Bei der Erstkonfiguration der Verzeichnisverwaltung werden in der Regel die in Ihrer vorhandenen vRealize Automation-Infrastruktur enthaltenen Konnektoren verwendet, um eine Active Directory-Verbindung für eine auf Benutzer-ID und Kennwort basierende Authentifizierung und Verwaltung zu erstellen. Die Verzeichnisverwaltung lässt sich aber auch in andere Authentifizierungslösungen wie Kerberos oder RSA SecurID integrieren.

Die Identitätsanbieter-Instanz können die Directories Management Connector-Instanz, externe Identitätsanbieter-Instanzen oder eine Kombination von beidem sein.

Von der Identitätsanbieter-Instanz, die Sie mit dem Directories Management-Dienst verwenden, wird eine Verbundautorität im Netzwerk erstellt, die über SAML 2.0-Annahmen mit dem Dienst kommuniziert.

Bei der erstmaligen Bereitstellung des Directories Management-Diensts ist der Connector der anfängliche Identitätsanbieter für den Dienst. Ihre vorhandene Active Directory-Infrastruktur wird für die Benutzerauthentifizierung und -verwaltung verwendet.

Die folgenden Authentifizierungsmethoden werden unterstützt: Sie können diese Authentifizierungsmethoden in der Verwaltungskonsole konfigurieren.

Tabelle 1. Von der Verzeichnisverwaltung unterstützte Authentifizierungstypen

Authentifizierungstypen

Beschreibung

Kennwort (lokale Bereitstellung)

Wenn Sie nach der Konfiguration von Active Directory keine weiteren Konfigurationen vornehmen, unterstützt Directories Management die Kennwortauthentifizierung von Active Directory. Diese Methode authentifiziert Benutzer direkt anhand des Active Directory.

Kerberos für Desktops

Die Kerberos-Authentifizierung ermöglicht Domänenbenutzern den SSO-Zugang (mit einmaliger Anmeldung) zu ihrem App-Portal. Nach der Anmeldung beim Netzwerk müssen sich die Benutzer nicht erneut anmelden.

Zertifikat (lokale Bereitstellung)

Die zertifikatbasierte Authentifizierung kann so konfiguriert werden, dass Clients sich mithilfe von Zertifikaten auf Desktops und mobilen Geräten authentifizieren oder einen Smartcard-Adapter für die Authentifizierung verwenden können.

Die zertifikatbasierte Authentifizierung basiert auf etwas, was der Benutzer besitzt und auf etwas, was die Person weiß. Ein X.509-Zertifikat verwendet den Standard der Public Key Infrastructure (PKI), um zu überprüfen, ob ein im Zertifikat enthaltener öffentlicher Schlüssel dem Benutzer gehört.

RSA SecurID (lokale Bereitstellung)

Wenn die RSA SecurID-Authentifizierung konfiguriert ist, wird Directories Management als Authentifizierungsagent im RSA SecurID-Server konfiguriert. Bei der RSA SecurID-Authentifizierung müssen die Benutzer ein Token-basiertes Authentifizierungssystem verwenden. RSA SecurID ist eine Authentifizierungsmethode für Benutzer, die von außerhalb des Unternehmensnetzwerks auf Directories Management zugreifen.

RADIUS (lokale Bereitstellung)

Die RADIUS-Authentifizierung bietet Zwei-Faktor-Authentifizierungsoptionen. Sie richten den RADIUS-Server ein, auf den der Directories Management-Dienst zugreifen kann. Wenn sich die Benutzer mit ihrem Benutzernamen und dem Passcode anmelden, wird eine Zugriffsanfrage für die Authentifizierung an den RADIUS-Server übermittelt.

Adaptive RSA-Authentifizierung (lokale Bereitstellung)

Die RSA-Authentifizierung bietet eine stärkere Mehr-Faktoren-Authentifizierung als die einfache Authentifizierung bei Active Directory mit Benutzername und Kennwort. Wenn „Adaptive RSA-Authentifizierung“ aktiviert ist, werden die in der Risikorichtlinie angegebenen Risikoindikatoren in der Anwendung „RSA Policy Management“ eingerichtet. Zur Ermittlung der erforderlichen Authentifizierungsaufforderungen wird die Directories Management-Dienstkonfiguration der adaptiven Authentifizierung verwendet.

Mobile SSO (für iOS)

Die Authentifizierung Mobile SSO für iOS wird zur SSO-Authentifizierung (mit einmaliger Anmeldung) für von AirWatch verwaltete iOS-Geräte verwendet. Die Authentifizierung Mobile SSO (für iOS) verwendet ein Schlüsselverteilungscenter (Key Distribution Center, KDC), das zum Directories Management-Dienst gehört. Vor dem Aktivieren dieser Authentifizierungsmethode müssen Sie den KDC-Dienst im VMware Identity Manager-Dienst starten.

Mobile SSO (für Android)

Die Authentifizierung Mobile SSO für Android wird zur SSO-Authentifizierung (mit einmaliger Anmeldung) für von AirWatch verwaltete Android-Geräte verwendet. Zum Abrufen des Zertifikats von AirWatch für die Authentifizierung wird ein Proxydienst zwischen dem Directories Management-Dienst und AirWatch eingerichtet.

Kennwort (AirWatch Connector)

Zur Benutzerkennwort-Authentifizierung kann der AirWatch Cloud Connector in den Directories Management-Dienst integriert werden. Sie können den Directories Management-Dienst so konfigurieren, dass Benutzer aus dem AirWatch-Verzeichnis synchronisiert werden.

Benutzer werden auf Basis der Authentifizierungsmethoden, der Standardregeln der Zugriffsrichtlinie, der Netzwerkbereiche und der von Ihnen konfigurierten Identitätsanbieter-Instanz authentifiziert. Nach dem Konfigurieren der Authentifizierungsmethoden können Sie Regeln für die Zugriffsrichtlinie erstellen, die die nach Gerätetyp zu verwendenden Authentifizierungsmethoden angeben.