Puede implementar el dispositivo virtual de VMware Identity Manager en DMZ si no desea implementarlo en la red empresarial. Si se implementa el dispositivo de VMware Identity Manager en DMZ, también se implementa un VMware Identity Manager Connector independiente en modo de conexión de solo salida en la red empresarial.

Requisitos de configuración de la red y el sistema

Los requisitos de configuración de la red y el sistema para implementar VMware Identity Manager en DMZ son similares a los requisitos para implementar VMware Identity Manager en la red empresarial, los cuales se describen en Requisitos de configuración de la red y el sistema y Preparación para la implementación de VMware Identity Manager en Instalar y configurar VMware Identity Manager, excepto por las diferencias que se indican aquí.

  • No es necesario abrir un puerto de firewall de entrada a cualquier dispositivo en la red empresarial.

    El dispositivo virtual de VMware Identity Manager se implementa en DMZ. El VMware Identity Manager Connector se implementa en la red empresarial en modo de conexión de solo salida y se comunica con el servicio a través de un canal de comunicación basado en Websocket.

  • No es necesario implementar un proxy inverso ni un equilibrador de carga para permitir el acceso externo a VMware Identity Manager.
  • Solo se necesita un equilibrador de carga si se configuran la alta disponibilidad y la redundancia para el dispositivo virtual de VMware Identity Manager.
  • Si establece la autenticación de certificados en el conector integrado, debe habilitar el acceso directo a SSL en el equilibrador de carga para el puerto configurado como el puerto de acceso directo a SSL para la autenticación de certificados. El puerto predeterminado es 7443.
  • Se utilizan los siguientes puertos. Es posible que la implementación requiera solo un subconjunto de estos.
    Puerto Origen destino Descripción
    443 Equilibrador de carga

    Dispositivo virtual de VMware Identity Manager

    HTTPS
    443 Dispositivo virtual de VMware Identity Manager Equilibrador de carga HTTPS

    Necesario para validar el FQDN del equilibrador de carga cuando se establece

    443 Conector Host del servicio de VMware Identity Manager HTTPS
    443 Conector Equilibrador de carga de servicio de VMware Identity Manager HTTPS
    443 Navegadores

    Dispositivo virtual de VMware Identity Manager

    HTTPS
    88 Navegadores

    Dispositivo virtual de VMware Identity Manager

    TCP/UDP

    Solo SSO para iOS

    5262 Navegadores Dispositivo virtual de VMware Identity Manager TCP/UDP

    Solo SSO para Android

    88 Dispositivo virtual de VMware Identity Manager Servidor KDC híbrido en la nube. El nombre de host es kdc.<realm>. Por ejemplo, kdc.op.vmwareidentity.com.

    Puerto UDP utilizado para autenticar las actualizaciones de configuración del adaptador de autenticación de SSO móvil para iOS que se guardan en el servicio KDC en la nube. Dicho puerto se utiliza únicamente si se utiliza la función de SSO móvil para iOS del KDC híbrido.

    443, 80

    Dispositivo virtual de VMware Identity Manager

    vapp-updates.vmware.com Acceso al servidor de actualización de VMware
    443 Dispositivo virtual de VMware Identity Manager catalog.vmwareidentity.com Acceso al catálogo de nube
    443 Dispositivo virtual de VMware Identity Manager discovery.awmdm.com Acceso para la detección automática de aplicaciones de Workspace ONE
    8443 Navegadores

    Dispositivo virtual de VMware Identity Manager

    Puerto de administrador

    HTTPS

    25

    Dispositivo virtual de VMware Identity Manager

    servidor SMTP Puerto TCP para redireccionamiento de correo saliente
    53

    Dispositivo virtual de VMware Identity Manager

    Servidor DNS TCP/UDP

    Todos los dispositivos virtuales deben tener acceso al servidor DNS en el puerto 53 y permitir el tráfico SSH entrante en el puerto 22.

    443, 8443 Dispositivo virtual de VMware Identity Manager Dispositivo virtual de VMware Identity Manager HTTPS/HTTP

    Para todas las instancias de VMware Identity Manager de un clúster y de todos los clústeres de otros centros de datos

    9300 (TCP)

    54328 (UDP)

    Dispositivo virtual de VMware Identity Manager

    Dispositivo virtual de VMware Identity Manager

    Necesidades de auditoría

    5701 (TCP)

    Dispositivo virtual de VMware Identity Manager

    Dispositivo virtual de VMware Identity Manager

    Memoria caché de Hazelcast
    40002 (TCP)

    40003 (TCP)

    Dispositivo virtual de VMware Identity Manager

    Dispositivo virtual de VMware Identity Manager

    Ehcache

    1433

    Dispositivo virtual de VMware Identity Manager

    Base de datos

    El puerto predeterminado de Microsoft SQL es el 1433

    443

    Dispositivo virtual de VMware Identity Manager

    REST API de Workspace ONE UEM HTTPS

    Para la comprobación de conformidad y el método de autenticación Contraseña de ACC, si se utilizan.

    Puerto de acceso directo a SSL para la autenticación de certificados Navegadores Dispositivo virtual de VMware Identity Manager HTTPS

    Para la autenticación de certificados configurada en el conector integrado.

    Puerto predeterminado: 7443

    514 Dispositivo virtual de VMware Identity Manager servidor syslog UDP

    Para el servidor syslog externo, si está configurado

Implementar el dispositivo de VMware Identity Manager

Para obtener información sobre la forma de implementar y configurar el dispositivo virtual de VMware Identity Manager, consulte Implementar VMware Identity Manager y Administrar las opciones de configuración del sistema de un dispositivo en Instalar y configurar VMware Identity Manager.

Configurar la conmutación por error y la redundancia

Para obtener información sobre la configuración de la conmutación por error y la redundancia en el dispositivo virtual de VMware Identity Manager, consulte las siguientes secciones de Instalar y configurar VMware Identity Manager:

  • Configurar la conmutación por error y la redundancia en un centro de datos único
  • Implementar VMware Identity Manager en un centro de datos secundario para la conmutación por error y la redundancia
Nota: La sección “Utilizar un equilibrador de carga o proxy inverso para habilitar el acceso externo a VMware Identity Manager” no se aplica en escenarios donde VMware Identity Manager se implementa en DMZ.