Некоторые понятия обязательны для понимания принципов интеграции службы VMware Identity Manager со средой каталогов Active Directory или LDAP.
VMware Identity Manager Connector
VMware Identity Manager Connector — это компонент службы VMware Identity Manager, который развертывается локально внутри корпоративной сети.
- Синхронизация данных пользователей и групп в каталоге Active Directory или LDAP со службой VMware Identity Manager.
- Проверка подлинности пользователей в службе VMware Identity Manager при использовании в качестве поставщика удостоверений.
соединитель является поставщиком удостоверений по умолчанию. Также можно использовать сторонних поставщиков удостоверений, которые поддерживают протокол SAML 2.0. Используйте стороннего поставщика удостоверений для типов проверки подлинности, которые не поддерживаются соединитель, а также если согласно политике безопасности организации сторонний поставщик удостоверений является предпочтительным.
Примечание: При использовании сторонних поставщиков удостоверений можно либо настроить соединитель для синхронизации данных о пользователях и группах, либо настроить подготовку пользователей по мере необходимости. Дополнительные сведения см. в разделе «Моментальная регистрация пользователей» документа Администрирование VMware Identity Manager.
Каталог
Для службы VMware Identity Manager используется собственное понятие каталога, соответствующее каталогу Active Directory или LDAP в среде. Для определения пользователей и групп в этом каталоге используются атрибуты. Необходимо создать один или несколько каталогов в службе, а затем синхронизировать их со своим каталогом Active Directory или LDAP. В службе можно создать следующие типы каталогов.
- Active Directory
- Active Directory через LDAP. Этот тип каталога создается, если планируется подключение к среде Active Directory с одним доменом. В случае использования типа каталога Active Directory через LDAP соединитель связывается с Active Directory, используя простую привязку проверки подлинности.
- Active Directory, встроенная проверка подлинности Windows. Этот тип каталога создается, если планируется подключение к среде Active Directory с несколькими доменами или несколькими лесами. соединитель связывается с Active Directory, используя встроенную проверку подлинности Windows.
Тип и количество создаваемых каталогов варьируется в зависимости от среды Active Directory (один домен или нескольких доменов) и от вида используемых отношений доверия между доменами. В большинстве сред создается один каталог.
- Каталог LDAP
Создайте каталог LDAP для интеграции корпоративного каталога LDAP с VMware Identity Manager. Интегрировать можно только каталог LDAP одного домена. VMware Identity Manager поддерживает только те реализации OpenLDAP, которые поддерживают поисковые запросы с подкачкой.
У службы нет непосредственного доступа к каталогу Active Directory или LDAP. Непосредственный доступ есть только у средства соединитель. Таким образом, каждый каталог, созданный в службе, связывается с экземпляром соединитель.
Рабочий процесс
При связывании каталога с экземпляром соединитель соединитель создает раздел для связанного каталога, который называется «рабочий процесс». Экземпляр соединитель может иметь несколько рабочих процессов, связанных с ним. Каждый рабочий процесс выступает в качестве поставщика удостоверений. Для каждого рабочего процесса определяются и настраиваются способы проверки подлинности.
соединитель синхронизирует данные о пользователях и группах в каталоге Active Directory или LDAP и службе с помощью одного или нескольких рабочих процессов.
Рекомендации по безопасности
Для корпоративных каталогов, интегрированных со службой VMware Identity Manager, такие параметры безопасности, как правила в отношении сложности паролей пользователей и политики блокировки учетных записей, необходимо задавать непосредственно в корпоративном каталоге. VMware Identity Manager не переопределяет эти параметры.