Diversi concetti sono di fondamentale importanza per comprendere il modo in cui il servizio VMware Identity Manager si integra con il proprio ambiente di directory Active Directory o LDAP.
VMware Identity Manager Connector
Il VMware Identity Manager Connector, un componente del servizio, esegue le funzioni indicate di seguito.
Sincronizza i dati di utenti e gruppi dalla directory di Active Directory o LDAP con il servizio VMware Identity Manager.
Quando viene utilizzato come provider di identità, esegue l'autenticazione degli utenti nel servizio VMware Identity Manager.
Il connettore è il provider di identità predefinito. È anche possibile utilizzare provider di identità di terze parti che supportano il protocollo SAML 2.0. Utilizzare un provider di identità di terze parti per un tipo di autenticazione non supportato dal connettore o se il provider di identità di terze parti è preferibile in base ai propri criteri di sicurezza aziendale.
Nota:Se si utilizzano provider di identità di terze parti, è possibile configurare il connettore per la sincronizzazione dei dati di utenti e gruppi o per configurare il provisioning Just-in-Time degli utenti. Fare riferimento alla sezione Provisioning utente Just-in-Time in Amministrazione di VMware Identity Manager per maggiori informazioni.
Directory
Il servizio VMware Identity Manager ha il proprio concetto di directory, corrispondente alla directory di Active Directory o LDAP nel proprio ambiente. Questa directory utilizza gli attributi per definire utenti e gruppi. Creare una o più directory nel servizio, quindi sincronizzarle con la propria directory di Active Directory o LDAP. È possibile creare nel servizio i tipi di directory indicati di seguito.
Active Directory
Active Directory su LDAP. Creare questo tipo di directory se si desidera connettersi a un singolo ambiente di dominio Active Directory. Per il tipo di directory Active Directory su LDAP, il connettore esegue il binding ad Active Directory utilizzando l'autenticazione di binding semplice.
Active Directory, Autenticazione integrata di Windows. Creare questo tipo di directory se si desidera connettersi a un ambiente Active Directory con più domini o foreste. Il connettore esegue il binding ad Active Directory utilizzando Autenticazione integrata di Windows.
Il tipo e il numero di directory create variano in base all'ambiente Active Directory, ad esempio dominio singolo o più domini, e al tipo di attendibilità utilizzata tra i domini. Nella maggior parte degli ambienti viene creata una directory.
Directory LDAP
Il servizio non ha accesso diretto alla propria directory di Active Directory o LDAP. Soltanto connettore ha accesso diretto. Pertanto, ogni directory creata nel servizio viene associata ad un'istanza del connettore.
Worker
Quando si associa una directory ad un'istanza del connettore, il connettore crea una partizione per la directory associata denominata Worker. A un'istanza del connettore possono essere associati più Worker. Ciascun Worker agisce come provider di identità. Per ogni Worker è necessario definire e configurare i metodi di autenticazione.
Il connettore sincronizza i dati di utenti e gruppi tra la directory di Active Directory o LDAP e il servizio tramite uno o più Worker.
In un'istanza del connettore non possono essere presenti due Worker del tipo Autenticazione integrata di Windows di Active Directory.
Considerazioni relative alla sicurezza
Per le directory aziendali integrate con il servizio VMware Identity Manager, le impostazioni di sicurezza, come le regole di complessità della password dell'utente e i criteri di blocco dell'account, devono essere specificate direttamente nella directory aziendale. VMware Identity Manager non ignora queste impostazioni.