Mehrere Konzepte sind wichtig zum besseren Verständnis, wie der VMware Identity Manager-Dienst in Ihre Active Directory- oder LDAP-Verzeichnisumgebung integriert wird.

Connector

Die Dienstkomponente Connector erfüllt die folgenden Funktionen.

  • Synchronisierung von Benutzer- und Gruppendaten aus Ihrem Active Directory oder LDAP-Verzeichnis mit dem Dienst.
  • Authentifizierung der Benutzer gegenüber dem Dienst bei Verwendung als Identitätsanbieter.

    Der Connector ist der Standardidentitätsanbieter. Sie können auch externe Identitätsanbieter, die das Protokoll SAML 2.0 unterstützen, verwenden. Verwenden Sie einen externen Identitätsanbieter für einen Authentifizierungstyp, der vom Connector nicht unterstützt wird, oder wenn der externe Identitätsanbieter aufgrund der Sicherheitsrichtlinie des Unternehmens zu bevorzugen ist.

    Hinweis: Wenn Sie externe Identitätsanbieter verwenden, können Sie entweder den Connector für das Synchronisieren von Benutzer- und Gruppendaten oder die Just-in-Time-Benutzerbereitstellung konfigurieren. Im Abschnitt „Just-in-Time-Benutzerbereitstellung“ des Handbuchs Administratorhandbuch für VMware Identity Manager finden Sie dazu weitere Informationen.

Verzeichnis

Der VMware Identity Manager-Dienst hat ein eigenes Verzeichnis-Konzept entsprechend dem Active Directory oder LDAP-Verzeichnis in Ihrer Umgebung. Dieses Verzeichnis verwendet Attribute zur Definition von Benutzern und Gruppen. Sie können ein oder mehrere Verzeichnisse im Dienst erstellen und diese Verzeichnisse dann mit Ihrem Active Directory oder LDAP-Verzeichnis synchronisieren. Im Dienst können die folgenden Verzeichnistypen erstellt werden.

  • Active Directory
    • Active Directory über LDAP Erstellen Sie diesen Verzeichnistyp, wenn Sie eine Verbindung mit einer Active Directory-Umgebung mit einer Domäne herstellen möchten. Beim Verzeichnistyp „Active Directory über LDAP“ verwendet der Connector eine einfache Bind-Authentifizierung zum Herstellen der Verbindung mit Active Directory.
    • Active Directory, integrierte Windows-Authentifizierung. Erstellen Sie diesen Verzeichnistyp, wenn Sie eine Verbindung mit einer Active Directory-Umgebung mit mehreren Domänen oder mehreren Gesamtstrukturen herstellen möchten. Der Connector stellt die Verbindung mit Active Directory unter Verwendung der integrierten Windows-Authentifizierung her.

    Typ und Anzahl der Verzeichnisse, die Sie erstellen, hängen von der Active Directory-Umgebung ab, z. B. ob nur eine Domäne oder mehrere Domänen vorhanden sind, und vom Typ des zwischen den Domänen vorhandenen Vertrauensverhältnisses. In den meisten Umgebungen erstellen Sie ein Verzeichnis.

  • LDAP-Verzeichnis

Der Dienst hat keinen direkten Zugriff auf Ihr Active Directory oder LDAP-Verzeichnis. Nur der Connector hat einen direkten Zugriff. Daher können Sie jedes im Dienst erstelltes Verzeichnis mit einer Connector-Instanz verknüpfen.

Worker

Wenn Sie ein Verzeichnis mit einer Connector-Instanz verknüpfen, dann erstellt der Connector für das verknüpfte Verzeichnis eine Partition, die als Worker bezeichnet wird. Einer Connector-Instanz können mehrere Worker zugeordnet sein. Jeder Worker fungiert als Identitätsanbieter. Sie definieren und konfigurieren die Authentifizierungsmethoden für jeden Worker getrennt.

Der Connector synchronisiert die Benutzer- und Gruppendaten zwischen Ihrem Active Directory oder LDAP-Verzeichnis und dem Dienst über mindestens einen Worker.

Wichtig: Eine Connector-Instanz kann nicht mit zwei Workern des Active Directory, des Typs mit integrierter Windows-Authentifizierung verknüpft sein.

Sicherheitsüberlegungen

Für Unternehmensverzeichnisse, die mit dem VMware Identity Manager-Dienst integriert sind, müssen direkt im Unternehmensverzeichnis Sicherheitseinstellungen, wie z. B. Regeln für die Komplexität von Benutzerkennwörtern und Richtlinien für die Verzeichnissperre, eingerichtet werden. VMware Identity Manager überschreibt diese Einstellungen nicht.