Manager em um cluster e entre clusters de centros de dados diferentes
9300 (TCP) 54328 (UDP)	Appliance virtual do VMware Identity Manager	Appliance virtual do VMware Identity Manager	Necessidades de auditoria
5701 (TCP)	Appliance virtual do VMware Identity Manager	Appliance virtual do VMware Identity Manager	Cache do Hazelcast
40002 (TCP) 40003 (TCP)	Appliance virtual do VMware Identity Manager	Appliance virtual do VMware Identity Manager	Ehcache
1433	Appliance virtual do VMware Identity Manager	Banco de dados	A porta padrão do Microsoft SQL é a 1433
443	Appliance virtual do VMware Identity Manager	REST API do Workspace ONE UEM	HTTPS Para a verificação da conformidade do dispositivo e para o método de autenticação Senha do ACC, se usado.
Porta de passagem SSL para autenticação de certificado	Navegadores	Appliance virtual do VMware Identity Manager	HTTPS Para a autenticação de certificado configurada no conector integrado. Porta padrão: 7443
514	Appliance virtual do VMware Identity Manager	servidor syslog	UDP Para o servidor syslog externo, se configurado

Implantando o appliance do VMware Identity Manager

Para obter informações sobre como implantar e configurar o appliance virtual do VMware Identity Manager, consulte "Implantando o VMware Identity Manager" e "Gerenciando os parâmetros de configuração do sistema do appliance" em Instalação e configuração do VMware Identity Manager.

Configurando failover e redundância

Para obter informações sobre como configurar o failover e a redundância para o appliance virtual do VMware Identity Manager, consulte as seções a seguir em Instalação e configuração do VMware Identity Manager:

Configurando failover e redundância em um único centro de dados
Implantando o VMware Identity Manager em um centro de dados secundário para o failover e a redundância

Observação:

A seção "Usando um balanceador de carga ou um proxy reverso para habilitar o acesso externo ao VMware Identity Manager" não se aplica em cenários em que o VMware Identity Manager está implantado na DMZ.