要部署 VMware Identity Manager Connector,请确保系统满足必需的要求。

硬件要求

确保 Windows Server 满足以下硬件要求。

表 1. VMware Identity Manager Connector 要求
用户数量 最多 1000 1000 至 10,000 10,000 至 25,000 25,000 至 50,000 50,000 至 100,000
CPU 2

2 个负载平衡服务器,每个服务器具有 4 个 CPU

2 个负载平衡服务器,每个服务器具有 4 个 CPU

2 个负载平衡服务器,每个服务器具有 4 个 CPU

2 个负载平衡服务器,每个服务器具有 4 个 CPU

每个服务器的 RAM (GB) 6 各 6 各 8 各 16 各 16
磁盘空间 (GB) 50 各 50 各 50 各 50 各 50
注:
  • 每个 CPU 内核应该为 2.0 GHz 或更高。需要使用 Intel 处理器。
  • 磁盘空间要求包括:将 1 GB 磁盘空间用于 VMware Identity Manager Connector 应用程序、Windows 操作系统和 .NET 运行时。分配额外的磁盘空间以用于日志记录。

软件要求

确保 Windows Server 满足以下软件要求。

状态检查表 要求 备注

Windows Server 2008 R2、

Windows Server 2012 或

Windows Server 2012 R2 或

Windows Server 2016

在服务器上安装 PowerShell
注: 如果在 Windows Server 2008 R2 上安装,则需要使用 PowerShell 4.0 版本。
安装 .NET Framework 4.6.2

网络要求

要配置下面列出的端口,所有流量都是单向的,即从源组件到目标组件(出站)。

出站代理或任何其他连接管理软件或硬件不能终止或拒绝来自 VMware Identity Manager Connector 的出站连接。由 VMware Identity Manager Connector 使用所需的出站连接必须始终保持打开状态。

表 2. VMware Identity Manager Connector 端口要求
目标 端口 协议 备注
VMware Identity Manager Connector VMware Identity Manager 服务

VMware Identity Manager 服务主机(内部部署安装)

443 HTTPS 默认端口

必填

VMware Identity Manager Connector VMware Identity Manager 服务负载平衡器(内部部署安装) 443 HTTPS
浏览器 VMware Identity Manager Connector 8443 HTTPS 管理端口

必填

浏览器 VMware Identity Manager Connector 80 HTTP 必填
浏览器 VMware Identity Manager Connector 443 HTTPS 只有在入站模式中使用的连接器才需要此端口。

如果在连接器上配置了 Kerberos 身份验证,则需要此端口。

VMware Identity Manager Connector Active Directory 389、636、3268、3269 默认端口。这些端口是可配置的。
VMware Identity Manager Connector DNS 服务器 53 TCP/UDP

每个实例必须有权通过端口 53 访问 DNS 服务器,并允许通过端口 22 传输入站 SSH 流量。

VMware Identity Manager Connector 域控制器 88、464、135、445 TCP/UDP 用于 Kerberos 身份验证
VMware Identity Manager Connector RSA SecurID 系统 5500 默认端口。此端口是可配置的。
VMware Identity Manager Connector Horizon 连接服务器 389、443

访问 Horizon 连接服务器实例以进行 Horizon 集成

VMware Identity Manager Connector Integration Broker 80、443 访问 Integration Broker,以便与 Citrix 发布的资源集成在一起。
重要事项: 如果在与 VMware Identity Manager Connector 相同的 Windows Server 上安装 Integration Broker,您必须确保 IIS 服务器默认网站站点绑定中的 HTTP 和 HTTPS 绑定端口与 VMware Identity Manager Connector 使用的端口不发生冲突。

VMware Identity Manager Connector 使用端口 80、443 和 8443。

不建议在 VMware Identity Manager Connector 服务器上安装 Integration Broker。

VMware Identity Manager Connector syslog 服务器 514 UDP 用于外部 syslog 服务器(如果配置)

VMware Identity Manager 云托管 IP 地址

(云部署)有关 VMware Identity Manager Connector 必须有权访问的 VMware Identity Manager 服务 IP 地址的列表,请参阅知识库文章 2149884

DNS 记录和 IP 地址要求

DNS 条目和静态 IP 地址必须可用于连接器。在开始安装之前,获取要使用的 DNS 记录和 IP 地址并配置 Windows Server 的网络设置。

如果您打算配置 Kerberos 身份验证,请确保为连接器选择适当的用户友好主机名。配置 Kerberos 后,最终用户可以看到 VMware Identity Manager Connector 主机名。

配置反向查询是可选的。在执行反向查找时,您必须在 DNS 服务器上定义 PTR 记录,以便连接器使用正确的网络配置。

您可以使用以下示例 DNS 记录列表。将示例中的信息替换为您环境中的信息。该示例列出了前向 DNS 记录和 IP 地址。

表 3. 前向 DNS 记录和 IP 地址示例
域名 资源类型 IP 地址
myconnector.company.com A 10.28.128.3

该示例列出了反向 DNS 记录和 IP 地址。

表 4. 反向 DNS 记录和 IP 地址示例
IP 地址 资源类型 主机名称
10.28.128.3 PTR myconnector.company.com

完成 DNS 配置后,请验证反向 DNS 查询是否正确配置。例如,命令 host IPaddress 必须解析为 DNS 名称查找。

注: 如果在 DNS 服务器前面的负载平衡器具有虚拟 IP 地址 (Virtual IP, VIP),请注意 VMware Identity Manager 不支持使用 VIP。您可以指定多个以逗号分隔的 DNS 服务器名称。
注: 如果使用基于 Unix 或 Linux 的 DNS 服务器并打算将连接器加入 Active Directory 域,请确保为每个 Active Directory 域控制器创建相应的服务 (SRV) 资源记录。

时间同步

要使 VMware Identity Manager 部署正常工作,需要在所有 VMware Identity Manager 服务和连接器实例上配置时间同步。

有关为 VMware Identity Manager Connector 配置时间同步的信息,请参阅为 VMware Identity Manager Connector (Windows) 配置时间同步

有关为 VMware Identity Manager 服务配置时间同步的信息,请参阅《安装和配置适用于 Linux 的 VMware Identity Manager》《安装和配置适用于 Windows 的 VMware Identity Manager》

支持的 Active Directory 版本

支持包含单个 Active Directory 域、单个 Active Directory 林中的多个域或多个 Active Directory 林中的多个域的 Active Directory 环境。

在域功能级别和林功能级别为 Windows 2003 和更高版本的 Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2 和 Windows Server 2016 上,VMware Identity Manager 支持 Active Directory。

注: 某些功能可能需要更高的功能级别。例如,要允许用户从 Workspace ONE 更改 Active Directory 密码,域功能级别必须为 Windows 2008 或更高版本。