Sie können die virtuelle VMware Identity Manager-Appliance in der DMZ bereitstellen, wenn Sie diese nicht im Unternehmensnetzwerk bereitstellen möchten. Wenn Sie die VMware Identity Manager-Appliance in der DMZ bereitstellen, stellen Sie auch einen eigenständigen VMware Identity Manager Connector im ausgehenden Verbindungsmodus im Unternehmensnetzwerk bereit.
System- und Netzwerkkonfigurationen – Anforderungen
Die System- und Netzwerkkonfigurationsanforderungen für die Bereitstellung von VMware Identity Manager in der DMZ sind identisch mit den Anforderungen für die Bereitstellung von VMware Identity Manager im Unternehmensnetzwerk, wie sie unter „System- und -Netzwerkkonfigurationen – Anforderungen“ und „Vorbereiten auf die Bereitstellung von VMware Identity Manager“ in Installieren und Konfigurieren von VMware Identity Manager beschrieben sind. Ausgenommen sind die hier aufgeführten Unterschiede.
Sie müssen keinen eingehenden Firewallport für eine Appliance im Unternehmensnetzwerk öffnen.
Die virtuelle VMware Identity Manager-Appliance wird in der DMZ bereitgestellt. VMware Identity Manager Connector wird im Unternehmensnetzwerk im ausgehenden Verbindungsmodus bereitgestellt und kommuniziert mit dem Dienst über einen Websocket-basierten Kommunikationskanal.
Sie müssen für den externen Zugriff auf VMware Identity Manager keinen Reverse-Proxy-Server und keinen Lastausgleichsdienst bereitstellen.
Ein Lastausgleichsdienst wird nur benötigt, wenn Sie eine Hochverfügbarkeit und eine Redundanz für die virtuelle VMware Identity Manager-Appliance konfigurieren.
Wenn Sie die Zertifikatauthentifizierung im eingebetteten Konnektor eingerichtet haben, müssen Sie SSL-Passthrough für den Lastausgleichsdienst für den Port aktivieren, der als der Passthrough-SSL-Port für die Zertifikatauthentifizierung konfiguriert wurde. Der Standardport lautet 7443.
Die folgenden Ports werden verwendet. Ihre Bereitstellung benötigt möglicherweise nur einen Teil davon.
Port
Quelle
Ziel
Beschreibung
443
Lastausgleichsdienst
Virtuelle VMware Identity Manager-Appliance
HTTPS
443
Virtuelle VMware Identity Manager-Appliance
Lastausgleichsdienst
HTTPS
Wird benötigt, um den Lastausgleichs-FQDN zu validieren, wenn dieser eingestellt ist
443
Connector
Host des VMware Identity Manager-Dienstes
HTTPS
443
Connector
Lastausgleichsdienst für den VMware Identity Manager-Dienst
HTTPS
443
Browser
Virtuelle VMware Identity Manager-Appliance
HTTPS
88
Browser
Virtuelle VMware Identity Manager-Appliance
TCP/UDP
Nur iOS SSO
5262
Browser
Virtuelle VMware Identity Manager-Appliance
TCP/UDP
Nur Android SSO
88
Virtuelle VMware Identity Manager-Appliance
Hybrid KDC-Server in der Cloud. Der Hostname ist kdc.<realm>. Beispiel: kdc.op.vmwareidentity.com.
UDP-Port, der zur Authentifizierung von Authentifizierungsadapter-Konfigurationsupdates für iOS Mobile SSO verwendet wird, die im Cloud-KDC-Dienst gespeichert werden. Dieser Port wird nur verwendet, wenn die Hybrid KDC iOS Mobile SSO-Funktion verwendet wird.
443, 80
Virtuelle VMware Identity Manager-Appliance
vapp-updates.vmware.com
Zugriff auf den VMware-Upgrade-Server
443
Virtuelle VMware Identity Manager-Appliance
catalog.vmwareidentity.com
Zugriff auf Cloud-Katalog
443
Virtuelle VMware Identity Manager-Appliance
discovery.awmdm.com
Zugriff auf automatische Erkennung der Workspace ONE-App
8443
Browser
Virtuelle VMware Identity Manager-Appliance
Administratorport
HTTPS
25
Virtuelle VMware Identity Manager-Appliance
SMTP-Server
TCP-Port zum Weiterleiten ausgehender E-Mails
53
Virtuelle VMware Identity Manager-Appliance
DNS-Server
TCP/UDP
Jede virtuelle Appliance muss über Zugriff auf den DNS-Server über Port 53 verfügen und eingehenden SSH-Datenverkehr über Port 22 zulassen.
443, 8443
Virtuelle VMware Identity Manager-Appliance
Virtuelle VMware Identity Manager-Appliance
HTTPS/HTTP
Für alle VMware Identity Manager-Instanzen in einem Cluster und in Clustern in verschiedenen Rechenzentren
9300 (TCP)
54328 (UDP)
Virtuelle VMware Identity Manager-Appliance
Virtuelle VMware Identity Manager-Appliance
Überwachungsanforderungen
5701 (TCP)
Virtuelle VMware Identity Manager-Appliance
Virtuelle VMware Identity Manager-Appliance
Hazelcast-Cache
40002 (TCP)
40003 (TCP)
Virtuelle VMware Identity Manager-Appliance
Virtuelle VMware Identity Manager-Appliance
Ehcache
1433
Virtuelle VMware Identity Manager-Appliance
Datenbank
Der Microsoft SQL-Standardport ist 1433.
443
Virtuelle VMware Identity Manager-Appliance
Workspace ONE UEM-REST-API
HTTPS
Für die Compliance-Überprüfung von Geräten und die Authentifizierungsmethode „ACC-Kennwort“, wenn diese verwendet wird.
SSL-Passthrough-Port für die Zertifikatauthentifizierung
Browser
Virtuelle VMware Identity Manager-Appliance
HTTPS
Für die Zertifikatauthentifizierung auf dem eingebetteten Connector konfiguriert.
Standardport: 7443
514
Virtuelle VMware Identity Manager-Appliance
Syslog-Server
UDP
Für externe Syslog-Server, sofern konfiguriert
Bereitstellen der VMware Identity Manager-Appliance
Informationen zum Bereitstellen und Konfigurieren der virtuellen VMware Identity Manager-Appliance finden Sie unter „Bereitstellen von VMware Identity Manager“ und „Verwalten der Systemkonfigurationseinstellungen der Appliance“ in Installieren und Konfigurieren von VMware Identity Manager.
Konfigurieren für Failover und Redundanz
Informationen zum Konfigurieren von Failover und Redundanz für die virtuelle VMware Identity Manager-Appliance finden Sie in den folgenden Abschnitten in Installieren und Konfigurieren von VMware Identity Manager:
Konfigurieren von Failover und Redundanz in einem einzelnen Rechenzentrum
Bereitstellen von VMware Identity Manager in einem sekundären Rechenzentrum für Failover und Redundanz
Der Abschnitt „Aktivieren des externen Zugriffs auf VMware Identity Manager mithilfe eines Lastausgleichsdienstes“ ist nicht anwendbar auf Szenarien, in denen VMware Identity Manager in der DMZ bereitgestellt wird.
