Sie können die virtuelle VMware Identity Manager-Appliance in der DMZ bereitstellen, wenn Sie diese nicht im Unternehmensnetzwerk bereitstellen möchten. Wenn Sie die VMware Identity Manager-Appliance in der DMZ bereitstellen, stellen Sie auch einen eigenständigen VMware Identity Manager Connector im ausgehenden Verbindungsmodus im Unternehmensnetzwerk bereit.
System- und Netzwerkkonfigurationen – Anforderungen
Die System- und Netzwerkkonfigurationsanforderungen für die Bereitstellung von VMware Identity Manager in der DMZ sind identisch mit den Anforderungen für die Bereitstellung von VMware Identity Manager im Unternehmensnetzwerk, wie sie unter „System- und -Netzwerkkonfigurationen – Anforderungen“ und „Vorbereiten auf die Bereitstellung von VMware Identity Manager“ in Installieren und Konfigurieren von VMware Identity Manager beschrieben sind. Ausgenommen sind die hier aufgeführten Unterschiede.
- Sie müssen keinen eingehenden Firewallport für eine Appliance im Unternehmensnetzwerk öffnen.
Die virtuelle VMware Identity Manager-Appliance wird in der DMZ bereitgestellt. VMware Identity Manager Connector wird im Unternehmensnetzwerk im ausgehenden Verbindungsmodus bereitgestellt und kommuniziert mit dem Dienst über einen Websocket-basierten Kommunikationskanal.
- Sie müssen für den externen Zugriff auf VMware Identity Manager keinen Reverse-Proxy-Server und keinen Lastausgleichsdienst bereitstellen.
- Ein Lastausgleichsdienst wird nur benötigt, wenn Sie eine Hochverfügbarkeit und eine Redundanz für die virtuelle VMware Identity Manager-Appliance konfigurieren.
- Wenn Sie die Zertifikatauthentifizierung im eingebetteten Konnektor eingerichtet haben, müssen Sie SSL-Passthrough für den Lastausgleichsdienst für den Port aktivieren, der als der Passthrough-SSL-Port für die Zertifikatauthentifizierung konfiguriert wurde. Der Standardport lautet 7443.
- Die folgenden Ports werden verwendet. Ihre Bereitstellung benötigt möglicherweise nur einen Teil davon.
Port Quelle Ziel Beschreibung 443 Lastausgleichsdienst Virtuelle VMware Identity Manager-Appliance
HTTPS 443 Virtuelle VMware Identity Manager-Appliance Lastausgleichsdienst HTTPS Wird benötigt, um den Lastausgleichs-FQDN zu validieren, wenn dieser eingestellt ist
443 Connector Host des VMware Identity Manager-Dienstes HTTPS 443 Connector Lastausgleichsdienst für den VMware Identity Manager-Dienst HTTPS 443 Browser Virtuelle VMware Identity Manager-Appliance
HTTPS 88 Browser Virtuelle VMware Identity Manager-Appliance
TCP/UDP Nur iOS SSO
5262 Browser Virtuelle VMware Identity Manager-Appliance TCP/UDP Nur Android SSO
88 Virtuelle VMware Identity Manager-Appliance Hybrid KDC-Server in der Cloud. Der Hostname ist kdc.<realm>. Beispiel: kdc.op.vmwareidentity.com. UDP-Port, der zur Authentifizierung von Authentifizierungsadapter-Konfigurationsupdates für iOS Mobile SSO verwendet wird, die im Cloud-KDC-Dienst gespeichert werden. Dieser Port wird nur verwendet, wenn die Hybrid KDC iOS Mobile SSO-Funktion verwendet wird.
443, 80 Virtuelle VMware Identity Manager-Appliance
vapp-updates.vmware.com Zugriff auf den VMware-Upgrade-Server 443 Virtuelle VMware Identity Manager-Appliance catalog.vmwareidentity.com Zugriff auf Cloud-Katalog 443 Virtuelle VMware Identity Manager-Appliance discovery.awmdm.com Zugriff auf automatische Erkennung der Workspace ONE-App 8443 Browser Virtuelle VMware Identity Manager-Appliance
Administratorport HTTPS
25 Virtuelle VMware Identity Manager-Appliance
SMTP-Server TCP-Port zum Weiterleiten ausgehender E-Mails 53 Virtuelle VMware Identity Manager-Appliance
DNS-Server TCP/UDP Jede virtuelle Appliance muss über Zugriff auf den DNS-Server über Port 53 verfügen und eingehenden SSH-Datenverkehr über Port 22 zulassen.
443, 8443 Virtuelle VMware Identity Manager-Appliance Virtuelle VMware Identity Manager-Appliance HTTPS/HTTP Für alle VMware Identity Manager-Instanzen in einem Cluster und in Clustern in verschiedenen Rechenzentren
9300 (TCP)
54328 (UDP)
Virtuelle VMware Identity Manager-Appliance
Virtuelle VMware Identity Manager-Appliance
Überwachungsanforderungen
5701 (TCP) Virtuelle VMware Identity Manager-Appliance
Virtuelle VMware Identity Manager-Appliance
Hazelcast-Cache 40002 (TCP) 40003 (TCP)
Virtuelle VMware Identity Manager-Appliance
Virtuelle VMware Identity Manager-Appliance
Ehcache 1433
Virtuelle VMware Identity Manager-Appliance
Datenbank
Der Microsoft SQL-Standardport ist 1433.
443 Virtuelle VMware Identity Manager-Appliance
Workspace ONE UEM-REST-API HTTPS Für die Compliance-Überprüfung von Geräten und die Authentifizierungsmethode „ACC-Kennwort“, wenn diese verwendet wird.
SSL-Passthrough-Port für die Zertifikatauthentifizierung Browser Virtuelle VMware Identity Manager-Appliance HTTPS Für die Zertifikatauthentifizierung auf dem eingebetteten Connector konfiguriert.
Standardport: 7443
514 Virtuelle VMware Identity Manager-Appliance Syslog-Server UDP Für externe Syslog-Server, sofern konfiguriert
Bereitstellen der VMware Identity Manager-Appliance
Informationen zum Bereitstellen und Konfigurieren der virtuellen VMware Identity Manager-Appliance finden Sie unter „Bereitstellen von VMware Identity Manager“ und „Verwalten der Systemkonfigurationseinstellungen der Appliance“ in Installieren und Konfigurieren von VMware Identity Manager.
Konfigurieren für Failover und Redundanz
Informationen zum Konfigurieren von Failover und Redundanz für die virtuelle VMware Identity Manager-Appliance finden Sie in den folgenden Abschnitten in Installieren und Konfigurieren von VMware Identity Manager:
- Konfigurieren von Failover und Redundanz in einem einzelnen Rechenzentrum
- Bereitstellen von VMware Identity Manager in einem sekundären Rechenzentrum für Failover und Redundanz
