VMware Identity Manager 支持多种身份验证方法。您可以配置一种身份验证方法,也可以设置链接的双因素身份验证。此外,还可以使用 RADIUS 和 SAML 协议外部的身份验证方法。

用于 VMware Identity Manager 服务的身份提供程序实例将创建一个使用 SAML 2.0 断言与该服务进行通信的网内联合身份验证机构。

首次部署 VMware Identity Manager 服务时,连接器是该服务的初始身份提供程序。您的现有 Active Directory 基础架构将用于进行用户身份验证和管理。

下面是受支持的身份验证方法。您可以从 VMware Identity Manager 控制台中配置这些身份验证方法。

身份验证方法

描述

密码(内部部署)

配置 Active Directory 后无需任何其他配置,VMware Identity Manager 即可支持 Active Directory 密码身份验证。此方法直接通过 Active Directory 对用户进行身份验证。

适用于桌面的 Kerberos

Kerberos 身份验证允许域用户对其应用程序门户进行单点登录式访问。用户在登录到网络后,无需再次登录其应用程序门户。在 Active Directory 与 Workspace ONE UEM 服务之间建立信任关系后,可以配置下列两种 Kerberos 身份验证方法:通过集成 Windows 身份验证对桌面实施的 Kerberos 身份验证,以及对 iOS 9 移动设备实施的内置 Kerberos 身份验证。

证书(内部部署)

可以配置基于证书的身份验证,以便允许客户端在其桌面和移动设备上使用证书进行身份验证,或者使用智能卡适配器进行身份验证。

基于证书的身份验证依赖于用户拥有的资源和掌握的信息。X.509 证书使用公钥基础架构标准来验证证书内包含的公钥是否属于用户。

RSA SecurID(内部部署)

如果配置了 RSA SecurID 身份验证,则将 VMware Identity Manager 配置为 RSA SecurID 服务器中的身份验证代理。RSA SecurID 身份验证要求用户使用基于令牌的身份验证系统。RSA SecurID 是一种适用于从企业网络外部访问 VMware Identity Manager 的用户的身份验证方法。

RADIUS(内部部署)

RADIUS 身份验证提供双因素身份验证选项。您可以设置 VMware Identity Manager 服务可访问的 RADIUS 服务器。在用户使用其用户名和通行码登录时,将向 RADIUS 服务器提交访问请求以进行身份验证。

RSA 自适应身份验证(内部部署)

RSA 身份验证提供了比针对 Active Directory 的仅用户名和密码身份验证更强的多因素身份验证。启用 RSA 自适应身份验证后,在风险策略中指定的风险指标将在 RSA 策略管理应用程序中设置。自适应身份验证的 VMware Identity Manager 服务配置用于确定所需的身份验证提示。

移动 SSO(适用于 iOS)

适用于 iOS 的移动 SSO 身份验证用于 Workspace ONE UEM 管理的 iOS 设备的单点登录身份验证。移动 SSO(适用于 iOS)身份验证使用 VMware Identity Manager 服务中的密钥分发中心 (Key Distribution Center, KDC)。在启用这种身份验证方法之前,您必须在 VMware Identity Manager 服务中启动 KDC 服务。

移动 SSO(适用于 Android)

适用于 Android 的移动 SSO 身份验证用于 Workspace ONE UEM 管理的 Android 设备的单点登录身份验证。在 VMware Identity Manager 服务和 Workspace ONE UEM 之间将设置代理服务,以便从 Workspace ONE UEM 中检索用于进行身份验证的证书。

密码 (AirWatch Connector)

可将 AirWatch Cloud Connector 与 VMware Identity Manager 服务进行集成,以便对用户进行密码身份验证。您可以配置 VMware Identity Manager 服务以同步 Workspace ONE UEM 目录中的用户。

VMware Verify

如果需要双因素身份验证,VMware Verify 可用作第二种身份验证方法。第一种身份验证方法是用户名和密码,第二种身份验证方法是 VMware Verify 请求审批或代码。

VMware Verify 使用第三方云服务将此功能提供给用户设备。为此,将用户名、电子邮件和电话号码等用户信息存储在该服务中,但不会将其用于提供该功能之外的任何其他用途。

密码(本地目录)

默认情况下,将为用于系统目录的系统-IDP 身份提供程序启用密码(本地目录)方法。它应用于默认访问策略。

在配置了身份验证方法后,您可以创建访问策略规则,以指定设备类型所使用的身份验证方法。用户将根据您配置的身份验证方法、默认访问策略规则、网络范围和身份提供程序实例进行身份验证。请参阅管理要应用于用户的身份验证方法