若要部署 VMware Identity Manager Connector,請確定您的系統符合必要的需求。

VMware Identity Manager 服務與連接器之間的相容性

您可以將 VMware Identity Manager Connector 與 VMware Identity Manager 雲端服務搭配使用,或與內部部署 VMware Identity Manager 服務虛擬應用裝置搭配使用。

使用 VMware Identity Manager 雲端服務時,您可以使用所有支援的連接器版本。不過,建議使用最新版的連接器。

使用 VMware Identity Manager 內部部署服務時,您可以使用與服務版本相同或較低的受支援連接器版本。例如,使用 VMware Identity Manager 19.03 服務時,您可以使用 Connector 19.03 及更早版本。您無法使用高於服務版本的連接器版本。例如,您無法將 20.01 Connector 與 19.03 服務搭配使用。建議使用最新相容版本的連接器。

如需受支援版本的相關資訊,請參閱https://www.vmware.com/support/policies/lifecycle.html

硬體需求

請確定 Windows Server 符合下列硬體需求。

表 1. VMware Identity Manager Connector 的需求
使用者數量 最多 1000 1000 到 10,000 10,000 到 25,000 25,000 到 50,000 50,000 到 100,000
CPU 2

2 個負載平衡伺服器,每個具有 4 個 CPU

2 個負載平衡伺服器,每個具有 4 個 CPU

2 個負載平衡伺服器,每個具有 4 個 CPU

2 個負載平衡伺服器,每個具有 4 個 CPU

每一伺服器的 RAM (GB) 6 各 6 各 8 各 16 各 16
磁碟空間 (GB) 50 各 50 各 50 各 50 各 50
備註:
  • 每個 CPU 核心應為 2.0 GHz 或更高。需要一個 Intel 處理器。
  • 磁碟空間需求包括:VMware Identity Manager Connector 應用程式、Windows 作業系統和 .NET 執行階段需要 1 GB 的磁碟空間。針對記錄會配置額外的磁碟空間。
  • 在安裝連接器之後,若要增加記憶體,請參閱更新 VMware Identity Manager Connector 19.03 的 Java 記憶體

軟體需求

請確定 Windows Server 符合下列軟體需求。

需求 附註

Windows Server 2019 或

Windows Server 2016 或

Windows Server 2012 R2

備註: 從 2020 年 9 月起,不再支援 Windows Server 2012 和 2008 R2。
在伺服器上安裝 PowerShell
備註: 如果您要安裝在 Windows Server 2008 R2 上,則需要 PowerShell 4.0 版。
備註: 從 2020 年 9 月起,不再支援 Windows Server 2012 和 2008 R2。
安裝 NET Framework 4.6.2

網路需求

設定下方列出的連接埠時,所有流量皆為從來源元件至目的地元件的單向 (輸出)。

輸出 Proxy 或任何其他連線管理軟體或硬體皆不得終止或拒絕來自 VMware Identity Manager Connector 的輸出連線。VMware Identity Manager Connector 所需使用的輸出連線必須隨時保持開啟。

表 2. VMware Identity Manager Connector 連接埠需求
來源 目的地 連接埠 通訊協定 附註
VMware Identity Manager Connector VMware Identity Manager 服務

VMware Identity Manager 服務主機 (內部部署安裝)

443 HTTPS 預設連接埠

必要

VMware Identity Manager Connector VMware Identity Manager 服務負載平衡器 (內部部署安裝) 443 HTTPS
瀏覽器 VMware Identity Manager Connector 8443 HTTPS 管理連接埠

必要

瀏覽器 VMware Identity Manager Connector 80 HTTP 必要
瀏覽器 VMware Identity Manager Connector 443 HTTPS 只有要在輸入模式中使用的連接器時才需要此連接埠。

如果在連接器上設定了 Kerberos 驗證,則需要此連接埠。

VMware Identity Manager Connector Active Directory 389, 636, 3268, 3269 預設連接埠。可以設定這些連接埠。
VMware Identity Manager Connector DNS 伺服器 53 TCP/UDP

每個執行個體都必須可透過連接埠 53 存取 DNS 伺服器,並在連接埠 22 上允許傳入 SSH 流量。

VMware Identity Manager Connector 網域控制站 88、464、135、445 TCP/UDP 用於 Kerberos 驗證
VMware Identity Manager Connector RSA SecurID 系統 5500 預設連接埠。此連接埠可供設定。
VMware Identity Manager Connector Horizon 連線伺服器 389, 443

存取 Horizon 連線伺服器執行個體以進行 Horizon 的整合

VMware Identity Manager Connector Integration Broker 80, 443 存取 Integration Broker 以與 Citrix 發佈的資源進行整合。
重要: 如果您將 Integration Broker 安裝在與 VMware Identity Manager Connector 相同的 Windows Server 上,則必須確定在 IIS 伺服器預設網站的站台繫結中,HTTP 和 HTTPS 繫結連接埠不會與 VMware Identity Manager Connector 所使用的連接埠衝突。

VMware Identity Manager Connector 使用連接埠 80、443 和 8443。

不建議在 VMware Identity Manager Connector 伺服器上安裝 Integration Broker。

VMware Identity Manager Connector Syslog 伺服器 514 UDP 適用於外部 Syslog 伺服器 (若已設定)

VMware Identity Manager 雲端主控 IP 位址

(雲端部署) 請參閱知識庫文章 68035,以取得 VMware Identity Manager Connector 必須具有存取權的 VMware Identity Manager 服務 IP 位址清單。

DNS 記錄和 IP 位址需求

連接器必須要有可用的 DNS 項目和靜態 IP 位址。開始安裝之前,請先取得 DNS 記錄和 IP 位址,以便使用及設定 Windows Server 的網路設定。

如果您想要設定 Kerberos 驗證,請務必為連接器選取使用者易記的適當主機名稱。設定好 Kerberos 後,使用者可以看到 VMware Identity Manager Connector 主機名稱。

反向查閱的設定是選擇性的。在實作反向查閱時,您必須在 DNS 伺服器上定義 PTR 記錄,讓連接器使用正確的網路組態。

您可以使用下列 DNS 記錄的範例清單。將範例資訊取代為環境資訊。此範例會顯示正向 DNS 記錄和 IP 位址。

表 3. 正向 DNS 記錄和 IP 位址範例
網域名稱 資源類型 IP 位址
myconnector.company.com A 10.28.128.3

此範例會顯示反向 DNS 記錄和 IP 位址。

表 4. 反向 DNS 記錄和 IP 位址範例
IP 位址 資源類型 主機名稱
10.28.128.3 PTR myconnector.company.com

完成 DNS 組態後,請確認反向 DNS 查閱的設定是否正確。例如,命令 host IPaddress 必須解析為 DNS 名稱查閱。

備註: 如果您負載平衡器的虛擬 IP 位址 (VIP) 在 DNS 伺服器前面,則請注意, VMware Identity Manager 並不支援使用 VIP。您可以指定以逗號分隔的多個 DNS 伺服器。
備註: 如果您使用 Unix 或 Linux 型 DNS 伺服器,並打算將連接器加入至 Active Directory 網域,請務必為每個 Active Directory 網域控制站建立適當的服務資源記錄 (SRV)。

時間同步化

必須在所有 VMware Identity Manager 服務和連接器執行個體上設定時間同步化,VMware Identity Manager 部署才能正常運作。

如需設定 VMware Identity Manager Connector 時間同步化的相關資訊,請參閱為 VMware Identity Manager Connector 設定時間同步化 (Windows)

如需設定 VMware Identity Manager 服務的時間同步化的相關資訊,請參閱《安裝和設定 Linux 版 VMware Identity Manager》《安裝和設定 Windows 版 VMware Identity Manager》

支援的 Active Directory 版本

支援由單一 Active Directory 網域、單一 Active Directory 樹系中的多個網域,或多個 Active Directory 樹系中的多個網域組成的 Active Directory 環境。

VMware Identity Manager 支援 Windows Server 2012 R2、2016 和 2019 (具有網域功能層級) 上的 Active Directory,以及 Windows 2003 及更新版本 (具有樹系功能層級) 的 Active Directory。

備註: 從 2020 年 9 月起,不再支援 Windows Server 2008、2008 R2 和 2012。
備註: 某些功能可能需要更高的功能層級。例如,若要讓使用者能夠從 Workspace ONE 變更 Active Directory 密碼,則網域功能層級必須是 Windows 2008 或更新版本。

連接器數目的限制

VMware Identity Manager 主控台只能顯示 20 個舊版連接器 (19.03 或更舊版本的連接器)。根據您使用的 VMware Identity Manager 服務版本,舊版連接器會列在 [身分識別與存取管理] > [設定] > [連接器] 頁面,或 [身分識別與存取管理] > [設定] > [舊版連接器] 頁面上。請勿向服務新增超過 20 個舊版連接器執行個體。

此限制不適用於 Workspace ONE Access Connector 20.01 或更新版本。