VMware Identity Manager Connector

VMware Identity Manager Connector 是一个 VMware Identity Manager 服务组件，您可以在企业网络内部部署该组件。

• 将用户和组数据从 Active Directory 或 LDAP 目录同步到 VMware Identity Manager 服务。
• 在用作身份提供程序时，验证用户身份以访问 VMware Identity Manager 服务。

  连接器是默认身份提供程序。您还可以使用支持 SAML 2.0 协议的第三方身份提供程序。如果根据您的企业安全策略最好是使用第三方身份提供程序，则可使用第三方身份提供程序来提供连接器不支持的身份验证类型。

  注： 如果您使用第三方身份提供程序，则可以配置 连接器以同步用户和组数据，或配置 Just-in-Time 用户置备。有关详细信息，请参阅《VMware Identity Manager 管理》 中的“Just-in-Time 用户置备”部分。

目录

VMware Identity Manager 服务具有自己的目录概念，该目录与您环境中的 Active Directory 或 LDAP 目录相对应。该目录使用属性来定义用户和组。您可以在服务中创建一个或多个目录，然后将这些目录与您的 Active Directory 或 LDAP 目录相同步。您可以在服务中创建以下目录类型。

• Active Directory
  • 通过 LDAP 访问的 Active Directory。如果您打算连接到单个 Active Directory 域环境，可创建此目录类型。对于通过 LDAP 访问的 Active Directory 目录类型，连接器将使用简单绑定身份验证绑定到 Active Directory。
  • Active Directory（集成 Windows 身份验证）。如果您打算连接到多域或多林 Active Directory 环境，可创建此目录类型。连接器将使用集成 Windows 身份验证绑定到 Active Directory。

  根据您的 Active Directory 环境（如单域或多域）以及各域之间使用的信任类型的不同，您可创建的目录的类型和数量也会有所差异。在多数环境中，您可以创建一个目录。

• LDAP 目录

  创建 LDAP 目录以将企业 LDAP 目录与 VMware Identity Manager 集成在一起。您只能集成单域 LDAP 目录。VMware Identity Manager 仅支持那些支持分页搜索查询的 OpenLDAP 实施。

服务不能直接访问您的 Active Directory 或 LDAP 目录。仅连接器拥有直接访问权限。因此，您需要将在服务中创建的每个目录都与连接器实例相关联。

工作线程

在将目录与连接器实例相关联时，连接器会为关联的目录创建一个分区（称为“工作线程”）。一个连接器实例可以有多个关联的工作线程。每个工作线程都充当一个身份提供程序。您可以为每个工作线程分别定义和配置身份验证方法。

连接器通过一个或多个工作线程在 Active Directory 或 LDAP 目录和服务之间同步用户和组数据。

安全注意事项

对于与 VMware Identity Manager 服务集成的企业目录，必须直接在企业目录中设置用户密码复杂性规则和帐户锁定策略等安全设置。VMware Identity Manager 不会覆盖这些设置。