Plusieurs concepts sont essentiels pour comprendre comment le service VMware Identity Manager s'intègre à votre environnement d'annuaire Active Directory ou LDAP.

Connector

Le connecteur, composant du service, exécute les fonctions suivantes.

  • Synchronise les données des utilisateurs et des groupes de votre annuaire Active Directory ou LDAP avec le service.
  • Lorsqu'il est utilisé comme fournisseur d'identité, il authentifie les utilisateurs sur le service.

    Le connecteur est le fournisseur d'identité par défaut. Vous pouvez également utiliser les fournisseurs d'identité tiers prenant en charge le protocole SAML 2.0. Utilisez un fournisseur d'identité tiers pour un type d'authentification non pris en charge par le connecteur ou si le fournisseur d'identité tiers est préférable en fonction de la stratégie de sécurité de votre entreprise.

    Note : Si vous utilisez des fournisseurs d'identité tiers, vous pouvez configurer le connecteur pour synchroniser des données utilisateur et groupe ou configurer le provisionnement utilisateur juste-à-temps. Consultez la section Provisionnement utilisateur juste-à-temps dans Administration de VMware Identity Manager pour plus d'informations.

Annuaire

Le service VMware Identity Manager dispose de son propre concept d'annuaire, qui correspond à l'annuaire Active Directory ou LDAP dans votre environnement. Cet annuaire utilise des attributs pour définir des utilisateurs et des groupes. Vous devez créer un ou plusieurs annuaires dans le service, puis les synchroniser avec votre annuaire Active Directory ou LDAP. Vous pouvez créer les types d'annuaires suivants dans le service.

  • Active Directory
    • Active Directory via LDAP : Créez ce type d'annuaire si vous prévoyez de vous connecter à un seul environnement de domaine Active Directory. Pour le type d'annuaire Active Directory via LDAP, le connecteur se lie à Active Directory via une authentification Bind simple.
    • Active Directory, authentification Windows intégrée. Créez ce type d'annuaire si vous prévoyez de vous connecter à un environnement Active Directory à forêts et domaines multiples. Le connecteur se lie à Active Directory via l'authentification Windows intégrée.

    Le type et le nombre d'annuaires que vous créez varie selon votre environnement Active Directory, par exemple à domaine simple ou multiple, et le type d'approbation utilisé entre les domaines. Dans la plupart des environnements, vous devez créer un seul annuaire.

  • Annuaire LDAP

Le service n'a pas un accès direct à votre annuaire Active Directory ou LDAP. Seul le connecteur a un accès direct. Par conséquent, vous devez associer chaque annuaire créé dans le service à une connecteur instance.

Travailleur

Lorsque vous associez un annuaire à une instance de connecteur, le connecteur crée une partition pour l'annuaire associé, appelée travailleur. Une instance de connecteur peut être associée à plusieurs travailleurs. Chaque travailleur fait office de fournisseur d'identité. Vous devez définir et configurer les méthodes d'authentification pour chaque travailleur.

Le connecteur synchronise les données des utilisateurs et des groupes entre votre annuaire Active Directory ou LDAP et le service au moyen d'un ou de plusieurs travailleurs.

Important : La même instance de connecteur ne peut pas comporter deux travailleurs d'Active Directory de type Authentification Windows intégrée.

Considérations de sécurité

Pour les répertoires d'entreprise intégrés au service VMware Identity Manager, des paramètres de sécurité, tels que les règles de complexité des mots de passe utilisateur et des stratégies de verrouillage de compte, doivent être définis directement dans le répertoire d'entreprise. VMware Identity Manager ne remplace pas ces paramètres.