VMware Identity Manager サービスが Active Directory または LDAP ディレクトリ環境にどのように統合するかを理解するには、いくつかの概念が不可欠です。

コネクタ

このサービスのコンポーネントである コネクタ は、次の機能を実行します。

  • ユーザーおよびグループ データを Active Directory または LDAP ディレクトリからサービスに同期します。

  • ID プロバイダとして使用される場合、サービスに対してユーザーを認証します。

    コネクタ は、デフォルト ID プロバイダになります。SAML 2.0 プロトコルをサポートするサードパーティ ID プロバイダを使用することもできます。認証タイプが コネクタ でサポートされない場合、またはサードパーティの ID プロバイダが企業のセキュリティ ポリシーに適切な場合は、サードパーティ ID プロバイダを使用します。

    注:

    サードパーティ ID プロバイダを使用する場合は、ユーザー データおよびグループ データを同期するよう コネクタ を構成するか、またはジャストインタイム ユーザー プロビジョニングを構成できます。詳細については、『VMware Identity Manager の管理』の「ジャストインタイム ユーザー プロビジョニング」セクションを参照してください。

ディレクトリ

VMware Identity Manager サービスにはそれ自身のディレクトリの概念があり、これは環境の Active Directory または LDAP ディレクトリに対応しています。このディレクトリは、属性を使用してユーザーとグループを定義します。サービスで 1 つ以上のディレクトリを作成してから、これらのディレクトリを Active Directory または LDAP ディレクトリと同期します。サービスでは次のディレクトリ タイプを作成できます。

  • Active Directory

    • LDAP 経由の Active Directory単一の Active Directory ドメイン環境に接続する場合には、このディレクトリ タイプを作成します。LDAP 経由の Active Directory のディレクトリ タイプでは、コネクタ は単純なバインド認証を使用して Active Directory をバインドします。

    • Active Directory、統合 Windows 認証マルチドメインまたはマルチフォレストの Active Directory ドメイン環境に接続する場合には、このディレクトリ タイプを作成します。コネクタ は、統合 Windows 認証を使用して Active Directory をバインドします。

    単一ドメインかマルチドメインか、またドメイン間で使用される信頼のタイプなど、ユーザーの Active Directory 環境によって、作成するディレクトリのタイプと数は異なります。通常の環境では、作成するディレクトリは 1 つです。

  • LDAP ディレクトリ

サービスは Active Directory または LDAP ディレクトリに直接アクセスすることはできません。コネクタ のみが直接アクセスできます。そのため、コネクタ インスタンスとこのサービスで作成された各ディレクトリを関連付けます。

ワーカー

コネクタ インスタンスをディレクトリに関連付けるときに、コネクタは、ワーカーと呼ばれる、関連付けられたディレクトリのパーティションを作成します。コネクタ インスタンスには、複数のワーカーを関連付けることができます。各ワーカーは、ID プロバイダとして動作します。ワーカーごとに認証方法を定義および構成します。

コネクタ は、1 つ以上のワーカーを介して Active Directory または LDAP ディレクトリとサービス間でユーザーとグループを同期します。

重要:

同じ コネクタ インスタンスでは、統合 Windows 認証タイプの Active Directory の 2 つのワーカーを使用することはできません。

セキュリティの考慮事項

VMware Identity Manager サービスにエンタープライズ ディレクトリを連携する場合、ユーザー パスワードの複雑さの要件やアカウントのロックアウト ポリシーなどのセキュリティ設定は、エンタープライズ ディレクトリ内で直接設定する必要があります。VMware Identity Manager で、これらの設定を上書きすることはありません。