Considerare l'intera distribuzione, compreso il modo in cui si integrano le risorse, quando si prendono decisioni relative ai requisiti hardware, delle risorse e di rete.

Versioni supportate di vSphere e ESX

Sono supportate le seguenti versioni del server vSphere e ESX:

  • 5.5 e versioni successive
  • 6.0 e versioni successive
Nota: È necessario attivare la sincronizzazione temporale a livello di host ESX mediante un server NTP. In caso contrario, tra le appliance virtuali si verificherà un ritardo.

Se si distribuiscono più appliance virtuali su diversi host, considerare la possibilità di disabilitare l'opzione Sincronizza con host per la sincronizzazione temporale e la configurazione del server NTP su ogni appliance virtuale per essere certi che non vi sia alcun ritardo tra le appliance.

Requisiti di dimensionamento dell'hardware

Assicurarsi che vengano soddisfatti i requisiti per il numero di appliance virtuali di VMware Identity Manager e le risorse allocate a ogni appliance.

Numero di utenti Fino a 1.000 1.000-10.000 10.000-25.000 25.000-50.000 50.000-100.000
Numero di server VMware Identity Manager 1 server 3 server con bilanciamento del carico 3 server con bilanciamento del carico 3 server con bilanciamento del carico 3 server con bilanciamento del carico
CPU (per server) 2 CPU 2 CPU 4 CPU 8 CPU 8 CPU
RAM (per server) 6 GB 6 GB 8 GB 16 GB 32 GB
Spazio su disco (per server) 60 GB 100 GB 100 GB 100 GB 100 GB

Se si installano connettori autonomi aggiuntivi, assicurarsi che vengano soddisfatti i requisiti seguenti.

Numero di utenti Fino a 1.000 1.000-10.000 10.000-25.000 25.000-50.000 50.000-100.000
Numero di server del connettore 1 server 2 server con bilanciamento del carico 2 server con bilanciamento del carico 2 server con bilanciamento del carico 2 server con bilanciamento del carico
CPU (per server) 2 CPU 4 CPU 4 CPU 4 CPU 4 CPU
RAM (per server) 6 GB 6 GB 8 GB 16 GB 16 GB
Spazio su disco (per server) 60 GB 60 GB 60 GB 60 GB 60 GB

Requisiti del database

Configurare VMware Identity Manager con il database appropriato.

È possibile utilizzare il database PostgreSQL interno o un database Microsoft SQL esterno. Entrambe le opzioni possono fornire la disponibilità elevata. Per ottenere la disponibilità elevata con il database PostgreSQL interno, è necessario utilizzare vRealize Suite Lifecycle Manager. Vedere la guida Installazione, aggiornamento e gestione di vRealize Suite Lifecycle Manager.

Per informazioni sulle versioni del database Microsoft SQL e le configurazioni dei service pack supportate, vedere VMware Product Interoperability Matrices all'indirizzo https://www.vmware.com/resources/compatibility/sim/interop_matrix.php.

Vengono applicati i requisiti del database seguenti. Le specifiche esatte necessarie dipendono dalle dimensioni e dalle esigenze della distribuzione.

Numero di utenti Fino a 1.000 1.000-10.000 10.000-25.000 25.000-50.000 50.000-100.000
CPU 2 CPU 2 CPU 4 CPU 8 CPU 8 CPU
RAM 4 GB 4 GB 8 GB 16 GB 32 GB
Spazio su disco 50 GB 50 GB 50 GB 100 GB 100 GB

La funzionalità AlwaysOn di SQL Server è una combinazione di clustering di failover e mirroring del database con il log shipping per la disponibilità elevata. Always On consente di utilizzare più copie di lettura del database e una singola copia per le operazioni di lettura-scrittura. Se la larghezza di banda dell'ambiente di distribuzione è sufficiente per supportare il traffico generato, il database di VMware Identity Manager supporta Always On.

Requisiti di configurazione di rete

Componente Requisito minimo
Record DNS e indirizzo IP Indirizzo IP e record DNS
Porta firewall Assicurarsi che la porta del firewall in entrata 443 sia aperta per gli utenti all'esterno della rete sull'istanza di VMware Identity Manager o sul bilanciamento del carico.
Proxy inverso

Distribuire un proxy inverso come F5 Access Policy Manager nel DMZ per consentire agli utenti l'accesso sicuro al portale utente di VMware Identity Manager da remoto.

VMware Unified Access Gateway 2.8 e le versioni successive supportano la funzionalità di proxy inverso per consentire agli utenti di accedere in modo sicuro al catalogo unificato di VMware Identity Manager da remoto. Unified Access Gateway può essere distribuito nel DMZ con i bilanciamenti del carico front-end sull'appliance di VMware Identity Manager.

Requisiti delle porte

Le porte utilizzate nella configurazione del server sono descritte di seguito. È possibile che la distribuzione includa solo una serie di queste porte. Ad esempio:
  • Per sincronizzare utenti e gruppi da Active Directory, VMware Identity Manager deve connettersi a Active Directory.
  • Per la sincronizzazione con ThinApp, VMware Identity Manager deve entrare nel dominio di Active Directory e connettersi alla condivisione del repository ThinApp.
Porta Protocollo Origine Destinazione Descrizione
443 HTTPS Bilanciamento del carico

Macchina VMware Identity Manager

443 HTTPS VMware Identity Manager Bilanciamento del carico Necessario per convalidare il nome di dominio completo del bilanciamento del carico quando è impostato.
443, 8443 HTTPS/HTTP

Macchina VMware Identity Manager

Macchina VMware Identity Manager

Per tutte le istanze di VMware Identity Manager in un cluster e nei cluster in diversi data center.
443 HTTPS Browser

Macchina VMware Identity Manager

443, 80 HTTPS, HTTP

Macchina VMware Identity Manager

vapp-updates.vmware.com Accesso al server di aggiornamento
443 HTTPS Macchina VMware Identity Manager discovery.awmdm.com Accesso per l'individuazione automatica dell'applicazione Workspace ONE
443 HTTPS Macchina VMware Identity Manager catalog.vmwareidentity.com Accesso al catalogo cloud
8443 HTTPS Browser

Macchina VMware Identity Manager

Porta amministratore
25 SMTP

Macchina VMware Identity Manager

SMTP Porta per l'inoltro della posta in uscita

389

636

3268

3269

LDAP

LDAPS

MSFT-GC

MSFT-GC-SSL

Macchina VMware Identity Manager

Active Directory Sono mostrati i valori predefiniti. Queste porte sono configurabili.
445 TCP

Macchina VMware Identity Manager

Repository di VMware ThinApp Accesso al repository ThinApp
5500 UDP

Macchina VMware Identity Manager

Sistema RSA SecurID È visualizzato il valore predefinito. Questa porta è configurabile.
53 TCP/UDP

Macchina VMware Identity Manager

Server DNS

Ogni appliance virtuale deve poter accedere al server DNS sulla porta 53 e consentire il traffico SSH in ingresso sulla porta 22.

88, 464, 135, 445 TCP/UDP

Macchina VMware Identity Manager

Controller del dominio

9300

TCP

Macchina VMware Identity Manager

Macchina VMware Identity Manager

Necessità di controllo

54328

UDP
5701 TCP Macchina VMware Identity Manager Macchina VMware Identity Manager Cache Hazelcast
40002

40003

TCP Macchina VMware Identity Manager Macchina VMware Identity Manager Ehcache

1433

TCP

Macchina VMware Identity Manager

Database

La porta predefinita di Microsoft SQL è la 1433

443

VMware Identity Manager

Server Horizon

Accesso al server Horizon

80, 443 TCP VMware Identity Manager Server Integration Broker Connessione a Integration Broker. L'opzione della porta dipende dal fatto che nel server Integration Broker sia installato o meno un certificato
443

HTTPS

VMware Identity Manager

REST API di Workspace ONE UEM (AirWatch)

Per il controllo della conformità del dispositivo e per il metodo di autenticazione della password di AirWatch Cloud Connector, se viene utilizzato.

88 UDP

Unified Access Gateway

Macchina VMware Identity Manager Porta UDP da aprire per SSO mobile
5262 TCP Dispositivo mobile Android Servizio proxy HTTPS Workspace ONE UEM (AirWatch) Il client Workspace ONE UEM (AirWatch) Tunnel instrada il traffico verso il proxy HTTPS per i dispositivi Android.
88 UDP Dispositivo mobile iOS Macchina VMware Identity Manager Porta utilizzata per il traffico Kerberos dal dispositivo iOS al servizio KDC cloud ospitato.
443 HTTPS/TCP
514 UDP Macchina VMware Identity Manager server syslog UDP

Per server syslog esterno, se configurato

88 UDP Macchina VMware Identity Manager Server KDC ibrido nel cloud. Il nome host è kdc.<realm>. Ad esempio kdc.op.vmwareidentity.com Porta UDP utilizzata per autenticare iOS gli aggiornamenti della configurazione dell'adattatore di autenticazione SSO mobile iOS che vengono salvati nel servizio KDC nel cloud. Questa porta è utilizzata solo se viene utilizzata la funzionalità di SSO Mobile iOS ibrido KDC.

Directory supportate

L'integrazione di VMware Identity Manager con la directory aziendale consente di sincronizzare utenti e gruppi dalla directory aziendale al servizio.

  • L'ambiente di Active Directory può essere costituito da un singolo dominio di Active Directory, da più domini in una singola foresta di Active Directory o da più domini in più foreste di Active Directory.

    VMware Identity Manager supporta Active Directory in Windows 2008, 2008 R2, 2012, 2012 R2 e 2016 con un livello di funzionalità del dominio e della foresta di Windows 2003 e versioni successive.

    Nota: Per alcune funzionalità potrebbe essere necessario un livello di funzionalità più elevato. Ad esempio, per consentire agli utenti di cambiare la password di Active Directory da Workspace ONE, il livello di funzionalità del dominio deve essere Windows 2008 o versione successiva.

Browser Web supportati per l'accesso alla console di VMware Identity Manager

La console di VMware Identity Manager è un'applicazione basata su Web utilizzata per gestire il tenant. È possibile accedere alla console di VMware Identity Manager dalle versioni più recenti di Mozilla Firefox, Google Chrome, Safari, Microsoft Edge e Internet Explorer 11.

Nota: In Internet Explorer 11, è necessario attivare JavaScript e permettere i cookie per l'autenticazione tramite VMware Identity Manager.

Browser supportati per l'accesso al portale Workspace ONE

Gli utenti finali possono accedere al portale Workspace ONE dai seguenti browser.

  • Mozilla Firefox (versione più recente)
  • Google Chrome (versione più recente)
  • Safari (versione più recente)
  • Internet Explorer 11
  • Browser Microsoft Edge
  • Browser nativo e Google Chrome su dispositivi Android
  • Safari su dispositivi iOS
Nota: In Internet Explorer 11, è necessario attivare JavaScript e permettere i cookie per l'autenticazione tramite VMware Identity Manager.