VMware Identity Manager サービスが Active Directory または LDAP ディレクトリ環境にどのように統合するかを理解するには、いくつかの概念が不可欠です。
Connector
このサービスのコンポーネントである コネクタ は、次の機能を実行します。
ユーザーおよびグループ データを Active Directory または LDAP ディレクトリからサービスに同期します。
ID プロバイダとして使用される場合、サービスに対してユーザーを認証します。
コネクタ は、デフォルト ID プロバイダになります。SAML 2.0 プロトコルをサポートするサードパーティ ID プロバイダを使用することもできます。認証タイプが コネクタ でサポートされない場合、またはサードパーティの ID プロバイダが企業のセキュリティ ポリシーに適切な場合は、サードパーティ ID プロバイダを使用します。
注:サードパーティ ID プロバイダを使用する場合は、ユーザー データおよびグループ データを同期するよう コネクタ を構成するか、またはジャストインタイム ユーザー プロビジョニングを構成できます。詳細については、『VMware Identity Manager の管理』の「ジャストインタイム ユーザー プロビジョニング」セクションを参照してください。
ディレクトリ
VMware Identity Manager サービスにはそれ自身のディレクトリの概念があり、これは環境の Active Directory または LDAP ディレクトリに対応しています。このディレクトリは、属性を使用してユーザーとグループを定義します。サービスで 1 つ以上のディレクトリを作成してから、これらのディレクトリを Active Directory または LDAP ディレクトリと同期します。サービスでは次のディレクトリ タイプを作成できます。
Active Directory
LDAP 経由の Active Directory単一の Active Directory ドメイン環境に接続する場合には、このディレクトリ タイプを作成します。LDAP 経由の Active Directory のディレクトリ タイプでは、コネクタ は単純なバインド認証を使用して Active Directory をバインドします。
Active Directory、統合 Windows 認証マルチドメインまたはマルチフォレストの Active Directory ドメイン環境に接続する場合には、このディレクトリ タイプを作成します。コネクタ は、統合 Windows 認証を使用して Active Directory をバインドします。
単一ドメインかマルチドメインか、またドメイン間で使用される信頼のタイプなど、ユーザーの Active Directory 環境によって、作成するディレクトリのタイプと数は異なります。通常の環境では、作成するディレクトリは 1 つです。
LDAP ディレクトリ
サービスは Active Directory または LDAP ディレクトリに直接アクセスすることはできません。コネクタ のみが直接アクセスできます。そのため、コネクタ インスタンスとこのサービスで作成された各ディレクトリを関連付けます。
ワーカー
コネクタ インスタンスをディレクトリに関連付けるときに、コネクタは、ワーカーと呼ばれる、関連付けられたディレクトリのパーティションを作成します。コネクタ インスタンスには、複数のワーカーを関連付けることができます。各ワーカーは、ID プロバイダとして動作します。ワーカーごとに認証方法を定義および構成します。
コネクタ は、1 つ以上のワーカーを介して Active Directory または LDAP ディレクトリとサービス間でユーザーとグループを同期します。
同じ コネクタ インスタンスでは、統合 Windows 認証タイプの Active Directory の 2 つのワーカーを使用することはできません。
セキュリティの考慮事項
VMware Identity Manager サービスにエンタープライズ ディレクトリを連携する場合、ユーザー パスワードの複雑さの要件やアカウントのロックアウト ポリシーなどのセキュリティ設定は、エンタープライズ ディレクトリ内で直接設定する必要があります。VMware Identity Manager で、これらの設定を上書きすることはありません。