Pour déployer le Connecteur VMware Identity Manager, assurez-vous que votre système dispose de la configuration matérielle et logicielle requise.
Configuration matérielle requise
Assurez-vous que le serveur Windows répond à la configuration matérielle requise suivante.
Nombre d'utilisateurs |
Jusqu’à 1 000 |
De 1 000 à 10 000 |
De 10 000 à 25 000 |
De 25 000 à 50 000 |
De 50 000 à 100 000 |
|---|---|---|---|---|---|
CPU |
2 |
2 serveurs à équilibrage de charge, chacun avec 4 CPU |
2 serveurs à équilibrage de charge, chacun avec 4 CPU |
2 serveurs à équilibrage de charge, chacun avec 4 CPU |
2 serveurs à équilibrage de charge, chacun avec 4 CPU |
RAM (Go) par serveur |
6 |
6 chacun |
8 chacun |
16 chacun |
16 chacun |
Espace disque (Go) |
50 |
50 chacun |
50 chacun |
50 chacun |
50 chacun |
Les cœurs de CPU doivent être chacun de 2,0 GHz ou plus. Un processeur Intel est requis.
L’espace disque inclut obligatoirement : espace disque de 1 Go pour l’application Connecteur VMware Identity Manager, système d’exploitation Windows et runtime .NET. L’espace disque supplémentaire est alloué pour la journalisation.
Configuration logicielle requise
Assurez-vous que le serveur Windows répond à la configuration logicielle requise suivante.
Liste de contrôle des états |
Condition |
Notes |
|---|---|---|
Windows Server 2008 R2 ou Windows Server 2012 ou Windows Server 2012 R2 ou Windows Server 2016 |
||
Installer les PowerShell sur le serveur |
Note:
PowerShell version 4.0 est requis si vous effectuez l’installation sur Windows Server 2008 R2. |
|
Installez .NET Framework 4.6.2 |
Conditions requises pour le réseau
Pour configurer les ports répertoriés ci-dessous, l'ensemble du trafic est unidirectionnel (sortant) allant du composant source vers le composant de destination.
Un proxy sortant ou tout autre logiciel ou matériel de gestion de connexion ne doit pas se terminer ni rejeter la connexion sortante à partir du Connecteur VMware Identity Manager. La connexion sortante requise pour une utilisation par Connecteur VMware Identity Manager doit rester ouverte à tout moment.
Source |
Destination |
Port |
Protocole |
Notes |
|---|---|---|---|---|
Connecteur VMware Identity Manager |
Service VMware Identity Manager Hôte du service VMware Identity Manager (installations sur site) |
443 |
HTTPS |
Port par défaut Obligatoire |
Connecteur VMware Identity Manager |
Équilibrage de charge du service VMware Identity Manager (installations sur site) |
443 |
HTTPS |
|
Navigateurs |
Connecteur VMware Identity Manager |
8443 |
HTTPS |
Port d’administration Obligatoire |
Navigateurs |
Connecteur VMware Identity Manager |
80 |
HTTP |
Obligatoire |
Navigateurs |
Connecteur VMware Identity Manager |
443 |
HTTPS |
Ce port n'est requis que pour un connecteur utilisé en mode entrant. Si l'authentification Kerberos est configurée sur le connecteur, ce port est requis. |
Connecteur VMware Identity Manager |
Active Directory |
389, 636, 3268, 3269 |
Ports par défaut. Ces ports sont configurables. |
|
Connecteur VMware Identity Manager |
Serveur DNS |
53 |
TCP/UDP |
Chaque instance doit avoir accès au serveur DNS sur le port 53 et autoriser le trafic SSH entrant sur le port 22. |
Connecteur VMware Identity Manager |
Contrôleur de domaine |
88, 464, 135, 445 |
TCP/UDP |
Pour l'authentification Kerberos |
Connecteur VMware Identity Manager |
Système RSA SecurID |
5500 |
Port par défaut. Ce port est configurable. |
|
Connecteur VMware Identity Manager |
Serveur de connexion Horizon |
389, 443 |
Accès à des instances du serveur de connexion Horizon pour des intégrations d’Horizon |
|
Connecteur VMware Identity Manager |
Integration Broker |
80, 443 |
Accès à l’Integration Broker pour l’intégration à des ressources publiées Citrix.
Important:
Si vous installez Integration Broker sur le même serveur Windows que le connecteur VMware Identity Manager, vous devez vous assurer que dans les liaisons de site de Site Web par défaut du serveur IIS, les ports de liaison HTTP et HTTPS ne sont pas en conflit avec les ports utilisés par le Connecteur VMware Identity Manager. Le Connecteur VMware Identity Manager utilise les ports 80, 443 et 8443. L'installation d'Integration Broker sur le serveur du connecteur VMware Identity Manager n'est pas recommandée. |
|
Connecteur VMware Identity Manager |
serveur syslog |
514 |
UDP |
Serveur Syslog externe, si configuré |
Adresses IP hébergées sur VMware Identity Manager Cloud
(Déploiements de cloud) Consultez l’article 2149884 de la base de connaissances pour obtenir la liste des adresses IP du service VMware Identity Manager auxquelles Connecteur VMware Identity Manager doit avoir accès.
Conditions requises pour les enregistrements DNS et les adresses IP
Le connecteur doit disposer d'une entrée DNS et d'une adresse IP statique. Avant de commencer votre installation, obtenez l’enregistrement DNS et les adresses IP pour utiliser et configurer les paramètres réseau du serveur Windows.
Veillez à sélectionner un nom d'hôte approprié et convivial pour le connecteur si vous prévoyez de configurer l'authentification Kerberos. Le nom d'hôte du connecteur VMware Identity Manager est visible aux utilisateurs finaux lorsque Kerberos est configuré.
La configuration de la recherche inversée est facultative. Lorsque vous réalisez la recherche inversée, vous devez définir un enregistrement PTR sur le serveur DNS afin que le connecteur utilise la configuration réseau adéquate.
Vous pouvez utiliser la liste suivante d’exemples d’enregistrements DNS. Remplacez les informations de l'exemple par les informations de votre environnement. Cet exemple montre des enregistrements DNS et des adresses IP qui utilisent la résolution.
Nom de domaine |
Type de ressource |
Adresse IP |
|---|---|---|
myConnector.Company.com |
Aoû |
10.28.128.3 |
Cet exemple montre des enregistrements DNS et des adresses IP qui utilisent la résolution inverse
Adresse IP |
Type de ressource |
Nom d'hôte |
|---|---|---|
10.28.128.3 |
PTR |
myconnector.company.com |
Après avoir terminé la configuration DNS, vérifiez que la résolution DNS inverse est configurée correctement. Par exemple, la commande host IPaddress doit être résolue en recherche de nom DNS.
Si vous disposez d'un équilibrage de charge avec une adresse IP virtuelle (VIP) devant les serveurs DNS, notez que VMware Identity Manager ne prend pas en charge l'utilisation d'une VIP. Vous pouvez spécifier plusieurs serveurs DNS séparés par une virgule.
Si vous utilisez un serveur DNS fonctionnant sur Unix ou sur Linux et que vous prévoyez de joindre le connecteur au domaine Active Directory, assurez-vous que les enregistrements de la ressource de service (SRV) appropriée sont créés pour chaque contrôleur de domaine Active Directory.
Synchronisation de l'heure
La configuration de la synchronisation de l'heure sur toutes les instances de service VMware Identity Manager et de Connector est requise pour qu'un déploiement de VMware Identity Manager fonctionne correctement.
Pour plus d'informations sur la configuration de la synchronisation de l'heure de VMware Identity Manager Connector, consultez la section Configuration de la synchronisation de l'heure VMware Identity Manager Connector (Windows).
Pour plus d'informations sur la configuration de la synchronisation de l'heure pour le service VMware Identity Manager, consultez les sections Installation et configuration de VMware Identity Manager pour Linux et Installation et configuration de VMware Identity Manager pour Windows.
Versions d'Active Directory prises en charge
Un environnement Active Directory composé d’un seul domaine Active Directory, de plusieurs domaines dans une seule forêt Active Directory ou de plusieurs domaines dans plusieurs forêts Active Directory est pris en charge.
VMware Identity Manager prend en charge Active Directory sous Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2 et Windows Server 2016, avec un niveau fonctionnel Domaine et un niveau fonctionnel Forêt de Windows 2003 et versions ultérieures.
Un niveau fonctionnel plus élevé peut être nécessaire pour certaines fonctionnalités. Par exemple, pour permettre aux utilisateurs de modifier des mots de passe Active Directory à partir de Workspace ONE, le niveau fonctionnel de domaine doit être Windows 2008 ou version ultérieure.
