Dans ce modèle, vous installez VMware Identity Manager dans la zone DMZ. Vous installez également un dispositif virtuel du VMware Identity Manager Connector autonome en mode de connexion sortie seule dans le réseau de l’entreprise. Ce modèle n'inclut pas les composants de Workspace ONE UEM.

La synchronisation d'utilisateur et de groupe à partir de votre répertoire d'entreprise et l'authentification utilisateur sont gérées par le VMware Identity Manager Connector autonome. Le connecteur peut également synchroniser des ressources, telles que des postes de travail et des applications Horizon 7, avec le service VMware Identity Manager.

Note : Notez que certaines méthodes d'authentification ne requièrent pas le connecteur et qu'elles sont gérées directement par le service.
Important : Utilisez le connecteur autonome au lieu du connecteur qui est intégré au dispositif VMware Identity Manager afin de synchroniser les utilisateurs et les groupes ainsi que pour l’authentification utilisateur.
Figure 1. Utilisation de VMware Identity Manager Connector en mode sortant

VMware Identity Manager Connector

Note : Si vous prévoyez de configurer SSO Android, activez le relais SSL sur le port 5262 au niveau de l'équilibrage de charge devant VMware Identity Manager.
Note : Si vous prévoyez de configurer l'authentification par certificat sur le connecteur intégré, activez le relais SSL sur l'équilibrage de charge pour le port configuré en tant que port relais SSL d'authentification par certificat. Le port par défaut est 7443.

Exigences du port

Les ports suivants doivent être ouverts au niveau de l'équilibrage de charge ou du pare-feu pour le serveur VMware Identity Manager :
  • Entrant 443 (HTTPS)
  • Entrant 88 (TCP/UDP) : SSO iOS uniquement
  • Entrant 5262 (HTTPS) : SSO Android uniquement
  • Entrant CertAuthSSLPassthroughPort (HTTPS) : authentification par certificat configurée sur le connecteur intégré uniquement Le port par défaut est 7443.

Le VMware Identity Manager Connector est installé en mode de connexion sortie seule et ne nécessite pas l'ouverture du port d'entrée 443. Le connecteur communique avec le service VMware Identity Manager via un canal de communication Websocket.

Pour connaître la liste de ports utilisés, consultez Déploiement de VMware Identity Manager dans la zone DMZ et Déploiement du VMware Identity Manager Connector dans le réseau d’entreprise.

Méthodes d'authentification prises en charge

Ce modèle de déploiement prend en charge toutes les méthodes d'authentification. Certaines de ces méthodes d'authentification ne requièrent pas le connecteur et sont gérées directement par le service via le fournisseur d'identité intégré.

  • Mot de passe : utilise le connecteur
  • RSA Adaptive Authentication : utilise le connecteur
  • RSA SecurID : utilise le connecteur
  • RADIUS : utilise le connecteur
  • Certificat : utilise le connecteur intégré
  • VMware Verify : via le fournisseur d'identité intégré
  • Mobile SSO (iOS) : via le fournisseur d'identité intégré
  • Mobile SSO (Android) : via le fournisseur d'identité intégré
  • SAML d'entrée : via un fournisseur d'identité tiers
Note : Pour plus d'informations sur l'utilisation de Kerberos, consultez Ajout d'une méthode d'authentification Kerberos à votre déploiement.

Intégrations de répertoire prises en charge

Vous pouvez intégrer les types d'annuaires d'entreprise suivants avec le service VMware Identity Manager dans ce modèle de déploiement :

  • Active Directory via LDAP
  • Active Directory, authentification Windows intégrée
  • Annuaire LDAP

    Si vous prévoyez d'intégrer un annuaire LDAP, reportez-vous aux restrictions dans « Intégration à des annuaires LDAP » dans Intégration d'annuaire avec VMware Identity Manager.

Sinon, vous pouvez utiliser les méthodes suivantes afin de créer des utilisateurs dans le service VMware Identity Manager :

  • Créez des utilisateurs locaux directement dans le service VMware Identity Manager.
  • Utilisez le provisionnement Juste-à-temps pour créer des utilisateurs dans le service VMware Identity Manager dynamiquement au moment de la connexion, à l'aide d'assertions SAML envoyées par un fournisseur d'identité tiers.

Ressources prises en charge

Vous pouvez intégrer les types de ressources suivants avec le service VMware Identity Manager dans ce modèle de déploiement :

  • Applications Web
  • Pools de postes de travail et d'applications Horizon 7, Horizon 6 ou View
  • Applications et postes de travail Horizon Cloud
  • Ressources publiées Citrix
  • Applications de module ThinApp

Informations supplémentaires