在此模型中,您需要在 DMZ 中安裝VMware Identity Manager虛擬應用裝置。您也需要在企業網路中使用僅限輸出連線模式來安裝獨立VMware Identity ManagerConnector 虛擬應用裝置。此模型不包含任何 Workspace ONE UEM 元件。

使用者和群組會從您的企業目錄進行同步,而使用者驗證會由獨立VMware Identity ManagerConnector 進行處理。連接器也可將資源 (例如 Horizon 7 桌面平台和應用程式) 同步至 VMware Identity Manager服務。

備註:

有些驗證方法不需要連接器,而是由服務直接管理。

重要:

請使用獨立連接器 (而非與 VMware Identity Manager應用裝置整合的連接器) 進行使用者和群組的同步以及使用者驗證。

圖 1. 在輸出模式中使用 VMware Identity Manager Connector


VMware Identity Manager Connector


備註:

如果您打算設定 Android SSO,請在 VMware Identity Manager 前方的負載平衡器上啟用連接埠 5262 的 SSL 傳遞。

備註:

如果您想要在內嵌連接器上設定憑證驗證,請在負載平衡器上針對設定為憑證驗證 SSL 傳遞連接埠的連接埠啟用 SSL 傳遞。預設連接埠為 7443。

連接埠需求

VMware Identity Manager 伺服器的負載平衡器或防火牆上需要開啟下列連接埠:

  • 輸入 443 (HTTPS)

  • 輸入 88 (TCP/UDP) - 僅限 iOS SSO

  • 輸入 5262 (HTTPS) - 僅限 Android SSO

  • 輸入 CertAuthSSLPassthroughPort (HTTPS) - 僅限內嵌連接器上設定的憑證驗證。預設連接埠為 7443。

VMware Identity ManagerConnector 會以僅限輸出連線模式安裝,且不需要開啟輸入連接埠 443。連接器會透過 Websocket 型通訊通道與 VMware Identity Manager服務通訊。

如需所使用連接埠的完整清單,請參閱在 DMZ 中部署 VMware Identity Manager在企業網路中部署 VMware Identity ManagerConnector

支援的驗證方法

此部署模型支援所有的驗證方法。其中有部分驗證方法不需要連接器,而會透過內建身分識別提供者直接由服務進行管理。

  • 密碼 - 使用連接器

  • RSA 調適性驗證 - 使用連接器

  • RSA SecurID - 使用連接器

  • RADIUS - 使用連接器

  • 憑證 - 使用內嵌連接器

  • VMware Verify - 透過內建身分識別提供者

  • 行動 SSO (iOS) - 透過內建身分識別提供者

  • 行動 SSO (Android) - 透過內建身分識別提供者

  • 透過第三方身分識別提供者的輸入 SAML

備註:

如需使用 Kerberos 的相關資訊,請參閱將 Kerberos 驗證支援新增至您的部署

支援的目錄整合

在此部署模型中,您可以將下列類型的企業目錄與 VMware Identity Manager服務整合:

  • Active Directory over LDAP

  • Active Directory, 整合式 Windows 驗證

  • LDAP 目錄

    如果您計劃要整合 LDAP 目錄,請參閱《目錄與 VMware Identity Manager 的整合》中的〈與 LDAP 目錄整合〉的相關限制。

或者,您可以使用下列方法在 VMware Identity Manager服務中建立使用者:

  • 直接在 VMware Identity Manager服務中建立本機使用者。

  • 使用 Just-in-Time 佈建,在登入時使用第三方身分識別提供者所傳送的 SAML 判斷提示動態地在 VMware Identity Manager服務中建立使用者。

支援的資源

在此部署模型中,您可以將下列類型的資源與 VMware Identity Manager服務整合:

  • Web 應用程式

  • Horizon 7、Horizon 6 或 View 桌面平台和應用程式集區

  • Horizon Cloud 應用程式和桌面平台

  • Citrix 發佈的資源

  • ThinApp 封裝應用程式

其他資訊