如果不希望在企业网络中部署 VMware Identity Manager 虚拟设备,您可以将其部署在 DMZ 中。如果在 DMZ 中部署 VMware Identity Manager 设备,您还可以在企业网络中以仅出站连接模式部署单独的 VMware Identity Manager Connector。
系统和网络配置要求
在 DMZ 中部署 VMware Identity Manager 的系统和网络配置要求与在企业网络中部署 VMware Identity Manager 的要求类似,如《安装和配置 VMware Identity Manager》中的“系统和网络配置要求”以及“准备部署 VMware Identity Manager”中所述,但此处列出的差异除外。
- 您不需要打开到企业网络中的任何设备的入站防火墙端口。
VMware Identity Manager 虚拟设备部署在 DMZ 中。VMware Identity Manager Connector 以仅出站连接模式部署在企业网络中,并通过基于 Websocket 的通信通道与该服务进行通信。
- 您不需要部署反向代理或负载平衡器以允许到 VMware Identity Manager 的外部访问。
- 只有在为 VMware Identity Manager 虚拟设备配置高可用性和冗余时,才需要使用负载平衡器。
- 如果在嵌入式连接器上设置证书身份验证,您需要在负载平衡器上为配置为证书身份验证 SSL 直通端口的端口启用 SSL 直通。默认端口是 7443。
- 将使用以下端口。您的部署可能仅需要使用一部分端口。
端口 源 目标 描述 443 负载平衡器 VMware Identity Manager 虚拟设备
HTTPS 443 VMware Identity Manager 虚拟设备 负载平衡器 HTTPS 如果设置了负载平衡器 FQDN,对其进行验证时需要使用
443 连接器 VMware Identity Manager 服务主机 HTTPS 443 连接器 VMware Identity Manager 服务负载平衡器 HTTPS 443 浏览器 VMware Identity Manager 虚拟设备
HTTPS 88 浏览器 VMware Identity Manager 虚拟设备
TCP/UDP 仅限 iOS SSO
5262 浏览器 VMware Identity Manager 虚拟设备 TCP/UDP 仅限 Android SSO
88 VMware Identity Manager 虚拟设备 云中的混合 KDC 服务器。主机名是 kdc.<realm>。例如,kdc.op.vmwareidentity.com。 该 UDP 端口用于对保存到云 KDC 服务的 iOS 移动 SSO 身份验证适配器配置更新进行身份验证。仅当使用了混合 KDC iOS 移动 SSO 功能时,才使用此端口。
443、80 VMware Identity Manager 虚拟设备
vapp-updates.vmware.com 访问 VMware 升级服务器 443 VMware Identity Manager 虚拟设备 catalog.vmwareidentity.com 访问云目录 443 VMware Identity Manager 虚拟设备 discovery.awmdm.com 访问 Workspace ONE 应用程序自动发现 8443 浏览器 VMware Identity Manager 虚拟设备
管理员端口 HTTPS
25 VMware Identity Manager 虚拟设备
SMTP 服务器 传递出站邮件的 TCP 端口 53 VMware Identity Manager 虚拟设备
DNS 服务器 TCP/UDP 每个虚拟设备都必须有权通过端口 53 访问 DNS 服务器,以及允许端口 22 上存在入站 SSH 流量。
443、8443 VMware Identity Manager 虚拟设备 VMware Identity Manager 虚拟设备 HTTPS/HTTP 用于一个群集中以及位于不同数据中心的多个群集中的所有 VMware Identity Manager 实例
9300 (TCP)
54328 (UDP)
VMware Identity Manager 虚拟设备
VMware Identity Manager 虚拟设备
审核需要
5701 (TCP) VMware Identity Manager 虚拟设备
VMware Identity Manager 虚拟设备
Hazelcast 缓存 40002 (TCP) 40003 (TCP)
VMware Identity Manager 虚拟设备
VMware Identity Manager 虚拟设备
Ehcache 1433
VMware Identity Manager 虚拟设备
数据库
Microsoft SQL 默认端口为 1433
443 VMware Identity Manager 虚拟设备
Workspace ONE UEM REST API HTTPS 用于设备合规性检查和 ACC 密码身份验证方法(如果使用)。
用于证书身份验证的 SSL 直通端口 浏览器 VMware Identity Manager 虚拟设备 HTTPS 用于在嵌入式连接器上配置的证书身份验证。
默认端口:7443
514 VMware Identity Manager 虚拟设备 syslog 服务器 UDP 用于外部 syslog 服务器(如果配置)
部署 VMware Identity Manager 设备
有关部署和配置 VMware Identity Manager 虚拟设备的信息,请参阅《安装和配置 VMware Identity Manager》中的“部署 VMware Identity Manager”和“管理设备系统配置设置”。
配置故障切换和冗余
有关为 VMware Identity Manager 虚拟设备配置故障切换和冗余的信息,请参阅《安装和配置 VMware Identity Manager》中的以下章节:
- 在单个数据中心配置故障切换和冗余
- 在辅助数据中心部署 VMware Identity Manager 以提供故障切换和冗余
