VMware Identity Manager サービスが Active Directory または LDAP ディレクトリ環境にどのように統合するかを理解するには、いくつかの概念が不可欠です。

VMware Identity Manager Connector

VMware Identity Manager Connector は、VMware Identity Manager サービスのコンポーネントで、企業ネットワークの内部にオンプレミスで展開します。

  • ユーザーおよびグループ データを Active Directory または LDAP ディレクトリから VMware Identity Manager サービスに同期します。
  • ID プロバイダとして使用される場合、VMware Identity Manager サービスに対してユーザーを認証します。

    コネクタ は、デフォルト ID プロバイダになります。SAML 2.0 プロトコルをサポートするサードパーティ ID プロバイダを使用することもできます。認証タイプが コネクタ でサポートされない場合、またはサードパーティの ID プロバイダが企業のセキュリティ ポリシーに適切な場合は、サードパーティ ID プロバイダを使用します。

    注: サードパーティ ID プロバイダを使用する場合は、ユーザー データおよびグループ データを同期するよう コネクタ を構成するか、またはジャストインタイム ユーザー プロビジョニングを構成できます。詳細については、『 VMware Identity Manager の管理』の「ジャストインタイム ユーザー プロビジョニング」セクションを参照してください。

ディレクトリ

VMware Identity Manager サービスにはそれ自身のディレクトリの概念があり、これは環境の Active Directory または LDAP ディレクトリに対応しています。このディレクトリは、属性を使用してユーザーとグループを定義します。サービスで 1 つ以上のディレクトリを作成してから、これらのディレクトリを Active Directory または LDAP ディレクトリと同期します。サービスでは次のディレクトリ タイプを作成できます。

  • Active Directory
    • LDAP 経由の Active Directory単一の Active Directory ドメイン環境に接続する場合には、このディレクトリ タイプを作成します。LDAP 経由の Active Directory のディレクトリ タイプでは、コネクタ は単純なバインド認証を使用して Active Directory をバインドします。
    • Active Directory、統合 Windows 認証マルチドメインまたはマルチフォレストの Active Directory ドメイン環境に接続する場合には、このディレクトリ タイプを作成します。コネクタ は、統合 Windows 認証を使用して Active Directory をバインドします。

    単一ドメインかマルチドメインか、またドメイン間で使用される信頼のタイプなど、ユーザーの Active Directory 環境によって、作成するディレクトリのタイプと数は異なります。通常の環境では、作成するディレクトリは 1 つです。

  • LDAP ディレクトリ

    LDAP ディレクトリを作成して、エンタープライズ LDAP ディレクトリを VMware Identity Manager と統合します。単一ドメインの LDAP ディレクトリのみを統合することができます。VMware Identity Manager では、ページングされた検索クエリに対応する OpenLDAP 実装のみがサポートされています。

サービスは Active Directory または LDAP ディレクトリに直接アクセスすることはできません。コネクタ のみが直接アクセスできます。そのため、コネクタ インスタンスとこのサービスで作成された各ディレクトリを関連付けます。

ワーカー

コネクタ インスタンスをディレクトリに関連付けるときに、コネクタは、ワーカーと呼ばれる、関連付けられたディレクトリのパーティションを作成します。コネクタ インスタンスには、複数のワーカーを関連付けることができます。各ワーカーは、ID プロバイダとして動作します。ワーカーごとに認証方法を定義および構成します。

コネクタ は、1 つ以上のワーカーを介して Active Directory または LDAP ディレクトリとサービス間でユーザーとグループを同期します。

重要: 同じ コネクタ インスタンスでは、統合 Windows 認証タイプの Active Directory の 2 つのワーカーを使用することはできません。

セキュリティの考慮事項

VMware Identity Manager サービスにエンタープライズ ディレクトリを連携する場合、ユーザー パスワードの複雑さの要件やアカウントのロックアウト ポリシーなどのセキュリティ設定は、エンタープライズ ディレクトリ内で直接設定する必要があります。VMware Identity Manager で、これらの設定を上書きすることはありません。