Questo modello prevede l'installazione dell'appliance virtuale di VMware Identity Manager in DMZ. Prevede inoltre l'installazione di un'appliance virtuale autonoma di VMware Identity Manager Connector in modalità di connessione in sola uscita nella rete aziendale. Questo modello non include tutti i componenti di Workspace ONE UEM.

La sincronizzazione di utenti e gruppi dalla directory aziendale e l'autenticazione degli utenti vengono gestite tramite l'istanza autonoma di VMware Identity Manager Connector. Il connettore consente inoltre di sincronizzare risorse, come desktop e applicazioni di Horizon 7, con il servizio VMware Identity Manager.

Nota: Alcuni metodi di autenticazione non richiedono il connettore e vengono gestiti direttamente dal servizio.
Importante: Utilizzare il connettore autonomo anziché il connettore integrato nell'appliance di VMware Identity Manager per sincronizzare utenti e gruppi, nonché per l'autenticazione degli utenti.
Figura 1. Utilizzo di VMware Identity Manager Connector in modalità in uscita

VMware Identity Manager Connector

Nota: Se si intende configurare SSO Android, abilitare il pass-through SSL sulla porta 5262 nel programma di bilanciamento del carico davanti a VMware Identity Manager.
Nota: Se si intende configurare l'autenticazione del certificato nel connettore incorporato, abilitare il pass-through SSL sul bilanciamento del carico per la porta configurata come porta di pass-through SSL per l'autenticazione del certificato. La porta predefinita è 7443.

Requisiti delle porte

Le porte seguenti devono essere aperte nel programma di bilanciamento del carico o nel firewall per il server VMware Identity Manager:
  • 443 in entrata (HTTPS)
  • 88 in entrata (TCP/UDP) - Solo SSO iOS
  • 5262 in entrata (HTTPS) - Solo SSO Android
  • CertAuthSSLPassthroughPort in entrata (HTTPS) - Autenticazione del certificato configurata solo nel connettore incorporato. La porta predefinita è 7443.

VMware Identity Manager Connector viene installato in modalità di connessione in sola uscita e non richiede che la porta 443 in entrata sia aperta. Il connettore comunica con il servizio VMware Identity Manager tramite un canale di comunicazione basato su WebSocket.

Per l'elenco completo delle porte utilizzate, vedere Distribuzione di VMware Identity Manager in DMZ e Distribuzione di VMware Identity Manager Connector nella rete aziendale.

Metodi di autenticazione supportati

Questo modello di distribuzione supporta tutti i metodi di autenticazione. Alcuni di questi metodi di autenticazione non richiedono il connettore e vengono gestiti direttamente dal servizio mediante il provider di identità integrato.

  • Password - Utilizza il connettore
  • Autenticazione adattiva RSA - Utilizza il connettore
  • RSA SecurID - Utilizza il connettore
  • RADIUS - Utilizza il connettore
  • Certificato - utilizza il connettore incorporato
  • VMware Verify - Mediante il provider di identità integrato
  • SSO mobile (iOS) - Mediante il provider di identità integrato
  • SSO mobile (Android) - Mediante il provider di identità integrato
  • SAML in entrata mediante un provider di identità di terze parti
Nota: Per informazioni sull'utilizzo di Kerberos, vedere Aggiunta del supporto dell'autenticazione Kerberos alla distribuzione.

Integrazioni di directory supportate

In questo modello di distribuzione, è possibile integrare i tipi di directory aziendali seguenti con il servizio VMware Identity Manager:

  • Active Directory su LDAP
  • Active Directory, Autenticazione integrata di Windows
  • Directory LDAP

    Se si intende integrare una directory LDAP, vedere le limitazioni in "Integrazione con le directory LDAP" in Integrazione della directory con VMware Identity Manager.

In alternativa, è possibile utilizzare i metodi seguenti per creare utenti nel servizio VMware Identity Manager:

  • Creare utenti locali direttamente nel servizio VMware Identity Manager.
  • Utilizzare il provisioning Just-in-Time per creare utenti nel servizio VMware Identity Manager dinamicamente all'accesso mediante le dichiarazioni SAML inviate da un provider di identità di terze parti.

Risorse supportate

In questo modello di distribuzione, è possibile integrare i tipi di risorse seguenti con il servizio VMware Identity Manager:

  • Applicazioni Web
  • Pool di applicazioni e desktop di Horizon 7, Horizon 6 o View
  • Applicazioni e desktop di Horizon Cloud
  • risorse pubblicate da Citrix
  • Applicazioni compresse ThinApp

Informazioni aggiuntive