Se non si desidera distribuire l'appliance virtuale di VMware Identity Manager nella rete aziendale, è possibile distribuirla in DMZ. Se si distribuisce l'appliance di VMware Identity Manager in DMZ, è necessario distribuire anche un'istanza di VMware Identity Manager Connector autonoma in modalità di connessione in sola uscita nella rete aziendale.
Requisiti di configurazione di sistema e di rete
I requisiti di configurazione di sistema e di rete per la distribuzione di VMware Identity Manager in DMZ sono simili ai requisiti per la distribuzione di VMware Identity Manager nella rete aziendale, descritti in Requisiti di configurazione di sistema e di rete e Preparazione della distribuzione di VMware Identity Manager in Installazione e configurazione di VMware Identity Manager, ad eccezione delle differenze elencate qui.
Non è necessario aprire la porta di un firewall in entrata per alcuna appliance della rete aziendale.
L'appliance virtuale di VMware Identity Manager viene distribuita in DMZ. VMware Identity Manager Connector viene distribuito nella rete aziendale in modalità di connessione in sola uscita e comunica con il servizio tramite un canale di comunicazione basato su WebSocket.
Non è necessario distribuire un proxy inverso o un bilanciamento del carico per consentire l'accesso esterno a VMware Identity Manager.
Un bilanciamento del carico è necessario solo se si configura la disponibilità elevata e la ridondanza per l'appliance virtuale di VMware Identity Manager.
Se si imposta l'autenticazione del certificato nel connettore incorporato, è necessario abilitare il pass-through SSL sul bilanciamento del carico per la porta configurata come la porta di pass-through SSL per l'autenticazione del certificato. La porta predefinita è 7443.
Vengono utilizzate le porte seguenti. La distribuzione potrebbe richiedere solo una parte di queste porte.
Porta
Origine
Destinazione
Descrizione
443
Bilanciamento del carico
Appliance virtuale di VMware Identity Manager
HTTPS
443
Appliance virtuale di VMware Identity Manager
Bilanciamento del carico
HTTPS
Necessario per convalidare il nome di dominio completo del bilanciamento del carico quando è impostato
443
connettore
Host del servizio di VMware Identity Manager
HTTPS
443
connettore
Bilanciamento del carico del servizio di VMware Identity Manager
HTTPS
443
Browser
Appliance virtuale di VMware Identity Manager
HTTPS
88
Browser
Appliance virtuale di VMware Identity Manager
TCP/UDP
Solo SSO iOS
5262
Browser
Appliance virtuale di VMware Identity Manager
TCP/UDP
Solo SSO Android
88
Appliance virtuale di VMware Identity Manager
Server KDC ibrido nel cloud. Il nome host è kdc.<realm>. Ad esempio, kdc.op.vmwareidentity.com.
Porta UDP utilizzata per autenticare iOS gli aggiornamenti della configurazione dell'adattatore di autenticazione SSO mobile iOS che vengono salvati nel servizio KDC nel cloud. Questa porta è utilizzata solo se viene utilizzata la funzionalità di SSO Mobile iOS ibrido KDC.
443, 80
Appliance virtuale di VMware Identity Manager
vapp-updates.vmware.com
Accesso al server di aggiornamento di VMware
443
Appliance virtuale di VMware Identity Manager
catalog.vmwareidentity.com
Accesso al catalogo cloud
443
Appliance virtuale di VMware Identity Manager
discovery.awmdm.com
Accesso per l'individuazione automatica dell'applicazione Workspace ONE
8443
Browser
Appliance virtuale di VMware Identity Manager
Porta amministratore
HTTPS
25
Appliance virtuale di VMware Identity Manager
server SMTP
Porta TCP per la posta in uscita del relè
53
Appliance virtuale di VMware Identity Manager
Server DNS
TCP/UDP
Ogni appliance virtuale deve poter accedere al server DNS sulla porta 53 e consentire il traffico SSH in ingresso sulla porta 22.
443, 8443
Appliance virtuale di VMware Identity Manager
Appliance virtuale di VMware Identity Manager
HTTPS/HTTP
Per tutte le istanze di VMware Identity Manager in un cluster e nei cluster in diversi data center
9300 (TCP)
54328 (UDP)
Appliance virtuale di VMware Identity Manager
Appliance virtuale di VMware Identity Manager
Necessità di controllo
5701 (TCP)
Appliance virtuale di VMware Identity Manager
Appliance virtuale di VMware Identity Manager
Cache Hazelcast
40002 (TCP)
40003 (TCP)
Appliance virtuale di VMware Identity Manager
Appliance virtuale di VMware Identity Manager
Ehcache
1433
Appliance virtuale di VMware Identity Manager
Database
La porta predefinita di Microsoft SQL è la 1433
443
Appliance virtuale di VMware Identity Manager
REST API di Workspace ONE UEM
HTTPS
Per il controllo della conformità del dispositivo e per il metodo di autenticazione Password ACC, se viene utilizzato.
Porta di pass-through SSL per l'autenticazione del certificato.
Browser
Appliance virtuale di VMware Identity Manager
HTTPS
Per l'autenticazione del certificato configurata nel connettore incorporato.
Porta predefinita: 7443
514
Appliance virtuale di VMware Identity Manager
server syslog
UDP
Per server syslog esterno, se configurato
Distribuzione dell'appliance di VMware Identity Manager
Per informazioni sulla distribuzione e la configurazione dell'appliance virtuale di VMware Identity Manager, vedere Distribuzione di VMware Identity Manager e Gestione delle impostazioni di configurazione di sistema dell'appliance in Installazione e configurazione di VMware Identity Manager.
Configurazione di failover e ridondanza
Per informazioni sulla configurazione del failover e della ridondanza per l'appliance virtuale di VMware Identity Manager, vedere le sezioni seguenti in Installazione e configurazione di VMware Identity Manager:
Configurazione del failover e della ridondanza in un data center singolo
Distribuzione di VMware Identity Manager in un data center secondario per il failover e la ridondanza
La sezione "Utilizzo di un bilanciamento del carico o un proxy inverso per abilitare l'accesso esterno a VMware Identity Manager" non è applicabile negli scenari in cui VMware Identity Manager è distribuito in DMZ.
