サービス アカウント認証

Site Recovery Manager では、vCenter Server などのリモート サービスとセキュアな通信を確立するためにサービス アカウント認証が使用されます。サービス アカウントは、Site Recovery Manager 構成サービスにより生成されるセキュリティ プリンシパルです。サービス アカウントは、トークン、またはユーザー名とパスワードを使用して認証します。

サービス アカウントは、Site Recovery Manager、vCenter Server、および vCenter Single Sign-On が内部で使用します。

動作中は、Site Recovery Manager がトークンベースの認証で vCenter Single Sign-On からキーホルダ SAML トークンを取得して認証済み通信チャネルを確立します。Site Recovery Manager は、暗号で署名されたリクエスト内のこのトークンをリモート サービスへ送信します。リモート サービスは、トークンを検証し、サービス アカウントの ID を確立します。

サービス アカウントと Site Recovery Manager サイト ペアリング

拡張リンク モードを使用しない vCenter Single Sign-On サイト間で Site Recovery Manager インスタンスをペアリングする場合、Site Recovery Manager は各サイトのリモート サイト用に追加のサービス アカウントを作成します。リモート サイト用のこのサービス アカウントにより、リモート サイトの Site Recovery Manager Serverがローカル サイトのサービスに対して認証を行うことができます。

拡張リンク モードが有効な vCenter Single Sign-On 環境で Site Recovery Manager インスタンスをペアリングする場合、リモート サイトの Site Recovery Manager は、ローカル サイトのサービスを認証するために同じサービス アカウントを使用します。

Site Recovery Manager の SSL/TLS サーバ エンドポイント証明書

Site Recovery Manager には、Site Recovery Manager に確立されたすべての TLS 接続に対するエンドポイント証明書として使用するための SSL/TLS 証明書が必要です。Site Recovery Manager サーバのエンドポイント証明書は、サービス アカウントを含む Holder-of-Key (HOK) SAML トークンを取得するために Site Recovery Manager で使用される証明書とは別のものです。

Site Recovery Manager の SSL/TLS エンドポイント証明書については、Site Recovery Manager の SSL/TLS サーバ エンドポイント証明書の作成を参照してください。