若要瞭解 VMware Identity Manager 服務如何與您的 Active Directory 或 LDAP 目錄環境整合,則必須具備幾項整體概念。

VMware Identity Manager Connector

VMware Identity Manager Connector 是您在企業網路內部部署之 VMware Identity Manager 服務的元件。

  • 將使用者和群組資料從您的 Active Directory 或 LDAP 目錄同步至 VMware Identity Manager 服務。
  • 用作身分識別提供者時,對 VMware Identity Manager 服務驗證使用者。

    連接器是預設身分識別提供者。您也可以使用支援 SAML 2.0 通訊協定的第三方身分識別提供者。如果根據您的企業安全性原則,第三方身分識別提供者更為適用,請針對連接器不支援的驗證類型使用第三方身分識別提供者。

    備註: 如果您使用第三方身分識別提供者,您可以將 連接器設定為同步使用者和群組資料,也可以設定 Just-in-Time 使用者佈建。如需詳細資訊,請參閱 《VMware Identity Manager 管理》中的〈Just-in-Time 使用者佈建〉一節。

目錄

VMware Identity Manager 服務有其本身的目錄概念,對應於您環境中的 Active Directory 或 LDAP 目錄。此目錄會使用屬性來定義使用者和群組。您可以在服務中建立一或多個目錄,然後將這些目錄與 Active Directory 或 LDAP 目錄同步。您可以在服務中建立下列目錄類型。

  • Active Directory
    • Active Directory over LDAP。如果您計劃連線至單一 Active Directory 網域環境,請建立此目錄類型。對於 Active Directory over LDAP 目錄類型,連接器使用簡單繫結驗證繫結至 Active Directory。
    • Active Directory (整合式 Windows 驗證)。如果您計劃連線至多網域或多樹系 Active Directory 環境,請建立此目錄類型。連接器會使用整合式 Windows 驗證繫結至 Active Directory。

    視您的 Active Directory 環境 (例如單一網域或多網域) 以及網域之間使用的信任類型而定,您所建立的目錄類型和數目會有所不同。在多數環境中,您需要建立一個目錄。

  • LDAP 目錄

    建立 LDAP 目錄,以將企業 LDAP 目錄與 VMware Identity Manager 整合。您只能整合單一網域 LDAP 目錄。VMware Identity Manager 僅支援可支援分頁搜尋查詢的 OpenLDAP 實作。

服務無法直接存取您的 Active Directory 或 LDAP 目錄。只有連接器可以直接存取。因此,您可將服務中建立的每個目錄與連接器執行個體建立關聯。

工作執行緒

將目錄與連接器執行個體建立關聯時,連接器會為名為 Worker 的相關聯目錄建立一個磁碟分割。連接器執行個體可以有多個相關聯的 Worker。每個 Worker 都充當一個身分識別提供者。您可針對每個 Worker 定義並設定驗證方法。

連接器可透過一或多個 Worker,同步您的 Active Directory 或 LDAP 目錄與服務之間的使用者和群組資料。

重要: 您無法在同一 連接器執行個體上擁有類型為整合式 Windows 驗證的兩個 Active Directory Worker。

安全考量事項

針對與 VMware Identity Manager 服務整合的企業目錄,必須直接在企業目錄中設定使用者密碼複雜性規則和帳戶鎖定原則之類的安全設定。VMware Identity Manager 不會覆寫這些設定。