要了解 Directories Management 如何与您的 Active Directory 环境相集成,必须掌握一些与 Active Directory 有关的概念。

连接器

连接器是服务的一个组件,可执行以下功能。

  • 将用户和组数据从 Active Directory 或 LDAP 目录同步到服务。

  • 当用作身份提供程序时,还可用于验证用户身份以允许其访问服务。

    连接器是默认身份提供程序。有关 连接器 支持的身份验证方法,请参阅《VMware Identity Manager 管理指南》。您还可以使用支持 SAML 2.0 协议的第三方身份提供程序。如果根据您的企业安全策略最好是使用第三方身份提供程序,则可使用第三方身份提供程序来提供连接器不支持或连接器支持的身份验证类型。

    注:

    如果使用第三方身份提供程序,则可配置 连接器 以同步用户和组数据,或配置即时用户置备。有关详细信息,请参阅《VMware Identity Manager 管理》中的“Just-in-Time 用户置备”部分。

    注:

    即便您使用第三方身份提供程序,您也必须配置连接器以同步用户和组数据。

目录

Directories Management 服务具有自己的目录概念,该目录与您环境中的 Active Directory 或 LDAP 目录相对应。该目录使用属性来定义用户和组。

  • Active Directory

    • 通过 LDAP 访问的 Active Directory。如果您打算连接到单个 Active Directory 域环境,可创建此目录类型。对于通过 LDAP 访问的 Active Directory 目录类型,连接器将使用简单绑定身份验证绑定到 Active Directory。

    • Active Directory(集成 Windows 身份验证)。如果您打算连接到多域或多林 Active Directory 环境,可创建此目录类型。连接器将使用集成 Windows 身份验证绑定到 Active Directory。

    根据您的 Active Directory 环境(如单域或多域)以及各域之间使用的信任类型的不同,您可创建的目录的类型和数量也会有所差异。在多数环境中,您可以创建一个目录。

  • LDAP 目录

服务不能直接访问您的 Active Directory 或 LDAP 目录。仅连接器拥有直接访问权限。因此,您需要将在服务中创建的每个目录都与连接器实例相关联。

工作线程

在将目录与连接器实例相关联时,连接器会为关联的目录创建一个分区(称为“工作线程”)。一个连接器实例可以有多个关联的工作线程。每个工作线程都充当一个身份提供程序。您可以为每个工作线程分别定义和配置身份验证方法。

连接器通过一个或多个工作线程在 Active Directory 或 LDAP 目录和服务之间同步用户和组数据。

重要:

同一连接器实例不能有两个集成 Windows 身份验证类型的 Active Directory 工作线程。