ソリューション ユーザー認証

Site Recovery Manager では、vCenter Server などのリモート サービスとセキュアな通信を確立するためにソリューション ユーザー認証が使用されます。ソリューション ユーザーは、Site Recovery Manager インストーラにより生成されるセキュリティ プリンシパルです。インストーラは、プライベート キーと証明書をソリューション ユーザーに割り当て、それを vCenter Single Sign-On サービスに登録します。ソリューション ユーザーは、特定の Site Recovery Manager インスタンスに結びつけられます。ソリューション ユーザーのプライベート キーや証明書にはアクセスできません。ソリューション ユーザー証明書をカスタム証明書に差し替えることはできません。

インストール後は、vSphere Client の管理ビューで Site Recovery Manager ソリューション ユーザーを確認することができます。Site Recovery Manager ソリューション ユーザーを操作しようとしないでください。ソリューション ユーザーは、Site Recovery Manager、vCenter Server および vCenter Single Sign-On が内部で使用します。

動作中は、Site Recovery Manager が証明書ベースの認証で vCenter Single Sign-On からキーホルダ SAML トークンを取得して認証済み通信チャネルを確立します。Site Recovery Manager は、暗号で署名されたリクエスト内のこのトークンをリモート サービスへ送信します。リモート サービスは、トークンを検証し、ソリューション ユーザーの ID を確立します。

ソリューション ユーザーと Site Recovery Manager サイト ペアリング

拡張リンク モードを使用しない vCenter Single Sign-On サイト間で Site Recovery Manager インスタンスをペアリングする場合、Site Recovery Manager は各サイトのリモート サイト用に追加のソリューション ユーザーを作成します。リモート サイト用のこのソリューション ユーザーにより、リモート サイトの Site Recovery Manager Server がローカル サイトのサービスに対して認証を行うことができます。

拡張リンク モードが有効な vCenter Single Sign-On 環境で Site Recovery Manager インスタンスをペアリングする場合、リモート サイトの Site Recovery Manager は、ローカル サイトのサービスを認証するために同じソリューション ユーザーを使用します。

ソリューション ユーザーを変更する場合、またはリモート サイトのソリューション ユーザー証明書を更新する場合は、Site Recovery Manager サイトのペアリングを再構成する必要があります。

Site Recovery Manager の SSL/TLS サーバ エンドポイント証明書

Site Recovery Manager には、Site Recovery Manager に確立されたすべての TLS 接続に対するエンドポイント証明書として使用するための SSL/TLS 証明書が必要です。Site Recovery Manager サーバのエンドポイント証明書は、Site Recovery Manager ソリューション ユーザーの作成と登録中に生成された証明書とは別のものです。

Site Recovery Manager の SSL/TLS エンドポイント証明書については、Site Recovery Manager の SSL/TLS サーバ エンドポイント証明書の作成を参照してください。