通常,一開始設定身分識別目錄管理時,您會使用隨現有 vRealize Automation 基礎結構提供的連接器,來建立適用於以使用者識別碼和密碼為基礎之驗證和管理的 Active Directory 連線。此外,您可以將身分識別目錄管理和其他驗證解決方案 (例如,Kerberos 或 RSA SecurID) 進行整合。

身分識別提供者執行個體可以是 Directories Management 連接器執行個體、第三方身分識別提供者執行個體或兩者的組合。

Directories Management 服務搭配使用的身分識別提供者執行個體,會建立使用 SAML 2.0 宣告與服務通訊的網路內部聯盟授權機構。

在您初次部署 Directories Management 服務時,連接器將是服務的初始身分識別提供者。您現有的 Active Directory 基礎結構會用於使用者驗證和管理。

支援下列驗證方法。您可以從管理主控台設定這些驗證方法。

表格 1. 身分識別目錄管理支援的使用者驗證類型

驗證類型

說明

密碼 (內部部署)

設定 Active Directory 後無需進行任何設定,Directories Management 即可支援 Active Directory 密碼驗證。此方法可直接針對 Active Directory 驗證使用者。

桌面平台的 Kerberos

Kerberos 驗證可為網域使用者提供其應用程式入口網站的單一登入存取。使用者在登入網路後不需要再次登入。

憑證 (內部部署)

憑證式驗證可設定為允許用戶端在其桌面或行動裝置上使用憑證進行驗證,或使用智慧卡介面卡進行驗證。

憑證式驗證以使用者所有和人員所知為基礎。X.509 憑證使用公開金鑰基礎結構標準,確認憑證中所包含的公開金鑰屬於使用者。

RSA SecurID (內部部署)

設定 RSA SecurID 驗證時,會在 RSA SecurID 伺服器中將 Directories Management 設定為驗證代理程式。RSA SecurID 驗證需要使用者使用 Token 式驗證系統。RSA SecurID 驗證方法適用於從企業網路外部存取 Directories Management 的使用者。

RADIUS (內部部署)

RADIUS 驗證提供雙因素驗證選項。您可以設定 Directories Management 服務可以存取的 RADIUS 伺服器。使用者使用其使用者名稱與密碼登入時,會提交存取申請至 RADIUS 伺服器,以進行驗證。

RSA 調適性驗證 (內部部署)

與針對 Active Directory 僅進行使用者名稱及密碼驗證相比,RSA 驗證提供更強大的多因素驗證。當 RSA 調適性驗證啟用時,指定於風險原則中的風險指標將會在 RSA 原則管理應用程式中進行設定。調適性驗證的 Directories Management 服務組態會用來決定必要的驗證提示。

Mobile SSO (iOS 版)

iOS 版 Mobile SSO 驗證可用於 AirWatch 管理的 iOS 裝置的單一登入驗證。Mobile SSO (iOS 版) 驗證會使用 Directories Management 服務中的金鑰發佈中心 (KDC)。您必須先在 VMware Identity Manager 服務中啟動 KDC 服務,才能啟用此驗證方法。

Mobile SSO (Android 版)

Android 版 Mobile SSO 驗證可用於 AirWatch 管理的 Android 裝置的單一登入驗證。在 Directories Management 服務與 AirWatch 之間會設定一個 Proxy 服務,以從 AirWatch 擷取驗證所需的憑證。

密碼 (AirWatch Connector)

AirWatch Cloud Connector 可與 Directories Management 服務整合,用於使用者密碼驗證。您可以設定 Directories Management 服務,以從 AirWatch 目錄同步使用者。

系統會根據您所設定的驗證方法、預設存取原則規則、網路範圍和身分識別提供者執行個體來驗證使用者。設定驗證方法之後,您可以建立存取原則規則,以指定裝置類型所要使用的驗證方法。