Существует несколько понятий, связанных с Active Directory, которые важны для понимания того, как Directories Management интегрируется со средой Active Directory.

Соединитель

Компонент службы соединитель выполняет следующие функции.

  • Синхронизация данных о пользователях и группах между Active Directory и службой.

  • Проверка подлинности пользователей в службе при использовании в качестве поставщика удостоверений.

    соединитель является поставщиком удостоверений по умолчанию. Список поддерживаемых соединитель способов проверки подлинности см. в разделе Администрирование VMware Identity Manager. Также можно использовать сторонних поставщиков удостоверений, которые поддерживают протокол SAML 2.0. Используйте стороннего поставщика удостоверений для типов проверки подлинности, которые не поддерживаются соединитель, а также для поддерживаемых соединитель типов проверки подлинности, если согласно политике безопасности организации сторонний поставщик удостоверений является предпочтительным.

    Примечание:

    Даже при использовании сторонних поставщиков удостоверений необходимо настроить соединитель для синхронизации данных о пользователях и группах.

Каталог

Служба Directories Management основана на собственной концепции каталога, согласно которой для определения пользователей и групп используются атрибуты и параметры Active Directory. Необходимо создать один или несколько каталогов, а затем синхронизировать эти каталоги в среде Active Directory. В службе можно создать следующие типы каталогов.

  • Active Directory через LDAP. Этот тип каталога создается, если планируется подключение к среде Active Directory с одним доменом. В случае использования типа каталога Active Directory через LDAP соединитель связывается с Active Directory, используя простую привязку проверки подлинности.

  • Active Directory, встроенная проверка подлинности Windows. Этот тип каталога создается, если планируется подключение к среде Active Directory с несколькими доменами или несколькими лесами. соединитель связывается с Active Directory, используя встроенную проверку подлинности Windows.

Тип и количество создаваемых каталогов варьируется в зависимости от среды Active Directory (один домен или нескольких доменов) и от вида используемых отношений доверия между доменами. В большинстве сред создается один каталог.

Служба не имеет прямого доступа к Active Directory. Только соединитель имеет прямой доступ к Active Directory. Таким образом, каждый каталог, созданный в службе, связывается с экземпляром соединитель.

Рабочий процесс

При связывании каталога с экземпляром соединитель соединитель создает раздел для связанного каталога, который называется «рабочий процесс». Экземпляр соединитель может иметь несколько рабочих процессов, связанных с ним. Каждый рабочий процесс выступает в качестве поставщика удостоверений. Для каждого рабочего процесса определяются и настраиваются способы проверки подлинности.

соединитель синхронизирует данные о пользователях и группах между Active Directory и службой с помощью одного или нескольких рабочих процессов.

Для типа «встроенная проверка подлинности Windows» может быть только один рабочий процесс на одном экземпляре соединитель.