與 Active Directory 相關的幾種概念對於瞭解 Directories Management 如何與您的 Active Directory 環境整合非常重要。

連接器

服務元件連接器將執行下列功能。

  • 同步 Active Directory 與服務之間的使用者和群組資料。

  • 做為身分識別提供者時,驗證服務的使用者。

    連接器是預設身分識別提供者。如需連接器支援的驗證方法,請參閱《VMware Identity Manager 管理》。您也可以使用支援 SAML 2.0 通訊協定的第三方身分識別提供者。如果根據企業安全性原則,第三方身分識別提供者更適用,請針對連接器不支援的驗證類型或連接器支援的驗證類型使用第三方身分識別提供者。

    備註︰

    即使您使用第三方身分識別提供者,您仍必須將連接器設定為同步使用者和群組資料。

目錄

Directories Management 服務擁有其自己的目錄概念,該概念使用 Active Directory 屬性和參數來定義使用者與群組。建立一或多個目錄,然後將這些目錄與 Active Directory 部署同步。您也可以在服務中建立下列目錄類型。

  • Active Directory over LDAP。如果您計劃連線至單一 Active Directory 網域環境,請建立此目錄類型。對於 Active Directory over LDAP 目錄類型,連接器使用簡單繫結驗證繫結至 Active Directory。

  • Active Directory (整合式 Windows 驗證)。如果您計劃連線至多網域或多樹系 Active Directory 環境,請建立此目錄類型。連接器使用整合式 Windows 驗證繫結至 Active Directory。

視您的 Active Directory 環境 (例如單一網域或多網域) 以及網域之間使用的信任類型而定,您所建立的目錄類型和數目會有所不同。在大多數環境中,建立一個目錄。

該服務無法直接存取 Active Directory。僅連接器可直接存取 Active Directory。因此,您可將服務中建立的每一個目錄與連接器執行個體相關聯。

Worker

將目錄與連接器執行個體相關聯時,連接器會為名稱為 Worker 的相關聯目錄建立一個磁碟分割。連接器執行個體可將多個 Worker 與其關聯。每個 Worker 可充當身分識別提供者。您可針對每個 Worker 定義並設定驗證方法。

連接器透過一或多個 Worker 來同步 Active Directory 與服務之間的使用者和群組資料。

您無法在同一連接器執行個體上擁有類型為整合式 Windows 驗證的兩個 Worker。