在该模式下,您可以在 DMZ 中安装 VMware Identity Manager 虚拟设备。也可以在企业网络中以仅出站连接模式安装单独的 VMware Identity Manager Connector 虚拟设备。该模式不包含任何 Workspace ONE UEM 组件。

企业目录中的用户和组同步以及用户身份验证是由单独的 VMware Identity Manager Connector 处理的。该连接器还可以将资源(如 Horizon 7 桌面和应用程序)同步到 VMware Identity Manager 服务。

注: 某些身份验证方法不需要使用该连接器,它们是由该服务直接管理的。
重要事项: 请使用单独的连接器同步用户和组以及进行用户身份验证,而不是使用与 VMware Identity Manager 设备集成在一起的连接器。
图 1. 在出站模式下使用 VMware Identity Manager Connector

VMware Identity Manager Connector

注: 如果您打算配置 Android SSO,请在 VMware Identity Manager 前面的负载平衡器的端口 5262 上启用 SSL 直通。
注: 如果打算在嵌入式连接器上配置证书身份验证,请在负载平衡器上为配置为证书身份验证 SSL 直通端口的端口启用 SSL 直通。默认端口是 7443。

端口要求

需要在负载平衡器或防火墙上为 VMware Identity Manager 服务器打开以下端口:
  • 入站 443 (HTTPS)
  • 入站 88 (TCP/UDP) - 仅限 iOS SSO
  • 入站 5262 (HTTPS) - 仅限 Android SSO
  • 入站 CertAuthSSLPassthroughPort (HTTPS) - 仅限在嵌入式连接器上配置的证书身份验证。默认端口是 7443。

VMware Identity Manager Connector 是在仅出站连接模式下安装的,并且不需要打开入站端口 443。该连接器通过基于 Websocket 的通信通道与 VMware Identity Manager 服务进行通信。

有关使用的端口的完整列表,请参阅在 DMZ 中部署 VMware Identity Manager在企业网络中部署 VMware Identity Manager Connector

支持的身份验证方法

该部署模式支持所有身份验证方法。其中的某些身份验证方法不需要使用连接器,并且是该服务通过内置身份提供程序直接管理的。

  • 密码 - 使用连接器
  • RSA 自适应身份验证 - 使用连接器
  • RSA SecurID - 使用连接器
  • RADIUS - 使用连接器
  • 证书 - 使用嵌入式连接器
  • VMware Verify - 通过内置身份提供程序
  • 移动 SSO (iOS) - 通过内置身份提供程序
  • 移动 SSO (Android) - 通过内置身份提供程序
  • 入站 SAML - 通过第三方身份提供程序
注: 有关使用 Kerberos 的信息,请参阅 将 Kerberos 身份验证支持添加到您的部署

支持的目录集成

在该部署模式下,您可以将以下类型的企业目录与 VMware Identity Manager 服务集成在一起:

  • 通过 LDAP 访问的 Active Directory
  • Active Directory(集成 Windows 身份验证)
  • LDAP 目录

    如果您打算集成 LDAP 目录,请参阅《将目录与 VMware Identity Manager 集成》的“与 LDAP 目录集成”中的限制。

或者,也可以使用以下方法在 VMware Identity Manager 服务中创建用户:

  • 直接在 VMware Identity Manager 服务中创建本地用户。
  • 使用 Just-in-Time 置备在登录时在 VMware Identity Manager 服务中动态创建用户(使用第三方身份提供程序发送的 SAML 断言)。

支持的资源

在该部署模式下,您可以将以下类型的资源与 VMware Identity Manager 服务集成在一起:

  • Web 应用程序
  • Horizon 7、Horizon 6 或 View 桌面和应用程序池
  • Horizon Cloud 应用程序和桌面
  • Citrix 发布的资源
  • ThinApp 打包应用程序

附加信息