Varios conceptos son esenciales para comprender cómo el servicio de VMware Identity Manager se integra con el entorno de Active Directory o del directorio LDAP.
Conector
El conector, un componente del servicio, realiza las siguientes funciones.
- Sincroniza en el servicio la información de los usuarios y los grupos desde Active Directory o el directorio LDAP.
- Cuando se usa como proveedor de identidades, autentica a los usuarios en el servicio.
El conector es el proveedor de identidades predeterminado. También puede usar proveedores de identidades de terceros que admitan el protocolo SAML 2.0. Use un proveedor de identidades de terceros para un tipo de autenticación que el conector no admita o si el proveedor de identidades de terceros es preferible en función de la política de seguridad de su empresa.
Nota: Si usa proveedores de identidades de terceros, puede configurar el conector para que sincronice los datos de usuarios y grupos o puede configurar el aprovisionamiento de usuarios Just-in-Time. Consulte la sección Aprovisionamiento de usuarios Just-in-Time del tema sobre la administración de VMware Identity Manager para obtener más información.
Directorio
El servicio de VMware Identity Manager tiene su propio concepto de directorio, correspondiente a Active Directory o al directorio LDAP que se encuentra en su entorno. Este directorio utiliza atributos para definir los usuarios y los grupos. Se crean uno o varios directorios en el servicio y después se sincronizan con Active Directory o el directorio LDAP. Puede crear los siguientes tipos de directorio en el servicio.
- Active Directory
- Active Directory a través de LDAP. Cree este tipo de directorio si va a conectarse a un solo entorno de dominio de Active Directory. Para el tipo de directorio Active Directory a través de LDAP, el conector se enlaza a Active Directory mediante la autenticación de enlace simple.
- Active Directory, Autenticación de Windows integrada. Cree este tipo de directorio si va a conectarse a un entorno de Active Directory con varios dominios o bosques. El conector se enlaza a Active Directory mediante Autenticación de Windows integrada.
El tipo y el número de directorios que cree varían según el entorno de Active Directory, es decir, con un solo dominio o con varios, y según el tipo de confianza usada entre los dominios. En la mayoría de los entornos, se crea un solo directorio.
- Directorio LDAP
El servicio no tiene acceso directo a Active Directory o al directorio LDAP. Solo el conector tiene acceso directo. Por tanto, se asocia cada directorio creado en el servicio con una instancia del conector.
Trabajo
Cuando se asocia un directorio a una instancia del conector, el conector crea una partición para el directorio asociado que se denomina trabajo. Una instancia del conector tiene varios trabajos asociados a ella. Cada trabajo actúa como proveedor de identidades. Se definen y configuran los métodos de autenticación para cada trabajo.
El conector sincroniza los datos de usuarios y grupos entre Active Directory o el directorio LDAP y el servicio a través de uno o varios trabajos.
Consideraciones de seguridad
Para los directorios empresariales integrados en el servicio de VMware Identity Manager, las opciones de seguridad, como las reglas de complejidad de la contraseña y las directivas de bloqueo de cuenta, se deben establecer directamente en el directorio empresarial. VMware Identity Manager no reemplaza estas opciones.