Перед развертыванием VMware Identity Manager Connector убедитесь, что система соответствует необходимым требованиям.

Совместимость между службой и соединителем VMware Identity Manager

VMware Identity Manager Connector можно использовать с облачной службой VMware Identity Manager или локальным виртуальным устройством службы VMware Identity Manager.

С облачной службой VMware Identity Manager можно использовать все поддерживаемые версии соединителя. Тем не менее рекомендуется использовать последнюю версию соединителя.

С локальной службой VMware Identity Manager можно использовать поддерживаемые версии соединителя, которые совпадают с версией службы или являются более старыми. Например, со службой VMware Identity Manager 19.03 можно использовать Connector 19.03 и более ранних версий. Нельзя использовать версию соединителя, которая новее версии службы. Например, Connector 20.01 невозможно использовать со службой 19.03. Рекомендуется использовать соединитель последней совместимой версии.

Сведения о поддерживаемых версиях см. по адресу https://www.vmware.com/support/policies/lifecycle.html.

Требования к оборудованию

Убедитесь, что сервер Windows отвечает следующим требованиям к оборудованию.

Табл. 1. Требования VMware Identity Manager Connector
Число пользователей До 1000 1000 до 10 000 10 000 до 25 000 25 000 до 50 000 50 000 до 100 000
ЦП 2

2 сервера со сбалансированной нагрузкой, каждый с 4 ЦПУ

2 сервера со сбалансированной нагрузкой, каждый с 4 ЦПУ

2 сервера со сбалансированной нагрузкой, каждый с 4 ЦПУ

2 сервера со сбалансированной нагрузкой, каждый с 4 ЦПУ

RAM (ГБ) на сервер 6 6 каждый 8 каждый 16 каждый 16 каждый
Емкость диска (ГБ) 50 50 каждый 50 каждый 50 каждый 50 каждый
Примечание:
  • Ядра ЦПУ для каждого — на 2,0 ГГц и выше. Требуется процессор Intel.
  • Требования к свободному объему на диске: 1 ГБ для приложения VMware Identity Manager Connector, Windows OS и среда выполнения .NET. Для входа в систему необходимо дополнительное свободное пространство на диске.
  • Указания по увеличению памяти после установки соединителя см. в разделе Обновление памяти Java для VMware Identity Manager Connector 19.03.

Требования к программному обеспечению

Убедитесь, что сервер Windows отвечает следующим требованиям к программному обеспечению.

Требования Примечания

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Примечание: По состоянию на сентябрь 2020 года Windows Server 2012 и 2008 R2 больше не поддерживаются.
Установить на сервер PowerShell
Примечание: Если установка выполняется на Windows Server 2008 R2, требуется версия PowerShell 4.0.
Примечание: По состоянию на сентябрь 2020 года Windows Server 2012 и 2008 R2 больше не поддерживаются.
Установлена среда NET Framework 4.6.2.

Требования к сети

Для выполнения настройки портов, перечисленных внизу, весь трафик должен быть однонаправленным (исходящим) от компонента-источника к компоненту-цели.

Прокси для исходящего трафика либо иное программное либо аппаратное обеспечение управления соединением не должно останавливать либо отказывать в приеме исходящего соединения от VMware Identity Manager Connector. Исходящее соединение, необходимое для использования VMware Identity Manager Connector, должно оставаться открытым постоянно.

Табл. 2. Требования к портам VMware Identity Manager Connector
Источник Назначение Порт Протокол Примечания
VMware Identity Manager Connector Служба VMware Identity Manager

Служебный узел VMware Identity Manager (локальные установки)

443 HTTPS Порт по умолчанию

Обязательный

VMware Identity Manager Connector Подсистема балансировки нагрузки службы VMware Identity Manager (локальные установки) 443 HTTPS
Браузеры VMware Identity Manager Connector 8443 HTTPS Порт администрирования

Обязательный

Браузеры VMware Identity Manager Connector 80 HTTP Обязательный
Браузеры VMware Identity Manager Connector 443 HTTPS Этот порт необходим только для соединителя, который используется в режиме поддержки входящих соединений.

Данный порт требуется, если в соединителе настроена проверка подлинности Kerberos.

VMware Identity Manager Connector Active Directory 389, 636, 3268, 3269 Порт по умолчанию. Эти порты настраиваются.
VMware Identity Manager Connector Сервер DNS 53 TCP/UDP

Для каждого экземпляра должен быть настроен доступ к серверу DNS через порт 53 и разрешен входящий SSH-трафик через порт 22

VMware Identity Manager Connector Контроллер домена 88, 464, 135, 445 TCP/UDP Для проверки подлинности Kerberos
VMware Identity Manager Connector Система RSA SecurID 5500 Порт по умолчанию. Этот порт настраивается.
VMware Identity Manager Connector Сервер подключений Horizon 389, 443

Доступ к экземплярам сервера подключений Horizon для интеграции c Horizon

VMware Identity Manager Connector Integration Broker 80, 443 Доступ к Integration Broker для интеграции с ресурсами, опубликованными корпорацией Citrix.
Важно!: При установке Integration Broker на том же сервере Windows, что и VMware Identity Manager Connector, необходимо убедиться, что в привязках сайтов для веб-сайта севера IIS по умолчанию порты привязки HTTP и HTTPS не конфликтуют с портами, используемыми VMware Identity Manager Connector.

VMware Identity Manager Connector использует порты 80, 443 и 8443.

Не рекомендуется устанавливать Integration Broker на сервере VMware Identity Manager Connector.

VMware Identity Manager Connector сервер syslog 514 UDP Для внешнего сервера syslog, если настроено

IP-адреса размещенного в облаке VMware Identity Manager

Облачные развертывания: список IP-адресов службы VMware Identity Manager, к которым VMware Identity Manager Connector должен иметь доступ, см. в статье базы знаний 68035.

Требования к DNS-записям и IP-адресам

Для соединителя должна быть доступна DNS-запись и статический IP-адрес. Перед началом установки получите DNS-запись и IP-адреса и настройте сетевые параметры сервера Windows.

Если планируется использовать проверку подлинности Kerberos, выберите подходящее и удобное имя узла для соединителя. Если настроена проверка подлинности Kerberos, имя узла VMware Identity Manager Connector отображается для конечных пользователей.

Настройка обратного просмотра необязательна. При реализации обратного просмотра необходимо определить на сервере DNS запись PTR. Это позволит соединителю использовать правильные настройки сети.

Вы можете использовать следующий образец списка DNS-записей. Замените эти образцы сведениями из вашей среды. В этом примере показана DNS-запись и IP-адрес для перенаправления.

Табл. 3. Пример DNS-записи и IP-адреса для перенаправления
Доменное имя Тип ресурса IP-адрес
myconnector.company.com A 10.28.128.3

В этом примере показана DNS-запись и IP-адрес для обратного перенаправления.

Табл. 4. Пример DNS-записи и IP-адреса для обратного перенаправления
IP-адрес Тип ресурса Имя узла
10.28.128.3 PTR myconnector.company.com

После настройки DNS убедитесь, что обратный просмотр DNS настроен правильно. Например, с помощью команды host IPaddress можно выполнить поиск имени DNS.

Примечание: При наличии подсистемы балансировки нагрузки с виртуальным IP-адресом (VIP) перед DNS-серверами следует учитывать, что VMware Identity Manager не поддерживает использование VIP. При необходимости можно указать несколько DNS-серверов через запятую.
Примечание: Если используется сервер DNS на базе ОС Linux или Unix и планируется подключение соединителя к домену Active Directory, для каждого контроллера домена Active Directory необходимо создать соответствующие записи расположения службы (SRV).

Синхронизация времени

Настройка синхронизации времени для всех экземпляров соединителя и служб VMware Identity Manager необходима для правильной работы развертывания VMware Identity Manager.

Дополнительные сведения о настройке синхронизации времени для VMware Identity Manager Connector см. в разделе Настройка синхронизации времени для VMware Identity Manager Connector (Windows).

Дополнительные сведения о настройке синхронизации времени для службы VMware Identity Manager см. в разделах Установка и настройка VMware Identity Manager для Linux и Установка и настройка VMware Identity Manager для Windows.

Поддерживаемые версии Active Directory

Поддерживается среда Active Directory, которая состоит из одного домена Active Directory, нескольких доменов в одном лесу Active Directory или нескольких доменов в нескольких лесах Active Directory.

VMware Identity Manager поддерживает Active Directory в Windows Server 2012 R2, 2016 и 2019. На функциональном уровне домена и леса поддерживаются Windows 2003 и более новые версии этой ОС.

Примечание: По состоянию на сентябрь 2020 года Windows Server 2008, 2008 R2 и 2012 больше не поддерживаются.
Примечание: Для некоторых компонентов может потребоваться более высокий функциональный уровень. Например, чтобы разрешить пользователям изменять пароли Active Directory из Workspace ONE, на функциональном уровне домена должна поддерживаться ОС Windows 2008 или более поздние версии.

Ограничение количества соединителей

В консоли VMware Identity Manager могут отображаться только 20 устаревших соединителей (Connector 19.03 или более ранних версий). В зависимости от версии используемой службы VMware Identity Manager устаревшие соединители отображаются на странице «Управление учетными данными и доступом» > «Настройка» > «Соединители» или «Управление учетными данными и доступом» > «Настройка» > «Устаревшие соединители». Не добавляйте в службу более 20 экземпляров устаревших соединителей.

Это ограничение не применяется к Workspace ONE Access Connector 20.01 или более поздней версии.