VMware Identity Manager 서비스가 Active Directory 또는 LDAP 디렉토리 환경과 통합되는 방식을 이해하는 데 필요한 몇 가지 개념이 있습니다.
Connector
서비스 구성 요소인 connector는 다음 기능을 수행합니다.
Active Directory 또는 LDAP 디렉토리에서 서비스로 사용자 및 그룹 데이터를 동기화합니다.
ID 제공자로 사용될 경우 사용자를 서비스에 인증합니다.
connector가 기본 ID 제공자입니다. SAML 2.0 프로토콜을 지원하는 타사 ID 제공자를 사용할 수도 있습니다. 엔터프라이즈 보안 정책에 따라 타사 ID 제공자를 선호할 경우 connector가 지원하지 않는 인증 유형에 대해 타사 ID 제공자를 사용하십시오.
참고:타사 ID 제공자를 사용할 경우 사용자 및 그룹 데이터를 동기화하도록 connector를 구성하거나 Just-in-Time 사용자 프로비저닝을 구성할 수 있습니다. 자세한 정보는 VMware Identity Manager 관리의 "Just-in-Time 사용자 프로비저닝" 섹션을 참조하십시오.
디렉토리
VMware Identity Manager 서비스에는 디렉토리에 대한 고유한 개념이 있으며, 이는 사용자 환경의 Active Directory 또는 LDAP 디렉토리에 해당합니다. 이 디렉토리는 특성을 사용하여 사용자 및 그룹을 정의합니다. 서비스에서 하나 이상의 디렉토리를 생성한 후 해당 디렉토리를 Active Directory 또는 LDAP 디렉토리와 동기화합니다. 서비스에서 다음과 같은 디렉토리 유형을 생성할 수 있습니다.
Active Directory
LDAP를 통한 Active Directory. 단일 Active Directory 도메인 환경에 연결할 계획인 경우 이 디렉토리 유형을 생성합니다. LDAP를 통한 Active Directory 디렉토리 유형의 경우 connector가 단순한 바인딩 인증을 사용하여 Active Directory에 바인딩합니다.
Active Directory(통합된 Windows 인증). 다중 도메인 또는 다중 포리스트 Active Directory 환경에 연결할 계획인 경우 이 디렉토리 유형을 생성합니다. connector는 통합된 Windows 인증을 사용하여 Active Directory에 바인딩합니다.
사용 중인 Active Directory 환경(단일 도메인, 다중 도메인) 및 도메인 간에 사용된 신뢰 유형에 따라 생성하는 디렉토리 유형 및 개수가 달라집니다. 대부분의 환경에서는 하나의 디렉토리를 생성합니다.
LDAP 디렉토리
서비스에서는 Active Directory 또는 LDAP 디렉토리에 직접 액세스할 수 없습니다. connector에서만 직접 액세스할 수 있습니다. 따라서 서비스에서 생성한 각 디렉토리를 connector 인스턴스와 연결합니다.
작업자
디렉토리를 connector 인스턴스와 연결할 경우 connector가 작업자라고 하는 연결된 디렉토리에 대한 파티션을 생성합니다. connector 인스턴스에는 연결된 작업자가 여러 개 있을 수 있습니다. 각 작업자는 ID 제공자 역할을 합니다. 작업자별로 인증 방법을 정의 및 구성합니다.
connector는 하나 이상의 작업자를 통해 Active Directory 또는 LDAP 디렉토리와 서비스 간에 사용자 및 그룹 데이터를 동기화합니다.
Windows 통합 인증 유형인 Active Directory의 작업자 두 개가 동일한 connector 인스턴스에 있으면 안 됩니다.
보안 고려 사항
VMware Identity Manager 서비스와 통합된 엔터프라이즈 디렉토리의 경우 사용자 암호 복잡성 규칙 및 계정 잠금 정책과 같은 보안 설정을 엔터프라이즈 디렉토리에서 직접 설정해야 합니다. VMware Identity Manager에서는 이러한 설정을 재정의하지 않습니다.