Vous réalisez la configuration initiale de la fonctionnalité Directories Management à l'aide des connecteurs fournis avec votre infrastructure vRealize Automation existante. Ils vous permettent de créer une connexion Active Directory pour l'authentification et la gestion reposant sur l'ID d'utilisateur et le mot de passe. Mais vous pouvez également intégrer Directories Management à d'autres solutions d'authentification, telles que Kerberos ou RSA SecurID.

L'instance du fournisseur d'identité peut être l'instance du connector Directories Management, des instances de fournisseurs d'identité tiers ou une combinaison des deux.

L'instance de fournisseur d'identité que vous utilisez avec le service Directories Management crée une autorité fédératrice intégrée au réseau qui communique avec le service à l'aide d'assertions SAML 2.0.

Lors du déploiement initial du service Directories Management, le connecteur est le fournisseur d'identité initial pour le service. Votre infrastructure Active Directory existante est utilisée pour l'authentification et la gestion des utilisateurs.

Les méthodes d'authentification suivantes sont prises en charge. Vous configurez ces méthodes d'authentification à partir de la console d'administration.

Tableau 1. Types d'authentification de l'utilisateur pris en charge par Directories Management

Types d'authentification

Description

Mot de passe (déploiement sur site)

Sans configuration supplémentaire après la configuration d'Active Directory, Directories Management prend en charge l'authentification par mot de passe d'Active Directory. Cette méthode authentifie les utilisateurs avec Active Directory.

Kerberos pour postes de travail

L'authentification Kerberos fournit aux utilisateurs de domaine un accès à authentification unique à leur portail d'applications. Les utilisateurs n'ont pas besoin de se connecter de nouveau une fois qu'ils sont connectés au réseau.

Certificat (déploiement sur site)

L'authentification par certificat peut être configurée afin de permettre aux utilisateurs de s'authentifier avec des certificats sur leur poste de travail et périphériques mobiles ou d'utiliser un adaptateur de carte à puce pour l'authentification.

L'authentification par certificat est basée sur ce que possède l'utilisateur et sur ce que la personne sait. Un certificat X.509 utilise la norme d'infrastructure de clé publique pour vérifier qu'une clé publique contenue dans le certificat appartient à l'utilisateur.

RSA SecurID (déploiement sur site)

Lorsque l'authentification RSA SecurID est configurée, Directories Management est configuré comme agent d'authentification sur le serveur RSA SecurID. L'authentification RSA SecurID nécessite l'utilisation d'un système d'authentification à jeton par les utilisateurs. RSA SecurID est une méthode d'authentification pour les utilisateurs qui accèdent à Directories Management depuis l'extérieur du réseau de l'entreprise.

RADIUS (déploiement sur site)

L'authentification RADIUS fournit des options d'authentification à deux facteurs. Vous configurez le serveur RADIUS qui est accessible par le service Directories Management. Lorsque des utilisateurs se connectent avec leur nom d'utilisateur et leur code secret, une demande d'accès est soumise au serveur RADIUS pour authentification.

RSA Adaptive Authentication (déploiement sur site)

L'authentification RSA offre une authentification multifacteur plus forte que l'authentification par nom d'utilisateur et mot de passe avec Active Directory. Lorsque RSA Adaptive Authentication est activé, les indicateurs de risque spécifiés dans la stratégie de risque sont configurés dans l'application RSA Policy Management. La configuration du service Directories Management d'Adaptive Authentication est utilisée pour déterminer les invites d'authentification requises.

Mobile SSO (pour iOS)

L'authentification Mobile SSO pour iOS est utilisée pour l'authentification Single Sign-On pour les périphériques iOS gérés par AirWatch. L'authentification Mobile SSO (pour iOS) utilise un centre de distribution de clés (KDC) qui fait partie du service Directories Management. Vous devez initier le service KDC dans le service VMware Identity Manager avant de pouvoir activer cette méthode d'authentification.

Mobile SSO (pour Android)

L'authentification Mobile SSO pour Android est utilisée pour l'authentification Single Sign-On pour les périphériques Android gérés par AirWatch. Un service proxy est configuré entre le service Directories Management et AirWatch pour récupérer le certificat auprès d'AirWatch à des fins d'authentification.

Mot de passe (AirWatch Connector)

AirWatch Cloud Connector peut être intégré au service Directories Management pour l'authentification par mot de passe utilisateur. Vous configurez le service Directories Management pour synchroniser des utilisateurs à partir de l'annuaire AirWatch.

Les utilisateurs sont authentifiés en fonction des méthodes d'authentification, des règles de stratégie d'accès par défaut, des plages réseau et de l'instance du fournisseur d'identité que vous configurez. Une fois les méthodes d'authentification configurées, vous créez des règles de stratégie d'accès qui spécifient les méthodes d'authentification à utiliser par type de périphérique.