若要部署 VMware Identity Manager Connector,請確定您的系統符合必要的需求。

硬體需求

請確定 Windows Server 符合下列硬體需求。

表格 1. VMware Identity Manager Connector 的需求

使用者數量

最多 1000

1000 到 10,000

10,000 到 25,000

25,000 到 50,000

50,000 到 100,000

CPU

2

2 個負載平衡伺服器,每個具有 4 個 CPU

2 個負載平衡伺服器,每個具有 4 個 CPU

2 個負載平衡伺服器,每個具有 4 個 CPU

2 個負載平衡伺服器,每個具有 4 個 CPU

每一伺服器的 RAM (GB)

6

各 6

各 8

各 16

各 16

磁碟空間 (GB)

50

各 50

各 50

各 50

各 50

備註:
  • 每個 CPU 核心應為 2.0 GHz 或更高。需要一個 Intel 處理器。

  • 磁碟空間需求包括:VMware Identity Manager Connector 應用程式、Windows 作業系統和 .NET 執行階段需要 1 GB 的磁碟空間。針對記錄會配置額外的磁碟空間。

軟體需求

請確定 Windows Server 符合下列軟體需求。

狀態檢查清單

需求

附註

Windows Server 2008 R2 或

Windows Server 2012 或

Windows Server 2012 R2 或

Windows Server 2016

在伺服器上安裝 PowerShell

備註:

如果您要安裝在 Windows Server 2008 R2 上,則需要 PowerShell 4.0 版。

安裝 NET Framework 4.6.2

網路需求

設定下方列出的連接埠時,所有流量皆為從來源元件至目的地元件的單向 (輸出)。

輸出 Proxy 或任何其他連線管理軟體或硬體皆不得終止或拒絕來自 VMware Identity Manager Connector 的輸出連線。VMware Identity Manager Connector 所需使用的輸出連線必須隨時保持開啟。

表格 2. VMware Identity Manager Connector 連接埠需求

來源

目的地

連接埠

通訊協定

附註

VMware Identity Manager Connector

VMware Identity Manager 服務

VMware Identity Manager 服務主機 (內部部署安裝)

443

HTTPS

預設連接埠

必要

VMware Identity Manager Connector

VMware Identity Manager 服務負載平衡器 (內部部署安裝)

443

HTTPS

瀏覽器

VMware Identity Manager Connector

8443

HTTPS

管理連接埠

必要

瀏覽器

VMware Identity Manager Connector

80

HTTP

必要

瀏覽器

VMware Identity Manager Connector

443

HTTPS

只有要在輸入模式中使用的連接器時才需要此連接埠。

如果在連接器上設定了 Kerberos 驗證,則需要此連接埠。

VMware Identity Manager Connector

Active Directory

389, 636, 3268, 3269

預設連接埠。可以設定這些連接埠。

VMware Identity Manager Connector

DNS 伺服器

53

TCP/UDP

每個執行個體都必須可透過連接埠 53 存取 DNS 伺服器,並在連接埠 22 上允許傳入 SSH 流量。

VMware Identity Manager Connector

網域控制站

88、464、135、445

TCP/UDP

用於 Kerberos 驗證

VMware Identity Manager Connector

RSA SecurID 系統

5500

預設連接埠。此連接埠可供設定。

VMware Identity Manager Connector

Horizon 連線伺服器

389, 443

存取 Horizon 連線伺服器執行個體以進行 Horizon 的整合

VMware Identity Manager Connector

Integration Broker

80, 443

存取 Integration Broker 以與 Citrix 發佈的資源進行整合。

重要:

如果您將 Integration Broker 安裝在與 VMware Identity Manager Connector 相同的 Windows Server 上,則必須確定在 IIS 伺服器預設網站的站台繫結中,HTTP 和 HTTPS 繫結連接埠不會與 VMware Identity Manager Connector 所使用的連接埠衝突。

VMware Identity Manager Connector 使用連接埠 80、443 和 8443。

不建議在 VMware Identity Manager Connector 伺服器上安裝 Integration Broker。

VMware Identity Manager Connector

Syslog 伺服器

514

UDP

適用於外部 Syslog 伺服器 (若已設定)

VMware Identity Manager 雲端主控 IP 位址

(雲端部署) 請參閱知識庫文章 2149884,以取得 VMware Identity Manager Connector 必須具有存取權的 VMware Identity Manager 服務 IP 位址清單。

DNS 記錄和 IP 位址需求

連接器必須要有可用的 DNS 項目和靜態 IP 位址。開始安裝之前,請先取得 DNS 記錄和 IP 位址,以便使用及設定 Windows Server 的網路設定。

如果您想要設定 Kerberos 驗證,請務必為連接器選取使用者易記的適當主機名稱。設定好 Kerberos 後,使用者可以看到 VMware Identity Manager Connector 主機名稱。

反向查閱的設定是選擇性的。在實作反向查閱時,您必須在 DNS 伺服器上定義 PTR 記錄,讓連接器使用正確的網路組態。

您可以使用下列 DNS 記錄的範例清單。將範例資訊取代為環境資訊。此範例會顯示正向 DNS 記錄和 IP 位址。

表格 3. 正向 DNS 記錄和 IP 位址範例

網域名稱

資源類型

IP 位址

myconnector.company.com

A

10.28.128.3

此範例會顯示反向 DNS 記錄和 IP 位址。

表格 4. 反向 DNS 記錄和 IP 位址範例

IP 位址

資源類型

主機名稱

10.28.128.3

PTR

myconnector.company.com

完成 DNS 組態後,請確認反向 DNS 查閱的設定是否正確。例如,命令 host IPaddress 必須解析為 DNS 名稱查閱。

備註:

如果您負載平衡器的虛擬 IP 位址 (VIP) 在 DNS 伺服器前面,則請注意,VMware Identity Manager 並不支援使用 VIP。您可以指定以逗號分隔的多個 DNS 伺服器。

備註:

如果您使用 Unix 或 Linux 型 DNS 伺服器,並打算將連接器加入至 Active Directory 網域,請務必為每個 Active Directory 網域控制站建立適當的服務資源記錄 (SRV)。

時間同步化

必須在所有 VMware Identity Manager 服務和連接器執行個體上設定時間同步化,VMware Identity Manager 部署才能正常運作。

如需設定 VMware Identity Manager Connector 時間同步化的相關資訊,請參閱為 VMware Identity Manager Connector 設定時間同步化 (Windows)

如需設定 VMware Identity Manager 服務的時間同步化的相關資訊,請參閱《安裝和設定 Linux 版 VMware Identity Manager》《安裝和設定 Windows 版 VMware Identity Manager》

支援的 Active Directory 版本

支援由單一 Active Directory 網域、單一 Active Directory 樹系中的多個網域,或多個 Active Directory 樹系中的多個網域組成的 Active Directory 環境。

VMware Identity Manager 支援 Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2 和 Windows Server 2016 上的 Active Directory,以及具有網域功能層級和樹系功能層級的 Windows 2003 及更新版本。

備註:

某些功能可能需要更高的功能層級。例如,若要讓使用者能夠從 Workspace ONE 變更 Active Directory 密碼,則網域功能層級必須是 Windows 2008 或更新版本。