Puede implementar el dispositivo virtual de VMware Identity Manager en DMZ si no desea implementarlo en la red empresarial. Si se implementa el dispositivo de VMware Identity Manager en DMZ, también se implementa un conector de VMware Identity Manager independiente en modo de conexión de solo salida en la red empresarial.
Requisitos de configuración de la red y el sistema
Los requisitos de configuración de la red y el sistema para implementar VMware Identity Manager en DMZ son similares a los requisitos para implementar VMware Identity Manager en la red empresarial, los cuales se describen en Requisitos de configuración de la red y el sistema y Preparación para la implementación de VMware Identity Manager en Instalar y configurar VMware Identity Manager, excepto por las diferencias que se indican aquí.
No es necesario abrir un puerto de firewall de entrada a cualquier dispositivo en la red empresarial.
El dispositivo virtual de VMware Identity Manager se implementa en DMZ. El conector de VMware Identity Manager se implementa en la red empresarial en modo de conexión de solo salida y se comunica con el servicio a través de un canal de comunicación basado en Websocket.
No es necesario implementar un proxy inverso ni un equilibrador de carga para permitir el acceso externo a VMware Identity Manager.
Solo se necesita un equilibrador de carga si se configuran la alta disponibilidad y la redundancia para el dispositivo virtual de VMware Identity Manager.
Si establece la autenticación de certificados en el conector integrado, debe habilitar el acceso directo a SSL en el equilibrador de carga para el puerto configurado como el puerto de acceso directo a SSL para la autenticación de certificados. El puerto predeterminado es 7443.
Se utilizan los siguientes puertos. Es posible que la implementación requiera solo un subconjunto de estos.
Puerto
Origen
destino
Descripción
443
Equilibrador de carga
Dispositivo virtual de VMware Identity Manager
HTTPS
443
Dispositivo virtual de VMware Identity Manager
Equilibrador de carga
HTTPS
Necesario para validar el FQDN del equilibrador de carga cuando se establece
443
Conector
Host del servicio de VMware Identity Manager
HTTPS
443
Conector
Equilibrador de carga de servicio de VMware Identity Manager
HTTPS
443
Navegadores
Dispositivo virtual de VMware Identity Manager
HTTPS
88
Navegadores
Dispositivo virtual de VMware Identity Manager
TCP/UDP
Solo SSO para iOS
5262
Navegadores
Dispositivo virtual de VMware Identity Manager
TCP/UDP
Solo SSO para Android
88
Dispositivo virtual de VMware Identity Manager
Servidor KDC híbrido en la nube. El nombre de host es kdc.<realm>. Por ejemplo, kdc.op.vmwareidentity.com.
Puerto UDP utilizado para autenticar las actualizaciones de configuración del adaptador de autenticación de SSO móvil para iOS que se guardan en el servicio KDC en la nube. Dicho puerto se utiliza únicamente si se utiliza la función de SSO móvil para iOS del KDC híbrido.
443, 80
Dispositivo virtual de VMware Identity Manager
vapp-updates.vmware.com
Acceso al servidor de actualización de VMware
443
Dispositivo virtual de VMware Identity Manager
catalog.vmwareidentity.com
Acceso al catálogo de nube
443
Dispositivo virtual de VMware Identity Manager
discovery.awmdm.com
Acceso para la detección automática de aplicaciones de Workspace ONE
8443
Navegadores
Dispositivo virtual de VMware Identity Manager
Puerto de administrador
HTTPS
25
Dispositivo virtual de VMware Identity Manager
servidor SMTP
Puerto TCP para redireccionamiento de correo saliente
53
Dispositivo virtual de VMware Identity Manager
Servidor DNS
TCP/UDP
Todos los dispositivos virtuales deben tener acceso al servidor DNS en el puerto 53 y permitir el tráfico SSH entrante en el puerto 22.
443, 8443
Dispositivo virtual de VMware Identity Manager
Dispositivo virtual de VMware Identity Manager
HTTPS/HTTP
Para todas las instancias de VMware Identity Manager de un clúster y de todos los clústeres de otros centros de datos
9300 (TCP)
54328 (UDP)
Dispositivo virtual de VMware Identity Manager
Dispositivo virtual de VMware Identity Manager
Necesidades de auditoría
5701 (TCP)
Dispositivo virtual de VMware Identity Manager
Dispositivo virtual de VMware Identity Manager
Memoria caché de Hazelcast
40002 (TCP)
40003 (TCP)
Dispositivo virtual de VMware Identity Manager
Dispositivo virtual de VMware Identity Manager
Ehcache
1433
Dispositivo virtual de VMware Identity Manager
Base de datos
El puerto predeterminado de Microsoft SQL es el 1433
443
Dispositivo virtual de VMware Identity Manager
REST API de Workspace ONE UEM
HTTPS
Para la comprobación de conformidad y el método de autenticación Contraseña de ACC, si se utilizan.
Puerto de acceso directo a SSL para la autenticación de certificados
Navegadores
Dispositivo virtual de VMware Identity Manager
HTTPS
Para la autenticación de certificados configurada en el conector integrado.
Puerto predeterminado: 7443
514
Dispositivo virtual de VMware Identity Manager
servidor syslog
UDP
Para el servidor syslog externo, si está configurado
Implementar el dispositivo de VMware Identity Manager
Para obtener información sobre la forma de implementar y configurar el dispositivo virtual de VMware Identity Manager, consulte Implementar VMware Identity Manager y Administrar las opciones de configuración del sistema de un dispositivo en Instalar y configurar VMware Identity Manager.
Configurar la conmutación por error y la redundancia
Para obtener información sobre la configuración de la conmutación por error y la redundancia en el dispositivo virtual de VMware Identity Manager, consulte las siguientes secciones de Instalar y configurar VMware Identity Manager:
Configurar la conmutación por error y la redundancia en un centro de datos único
Implementar VMware Identity Manager en un centro de datos secundario para la conmutación por error y la redundancia
La sección “Utilizar un equilibrador de carga o proxy inverso para habilitar el acceso externo a VMware Identity Manager” no se aplica en escenarios donde VMware Identity Manager se implementa en DMZ.