Vous pouvez ajouter à votre déploiement de connecteurs en mode de connexion sortant l'authentification Kerberos pour les utilisateurs internes (ce qui nécessite le mode de connexion entrant). Les mêmes connecteurs peuvent être configurés pour utiliser l'authentification Kerberos pour les utilisateurs provenant du réseau interne et une autre méthode d'authentification pour les utilisateurs provenant du réseau externe. Cela peut être obtenu en définissant des stratégies d’authentification basées sur plages réseau.

Le diagramme suivant illustre l'authentification Kerberos dans un déploiement VMware Identity Manager sur site.

Chiffre 1. Authentification Kerberos


Diagramme de l'authentification Kerberos


Les exigences et les éléments à prendre en compte pour l'authentification Kerberos sont notamment les suivants :

  • L'authentification Kerberos peut être configurée quel que soit le type d'annuaire que vous définissez dans VMware Identity Manager, Active Directory sur LDAP ou Active Directory via l’authentification Windows intégrée.

  • La machine Windows sur laquelle est installé le connecteur VMware Identity Manager doit être jointe au domaine Active Directory.

  • Vous devez avoir installé le Connecteur VMware Identity Manager en tant qu’utilisateur de domaine faisant partie du groupe d’administrateurs sur la machine Windows sur laquelle le connecteur est installé, et vous devez exécuter le service VMware IDM Connector en tant qu’utilisateur de domaine Windows.

  • Veillez à sélectionner un nom d'hôte approprié et convivial pour le connecteur. Le nom d'hôte du connecteur VMware Identity Manager est visible aux utilisateurs finaux lorsque l'authentification Kerberos est configurée.

  • Chaque connecteur sur lequel l'authentification Kerberos est configurée doit disposer d'un certificat SSL approuvé. Vous pouvez obtenir le certificat auprès de votre autorité de certification interne. L'authentification Kerberos ne fonctionne pas avec les certificats auto-signés.

    Des certificats SSL approuvés sont requis, que vous activiez Kerberos sur un connecteur unique ou sur plusieurs connecteurs pour la haute disponibilité.

  • Pour configurer la haute disponibilité pour l'authentification Kerberos, un équilibrage de charge est requis.