如果不希望在企业网络中部署 VMware Identity Manager 虚拟设备,您可以将其部署在 DMZ 中。如果在 DMZ 中部署 VMware Identity Manager 设备,您还可以在企业网络中以仅出站连接模式部署单独的 VMware Identity Manager Connector。

系统和网络配置要求

在 DMZ 中部署 VMware Identity Manager 的系统和网络配置要求与在企业网络中部署 VMware Identity Manager 的要求类似,如《安装和配置 VMware Identity Manager》中的“系统和网络配置要求”以及“准备部署 VMware Identity Manager”中所述,但此处列出的差异除外。

  • 您不需要打开到企业网络中的任何设备的入站防火墙端口。

    VMware Identity Manager 虚拟设备部署在 DMZ 中。VMware Identity Manager Connector 以仅出站连接模式部署在企业网络中,并通过基于 Websocket 的通信通道与该服务进行通信。

  • 您不需要部署反向代理或负载平衡器以允许到 VMware Identity Manager 的外部访问。

  • 只有在为 VMware Identity Manager 虚拟设备配置高可用性和冗余时,才需要使用负载平衡器。

  • 如果在嵌入式连接器上设置证书身份验证,您需要在负载平衡器上为配置为证书身份验证 SSL 直通端口的端口启用 SSL 直通。默认端口是 7443。

  • 将使用以下端口。您的部署可能仅需要使用一部分端口。

    端口

    目标

    描述

    443

    负载平衡器

    VMware Identity Manager 虚拟设备

    HTTPS

    443

    VMware Identity Manager 虚拟设备

    负载平衡器

    HTTPS

    如果设置了负载平衡器 FQDN,对其进行验证时需要使用

    443

    连接器

    VMware Identity Manager 服务主机

    HTTPS

    443

    连接器

    VMware Identity Manager 服务负载平衡器

    HTTPS

    443

    浏览器

    VMware Identity Manager 虚拟设备

    HTTPS

    88

    浏览器

    VMware Identity Manager 虚拟设备

    TCP/UDP

    仅限 iOS SSO

    5262

    浏览器

    VMware Identity Manager 虚拟设备

    TCP/UDP

    仅限 Android SSO

    88

    VMware Identity Manager 虚拟设备

    云中的混合 KDC 服务器。主机名是 kdc.<realm>。例如,kdc.op.vmwareidentity.com。

    该 UDP 端口用于对保存到云 KDC 服务的 iOS 移动 SSO 身份验证适配器配置更新进行身份验证。仅当使用了混合 KDC iOS 移动 SSO 功能时,才使用此端口。

    443、80

    VMware Identity Manager 虚拟设备

    vapp-updates.vmware.com

    访问 VMware 升级服务器

    443

    VMware Identity Manager 虚拟设备

    catalog.vmwareidentity.com

    访问云目录

    443

    VMware Identity Manager 虚拟设备

    discovery.awmdm.com

    访问 Workspace ONE 应用程序自动发现

    8443

    浏览器

    VMware Identity Manager 虚拟设备

    管理员端口

    HTTPS

    25

    VMware Identity Manager 虚拟设备

    SMTP 服务器

    传递出站邮件的 TCP 端口

    53

    VMware Identity Manager 虚拟设备

    DNS 服务器

    TCP/UDP

    每个虚拟设备都必须有权通过端口 53 访问 DNS 服务器,以及允许端口 22 上存在入站 SSH 流量。

    443、8443

    VMware Identity Manager 虚拟设备

    VMware Identity Manager 虚拟设备

    HTTPS/HTTP

    用于一个群集中以及位于不同数据中心的多个群集中的所有 VMware Identity Manager 实例

    9300 (TCP)

    54328 (UDP)

    VMware Identity Manager 虚拟设备

    VMware Identity Manager 虚拟设备

    审核需要

    5701 (TCP)

    VMware Identity Manager 虚拟设备

    VMware Identity Manager 虚拟设备

    Hazelcast 缓存

    40002 (TCP)

    40003 (TCP)

    VMware Identity Manager 虚拟设备

    VMware Identity Manager 虚拟设备

    Ehcache

    1433

    VMware Identity Manager 虚拟设备

    数据库

    Microsoft SQL 默认端口为 1433

    443

    VMware Identity Manager 虚拟设备

    Workspace ONE UEM REST API

    HTTPS

    用于设备合规性检查和 ACC 密码身份验证方法(如果使用)。

    用于证书身份验证的 SSL 直通端口

    浏览器

    VMware Identity Manager 虚拟设备

    HTTPS

    用于在嵌入式连接器上配置的证书身份验证。

    默认端口:7443

    514

    VMware Identity Manager 虚拟设备

    syslog 服务器

    UDP

    用于外部 syslog 服务器(如果配置)

部署 VMware Identity Manager 设备

有关部署和配置 VMware Identity Manager 虚拟设备的信息,请参阅《安装和配置 VMware Identity Manager》中的“部署 VMware Identity Manager”和“管理设备系统配置设置”。

配置故障切换和冗余

有关为 VMware Identity Manager 虚拟设备配置故障切换和冗余的信息,请参阅《安装和配置 VMware Identity Manager》中的以下章节:

  • 在单个数据中心配置故障切换和冗余

  • 在辅助数据中心部署 VMware Identity Manager 以提供故障切换和冗余

注:

“使用负载平衡器或反向代理启用到 VMware Identity Manager 的外部访问”一节不适用于在 DMZ 中部署 VMware Identity Manager 的情况。