Diverse Konzepte im Zusammenhang mit Active Directory sind ein integraler Bestandteil des Verständnisses der Integration der Directories Management in Ihre Active Directory-Umgebungen.

Connector

Die Dienstkomponente Connector erfüllt die folgenden Funktionen.

  • Synchronisierung von Benutzer- und Gruppendaten aus Ihrem Active Directory oder LDAP-Verzeichnis mit dem Dienst.

  • Authentifizierung der Benutzer gegenüber dem Dienst bei Verwendung als Identitätsanbieter.

    Der Connector ist der Standardidentitätsanbieter. Informationen zu den von Connector unterstützten Authentifizierungsmethoden finden Sie unter Administration von VMware Identity Manager. Sie können auch externe Identitätsanbieter, die das Protokoll SAML 2.0 unterstützen, verwenden. Verwenden Sie einen externen Identitätsanbieter für einen Authentifizierungstyp, der vom Connector nicht unterstützt wird, oder für einen vom Connector unterstützten Authentifizierungstyp, wenn der externe Identitätsanbieter aufgrund der Sicherheitsrichtlinie des Unternehmens zu bevorzugen ist.

    Anmerkung:

    Wenn Sie Dritt-Identitätsanbieter verwenden, können Sie entweder den Connector zum Synchronisieren von Benutzer- und Gruppendaten konfigurieren oder die Just-in-Time-Benutzerbereitstellung konfigurieren. Im Abschnitt „Just-in-Time-Benutzerbereitstellung“ des Handbuchs Administration von VMware Identity Manager finden Sie dazu weitere Informationen.

    Anmerkung:

    Selbst bei Verwendung eines externen Identitätsanbieters müssen Sie den Connector zum Synchronisieren von Benutzer- und Gruppendaten konfigurieren.

Verzeichnis

Der Directories Management-Dienst hat ein eigenes Verzeichnis-Konzept entsprechend dem Active Directory oder LDAP-Verzeichnis in Ihrer Umgebung. Dieses Verzeichnis verwendet Attribute zur Definition von Benutzern und Gruppen.

  • Active Directory

    • Active Directory über LDAP Erstellen Sie diesen Verzeichnistyp, wenn Sie eine Verbindung mit einer Active Directory-Umgebung mit einer Domäne herstellen möchten. Beim Verzeichnistyp „Active Directory über LDAP“ verwendet der Connector eine einfache Bind-Authentifizierung zum Herstellen der Verbindung mit Active Directory.

    • Active Directory, integrierte Windows-Authentifizierung. Erstellen Sie diesen Verzeichnistyp, wenn Sie eine Verbindung mit einer Active Directory-Umgebung mit mehreren Domänen oder mehreren Gesamtstrukturen herstellen möchten. Der Connector stellt die Verbindung mit Active Directory unter Verwendung der integrierten Windows-Authentifizierung her.

    Typ und Anzahl der Verzeichnisse, die Sie erstellen, hängen von der Active Directory-Umgebung ab, z. B. ob nur eine Domäne oder mehrere Domänen vorhanden sind, und vom Typ des zwischen den Domänen vorhandenen Vertrauensverhältnisses. In den meisten Umgebungen erstellen Sie ein Verzeichnis.

  • LDAP-Verzeichnis

Der Dienst hat keinen direkten Zugriff auf Ihr Active Directory oder LDAP-Verzeichnis. Nur der Connector hat einen direkten Zugriff. Daher können Sie jedes im Dienst erstelltes Verzeichnis mit einer Connector-Instanz verknüpfen.

Worker

Wenn Sie ein Verzeichnis mit einer Connector-Instanz verknüpfen, dann erstellt der Connector für das verknüpfte Verzeichnis eine Partition, die als Worker bezeichnet wird. Einer Connector-Instanz können mehrere Worker zugeordnet sein. Jeder Worker fungiert als Identitätsanbieter. Sie definieren und konfigurieren die Authentifizierungsmethoden für jeden Worker getrennt.

Der Connector synchronisiert die Benutzer- und Gruppendaten zwischen Ihrem Active Directory oder LDAP-Verzeichnis und dem Dienst über mindestens einen Worker.

Wichtig:

Eine Connector-Instanz kann nicht mit zwei Workern des Active Directory, des Typs mit integrierter Windows-Authentifizierung verknüpft sein.