В рамках этой модели виртуальное устройство VMware Identity Manager устанавливается в демилитаризованной зоне. Также устанавливается изолированное виртуальное устройство VMware Identity Manager Connector в режиме поддержки только исходящих соединений в корпоративной сети. В эту модель не входят никакие компоненты Workspace ONE UEM.

Синхронизацию пользователей и групп в корпоративном каталоге и проверку подлинности пользователей выполняет автономный VMware Identity Manager Connector. Соединитель может также синхронизировать со службой VMware Identity Manager различные ресурсы, например виртуальные компьютеры и приложения Horizon 7.

Примечание: Для некоторых методов проверки подлинности соединитель не требуется, поскольку управление ими осуществляется непосредственно с помощью службы.
Важно!: Для синхронизации пользователей и групп, а также для проверки подлинности пользователей можно использовать автономный соединитель вместо соединителя, интегрированного с устройством VMware Identity Manager.
Рис. 1. Использование VMware Identity Manager Connector в режиме поддержки исходящих соединений

VMware Identity Manager Connector

Примечание: Если необходимо настроить единый вход для Android, включите сквозную передачу SSL на порте 5262 в подсистеме балансировки нагрузки перед службой VMware Identity Manager.
Примечание: Если планируется настроить проверку подлинности сертификата во внедренном соединителе, включите сквозную передачу SSL в подсистеме балансировки нагрузки для порта, настроенного для этой сквозной передачи SSL для проверки подлинности сертификата. По умолчанию используется порт 7443.

Требования к портам

В подсистеме балансировки нагрузки или брандмауэре необходимо открыть следующие порты для сервера VMware Identity Manager.
  • Входящий порт 443 (HTTPS)
  • Входящий порт 88 (TCP/UDP) — только единый вход для iOS
  • Входящий порт 5262 (HTTPS) — только единый вход для Android
  • Входящий порт CertAuthSSLPassthroughPort (HTTPS) — только для проверки подлинности сертификатов, настроенной во внедренном соединителе. По умолчанию используется порт 7443.

VMware Identity Manager Connector устанавливается в режиме поддержки только исходящих соединений, поэтому для него не требуется открывать порт 443 для входящих соединений. Он взаимодействует со службой VMware Identity Manager через канал связи на основе WebSocket.

Полный перечень используемых портов см. в разделах Развертывание VMware Identity Manager в демилитаризованной зоне и Развертывание VMware Identity Manager Connector в корпоративной сети.

Поддерживаемые методы проверки подлинности

Эта модель развертывания поддерживает все методы проверки подлинности. Для некоторых методов проверки подлинности соединитель не требуется, поскольку управление ими осуществляется непосредственно из службы через встроенный поставщик удостоверений.

  • Пароль — используется соединитель
  • RSA Adaptive Authentication — используется соединитель
  • RSA SecurID — используется соединитель
  • RADIUS — используется соединитель
  • Сертификат — используется внедренный соединитель
  • VMware Verify — через встроенный поставщик удостоверений
  • Единый вход на мобильных устройствах (iOS) — через встроенный поставщик удостоверений
  • Единый вход на мобильных устройствах (Android) — через встроенный поставщик удостоверений
  • Входящие данные SAML — через встроенный поставщик удостоверений
Примечание: Дополнительные сведения об использовании Kerberos см. в разделе Добавление метода проверки подлинности Kerberos для развертывания.

Поддерживаемые типы интеграции каталога

В этой модели развертывания со службой VMware Identity Manager можно интегрировать следующие типы корпоративных каталогов.

  • Active Directory с протоколом LDAP
  • Active Directory, встроенный механизм проверки подлинности Windows.
  • Каталог LDAP

    Если планируется интеграция каталога LDAP, ознакомьтесь с ограничениями, приведенными в разделе «Интеграция с каталогами LDAP» в руководстве Интеграция каталога с VMware Identity Manager.

Можно также использовать следующие способы создания пользователей в службе VMware Identity Manager.

  • Создание локальных пользователей непосредственно в службе VMware Identity Manager.
  • Использование динамического создания пользователей в службе VMware Identity Manager при входе с помощью механизма моментальной регистрации на основе утверждений SAML, отправляемых сторонним поставщиком удостоверений.

Поддерживаемые ресурсы

В этой модели развертывания со службой VMware Identity Manager можно интегрировать следующие типы ресурсов.

  • Веб-приложения
  • пулы виртуальных компьютеров и приложений Horizon 7, Horizon 6 или View;
  • Приложения и виртуальные компьютеры Horizon Cloud
  • Опубликованные ресурсы Citrix
  • Пакетные приложения ThinApp

Дополнительные сведения