在该模式下,您可以在 DMZ 中安装 VMware Identity Manager 虚拟设备。也可以在企业网络中以仅出站连接模式安装单独的 VMware Identity Manager Connector 虚拟设备。该模式不包含任何 Workspace ONE UEM 组件。

企业目录中的用户和组同步以及用户身份验证是由单独的 VMware Identity Manager Connector 处理的。该连接器还可以将资源(如 Horizon 7 桌面和应用程序)同步到 VMware Identity Manager 服务。

注:

某些身份验证方法不需要使用该连接器,它们是由该服务直接管理的。

重要:

请使用单独的连接器同步用户和组以及进行用户身份验证,而不是使用与 VMware Identity Manager 设备集成在一起的连接器。

图 1. 在出站模式下使用 VMware Identity Manager Connector


VMware Identity Manager Connector


注:

如果您打算配置 Android SSO,请在 VMware Identity Manager 前面的负载平衡器的端口 5262 上启用 SSL 直通。

注:

如果打算在嵌入式连接器上配置证书身份验证,请在负载平衡器上为配置为证书身份验证 SSL 直通端口的端口启用 SSL 直通。默认端口是 7443。

端口要求

需要在负载平衡器或防火墙上为 VMware Identity Manager 服务器打开以下端口:

  • 入站 443 (HTTPS)

  • 入站 88 (TCP/UDP) - 仅限 iOS SSO

  • 入站 5262 (HTTPS) - 仅限 Android SSO

  • 入站 CertAuthSSLPassthroughPort (HTTPS) - 仅限在嵌入式连接器上配置的证书身份验证。默认端口是 7443。

VMware Identity Manager Connector 是在仅出站连接模式下安装的,并且不需要打开入站端口 443。该连接器通过基于 Websocket 的通信通道与 VMware Identity Manager 服务进行通信。

有关使用的端口的完整列表,请参阅在 DMZ 中部署 VMware Identity Manager在企业网络中部署 VMware Identity Manager Connector

支持的身份验证方法

该部署模式支持所有身份验证方法。其中的某些身份验证方法不需要使用连接器,并且是该服务通过内置身份提供程序直接管理的。

  • 密码 - 使用连接器

  • RSA 自适应身份验证 - 使用连接器

  • RSA SecurID - 使用连接器

  • RADIUS - 使用连接器

  • 证书 - 使用嵌入式连接器

  • VMware Verify - 通过内置身份提供程序

  • 移动 SSO (iOS) - 通过内置身份提供程序

  • 移动 SSO (Android) - 通过内置身份提供程序

  • 入站 SAML - 通过第三方身份提供程序

注:

有关使用 Kerberos 的信息,请参阅将 Kerberos 身份验证支持添加到您的部署

支持的目录集成

在该部署模式下,您可以将以下类型的企业目录与 VMware Identity Manager 服务集成在一起:

  • 通过 LDAP 访问的 Active Directory

  • Active Directory(集成 Windows 身份验证)

  • LDAP 目录

    如果您打算集成 LDAP 目录,请参阅《将目录与 VMware Identity Manager 集成》的“与 LDAP 目录集成”中的限制。

或者,也可以使用以下方法在 VMware Identity Manager 服务中创建用户:

  • 直接在 VMware Identity Manager 服务中创建本地用户。

  • 使用 Just-in-Time 置备在登录时在 VMware Identity Manager 服务中动态创建用户(使用第三方身份提供程序发送的 SAML 断言)。

支持的资源

在该部署模式下,您可以将以下类型的资源与 VMware Identity Manager 服务集成在一起:

  • Web 应用程序

  • Horizon 7、Horizon 6 或 View 桌面和应用程序池

  • Horizon Cloud 应用程序和桌面

  • Citrix 发布的资源

  • ThinApp 打包应用程序

附加信息