En este modelo, debe instalar el dispositivo virtual de VMware Identity Manager en DMZ. También debe instalar un dispositivo virtual de VMware Identity Manager Connector independiente en modo de conexión de solo salida en la red empresarial. Este modelo no incluye ninguno de los componentes de Workspace ONE UEM.

La sincronización de usuarios y grupos en el directorio empresarial, así como la autenticación de usuarios, se realizan mediante el independiente VMware Identity Manager Connector. El conector también puede sincronizar recursos, como las aplicaciones o escritorios de Horizon 7, con el servicio de VMware Identity Manager.

Nota: Algunos métodos de autenticación no necesitan el conector y el servicio los administra directamente.
Importante: Utilice el conector independiente en lugar del conector integrado con el dispositivo de VMware Identity Manager para sincronizar los usuarios y los grupos, y para la autenticación de usuarios.
Figura 1. Utilizar el VMware Identity Manager Connector en modo de salida

VMware Identity Manager Connector

Nota: Si va a configurar SSO para Android, habilite el acceso directo a SSL en el puerto 5262 en el equilibrador de carga frente a VMware Identity Manager.
Nota: Si va a configurar la autenticación de certificados en el conector integrado, habilite el acceso directo a SSL en el equilibrador de carga para el puerto configurado como el puerto de acceso directo a SSL de autenticación de certificados. El puerto predeterminado es 7443.

Requisitos de puertos

Es necesario que los siguientes puertos estén abiertos en el equilibrador de carga o el firewall para el servidor de VMware Identity Manager:
  • 443 de entrada (HTTPS)
  • 88 de entrada (TCP/UDP): solo SSO para iOS
  • 5262 de entrada (HTTPS): solo SSO para Android
  • CertAuthSSLPassthroughPort de entrada (HTTPS): autenticación de certificados configurada solo en el conector integrado. El puerto predeterminado es 7443.

El VMware Identity Manager Connector se instala en modo de conexión de solo salida y no necesita que el puerto de entrada 443 esté abierto. El conector se comunica con el servicio de VMware Identity Manager a través de un canal de comunicación basado en Websocket.

Para obtener la lista completa de puertos usados, consulte Implementar VMware Identity Manager en DMZ y Implementar el VMware Identity Manager Connector en la red empresarial.

Métodos de autenticación compatibles

Este modelo de implementación admite todos los métodos de autenticación. Algunos de estos métodos de autenticación no necesitan el conector y el servicio los administra directamente a través del proveedor de identidades integrado.

  • Contraseña: usa el conector
  • Autenticación adaptativa de RSA: usa el conector
  • RSA SecurID: usa el conector
  • RADIUS: usa el conector
  • Certificado: utiliza el conector integrado
  • VMware Verify: a través del proveedor de identidades integrado
  • SSO móvil (iOS): a través del proveedor de identidades integrado
  • SSO móvil (Android): a través del proveedor de identidades integrado
  • SAML entrante: a través de un proveedor de identidades de terceros
Nota: Para obtener información sobre cómo usar Kerberos, consulte Agregar compatibilidad con la autenticación de Kerberos a la implementación.

Integraciones de directorios admitidas

Puede integrar los siguientes tipos de directorios empresariales con el servicio de VMware Identity Manager en este modelo de implementación:

  • Active Directory mediante LDAP
  • Active Directory, Autenticación de Windows integrada
  • Directorio LDAP

    Si planea integrar un directorio LDAP, consulte las limitaciones en “Integración con directorios LDAP” en Integración del directorio con VMware Identity Manager.

De forma alternativa, puede utilizar los siguientes métodos para crear usuarios en el servicio de VMware Identity Manager:

  • Cree usuarios locales directamente en el servicio de VMware Identity Manager.
  • Use el aprovisionamiento Just-In-Time para crear usuarios en el servicio de VMware Identity Manager de forma dinámica al iniciar sesión, usando aserciones SAML enviadas por un proveedor de identidades externo.

Recursos compatibles

Puede integrar los siguientes tipos de recursos con el servicio de VMware Identity Manager en este modelo de implementación:

  • Aplicaciones web
  • Grupos de aplicaciones y escritorios de View, Horizon 6 u Horizon 7
  • Escritorios y aplicaciones de Horizon Cloud
  • Recursos publicados de Citrix
  • Las aplicaciones que aparecen en el paquete de ThinApp

Información adicional