如果您不想在企業網路中部署 VMware Identity Manager 虛擬應用裝置,則可以將其部署在 DMZ 中。若您在 DMZ 中部署 VMware Identity Manager 應用裝置,則也需要在企業網路中以僅限輸出連線模式來部署獨立 VMware Identity Manager Connector。

系統和網路組態需求

除了此處列出的差異以外,在 DMZ 中部署 VMware Identity Manager 的網路組態需求皆與在企業網路中部署 VMware Identity Manager 的需求相似,相關說明請參閱《安裝和設定 VMware Identity Manager》中的〈系統和網路組態需求〉與〈準備部署 VMware Identity Manager〉。

  • 您無須對企業網路中的任何應用裝置開啟輸入防火牆連接埠。

    VMware Identity Manager 虛擬應用裝置會部署在 DMZ 中。VMware Identity Manager Connector 會使用僅限輸出連線模式部署在企業網路中,並且透過 Websocket 型通訊通道與服務通訊。

  • 您不需要部署反向 Proxy 或負載平衡器,即可啟用對 VMware Identity Manager 的外部存取。
  • 僅在為 VMware Identity Manager 虛擬應用裝置設定高可用性和備援時才需要負載平衡器。
  • 如果在內嵌連接器上設定憑證驗證,則需要在負載平衡器上針對設定為憑證驗證之 SSL 傳遞連接埠的連接埠啟用 SSL 傳遞。預設連接埠為 7443。
  • 使用的連接埠如下。您的部署可能僅需要其中一個子集。
    連接埠 來源 目標 說明
    443 負載平衡器

    VMware Identity Manager 虛擬應用裝置

    		HTTPS
    443 VMware Identity Manager 虛擬應用裝置 負載平衡器 HTTPS

    設定時需要驗證負載平衡器 FQDN

    443 連接器 VMware Identity Manager 服務主機 HTTPS
    443 連接器 VMware Identity Manager 服務負載平衡器 HTTPS
    443 瀏覽器

    VMware Identity Manager 虛擬應用裝置

    		HTTPS
    88 瀏覽器

    VMware Identity Manager 虛擬應用裝置

    		TCP/UDP

    僅限 iOS SSO

    5262 瀏覽器 VMware Identity Manager 虛擬應用裝置 TCP/UDP

    僅限 Android SSO

    88 VMware Identity Manager 虛擬應用裝置 雲端中的混合 KDC 伺服器。主機名稱為 kdc.<realm>。例如,kdc.op.vmwareidentity.com。

    UDP 連接埠用來驗證儲存至雲端 KDC 服務的 iOS 行動 SSO 驗證配接器組態更新。僅在使用混合 KDC iOS 行動 SSO 功能時,才會使用此連接埠。

    443、80

    VMware Identity Manager 虛擬應用裝置

    		vapp-updates.vmware.com 存取 VMware 升級伺服器
    443 VMware Identity Manager 虛擬應用裝置 catalog.vmwareidentity.com 存取雲端目錄
    443 VMware Identity Manager 虛擬應用裝置 discovery.awmdm.com Workspace ONE 應用程式自動探索的存取
    8443 瀏覽器

    VMware Identity Manager 虛擬應用裝置

    		管理員連接埠

    HTTPS

    25

    VMware Identity Manager 虛擬應用裝置

    		SMTP 伺服器 轉送輸出郵件的 TCP 連接埠
    53

    VMware Identity Manager 虛擬應用裝置

    		DNS 伺服器 TCP/UDP

    每個虛擬應用裝置都必須可透過連接埠 53 存取 DNS 伺服器,並在連接埠 22 上允許傳入 SSH 流量。

    443、8443 VMware Identity Manager 虛擬應用裝置 VMware Identity Manager 虛擬應用裝置 HTTPS/HTTP

    適用於叢集中,以及不同資料中心內各叢集間的所有 VMware Identity Manager 執行個體

    9300 (TCP)

    54328 (UDP)

    VMware Identity Manager 虛擬應用裝置

    VMware Identity Manager 虛擬應用裝置

    稽核需求

    5701 (TCP)

    VMware Identity Manager 虛擬應用裝置

    VMware Identity Manager 虛擬應用裝置

    		Hazelcast 快取
    40002 (TCP)

    40003 (TCP)

    VMware Identity Manager 虛擬應用裝置

    VMware Identity Manager 虛擬應用裝置

    		Ehcache

    1433

    VMware Identity Manager 虛擬應用裝置

    資料庫

    Microsoft SQL 預設連接埠是 1433

    443

    VMware Identity Manager 虛擬應用裝置

    		Workspace ONE UEM REST API HTTPS

    適用於裝置符合性檢查,以及 ACC 密碼驗證方法 (如有使用)。

    憑證驗證的 SSL 傳遞連接埠 瀏覽器 VMware Identity Manager 虛擬應用裝置 HTTPS

    適用於內嵌連接器上設定的憑證驗證。

    預設連接埠:7443

    514 VMware Identity Manager 虛擬應用裝置 Syslog 伺服器 UDP

    適用於外部 Syslog 伺服器 (若已設定)

部署 VMware Identity Manager 應用裝置

如需部署及設定 VMware Identity Manager 虛擬應用裝置的相關資訊,請參閱《安裝和設定 VMware Identity Manager》中的〈部署 VMware Identity Manager〉和〈管理應用裝置系統組態設定〉。

設定容錯移轉和備援

如需為 VMware Identity Manager 虛擬應用裝置設定容錯移轉和備援的相關資訊,請參閱《安裝和設定 VMware Identity Manager》中的下列章節:

  • 在單一資料中心設定容錯移轉和備援
  • 在次要資料中心部署 VMware Identity Manager 以進行容錯移轉和備援
備註: 〈使用負載平衡器或反向 Proxy 來啟用 VMware Identity Manager 的外部存取〉一節中的說明不適用於將 VMware Identity Manager 部署在 DMZ 中的情況。