Diversi concetti sono di fondamentale importanza per comprendere il modo in cui il servizio VMware Identity Manager si integra con il proprio ambiente di directory Active Directory o LDAP.

Connettore

Il connettore, un componente del servizio, esegue le funzioni indicate di seguito.

  • Esso sincronizza i dati di utenti e gruppi dalla directory Active Directory o LDAP al servizio.

  • Quando viene utilizzato come provider di identità, autentica gli utenti nel servizio.

    Il connettore è il provider di identità predefinito. È anche possibile utilizzare provider di identità di terze parti che supportano il protocollo SAML 2.0. Utilizzare un provider di identità di terze parti per un tipo di autenticazione non supportato dal connettore o se il provider di identità di terze parti è preferibile in base ai propri criteri di sicurezza aziendale.

    Nota:

    Se si utilizzano provider di identità di terze parti, è possibile configurare il connettore per la sincronizzazione dei dati di utenti e gruppi o per configurare il provisioning Just-in-Time degli utenti. Fare riferimento alla sezione Provisioning utente Just-in-Time in Amministrazione di VMware Identity Manager per maggiori informazioni.

Directory

Il servizio VMware Identity Manager ha il proprio concetto di directory, corrispondente alla directory di Active Directory o LDAP nel proprio ambiente. Questa directory utilizza gli attributi per definire utenti e gruppi. Creare una o più directory nel servizio, quindi sincronizzarle con la propria directory di Active Directory o LDAP. È possibile creare nel servizio i tipi di directory indicati di seguito.

  • Active Directory

    • Active Directory su LDAP. Creare questo tipo di directory se si desidera connettersi a un singolo ambiente di dominio Active Directory. Per il tipo di directory Active Directory su LDAP, il connettore esegue il binding ad Active Directory utilizzando l'autenticazione di binding semplice.

    • Active Directory, Autenticazione integrata di Windows. Creare questo tipo di directory se si desidera connettersi a un ambiente Active Directory con più domini o foreste. Il connettore esegue il binding ad Active Directory utilizzando Autenticazione integrata di Windows.

    Il tipo e il numero di directory create variano in base all'ambiente Active Directory, ad esempio dominio singolo o più domini, e al tipo di attendibilità utilizzata tra i domini. Nella maggior parte degli ambienti viene creata una directory.

  • Directory LDAP

Il servizio non ha accesso diretto alla propria directory di Active Directory o LDAP. Soltanto connettore ha accesso diretto. Pertanto, ogni directory creata nel servizio viene associata ad un'istanza del connettore.

Worker

Quando si associa una directory ad un'istanza del connettore, il connettore crea una partizione per la directory associata denominata Worker. A un'istanza del connettore possono essere associati più Worker. Ciascun Worker agisce come provider di identità. Per ogni Worker è necessario definire e configurare i metodi di autenticazione.

Il connettore sincronizza i dati di utenti e gruppi tra la directory di Active Directory o LDAP e il servizio tramite uno o più Worker.

Importante:

In un'istanza del connettore non possono essere presenti due Worker del tipo Autenticazione integrata di Windows di Active Directory.

Considerazioni relative alla sicurezza

Per le directory aziendali integrate con il servizio VMware Identity Manager, le impostazioni di sicurezza, come le regole di complessità della password dell'utente e i criteri di blocco dell'account, devono essere specificate direttamente nella directory aziendale. VMware Identity Manager non ignora queste impostazioni.