若要部署 VMware Identity Manager Connector,請確定您的系統符合必要的需求。
硬體需求
請確定 Windows Server 符合下列硬體需求。
使用者數量 |
最多 1000 |
1000 到 10,000 |
10,000 到 25,000 |
25,000 到 50,000 |
50,000 到 100,000 |
---|---|---|---|---|---|
CPU |
2 |
2 個負載平衡伺服器,每個具有 4 個 CPU |
2 個負載平衡伺服器,每個具有 4 個 CPU |
2 個負載平衡伺服器,每個具有 4 個 CPU |
2 個負載平衡伺服器,每個具有 4 個 CPU |
每一伺服器的 RAM (GB) |
6 |
各 6 |
各 8 |
各 16 |
各 16 |
磁碟空間 (GB) |
50 |
各 50 |
各 50 |
各 50 |
各 50 |
每個 CPU 核心應為 2.0 GHz 或更高。需要一個 Intel 處理器。
磁碟空間需求包括:VMware Identity Manager Connector 應用程式、Windows 作業系統和 .NET 執行階段需要 1 GB 的磁碟空間。針對記錄會配置額外的磁碟空間。
軟體需求
請確定 Windows Server 符合下列軟體需求。
狀態檢查清單 |
需求 |
附註 |
---|---|---|
Windows Server 2008 R2 或 Windows Server 2012 或 Windows Server 2012 R2 或 Windows Server 2016 |
||
在伺服器上安裝 PowerShell |
備註:
如果您要安裝在 Windows Server 2008 R2 上,則需要 PowerShell 4.0 版。 |
|
安裝 NET Framework 4.6.2 |
網路需求
設定下方列出的連接埠時,所有流量皆為從來源元件至目的地元件的單向 (輸出)。
輸出 Proxy 或任何其他連線管理軟體或硬體皆不得終止或拒絕來自 VMware Identity Manager Connector 的輸出連線。VMware Identity Manager Connector 所需使用的輸出連線必須隨時保持開啟。
來源 |
目的地 |
連接埠 |
通訊協定 |
附註 |
---|---|---|---|---|
VMware Identity Manager Connector |
VMware Identity Manager 服務 VMware Identity Manager 服務主機 (內部部署安裝) |
443 |
HTTPS |
預設連接埠 必要 |
VMware Identity Manager Connector |
VMware Identity Manager 服務負載平衡器 (內部部署安裝) |
443 |
HTTPS |
|
瀏覽器 |
VMware Identity Manager Connector |
8443 |
HTTPS |
管理連接埠 必要 |
瀏覽器 |
VMware Identity Manager Connector |
80 |
HTTP |
必要 |
瀏覽器 |
VMware Identity Manager Connector |
443 |
HTTPS |
只有要在輸入模式中使用的連接器時才需要此連接埠。 如果在連接器上設定了 Kerberos 驗證,則需要此連接埠。 |
VMware Identity Manager Connector |
Active Directory |
389, 636, 3268, 3269 |
預設連接埠。可以設定這些連接埠。 |
|
VMware Identity Manager Connector |
DNS 伺服器 |
53 |
TCP/UDP |
每個執行個體都必須可透過連接埠 53 存取 DNS 伺服器,並在連接埠 22 上允許傳入 SSH 流量。 |
VMware Identity Manager Connector |
網域控制站 |
88、464、135、445 |
TCP/UDP |
用於 Kerberos 驗證 |
VMware Identity Manager Connector |
RSA SecurID 系統 |
5500 |
預設連接埠。此連接埠可供設定。 |
|
VMware Identity Manager Connector |
Horizon 連線伺服器 |
389, 443 |
存取 Horizon 連線伺服器執行個體以進行 Horizon 的整合 |
|
VMware Identity Manager Connector |
Integration Broker |
80, 443 |
存取 Integration Broker 以與 Citrix 發佈的資源進行整合。
重要:
如果您將 Integration Broker 安裝在與 VMware Identity Manager Connector 相同的 Windows Server 上,則必須確定在 IIS 伺服器預設網站的站台繫結中,HTTP 和 HTTPS 繫結連接埠不會與 VMware Identity Manager Connector 所使用的連接埠衝突。 VMware Identity Manager Connector 使用連接埠 80、443 和 8443。 不建議在 VMware Identity Manager Connector 伺服器上安裝 Integration Broker。 |
|
VMware Identity Manager Connector |
Syslog 伺服器 |
514 |
UDP |
適用於外部 Syslog 伺服器 (若已設定) |
VMware Identity Manager 雲端主控 IP 位址
(雲端部署) 請參閱知識庫文章 2149884,以取得 VMware Identity Manager Connector 必須具有存取權的 VMware Identity Manager 服務 IP 位址清單。
DNS 記錄和 IP 位址需求
連接器必須要有可用的 DNS 項目和靜態 IP 位址。開始安裝之前,請先取得 DNS 記錄和 IP 位址,以便使用及設定 Windows Server 的網路設定。
如果您想要設定 Kerberos 驗證,請務必為連接器選取使用者易記的適當主機名稱。設定好 Kerberos 後,使用者可以看到 VMware Identity Manager Connector 主機名稱。
反向查閱的設定是選擇性的。在實作反向查閱時,您必須在 DNS 伺服器上定義 PTR 記錄,讓連接器使用正確的網路組態。
您可以使用下列 DNS 記錄的範例清單。將範例資訊取代為環境資訊。此範例會顯示正向 DNS 記錄和 IP 位址。
網域名稱 |
資源類型 |
IP 位址 |
---|---|---|
myconnector.company.com |
A |
10.28.128.3 |
此範例會顯示反向 DNS 記錄和 IP 位址。
IP 位址 |
資源類型 |
主機名稱 |
---|---|---|
10.28.128.3 |
PTR |
myconnector.company.com |
完成 DNS 組態後,請確認反向 DNS 查閱的設定是否正確。例如,命令 host IPaddress 必須解析為 DNS 名稱查閱。
如果您負載平衡器的虛擬 IP 位址 (VIP) 在 DNS 伺服器前面,則請注意,VMware Identity Manager 並不支援使用 VIP。您可以指定以逗號分隔的多個 DNS 伺服器。
如果您使用 Unix 或 Linux 型 DNS 伺服器,並打算將連接器加入至 Active Directory 網域,請務必為每個 Active Directory 網域控制站建立適當的服務資源記錄 (SRV)。
時間同步化
必須在所有 VMware Identity Manager 服務和連接器執行個體上設定時間同步化,VMware Identity Manager 部署才能正常運作。
如需設定 VMware Identity Manager Connector 時間同步化的相關資訊,請參閱為 VMware Identity Manager Connector 設定時間同步化 (Windows)。
如需設定 VMware Identity Manager 服務的時間同步化的相關資訊,請參閱《安裝和設定 Linux 版 VMware Identity Manager》和《安裝和設定 Windows 版 VMware Identity Manager》。
支援的 Active Directory 版本
支援由單一 Active Directory 網域、單一 Active Directory 樹系中的多個網域,或多個 Active Directory 樹系中的多個網域組成的 Active Directory 環境。
VMware Identity Manager 支援 Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2 和 Windows Server 2016 上的 Active Directory,以及具有網域功能層級和樹系功能層級的 Windows 2003 及更新版本。
某些功能可能需要更高的功能層級。例如,若要讓使用者能夠從 Workspace ONE 變更 Active Directory 密碼,則網域功能層級必須是 Windows 2008 或更新版本。