VMware Identity Manager 支持多种身份验证方法。您可以配置一种身份验证方法,也可以设置链接的双因素身份验证。此外,还可以使用 RADIUS 和 SAML 协议外部的身份验证方法。
用于 VMware Identity Manager 服务的身份提供程序实例将创建一个使用 SAML 2.0 断言与该服务进行通信的网内联合身份验证机构。
首次部署 VMware Identity Manager 服务时,连接器是该服务的初始身份提供程序。您的现有 Active Directory 基础架构将用于进行用户身份验证和管理。
下面是受支持的身份验证方法。您可以从管理控制台中配置这些身份验证方法。
| 身份验证方法 | 描述 |
|---|---|
| 密码(内部部署) |
配置 Active Directory 后无需任何其他配置,VMware Identity Manager 即可支持 Active Directory 密码身份验证。此方法直接通过 Active Directory 对用户进行身份验证。 |
| 适用于桌面的 Kerberos |
Kerberos 身份验证允许域用户对其应用程序门户进行单点登录式访问。用户在登录到网络后,无需再次登录其应用程序门户。在 Active Directory 与 AirWatch 之间建立信任时,可以配置下列两种 Kerberos 身份验证方法:通过集成 Windows 身份验证对桌面实施的 Kerberos 身份验证,以及对 iOS 9 移动设备实施的内置 Kerberos 身份验证。 |
| 证书(内部部署) |
可以配置基于证书的身份验证,以便允许客户端在其桌面和移动设备上使用证书进行身份验证,或者使用智能卡适配器进行身份验证。 基于证书的身份验证依赖于用户拥有的资源和掌握的信息。X.509 证书使用公钥基础架构标准来验证证书内包含的公钥是否属于用户。 |
| RSA SecurID(内部部署) | 如果配置了 RSA SecurID 身份验证,则将 VMware Identity Manager 配置为 RSA SecurID 服务器中的身份验证代理。RSA SecurID 身份验证要求用户使用基于令牌的身份验证系统。RSA SecurID 是一种适用于从企业网络外部访问 VMware Identity Manager 的用户的身份验证方法。 |
| RADIUS(内部部署) |
RADIUS 身份验证提供双因素身份验证选项。您可以设置 VMware Identity Manager 服务可访问的 RADIUS 服务器。在用户使用其用户名和通行码登录时,将向 RADIUS 服务器提交访问请求以进行身份验证。 |
| RSA 自适应身份验证(内部部署) |
RSA 身份验证提供了比针对 Active Directory 的仅用户名和密码身份验证更强的多因素身份验证。启用 RSA 自适应身份验证后,在风险策略中指定的风险指标将在 RSA 策略管理应用程序中设置。自适应身份验证的 VMware Identity Manager 服务配置用于确定所需的身份验证提示。 |
| 移动 SSO(适用于 iOS) | 适用于 iOS 的移动 SSO 身份验证用于 AirWatch 管理的 iOS 设备的单点登录身份验证。移动 SSO(适用于 iOS)身份验证使用 Identity Manager 服务中的密钥分发中心 (Key Distribution Center, KDC)。在启用这种身份验证方法之前,您必须在 VMware Identity Manager 服务中启动 KDC 服务。 |
| 移动 SSO(适用于 Android) | 适用于 Android 的移动 SSO 身份验证用于 AirWatch 管理的 Android 设备的单点登录身份验证。在 VMware Identity Manager 服务和 AirWatch 之间将设置代理服务,以便从 AirWatch 中检索用于身份验证的证书。 |
| 密码 (AirWatch Connector) | AirWatch Cloud Connector 可以与 VMware Identity Manager 服务进行集成,以便进行用户密码身份验证。您可以配置 VMware Identity Manager 服务以同步 AirWatch 目录中的用户。 |
| VMware Verify |
如果需要双因素身份验证,VMware Verify 可用作第二种身份验证方法。第一种身份验证方法是用户名和密码,第二种身份验证方法是 VMware Verify 请求审批或代码。 VMware Verify 使用第三方云服务将此功能提供给用户设备。为此,将用户名、电子邮件和电话号码等用户信息存储在该服务中,但不会将其用于提供该功能之外的任何其他用途。 |
| 密码(本地目录) | 默认情况下,将为用于系统目录的系统-IDP 身份提供程序启用密码(本地目录)方法。它应用于默认访问策略。 |
在配置了身份验证方法后,您可以创建访问策略规则,以指定设备类型所使用的身份验证方法。用户将根据您配置的身份验证方法、默认访问策略规则、网络范围和身份提供程序实例进行身份验证。请参阅管理要应用于用户的身份验证方法。
