Directories Managementが Active Directory 環境を統合する方法を理解するうえで、Active Directory に関するいくつかの概念を把握しておく必要があります。

コネクタ

このサービスのコンポーネントである コネクタ は、次の機能を実行します。

  • ユーザーおよびグループ データを Active Directory または LDAP ディレクトリからサービスに同期します。

  • ID プロバイダとして使用される場合、サービスに対してユーザーを認証します。

    コネクタ は、デフォルト ID プロバイダになります。コネクタ でサポートしている認証方法については、『VMware Identity Manager の管理』を参照してください。SAML 2.0 プロトコルをサポートするサードパーティ ID プロバイダを使用することもできます。サードパーティの ID プロバイダが、企業のセキュリティ ポリシーに適切な場合は、コネクタ がサポートしていない認証タイプにも、コネクタ がサポートする認証タイプにも、サードパーティ ID プロバイダを使用します。

    注:

    サードパーティの ID プロバイダを使用する場合は、ユーザーおよびグループ データを同期するようにコネクタを構成する、またはジャストインタイムのユーザー プロビジョニングを構成することができます。詳細については、『VMware Identity Manager の管理』の「ジャストインタイム ユーザー プロビジョニング」セクションを参照してください。

    注:

    サードパーティ ID プロバイダを使用する場合であっても、コネクタ を構成してユーザーとグループ データを同期する必要があります。

ディレクトリ

Directories Management サービスにはそれ自身のディレクトリの概念があり、これは環境の Active Directory または LDAP ディレクトリに対応しています。このディレクトリは、属性を使用してユーザーとグループを定義します。

  • Active Directory

    • LDAP 経由の Active Directory単一の Active Directory ドメイン環境に接続する場合には、このディレクトリ タイプを作成します。LDAP 経由の Active Directory のディレクトリ タイプでは、コネクタ は単純なバインド認証を使用して Active Directory をバインドします。

    • Active Directory、統合 Windows 認証マルチドメインまたはマルチフォレストの Active Directory ドメイン環境に接続する場合には、このディレクトリ タイプを作成します。コネクタ は、統合 Windows 認証を使用して Active Directory をバインドします。

    単一ドメインかマルチドメインか、またドメイン間で使用される信頼のタイプなど、ユーザーの Active Directory 環境によって、作成するディレクトリのタイプと数は異なります。通常の環境では、作成するディレクトリは 1 つです。

  • LDAP ディレクトリ

サービスは Active Directory または LDAP ディレクトリに直接アクセスすることはできません。コネクタ のみが直接アクセスできます。そのため、コネクタ インスタンスとこのサービスで作成された各ディレクトリを関連付けます。

ワーカー

コネクタ インスタンスをディレクトリに関連付けるときに、コネクタは、ワーカーと呼ばれる、関連付けられたディレクトリのパーティションを作成します。コネクタ インスタンスには、複数のワーカーを関連付けることができます。各ワーカーは、ID プロバイダとして動作します。ワーカーごとに認証方法を定義および構成します。

コネクタ は、1 つ以上のワーカーを介して Active Directory または LDAP ディレクトリとサービス間でユーザーとグループを同期します。

重要:

同じ コネクタ インスタンスでは、統合 Windows 認証タイプの Active Directory の 2 つのワーカーを使用することはできません。