Distribuzione di VMware Identity Manager in DMZ

Se non si desidera distribuire l'appliance virtuale di VMware Identity Manager nella rete aziendale, è possibile distribuirla in DMZ. Se si distribuisce l'appliance di VMware Identity Manager in DMZ, è necessario distribuire anche un'istanza di VMware Identity Manager Connector autonoma in modalità di connessione in sola uscita nella rete aziendale.

Requisiti di configurazione di sistema e di rete

I requisiti di configurazione di sistema e di rete per la distribuzione di VMware Identity Manager in DMZ sono simili ai requisiti per la distribuzione di VMware Identity Manager nella rete aziendale, descritti in Requisiti di configurazione di sistema e di rete e Preparazione della distribuzione di VMware Identity Manager in Installazione e configurazione di VMware Identity Manager, ad eccezione delle differenze elencate qui.

Non è necessario aprire la porta di un firewall in entrata per alcuna appliance della rete aziendale.
L'appliance virtuale di VMware Identity Manager viene distribuita in DMZ. VMware Identity Manager Connector viene distribuito nella rete aziendale in modalità di connessione in sola uscita e comunica con il servizio tramite un canale di comunicazione basato su WebSocket.
Non è necessario distribuire un proxy inverso o un bilanciamento del carico per consentire l'accesso esterno a VMware Identity Manager.
Un bilanciamento del carico è necessario solo se si configura la disponibilità elevata e la ridondanza per l'appliance virtuale di VMware Identity Manager.
Se si imposta l'autenticazione del certificato nel connettore incorporato, è necessario abilitare il pass-through SSL sul bilanciamento del carico per la porta configurata come la porta di pass-through SSL per l'autenticazione del certificato. La porta predefinita è 7443.

Vengono utilizzate le porte seguenti. La distribuzione potrebbe richiedere solo una parte di queste porte.


Porta	Origine	Destinazione	Descrizione
443	Bilanciamento del carico	Appliance virtuale di VMware Identity Manager	HTTPS
443	Appliance virtuale di VMware Identity Manager	Bilanciamento del carico	HTTPS Necessario per convalidare il nome di dominio completo del bilanciamento del carico quando è impostato
443	connettore	Host del servizio di VMware Identity Manager	HTTPS
443	connettore	Bilanciamento del carico del servizio di VMware Identity Manager	HTTPS
443	Browser	Appliance virtuale di VMware Identity Manager	HTTPS
88	Browser	Appliance virtuale di VMware Identity Manager	TCP/UDP Solo SSO iOS
5262	Browser	Appliance virtuale di VMware Identity Manager	TCP/UDP Solo SSO Android
88	Appliance virtuale di VMware Identity Manager	Server KDC ibrido nel cloud. Il nome host è kdc.<realm>. Ad esempio, kdc.op.vmwareidentity.com.	Porta UDP utilizzata per autenticare iOS gli aggiornamenti della configurazione dell'adattatore di autenticazione SSO mobile iOS che vengono salvati nel servizio KDC nel cloud. Questa porta è utilizzata solo se viene utilizzata la funzionalità di SSO Mobile iOS ibrido KDC.
443, 80	Appliance virtuale di VMware Identity Manager	vapp-updates.vmware.com	Accesso al server di aggiornamento di VMware
443	Appliance virtuale di VMware Identity Manager	catalog.vmwareidentity.com	Accesso al catalogo cloud
443	Appliance virtuale di VMware Identity Manager	discovery.awmdm.com	Accesso per l'individuazione automatica dell'applicazione Workspace ONE
8443	Browser	Appliance virtuale di VMware Identity Manager	Porta amministratore HTTPS
25	Appliance virtuale di VMware Identity Manager	server SMTP	Porta TCP per la posta in uscita del relè
53	Appliance virtuale di VMware Identity Manager	Server DNS	TCP/UDP Ogni appliance virtuale deve poter accedere al server DNS sulla porta 53 e consentire il traffico SSH in ingresso sulla porta 22.
443, 8443	Appliance virtuale di VMware Identity Manager	Appliance virtuale di VMware Identity Manager	HTTPS/HTTP Per tutte le istanze di VMware Identity Manager in un cluster e nei cluster in diversi data center
9300 (TCP) 54328 (UDP)	Appliance virtuale di VMware Identity Manager	Appliance virtuale di VMware Identity Manager	Necessità di controllo
5701 (TCP)	Appliance virtuale di VMware Identity Manager	Appliance virtuale di VMware Identity Manager	Cache Hazelcast
40002 (TCP) 40003 (TCP)	Appliance virtuale di VMware Identity Manager	Appliance virtuale di VMware Identity Manager	Ehcache
1433	Appliance virtuale di VMware Identity Manager	Database	La porta predefinita di Microsoft SQL è la 1433
443	Appliance virtuale di VMware Identity Manager	REST API di Workspace ONE UEM	HTTPS Per il controllo della conformità del dispositivo e per il metodo di autenticazione Password ACC, se viene utilizzato.
Porta di pass-through SSL per l'autenticazione del certificato.	Browser	Appliance virtuale di VMware Identity Manager	HTTPS Per l'autenticazione del certificato configurata nel connettore incorporato. Porta predefinita: 7443
514	Appliance virtuale di VMware Identity Manager	server syslog	UDP Per server syslog esterno, se configurato

Distribuzione dell'appliance di VMware Identity Manager

Per informazioni sulla distribuzione e la configurazione dell'appliance virtuale di VMware Identity Manager, vedere Distribuzione di VMware Identity Manager e Gestione delle impostazioni di configurazione di sistema dell'appliance in Installazione e configurazione di VMware Identity Manager.

Configurazione di failover e ridondanza

Per informazioni sulla configurazione del failover e della ridondanza per l'appliance virtuale di VMware Identity Manager, vedere le sezioni seguenti in Installazione e configurazione di VMware Identity Manager:

Configurazione del failover e della ridondanza in un data center singolo
Distribuzione di VMware Identity Manager in un data center secondario per il failover e la ridondanza

Nota:

La sezione "Utilizzo di un bilanciamento del carico o un proxy inverso per abilitare l'accesso esterno a VMware Identity Manager" non è applicabile negli scenari in cui VMware Identity Manager è distribuito in DMZ.