通常,初始配置身份目录管理时,您可以使用随现有 vRealize Automation 基础架构提供的连接器创建 Active Directory 连接,以便实现基于用户 ID 和密码的身份验证和管理。或者,您也可以将身份目录管理与 Kerberos 或 RSA SecurID 等其他身份验证解决方案集成到一起。

身份提供程序实例可以是 Directories Management 连接器实例、第三方身份提供程序实例,或两者的组合。

用于 Directories Management 服务的身份提供程序实例将创建一个使用 SAML 2.0 断言与该服务进行通信的网内联合身份验证机构。

首次部署 Directories Management 服务时,连接器是该服务的初始身份提供程序。您的现有 Active Directory 基础架构将用于进行用户身份验证和管理。

下面是受支持的身份验证方法。您可以从管理控制台中配置这些身份验证方法。

表 1. 身份目录管理支持的用户身份验证类型

身份验证类型

描述

密码(内部部署)

配置 Active Directory 后无需任何其他配置,Directories Management 即可支持 Active Directory 密码身份验证。此方法直接通过 Active Directory 对用户进行身份验证。

适用于桌面的 Kerberos

Kerberos 身份验证允许域用户对其应用程序门户进行单点登录式访问。用户在登录到网络后,无需再次登录。

证书(内部部署)

可以配置基于证书的身份验证,以便允许客户端在其桌面和移动设备上使用证书进行身份验证,或者使用智能卡适配器进行身份验证。

基于证书的身份验证依赖于用户拥有的资源和掌握的信息。X.509 证书使用公钥基础架构标准来验证证书内包含的公钥是否属于用户。

RSA SecurID(内部部署)

如果配置了 RSA SecurID 身份验证,则将 Directories Management 配置为 RSA SecurID 服务器中的身份验证代理。RSA SecurID 身份验证要求用户使用基于令牌的身份验证系统。RSA SecurID 是一种适用于从企业网络外部访问 Directories Management 的用户的身份验证方法。

RADIUS(内部部署)

RADIUS 身份验证提供双因素身份验证选项。您可以设置 Directories Management 服务可访问的 RADIUS 服务器。在用户使用其用户名和通行码登录时,将向 RADIUS 服务器提交访问请求以进行身份验证。

RSA 自适应身份验证(内部部署)

RSA 身份验证提供了比针对 Active Directory 的仅用户名和密码身份验证更强的多因素身份验证。启用 RSA 自适应身份验证后,在风险策略中指定的风险指标将在 RSA 策略管理应用程序中设置。自适应身份验证的 Directories Management 服务配置用于确定所需的身份验证提示。

移动 SSO(适用于 iOS)

适用于 iOS 的移动 SSO 身份验证用于 AirWatch 管理的 iOS 设备的单点登录身份验证。移动 SSO(适用于 iOS)身份验证使用 Directories Management 服务中的密钥分发中心 (KDC)。在启用这种身份验证方法之前,您必须在 VMware Identity Manager 服务中启动 KDC 服务。

移动 SSO(适用于 Android)

适用于 Android 的移动 SSO 身份验证用于 AirWatch 管理的 Android 设备的单点登录身份验证。在 Directories Management 服务和 AirWatch 之间将设置代理服务,以便从 AirWatch 中检索用于身份验证的证书。

密码(AirWatch 连接器)

AirWatch Cloud Connector 可以与 Directories Management 服务进行集成,以便进行用户密码身份验证。您可以配置 Directories Management 服务以同步 AirWatch 目录中的用户。

用户将根据您配置的身份验证方法、默认访问策略规则、网络范围和身份提供程序实例进行身份验证。在配置了身份验证方法后,您可以创建访问策略规则,以指定设备类型所使用的身份验证方法。