Plusieurs concepts liés à Active Directory sont indispensables à la compréhension du mode d'intégration de la fonctionnalité Directories Management à vos environnements Active Directory.

Connector

Le connector, composant du service, exécute les fonctions suivantes.

  • Synchronise les données des utilisateurs et des groupes de votre annuaire Active Directory ou LDAP avec le service.

  • Lorsqu'il est utilisé comme fournisseur d'identité, il authentifie les utilisateurs sur le service.

    Le connector est le fournisseur d'identité par défaut. Pour les méthodes d'authentification que le connector prend en charge, consultez le guide Administration de VMware Identity Manager. Vous pouvez également utiliser les fournisseurs d'identité tiers prenant en charge le protocole SAML 2.0. Utilisez un fournisseur d'identité tiers pour un type d'authentification non pris en charge par le connector ou pour un type d'authentification pris en charge par le connector, si le fournisseur d'identité tiers est préférable en fonction de la stratégie de sécurité de votre entreprise.

    Remarque :

    Si vous utilisez des fournisseurs d'identité tiers, vous pouvez configurer l'instance de connector afin de synchroniser l'utilisateur et les données de groupe, ou configurer le provisionnement juste-à-temps de l'utilisateur. Consultez la section Provisionnement utilisateur juste-à-temps dans Administration de VMware Identity Manager pour plus d'informations.

    Remarque :

    Même si vous utilisez des fournisseurs d'identité tiers, vous devez configurer le connector pour synchroniser les données des utilisateurs et des groupes.

Annuaire

Le service Directories Management dispose de son propre concept d'annuaire, qui correspond à l'annuaire Active Directory ou LDAP dans votre environnement. Cet annuaire utilise des attributs pour définir des utilisateurs et des groupes.

  • Active Directory

    • Active Directory via LDAP : Créez ce type d'annuaire si vous prévoyez de vous connecter à un seul environnement de domaine Active Directory. Pour le type d'annuaire Active Directory via LDAP, le connector se lie à Active Directory via une authentification Bind simple.

    • Active Directory, authentification Windows intégrée. Créez ce type d'annuaire si vous prévoyez de vous connecter à un environnement Active Directory à forêts et domaines multiples. Le connector se lie à Active Directory via l'authentification Windows intégrée.

    Le type et le nombre d'annuaires que vous créez varie selon votre environnement Active Directory, par exemple à domaine simple ou multiple, et le type d'approbation utilisé entre les domaines. Dans la plupart des environnements, vous devez créer un seul annuaire.

  • Annuaire LDAP

Le service n'a pas un accès direct à votre annuaire Active Directory ou LDAP. Seul le connector a un accès direct. Par conséquent, vous devez associer chaque annuaire créé dans le service à une connector instance.

Travailleur

Lorsque vous associez un annuaire à une instance de connector, le connector crée une partition pour l'annuaire associé, appelée travailleur. Une instance de connector peut être associée à plusieurs travailleurs. Chaque travailleur fait office de fournisseur d'identité. Vous devez définir et configurer les méthodes d'authentification pour chaque travailleur.

Le connector synchronise les données des utilisateurs et des groupes entre votre annuaire Active Directory ou LDAP et le service au moyen d'un ou de plusieurs travailleurs.

Important :

La même instance de connector ne peut pas comporter deux travailleurs d'Active Directory de type Authentification Windows intégrée.