Varios conceptos son esenciales para comprender cómo el servicio de VMware Identity Manager se integra con el entorno de Active Directory o del directorio LDAP.
VMware Identity Manager Connector
VMware Identity Manager Connector es un componente del servicio de VMware Identity Manager que se implementa localmente dentro de la red empresarial.
- Sincroniza con el servicio de VMware Identity Manager la información de los usuarios y los grupos desde Active Directory o el directorio LDAP.
- Cuando se usa como proveedor de identidades, autentica a los usuarios en el servicio de VMware Identity Manager.
El conector es el proveedor de identidades predeterminado. También puede usar proveedores de identidades de terceros que admitan el protocolo SAML 2.0. Use un proveedor de identidades de terceros para un tipo de autenticación que el conector no admita o si el proveedor de identidades de terceros es preferible en función de la política de seguridad de su empresa.
Nota: Si usa proveedores de identidades de terceros, puede configurar el conector para que sincronice los datos de usuarios y grupos o puede configurar el aprovisionamiento de usuarios Just-in-Time. Consulte la sección Aprovisionamiento de usuarios Just-in-Time del tema sobre la administración de VMware Identity Manager para obtener más información.
Directorio
El servicio de VMware Identity Manager tiene su propio concepto de directorio, correspondiente a Active Directory o al directorio LDAP que se encuentra en su entorno. Este directorio utiliza atributos para definir los usuarios y los grupos. Se crean uno o varios directorios en el servicio y después se sincronizan con Active Directory o el directorio LDAP. Puede crear los siguientes tipos de directorio en el servicio.
- Active Directory
- Active Directory a través de LDAP. Cree este tipo de directorio si va a conectarse a un solo entorno de dominio de Active Directory. Para el tipo de directorio Active Directory a través de LDAP, el conector se enlaza a Active Directory mediante la autenticación de enlace simple.
- Active Directory, Autenticación de Windows integrada. Cree este tipo de directorio si va a conectarse a un entorno de Active Directory con varios dominios o bosques. El conector se enlaza a Active Directory mediante Autenticación de Windows integrada.
El tipo y el número de directorios que cree varían según el entorno de Active Directory, es decir, con un solo dominio o con varios, y según el tipo de confianza usada entre los dominios. En la mayoría de los entornos, se crea un solo directorio.
- Directorio LDAP
Cree el directorio LDAP para integrar el directorio LDAP empresarial con VMware Identity Manager. Solo puede integrar un directorio LDAP de dominio único. VMware Identity Manager admite solo las implementaciones de OpenLDAP que son compatibles con consultas de búsqueda paginadas.
El servicio no tiene acceso directo a Active Directory o al directorio LDAP. Solo el conector tiene acceso directo. Por tanto, se asocia cada directorio creado en el servicio con una instancia del conector.
Trabajo
Cuando se asocia un directorio a una instancia del conector, el conector crea una partición para el directorio asociado que se denomina trabajo. Una instancia del conector tiene varios trabajos asociados a ella. Cada trabajo actúa como proveedor de identidades. Se definen y configuran los métodos de autenticación para cada trabajo.
El conector sincroniza los datos de usuarios y grupos entre Active Directory o el directorio LDAP y el servicio a través de uno o varios trabajos.
Consideraciones de seguridad
Para los directorios empresariales integrados en el servicio de VMware Identity Manager, las opciones de seguridad, como las reglas de complejidad de la contraseña y las directivas de bloqueo de cuenta, se deben establecer directamente en el directorio empresarial. VMware Identity Manager no reemplaza estas opciones.