通常,初始配置身份目录管理时,您可以使用随现有 vRealize Automation 基础架构提供的连接器创建 Active Directory 连接,以便实现基于用户 ID 和密码的身份验证和管理。或者,您也可以将身份目录管理与 Kerberos 或 RSA SecurID 等其他身份验证解决方案集成到一起。

身份提供程序实例可以是 Directories Management 连接器实例、第三方身份提供程序实例,或两者的组合。

表 1. 身份目录管理支持的用户身份验证类型

身份验证类型

描述

Kerberos

Kerberos 身份验证可以为域用户提供其应用程序门户的单点登录访问权限,从而使域用户在登录到企业网络后无需再次登录到其应用程序门户。Directories Management 使用由密钥分发中心 (KDC) 分发的 Kerberos 票证验证用户桌面凭据。

证书

可以配置基于证书的身份验证,以便允许客户端在其桌面和移动设备上使用证书进行身份验证,或者使用智能卡适配器进行身份验证。

基于证书的身份验证依赖于用户拥有的资源和掌握的信息。X.509 证书使用公钥基础结构标准来确认证书内包含的公钥是否属于用户。

基于证书的身份验证依赖于用户拥有的资源和掌握的信息。X.509 证书使用公钥基础结构标准来确认证书内包含的公钥是否属于用户。

RSA SecurID

如果配置了 RSA SecurID 身份验证,则将 Directories Management 配置为 RSA SecurID 服务器中的身份验证代理。RSA SecurID 身份验证要求用户使用基于令牌的身份验证系统。建议针对从企业网络外部访问 Directories Management 的用户启用 RSA SecurID 身份验证方法。

RADIUS

RADIUS 身份验证提供双因素身份验证选项。您可以设置 Directories Management 服务可访问的 RADIUS 服务器。在用户使用其用户名和通行码登录时,将向 RADIUS 服务器提交访问请求以进行身份验证。

RSA 自适应身份验证

RSA 身份验证提供了比针对 Active Directory 的仅用户名和密码身份验证更强的多因素身份验证。如果启用了 RSA 自适应身份验证,将使用在 RSA 策略管理应用程序中设置的风险策略中指定的风险指标以及自适应身份验证的 Directories Management 服务配置确定所需的身份验证提示。