Vários conceitos são essenciais para a compreensão de como o serviço do VMware Identity Manager se integra ao seu ambiente Active Directory ou diretório LDAP.
VMware Identity Manager Connector
O VMware Identity Manager Connector é um componente no local que você implanta dentro de sua rede corporativa. O conector executa as seguintes funções.
Sincroniza os dados de usuário e grupo do seu Active Directory ou diretório LDAP com o serviço do VMware Identity Manager.
Ao ser usado como um provedor de identidade, ele autentica os usuários para o serviço do VMware Identity Manager.
O conector é o provedor de identidade padrão. Você também pode usar provedores de identidade de terceiros que suportam o protocolo SAML 2.0. Use um provedor de identidade de terceiros para um tipo de autenticação com o qual o conector não é compatível ou se o provedor de identidade de terceiros for preferível com base na sua política de segurança empresarial.
Observação:Se você usar provedores de identidade de terceiros, pode configurar o conector para sincronizar dados de usuário e de grupo ou configurar provisionamento de usuários Just-in-Time. Consulte a seção Provisionamento de usuários Just-in-Time em Administração do VMware Identity Manager para obter mais informações.
Diretório
O serviço do VMware Identity Manager tem o seu próprio conceito de um diretório, correspondente ao Active Directory ou ao diretório LDAP no seu ambiente. Esse diretório utiliza atributos para definir usuários e grupos. Crie um ou mais diretórios no serviço e, em seguida, sincronize-os com o Active Directory ou o diretório do LDAP. Você pode criar os seguintes tipos de diretório no serviço.
Active Directory
Active Directory via LDAP. Crie este tipo de diretório se você pretende se conectar a um único ambiente de domínio do Active Directory. Para o tipo de diretório Active Directory via LDAP, o conector vincula-se ao Active Directory usando autenticação de vinculação simples.
Active Directory, Autenticação integrada do Windows. Crie este tipo de diretório se você pretende se conectar a um ambiente de vários domínios ou florestas do Active Directory. O conector vincula-se ao Active Directory usando a autenticação integrada do Windows.
O tipo e o número de diretórios que você cria varia de acordo com o ambiente do Active Directory, como domínio único ou vários domínios, e do tipo de confiança usado entre os domínios. Na maioria dos ambientes, você cria um diretório.
Diretório LDAP
O serviço não tem acesso direto ao Active Directory ou diretório LDAP. Somente o conector tem acesso direto. Portanto, você associa a uma instância do conector cada diretório criado no serviço.
Trabalhador
Quando você associa um diretório a uma instância do conector, o conector cria uma partição para o diretório associado chamado de trabalhador. Uma instância do conector pode ter vários trabalhadores associados a ela. Cada trabalhador atua como um provedor de identidade. Você define e configura os métodos de autenticação por trabalhador.
O conector sincroniza os dados de usuário e de grupo entre o Active Directory ou o diretório LDAP e o serviço usando um ou mais agentes de trabalho.
Você não pode ter dois agentes de trabalho do tipo Active Directory, Autenticação Integrada do Windows na mesma instância do conector.
Considerações de segurança
Para os diretórios corporativos integrados com o serviço do VMware Identity Manager, as configurações de segurança, como regras de complexidade de senha de usuário e políticas de bloqueio de conta, devem ser definidas diretamente no diretório corporativo. O VMware Identity Manager não substitui essas configurações.