在确定硬件、资源和网络要求时,请考虑整个部署情况,包括如何集成资源。

硬件大小调整要求

确保您满足适用于 Windows 的 VMware Identity Manager 安装的硬件要求。

用户数量

最多 1,000

1,000-10,000

10,000-25,000

25,000-50,000

50,000-100,000

VMware Identity Manager 服务器数

1 个服务器

3 个负载平衡服务器

3 个负载平衡服务器

3 个负载平衡服务器

3 个负载平衡服务器

CPU(每个服务器)

2 个 CPU

2 个 CPU

4 个 CPU

8 个 CPU

8 个 CPU

RAM(每个服务器)

6 GB

6 GB

8 GB

16 GB

32 GB

磁盘空间(每个服务器)

60 GB

100 GB

100 GB

100 GB

100 GB

请确保满足以下 VMware Identity Manager Connector 实例数量要求。

用户数量

最多 1,000

1,000-10,000

10,000-25,000

25,000-50,000

50,000-100,000

连接器服务器数

1 个服务器

2 个负载平衡服务器

2 个负载平衡服务器

2 个负载平衡服务器

2 个负载平衡服务器

CPU(每个服务器)

2 个 CPU

4 个 CPU

4 个 CPU

4 个 CPU

4 个 CPU

RAM(每个服务器)

6 GB

6 GB

8 GB

16 GB

16 GB

磁盘空间(每个服务器)

60 GB

60 GB

60 GB

60 GB

60 GB

Windows 安装的软件要求

确保您的 VMware Identity Manager Windows 服务器满足以下软件要求。

要求

备注

支持的 Windows Server 版本

  • Windows Server 2008 R2

  • Windows Server 2012 R2

  • Windows Server 2016

PowerShell 4.0 或更高版本

适用于 PowerShell 的 Active Directory 模块 (RSAT-AD-PowerShell)

已安装 JRE 1.8

如果在部署之前未安装,VMware Identity Manager 安装程序将安装最新版本。

如果 JRE 是较旧的版本,安装程序将自动更新该版本,但不会移除现有的 JRE。您必须手动卸载以前的版本。

RabbitMQ Server

如果在部署之前未安装,VMware Identity Manager 安装程序将安装 RabbitMQ Server。

Erlang

如果在部署之前未安装,VMware Identity Manager 安装程序将安装 Erlang。

Notepad++

在进行配置编辑时,建议使用 Notepad++。Notepad++ 保留换行符。不要使用 Notepad。

数据库要求

可以使用外部 Microsoft SQL 数据库设置 VMware Identity Manager 以存储和组织服务器数据。

有关支持的 Microsoft SQL 数据库版本和服务包配置的信息,请参阅 VMware 产品互操作性列表 (https://www.vmware.com/resources/compatibility/sim/interop_matrix.php)。

以下要求适用于外部 SQL Server 数据库。SQL Server 所需的确切规范取决于您的部署的规模和需求。

用户数量

最多 1,000

1,000-10,000

10,000-25,000

25,000-50,000

50,000-100,000

CPU

2 个 CPU

2 个 CPU

4 个 CPU

8 个 CPU

8 个 CPU

RAM

4 GB

4 GB

8 GB

16 GB

32 GB

磁盘空间

50 GB

50 GB

50 GB

100 GB

100 GB

SQL Server AlwaysOn 功能是故障切换群集和具有日志传送的数据库镜像的组合以实现高可用性。AlwaysOn 允许具有数据库的多个读取副本以及操作的单个读写副本。如果您的部署环境具有带宽以支持生成的流量,则 VMware Identity Manager 数据库支持 AlwaysOn。

网络配置要求

组件

最低要求

DNS 记录和 IP 地址

IP 地址和 DNS 记录

VMware Identity Manager 会在安装期间使用 hostname.domainname 或 hostname.workgroupname。必须将这些名称设置为与服务器的 DNS 名称相匹配。

防火墙端口

确保打开入站防火墙端口 443,以便网络外部的用户能够访问 VMware Identity Manager 实例或负载平衡器。

反向代理

在 DMZ 中部署一个反向代理(例如 F5 Access Policy Manager),以允许用户安全地远程访问 VMware Identity Manager 用户门户。

VMware Unified Access Gateway 2.8 和更高版本支持反向代理功能,以允许用户安全地远程访问 VMware Identity Manager 统一目录。Unified Access Gateway 可以部署在 DMZ 中的负载平衡器后面和 VMware Identity Manager 设备的前端。

端口要求

下面介绍了服务器配置中使用的端口。您的部署中可能仅包含下面的一部分端口。例如:

  • 要从 Active Directory 同步用户和组,必须将 VMware Identity Manager 连接到 Active Directory。

端口

协议

目标

描述

443

HTTPS

负载平衡器

VMware Identity Manager 计算机

443

HTTPS

VMware Identity Manager 计算机

负载平衡器

如果设置了负载平衡器 FQDN,对其进行验证时需要使用。

443、8443

HTTPS/HTTP

VMware Identity Manager 计算机

VMware Identity Manager 计算机

用于一个群集中以及位于不同数据中心的多个群集中的所有 VMware Identity Manager 实例。

443

HTTPS

浏览器

VMware Identity Manager 计算机

443

HTTPS

VMware Identity Manager 计算机

discovery.awmdm.com

访问 Workspace ONE 应用程序自动发现

443

HTTPS

VMware Identity Manager 计算机

catalog.vmwareidentity.com

访问云目录

8443

HTTPS

浏览器

VMware Identity Manager 计算机

管理员端口

25

SMTP

VMware Identity Manager 计算机

SMTP

传递出站邮件的端口

389

636

3268

3269

LDAP

LDAPS

MSFT-GC

MSFT-GC-SSL

VMware Identity Manager 计算机

Active Directory

显示了默认值。这些端口是可配置的。

5500

UDP

VMware Identity Manager 计算机

RSA SecurID 系统

显示了默认值。此端口是可配置的。

53

TCP/UDP

VMware Identity Manager 计算机

DNS 服务器

每个虚拟设备都必须有权通过端口 53 访问 DNS 服务器,以及允许端口 22 上存在入站 SSH 流量。

88、464、135、445

TCP/UDP

VMware Identity Manager 计算机

域控制器

9300

TCP

VMware Identity Manager 计算机

VMware Identity Manager 计算机

审核需要

54328

UDP

5701

TCP

VMware Identity Manager 计算机

VMware Identity Manager 计算机

Hazelcast 缓存

40002

40003

TCP

VMware Identity Manager 计算机

VMware Identity Manager 计算机

Ehcache

1433

TCP

VMware Identity Manager 计算机

数据库

Microsoft SQL 默认端口为 1433

443

VMware Identity Manager 计算机

View server

访问 View server

80、443

TCP

VMware Identity Manager 计算机

Integration Broker 服务器

连接到 Integration Broker。端口选项取决于是否在 Integration Broker 服务器上安装了证书

443

HTTPS

VMware Identity Manager 计算机

AirWatch REST API

用于设备合规性检查和 AirWatch Cloud Connector 密码身份验证方法(如果使用)。

88

UDP

Unified Access Gateway

VMware Identity Manager 计算机

可打开该 UDP 端口以用于实现移动 SSO

5262

TCP

Android 移动设备

AirWatch HTTPS 代理服务

AirWatch Tunnel 客户端将流量传送到 Android 设备的 HTTPS 代理。

88

UDP

iOS 移动设备

VMware Identity Manager 计算机

该端口用于从 iOS 设备到托管云 KDC 服务的 Kerberos 流量。

443

HTTPS/TCP

514

UDP

VMware Identity Manager 计算机

syslog 服务器

UDP

用于外部 syslog 服务器(如果配置)

88

UDP

VMware Identity Manager 计算机

云中的混合 KDC 服务器。主机名是 kdc.<realm>。例如,kdc.op.vmwareidentity.com

该 UDP 端口用于对保存到云 KDC 服务的 iOS 移动 SSO 身份验证适配器配置更新进行身份验证。仅当使用了混合 KDC iOS 移动 SSO 功能时,才使用此端口。

时间同步

要使 VMware Identity Manager 部署正常工作,需要在所有 VMware Identity Manager 服务和连接器实例上配置时间同步。

有关为 VMware Identity Manager 服务配置时间同步的信息,请参阅为 VMware Identity Manager 服务 (Windows) 配置时间同步

有关为 VMware Identity Manager Connector 配置时间同步的信息,请参阅《安装和配置 VMware Identity Manager Connector (Windows)》

支持的目录

您可以将企业目录与 VMware Identity Manager 相集成,并将企业目录中的用户和组同步到该服务。

  • Active Directory 环境可以包含单个 Active Directory 域、单个 Active Directory 林中的多个域或跨多个 Active Directory 林的多个域。

    VMware Identity Manager 在 Windows 2008、2008 R2、2012、2012 R2 及 2016(域功能级别和林功能级别为 Windows 2003 及更高版本)上支持 Active Directory。

    注:

    可能需要更高的功能级别以提供某些功能。例如,要允许用户从 Workspace ONE 更改 Active Directory 密码,域功能级别必须为 Windows 2008 或更高版本。

可访问 VMware Identity Manager 控制台的受支持的 Web 浏览器

VMware Identity Manager 控制台是一个基于 Web 的应用程序,您可以使用它来管理租户。您可以从最新版本的 Mozilla Firefox、Google Chrome、Safari、Microsoft Edge 和 Internet Explorer 11 访问 VMware Identity Manager 控制台。

注:

在 Internet Explorer 11 中,必须启用 JavaScript,并允许 Cookie 通过 VMware Identity Manager 进行身份验证。

用于访问 Workspace ONE 门户的支持的浏览器

最终用户可以通过以下浏览器访问 Workspace ONE 门户:

  • Mozilla Firefox(最新)

  • Google Chrome(最新)

  • Safari(最新)

  • Internet Explorer 11

  • Microsoft Edge 浏览器

  • 本地浏览器和 Google Chrome(Android 设备上)

  • Safari(iOS 设备上)

注:

在 Internet Explorer 11 中,必须启用 JavaScript,并允许 Cookie 通过 VMware Identity Manager 进行身份验证。