Generalmente, durante la configurazione iniziale di Gestione directory, si utilizzano i connettori forniti con l'infrastruttura esistente di vRealize Automation per creare una connessione Active Directory per la gestione e l'autenticazione basata su ID utente e password. In alternativa, è possibile integrare Gestione directory con altre soluzioni di autenticazione come Kerberos o RSA SecurID.

L'istanza del provider di identità può essere l'istanza del Directories Management connettore, istanze di provider di identità di terze parti o una combinazione di entrambe.

L’istanza del provider di identità utilizzata con il servizio Directories Management crea un’autorità di federazione nella rete che comunica con il servizio utilizzando le asserzioni SAML 2.0.

Quando si distribuisce inizialmente il servizio Directories Management, il connettore è il primo provider di identità iniziale per il servizio. L’infrastruttura Active Directory esistente viene utilizzata per l’autenticazione e la gestione degli utenti.

Sono supportati i metodi di autenticazione descritti di seguito. È possibile configurare questi metodi di autenticazione dalla console di amministrazione.

Tabella 1. Tipi di autenticazione utente supportati da Gestione directory

Tipi di autenticazione

Descrizione

Password (distribuzione in loco)

Senza alcuna configurazione supplementare dopo la configurazione di Active Directory, Directories Management supporta l'autenticazione tramite password di Active Directory. Questo metodo autentica gli utenti direttamente con Active Directory.

Kerberos per desktop

L’autenticazione Kerberos offre agli utenti di dominio accesso Single Sign-On ai propri portali di applicazioni. Gli utenti non devono più eseguire l’accesso ogni volta che accedono alla rete.

Certificato (distribuzione in loco)

È possibile configurare l'autenticazione basata su certificato per consentire ai client di autenticarsi con i certificati sul desktop e sui dispositivi mobili o di utilizzare una scheda smart card per l'autenticazione.

L'autenticazione basata su certificato si basa sui dati a disposizione dell'utente e sulle sue conoscenze. Un certificato X.509 utilizza lo standard PKI (Public Key Infrastructure) per verificare che una chiave pubblica contenuta nel certificato appartenga all’utente.

RSA SecurID (distribuzione in loco)

Quando si configura l'autenticazione RSA SecurID, Directories Management viene configurato come agente di autenticazione nel server RSA SecurID. L'autenticazione RSA SecurID richiede che gli utenti utilizzino un sistema di autenticazione basato su token. RSA SecurID è un metodo di autenticazione per gli utenti che accedono a Directories Management dall'esterno della rete aziendale.

RADIUS (distribuzione in loco)

L'autenticazione RADIUS offre opzioni di autenticazione a due fattori. Richiede la configurazione del server RADIUS che è accessibile per il servizio Directories Management. Quando gli utenti eseguono l'accesso con il proprio nome utente e il proprio passcode, al server RADIUS viene inviata una richiesta di accesso per l'autenticazione.

Autenticazione adattiva RSA (distribuzione in loco)

L'autenticazione RSA offre un'autenticazione a più fattori di livello superiore rispetto all'autenticazione basata solo sul nome utente e sulla password di Active Directory. Quando l’autenticazione adattiva RSA è abilitata, gli indicatori di rischio specificati nel criterio di rischio vengono impostati nell’applicazione RSA Policy Management. La configurazione dell’autenticazione adattiva del servizio Directories Management viene utilizzata per determinare le richieste di autenticazione necessarie.

Mobile SSO (per iOS)

Mobile SSO per l’autenticazione di iOS viene utilizzato per l’autenticazione Single Sign-On dei dispositivi iOS gestiti da AirWatch. L’autenticazione Mobile SSO (per iOS) utilizza un Key Distribution Center (KDC) che fa parte del servizio Directories Management. Prima di abilitare questo metodo di autenticazione, è necessario avviare il servizio KDC nel servizio VMware Identity Manager.

Mobile SSO (per Android)

Mobile SSO per l’autenticazione di Android viene utilizzato per l’autenticazione Single Sign-On dei dispositivi Android gestiti da AirWatch. Un servizio proxy è impostato tra il servizio Directories Management ed AirWatch per recuperare il certificato da AirWatch per l’autenticazione.

Password (AirWatch Connector)

AirWatch Cloud Connector può essere integrato con il servizio Directories Management per l’autenticazione della password degli utenti. Si configura il servizio Directories Management per sincronizzare gli utenti dalla directory di AirWatch.

Gli utenti vengono autenticati in base a metodi di autenticazione, regole dei criteri di accesso predefiniti, intervalli di rete e istanza del provider di identità configurato. Dopo aver configurato i metodi di autenticazione, è necessario creare le regole dei criteri di accesso che specificano i metodi di autenticazione da utilizzare in base al tipo di dispositivo.