Denk na over uw gehele implementatie, onder andere over hoe u bronnen integreert, en wanneer u beslissingen neemt over hardware, bronnen en netwerkvereisten.
Ondersteund versies van vSphere en ESX
De volgende vSphere- en ESX-serverversies worden ondersteund:
- 5.5 en hoger
- 6.0 en hoger
Als u meerdere virtual appliances op verschillende hosts implementeert, kunt u de optie Synchroniseren met host uitschakelen voor tijdsynchronisatie en configureert u de NTP-server in elke virtual appliance rechtstreeks om ervoor te zorgen dat er geen afwijkingen optreden tussen de virtual appliances.
Groottevereisten voor de hardware
Zorg ervoor dat u voldoet aan de vereisten voor het aantal virtual appliances van VMware Identity Manager en de bronnen die zijn toegewezen aan elke appliance.
| Aantal gebruikers | Tot 1.000 | 1000-10.000 | 10.000-25.000 | 25.000-50.000 | 50.000-100.000 |
|---|---|---|---|---|---|
| Aantal VMware Identity Manager-servers | 1 server | 3 servers met load balancing | 3 servers met load balancing | 3 servers met load balancing | 3 servers met load balancing |
| CPU (per server) | 2 CPU's | 2 CPU's | 4 CPU's | 8 CPU's | 8 CPU's |
| RAM (per server) | 6 GB | 6 GB | 8 GB | 16 GB | 32 GB |
| Schijfruimte (per server) | 60 GB | 100 GB | 100 GB | 100 GB | 100 GB |
Als u extra, externe connectoren installeert, moet u ervoor zorgen dat u aan de volgende vereisten voldoet.
| Aantal gebruikers | Tot 1.000 | 1000-10.000 | 10.000-25.000 | 25.000-50.000 | 50.000-100.000 |
|---|---|---|---|---|---|
| Aantal connectorservers | 1 server | 2 servers met load balancing | 2 servers met load balancing | 2 servers met load balancing | 2 servers met load balancing |
| CPU (per server) | 2 CPU's | 4 CPU's | 4 CPU's | 4 CPU's | 4 CPU's |
| RAM (per server) | 6 GB | 6 GB | 8 GB | 16 GB | 16 GB |
| Schijfruimte (per server) | 60 GB | 60 GB | 60 GB | 60 GB | 60 GB |
Databasevereisten
Stel VMware Identity Manager in met de juiste database.
U kunt de interne PostgreSQL-database of een externe Microsoft SQL-database gebruiken. Beide opties kunnen hoge beschikbaarheid bieden. Om hoge beschikbaarheid te bereiken met de interne PostgreSQL-database, moet u gebruikmaken van vRealize Suite Lifecycle Manager. Zie de handleiding vRealize Suite Lifecycle Manager installeren, upgraden en beheren.
Raadpleeg voor meer informatie over de Microsoft SQL-databaseversies en servicepackconfiguraties die worden ondersteund, de VMware-productinteroperabiliteitsmatrix op https://www.vmware.com/resources/compatibility/sim/interop_matrix.php.
De volgende databasevereisten zijn van toepassing. De exacte specificaties die nodig zijn, zijn afhankelijk van de grootte en de behoeften van uw implementatie.
| Aantal gebruikers | Tot 1.000 | 1000-10.000 | 10.000-25.000 | 25.000-50.000 | 50.000-100.000 |
|---|---|---|---|---|---|
| CPU | 2 CPU's | 2 CPU's | 4 CPU's | 8 CPU's | 8 CPU's |
| RAM | 4 GB | 4 GB | 8 GB | 16 GB | 32 GB |
| Schijfruimte | 50 GB | 50 GB | 50 GB | 100 GB | 100 GB |
De SQL Server AlwaysOn-mogelijkheid is een combinatie van failoverclustering en databasespiegeling met logboekverzending voor hoge beschikbaarheid. AlwaysON staat meerdere leesexemplaren van uw database en één lees- en schrijfexemplaar voor bewerkingen toe. Als uw implementatieomgeving voldoende bandbreedte heeft voor het gegenereerde verkeer, ondersteunt de VMware Identity Manager-database AlwaysOn.
Vereisten voor netwerkconfiguratie
| Onderdeel | Minimumvereiste |
|---|---|
| DNS-record en IP-adres | IP-adres en DNS-record |
| Firewallpoort | Zorg ervoor dat de ingaande firewallpoort 443 naar de VMware Identity Manager-instantie of de load balancer is geopend voor gebruikers. |
| Reverse proxy | Implementeer een reverse proxy zoals F5 Access Policy Manager in DMZ om gebruikers toe te staan op afstand toegang te krijgen tot de VMware Identity Manager-gebruikersportal. VMware Unified Access Gateway 2.8 en hoger biedt ondersteuning voor de functie reverse proxy zodat gebruikers op een veilige manier op afstand toegang hebben tot de uniforme catalogus van VMware Identity Manager. Unified Access Gateway kan worden geïmplementeerd in de DMZ achter de front-end load balancers van de VMware Identity Manager-appliance. |
Vereisten voor de poorten
- Als u gebruikers en groepen wilt synchroniseren vanuit Active Directory, moet VMware Identity Manager zijn verbonden met Active Directory.
- Als u wilt synchroniseren met ThinApp, moet de VMware Identity Manager aan het Active Directory-domein worden toegevoegd en zijn verbonden met de ThinApp-opslagplaats-share.
| Poort | Protocol | Bron | Target | Beschrijving |
|---|---|---|---|---|
| 443 | HTTPS | Load balancer | VMware Identity Manager-machine |
|
| 443 | HTTPS | VMware Identity Manager | Load balancer | Nodig om de volledig gekwalificeerde domeinnaam van de load balancer te valideren wanneer deze is ingesteld. |
| 443, 8443 | HTTPS/HTTP | VMware Identity Manager-machine |
VMware Identity Manager-machine |
Voor alle VMware Identity Manager-instanties in een cluster en in meerdere clusters in verschillende datacenters. |
| 443 | HTTPS | Browsers | VMware Identity Manager-machine |
|
| 443, 80 | HTTPS, HTTP | VMware Identity Manager-machine |
vapp-updates.vmware.com | Toegang tot de upgradeserver |
| 443 | HTTPS | VMware Identity Manager-machine | discovery.awmdm.com | Toegang voor automatische ontdekking van Workspace ONE App |
| 443 | HTTPS | VMware Identity Manager-machine | catalog.vmwareidentity.com | Toegang tot cloudcatalogus |
| 8443 | HTTPS | Browsers | VMware Identity Manager-machine |
Poort voor beheerders |
| 25 | SMTP | VMware Identity Manager-machine |
SMTP | Poort om uitgaande e-mails door te geven |
| 389 636 3268 3269 |
LDAP LDAPS MSFT-GC MSFT-GC-SSL |
VMware Identity Manager-machine |
Active Directory | De standaardwaarden worden weergegeven. Deze poorten kunnen worden geconfigureerd. |
| 445 | TCP | VMware Identity Manager-machine |
VMware ThinApp-opslagplaats | Toegang tot de ThinApp-opslagplaats |
| 5500 | UDP | VMware Identity Manager-machine |
RSA SecurID-systeem | De standaardwaarde wordt weergegeven. Deze poort kan worden geconfigureerd. |
| 53 | TCP/UDP | VMware Identity Manager-machine |
DNS-server | Elke virtual appliance moet toegang hebben tot de DNS-server op poort 53 en inkomend SSH-verkeer moet zijn ingeschakeld op poort 22. |
| 88, 464, 135, 445 | TCP/UDP | VMware Identity Manager-machine |
Domeincontroller | |
| 9300 |
TCP | VMware Identity Manager-machine |
VMware Identity Manager-machine |
Auditbehoeften |
| 54328 |
UDP | |||
| 5701 | TCP | VMware Identity Manager-machine | VMware Identity Manager-machine | Hazelcast-cache |
| 40002 40003 |
TCP | VMware Identity Manager-machine | VMware Identity Manager-machine | Ehcache |
| 1433 |
TCP | VMware Identity Manager-machine |
Database |
De standaardpoort voor Microsoft SQL is 1433. |
| 443 |
|
VMware Identity Manager |
Horizon-server |
Toegang tot Horizon-server |
| 80, 443 | TCP | VMware Identity Manager | Integration Broker-server | Verbinding met de Integration Broker. De poortoptie is afhankelijk van de installatie van een certificaat op de Integration Broker-server |
| 443 | HTTPS |
VMware Identity Manager |
Workspace ONE UEM (AirWatch) REST API | Voor compliancecontrole van het apparaat en de verificatiemethode van het AirWatch Cloud Connector-wachtwoord, als dat wordt gebruikt. |
| 88 | UDP | Unified Access Gateway |
VMware Identity Manager-machine | UDP-poort die moet worden geopend voor mobiele SSO |
| 5262 | TCP | mobiel Android-apparaat | Workspace ONE UEM (AirWatch) HTTPS-proxyservice | Workspace ONE UEM (AirWatch) Tunnel-client leidt verkeer naar de HTTPS-proxy voor Android-apparaten. |
| 88 | UDP | mobiel iOS-apparaat | VMware Identity Manager-machine | Poort die wordt gebruikt voor Kerberos-verkeer van iOS-apparaten naar de in de cloud gehoste KDC-service. |
| 443 | HTTPS/TCP | |||
| 514 | UDP | VMware Identity Manager-machine | syslog-server | UDP Voor externe Syslog-server, indien geconfigureerd |
| 88 | UDP | VMware Identity Manager-machine | Hybride KDC-server in de cloud. Hostnaam is kdc.<realm>. Bijvoorbeeld: kdc.op.vmwareidentity.com | UDP-poort die wordt gebruikt om configuratie-updates van de verificatieadapter voor Mobiele SSO voor iOS te verifiëren die in de KDC-service in de cloud worden opgeslagen. Deze poort wordt alleen gebruikt als de hybride KDC-functie Mobiele SSO voor iOS wordt gebruikt. |
Ondersteunde directory's
U kunt uw bedrijfsdirectory integreren met VMware Identity Manager om gebruikers en groepen van uw bedrijfsdirectory te synchroniseren met de service.
- De Active Directory-omgeving kan bestaan uit één domein van Active Directory, meerdere domeinen in één forest van Active Directory of meerdere domeinen over meerdere forests van Active Directory.
VMware Identity Manager ondersteunt Active Directory in Windows 2008, 2008 R2, 2012 en 2012 R2 en 2016 met het functionaliteitsniveau domein en het functionaliteitsniveau forest voor Windows 2003 en hoger.
Opmerking: Voor bepaalde functies is mogelijk een hoger functioneel niveau vereist. Bijvoorbeeld: als u wilt dat gebruikers de Active Directory-wachtwoorden kunnen wijzigen via Workspace ONE, moet het functionaliteitsniveau Domein Windows 2008 of hoger zijn.
Ondersteunde webbrowsers om toegang te krijgen tot de VMware Identity Manager-console
De VMware Identity Manager-console is een webapplicatie die u gebruikt om uw tenant te beheren. U kunt de VMware Identity Manager-console benaderen vanaf de laatste versies van Mozilla Firefox, Google Chrome, Safari, Microsoft Edge en Internet Explorer 11.
Ondersteunde browsers voor toegang tot Workspace ONE-portal
Eindgebruikers hebben toegang tot de Workspace ONE-portal via de volgende browsers.
- Mozilla Firefox (meest recente versie)
- Google Chrome (meest recente versie)
- Safari (meest recente versie)
- Internet Explorer 11
- Microsoft Edge-browser
- Systeemeigen browser en Google Chrome op Android-apparaten
- Safari op iOS-apparaten
