FlexOrgs での作業
FlexOrgs の作成と管理
FlexOrgs は、組織単位 (OU)、ユーザー、ユーザー グループ、ロール ドキュメントで構成されています。
手順 1:組織単位を使用した組織階層の作成
組織は、階層形式で編成された 1 つ以上の組織単位 (OU) で構成されます。
OU は、AWS アカウント、Azure サブスクリプション、および GCP プロジェクトの境界を中心に配置されるため、階層を構築するには、VMware Aria Cost で構成したアカウント、サブスクリプション、またはプロジェクトを OU でグループ分けする必要があります。
作成する OU で AWS アカウント、Azure サブスクリプション、GCP プロジェクト境界に従って明確な境界が定められない場合(たとえば、同じ AWS アカウントを共有する OU が 2 つ以上ある場合)は、階層構築に関するヒントについて VMware Aria Cost アカウント マネージャに問い合わせてください。
組織単位の詳細については、組織単位を使用して組織階層を定義を参照してください。
- VMware Aria Cost プラットフォームで左側のメニューから セットアップ > 管理 > FlexOrgs の順に選択します。組織の追加 をクリックします。初期状態では、VMware Aria Cost プラットフォームで構成した AWS アカウント、Azure サブスクリプション、GCP プロジェクトはいずれも、最上位の組織単位 (TLOU) に割り当てられます。
- 組織の追加 ダイアログボックスで 名前 を入力し、オプションとして組織の 説明 を入力します。[保存] をクリックして組織を作成します。
- 組織のリストから新しく作成した組織を選択し、アカウント タブに切り替えます。アカウントの割り当て をクリックします。
- アカウントの割り当て のポップアップ ウィンドウで、プロバイダ のドロップダウンをクリックし、[アカウント]、[サブスクリプション]、または [プロジェクト] から選択します。組織に割り当てるアカウントを選択し、割り当て をクリックします。
- すべてのアカウント、サブスクリプション、またはプロジェクトが組織に割り当てられるまで同じプロセスを繰り返します。プロセスが完了すると、階層に定義された各 OU の一番上のレベルが表示されます。以下に例を示します。
- 追加のレベルを作成するには、次のレベルを作成する組織単位 (OU) に切り替えます。VMware Aria Cost プラットフォームの左下隅にある組織スイッチャーを使用して切り替えます。OU に切り替えた後、手順 1~4 を繰り返して、下位の組織を作成します。レベルを経るごとに、OU への割り当てに利用できるアカウント、サブスクリプション、またはプロジェクトは少なくなります。FlexOrgs ページの組織ツリーには、構築した階層が反映されます。この図は、TLOU に表示される階層の概観を示したものです。
手順 2:ロール ドキュメントの作成
ロール ドキュメントにより、ユーザーに付与する権限を定義します。これにより、あるユーザーがアクセスできるプラットフォームの機能が決まります。たとえば、管理者のロール ドキュメントでは、完全な読み取り/編集権限を付与することができます。また、エンド ユーザーのロール ドキュメントによって、制限付きの読み取り権限が付与される場合があります。複数のロール ドキュメントを 1 つの OU に割り当てると、権限の重複するタペストリが作成されます。
詳細については、「ロール ドキュメントを使用して権限を定義」を参照してください。
- VMware Aria Cost プラットフォームで左側のメニューから セットアップ > 管理 > ロール ドキュメント の順に選択します。組み込みロール ドキュメント(標準ユーザー、管理者、またはパワー ユーザー)の 1 つをコピーし、コピーを変更して独自のロール ドキュメントを作成できます。新規ロール ドキュメント を選択して、新しいロール ドキュメントを作成することもできます。
- 組み込みロール ドキュメントのいずれかをクリックして、その構造を理解します。次に、既存のロール ドキュメントをカスタマイズするか、新しいロール ドキュメントを作成するかを決めます。ここでは、標準ユーザーのロール ドキュメントの構造について説明します。ロール ドキュメントは、VMware Aria Cost プラットフォームのさまざまな操作用の権限(読み取り、書き込み、更新、削除)のセットです。
手順 3:ユーザー グループの作成
ユーザー グループ は、1 つ以上の OU のコンテンツに対して同じレベルのアクセス権を必要とするユーザーの集合です。たとえば、あるユーザー グループは、同じチームに属する従業員として定義される場合があります。ユーザー グループは、ユーザー、OU、およびロール ドキュメント間の関係を定義します。
詳細については、「ユーザー グループを使用した FlexOrgs 関係の定義」を参照してください。
- VMware Aria Cost プラットフォームで左側のメニューから セットアップ > 管理 > ユーザー グループ の順に選択します。新規ユーザー グループ をクリックします。
- 詳細 タブで、ユーザー グループの 名前 およびオプションの 説明 を入力します。FlexOrgs でシングル サインオン (SSO) を使用している場合は、このユーザー グループに関連付けられているユーザー プロファイルに、アサーションとして添付されているキー値ペアを指定します。
- メンバー タブで [メンバーを追加] をクリックします。メンバーを追加 ダイアログ ボックスで、ユーザー グループに追加するユーザーを特定します。次に、確認 をクリックします。
-
[割り当て] タブで、ユーザー グループに適用可能な 1 つまたは複数のロール ドキュメントを追加します。ロール ドキュメントごとに、該当する OU を選択します。複数のロール ドキュメントを 1 つの OU に割り当てると、権限の重複するタペストリが作成されます。保存 をクリックします。
FlexOrgs のユーザー グループおよび組織へのユーザーの招待
ユーザーに E メールの招待状を送信し、ユーザー グループと、ユーザーがアクセス権を持つ組織を指定します
前提条件
ユーザーを招待する前に、VMware Aria Cost プラットフォームで次のアクションを実行していることを確認してください。
- ユーザーの FlexOrgs 組織またはサブ組織を作成して特定しました。組織階層の作成を参照してください。
- ユーザーのユーザー グループを作成して特定しました。ユーザー グループの作成を参照してください。
ユーザーの招待方法
- VMware Aria Cost プラットフォームで左側のメニューから セットアップ > 管理 > ユーザー の順に選択します。ユーザーを招待 をクリックします。
- ユーザーの名前とメール アドレスを入力します。
- 組織ドロップダウンで、FlexOrgs 組織までスクロールし、ユーザーがアクセスできる組織を選択します。ツリー構造を拡張して階層を表示することで、FlexOrgs 組織と従来の組織を視覚的に区別できます。
- ユーザー グループドロップダウンで、ログイン時にこのユーザーが割り当てられるユーザー グループを選択します。
- ユーザーを招待 をクリックします。ユーザーが招待を受け入れて VMware Aria Cost プラットフォームにログインすると、ユーザーは割り当てられた組織に移動し、特定したユーザー グループに分類されます。
FlexOrgs の SAML SSO を有効にする
ユーザー グループにシングル サインオン (SSO) 属性を適用して、ユーザーがログインするときに正しいユーザー グループに動的にソートされるようにします。
FlexOrgs を使用して組織を管理している場合は、次の手順に従って SAML SSO を有効にします。従来の組織の SAML SSO を有効にするには、従来の組織の SAML SSO を有効にするを参照してください。
SAML SSO について
VMware Aria Cost では、ユーザー名/パスワードベースの認証の代わりにシングル サインオン (SSO) が許可されます。社内の ID 管理を利用している場合でも、別の ID プロバイダ (IDP) を使用している場合でも、Security Assertion Markup Language (SAML) プロトコルを使用してユーザーを認証できます。
SAML は、当事者間(特に、Okta、Ping、Azure AD、ADFS などの IDP と Auth0 や VMware Aria Cost などのサービス プロバイダとの間)で認証と認証データを交換するための XML ベースのオープンスタンダードのデータ形式です。
IDP は、ユーザー アクセスの管理に関連して構築されたソフトウェアです。IDP が構成されていれば、SAML データを VMware Aria Cost プラットフォームに送信します。このデータはアサーションといい、「email
」、「name
」、「roles
」属性を含む必要があります。アサーションの属性によって、VMware Aria Cost プラットフォームでユーザーを認証できます。VMware Aria Cost では、同じ IDP を使用して複数のドメインを認証できます。
VMware Aria Cost では混合モード認証をサポートしていません。VMware Aria Cost プラットフォームで IDP を使用して SAML SSO を構成した後は、その IDP 経由でのみユーザーを招待できます。VMware Aria Cost プラットフォームを使用してユーザーの招待を送信することはできなくなります。
動的マッピングの仕組み
FlexOrgs では、SSO 属性に基づいてユーザーをユーザー グループに動的にマッピングすることができます。ID プロバイダ (IDP) で属性を指定します。
この機能を使用して、IDP でユーザーを集中管理することができます。ユーザーは、属性を変更すると、新しい権限を持つ別のユーザー グループにマッピングされます。
ユーザーをユーザー グループに動的にマッピングしない場合は、ユーザーを手動で招待することができます。
手順 1:ユーザー グループ定義での SSO 属性の指定
IDP でユーザーをマッピングするための属性を適用する前に、ユーザー グループが IDP アサーションで探すキー/値ペアを指定します。
- VMware Aria Cost プラットフォームで左側のメニューから セットアップ > 管理 > ユーザー グループ > 新しいユーザー グループ の順に選択します。
- 詳細 タブで、次の情報を入力します。
- 名前
- ユーザー グループの説明(オプション)
- このユーザー グループに関連付けられているユーザー プロファイルに IDP アサーションとして適用されたキー/値ペア。SSO キーに複数の SSO 値が定義されている場合、ユーザーはいずれかの値に一致すれば、ユーザー グループにマッピングされます。
- メンバー タブで [メンバーを追加] をクリックします。ユーザー グループに含めるユーザーを選択します。SSO キー/値ペアを使用してユーザーをユーザー グループにマッピングする場合は、この手順をスキップします。
- 割り当て タブで、ユーザー グループに 1 つまたは複数のロール ドキュメントを追加します。ロール ドキュメントごとに、該当する OU を選択します。複数のロール ドキュメントを 1 つの OU に割り当てると、権限の重複するタペストリが作成されます。
手順 2:IDP での SAML 設定の構成
SAML SSO をサポートする IDP を選択して、次の手順を実行します。
- シングル サインオン URL、または SSO コールバックを指定します。ドメインは
company.com
: https://cloudhealthtech.auth0.com/login/callback?connection=company-com
です。
- 対象ユーザー URI を指定します。ドメインは
company.com
: urn:auth0:cloudhealthtech:company-com
です。
- IDP から次の SAML 認証情報を見つけます。
- X.509 証明書
- SAML 2.0 エンドポイント
手順 3:VMware Aria Cost プラットフォームでの SAML SSO の構成
- VMware Aria Cost プラットフォームの左側のメニューで セットアップ > 管理 > シングル サインオン > 構成 の順に選択します。
- [SSO プロバイダ] ドロップダウンから SAML を選択し、次の情報を入力します。
- SSO のドメイン:
company.com
形式でドメイン名を入力します。ドメイン名の後には、必ずスペース 1 つを入力します。
- ログイン エンドポイント:IDP からの SAML 2.0 エンドポイントを入力します。
- 署名証明書:IDP からの X.509 証明書の内容を貼り付けます。
- ユーザーと組織の関連付け:ユーザーが割り当てられる組織を渡すことが IDP によってサポートされていない場合は、このオプションをオンにします。
- デフォルトの組織:ドロップダウンから、すべての新しいユーザーを割り当てる組織を選択します。
- SSO 構成の更新 をクリックします。VMware Aria Cost は、SAML SSO の構成中に指定した各ドメインの DNS トークンを生成します。ドメインは「保留中」ステータスになります。
手順 4:保留中の SSO ドメインの検証
- VMware Aria Cost プラットフォームで左側のメニューから セットアップ > 管理 > SSO ドメイン の順に選択します。
- 保留中のドメイン セクションで、検証するドメインの [DNS トークン] の値をコピーします。トークンをテキスト ファイルに貼り付け、先頭に文字列
cloudhealth=
を付加します。
- ドメイン プロバイダに移動し、変更した DNS トークンを TXT トークンとしてドメインに追加します。VMware Aria Costは TXT トークンを使用してドメインを検証します。このプロセスには最大 72 時間かかることがあります。検証されたトークンは 要求されたドメイン セクションに表示されます。
- ドメインが検証されると、IDP にリストされているすべてのユーザーが VMware Aria Cost プラットフォームにアクセスできるようになります。ユーザーは、既存の認証情報を使用して VMware Aria Cost プラットフォームにログインできません。
SSO 構成で複数のドメインが使用されている場合は、検証する前に、すべてのドメインに TXT レコードが存在することを確認します。ドメインが検証されると、要求されたドメイン のユーザーのみが SSO を介してログインできるためです。
手順 5:ユーザーのセッションの長さの構成(オプション)
VMware Aria Cost プラットフォームで、ユーザーのセッションの長さを構成できます。デフォルトのセッションの長さは、ブラウザが閉じるまで です。ただし、ユーザーが最後にログインした時間からではなく、ユーザーが最後にアクティブだった時間から測定される、より短い長さを指定することをお勧めします。
- VMware Aria Cost プラットフォームで セットアップ > 管理 > 設定 を選択します。
- 顧客の編集 タブで、[設定] ペインに移動します。
- ドロップダウン メニューからセッションの長さを選択します。
FlexOrgs でのローカルおよび共有のパースペクティブの管理(ベータ版)
組織全体で使用されているパースペクティブを共有し、FlexOrgs 環境を一元的に管理できるようにします。
ローカル パースペクティブと共有パースペクティブの管理機能は、AWS でのみ使用でき、現在ベータ版であり、変更される可能性があります。ベータ版への参加をご希望の場合は、[email protected] に E メールでお問い合わせください。
ローカル パースペクティブは、単一の組織単位に存在するパースペクティブです。共有パースペクティブは、最上位の OU に存在し、FlexOrgs の階層全体で他のすべての OU に共有されるパースペクティブです。
ローカルおよび共有のパースペクティブのメリット
- 組織全体で使用されているパースペクティブを共有することで、FlexOrgs 環境を一元的に管理できるようになります。
- これにより、FlexOrgs 階層内の個々の組織単位は、管理を一元化するための独自のローカル パースペクティブを作成および管理できます。
- 階層内のすべてのレベルのレポートおよびポリシーで、ローカル パースペクティブと共有パースペクティブの両方を使用できます。
パースペクティブの共有方法
OU 内にパースペクティブを作成すると、そのパースペクティブはその OU に対してローカルになります。
パースペクティブを共有するには、パースペクティブのメニューをクリックして、サブ組織と共有 を選択します。
VMware Aria Cost は、共有されたパースペクティブをサブ OU の下に伝達します。
ベータ版の制限事項
- FlexOrgs 階層には、TLOU を含め、その下には 3 つ以上のレベルがないようにする必要があります。
- OU の合計数は 25 に制限されています。
- TLOU 内のパースペクティブの合計数は変更されません。
- TLOU は、階層内の OU と最大 4 つのパースペクティブを共有できます。
- 各サブ OU は、4 つの共有パースペクティブを継承し、4 つのローカル パースペクティブを作成できます。これにより、1 つのサブ OU につき合計 8 つのパースペクティブが可能になります。
- コストの再配賦は OU ごとに構成する必要があります。
重要な注意事項
- この機能は現在、AWS でのみ使用できます。他のクラウド プロバイダでは、すべてのパースペクティブが、最上位の組織単位 (TLOU) で引き続き提供され、管理されます。
- この機能が有効になっている場合は、TLOU がパースペクティブを共有するまで、サブ OU は TLOU のすべてのパースペクティブにアクセスできなくなります。このため、サブ OU でこれらの最上位レベルのパースペクティブに基づいて作成されたすべてのコンテンツは削除されます。
既存の組織の FlexOrg へのアップグレード
既存の組織を FlexOrg にアップグレードして、FlexOrg のメリットの実現を開始します。
この手順は、従来の VMware Aria Cost 組織を FlexOrg にアップグレードするのに役立ちます。FlexOrg は、VMware Aria Cost 内にユーザーのビジネスを密接に反映した組織を構築するのに役立ちます。階層内の 1 つ、多数、またはすべての FlexOrg にユーザーを割り当てることができます。また、FlexOrg を使用すると、ユーザーの権限をさらに制御できます。たとえば、あるユーザーはプライマリ組織への編集アクセス権を所有し、他の組織の表示専用権限を持つことができます。FlexOrg の詳細については、FlexOrg を参照してください。
組織のアップグレード機能を使用して、VMware Aria Cost プラットフォーム内の現在の VMware Aria Cost 組織から FlexOrg にアップグレードできます。
アップグレード中、すべてのクラウドとハイパーバイザーの組織と次のコンテンツ タイプが移行されます。
- 保存済みレポート
- サブスクリプション
- ポリシー
- 予算
- (オプション)ユーザーおよびユーザー ロール
組織のアップグレードは元に戻すことができません。アップグレード後、新しい組織には FlexOrg としてのみアクセスできます。
従来の組織をアップグレードするための準備
アップグレードが円滑に行われるようにするには、いくつかの点を考慮する必要があります。
組織の構造を定義する
FlexOrg に移行する前に、既存の組織構造を確認し、組織的な変更を行うかどうかを決定します。組織を FlexOrg にアップグレードした後、親組織を別の親組織に移動することはできません。そのため、続ける前に階層が正しいことを確認してください。
組織の構造化に関するベスト プラクティスについては、FlexOrg の計画のベスト プラクティスを参照してください。
新しいユーザー ワークフローを定義する
新しいユーザーが自分の組織に参加するときに何をするかを決定します。標準認証を使用するか、シングル サインオン (SSO) を使用するかに応じて、いくつかのオプションがあります。
- 新しいユーザーは VMware Aria Cost に手動で追加され、適切なユーザー グループに直接配置されます。
- 新しいユーザーは SSO を介して VMware Aria Cost に追加され、手動で適切なユーザー グループに配置されます。
- このように新しいユーザーを追加する場合は、ロール ドキュメントや組織が割り当てられていないユーザー グループを構成し、SSO を使用して、このユーザー グループにすべてのユーザーを割り当てることをお勧めします。次に、手動でユーザーを長期ユーザー グループに追加します。
- 新しいユーザーは、SSO を使用して VMware Aria Cost の特定のユーザー グループに追加されます。
制限事項およびその他の考慮事項
FlexOrg にアップグレードする前に、次の制限事項に注意してください。
- FlexOrg では、同じレベルのサブ組織間でアカウントを共有することはできません。共有アカウントを持つ組織では、親子関係に移行することを検討してください。
- FlexOrg は、現在 Oracle Cloud をサポートしていません。
従来の組織の FlexOrg へのアップグレード
組織を FlexOrg にアップグレードする場合は、まず組織階層の最上位にある組織を使用します。
- 左側のナビゲーションで セットアップ > 管理 > FlexOrgs の順に選択します。
- 最上位の組織を選択し、右側のペインで 従来の組織 タブをクリックします。現在の従来の組織がすべて表示されます。
- アップグレードする組織を特定します。従来の組織名の横にある省略記号をクリックし、アップグレード をクリックします。
- ユーザー設定 セクションで、ユーザー設定をアップグレードするかどうかを選択します。
- 親組織 を選択します。
- 競合があれば、解決します。
- アカウントは、階層レベルごとに 1 つの組織単位のみに含めることができ、重複している組織単位の競合を解決してからアップグレードを続行する必要があります。
- 競合を解決するには、親組織を変更するか、競合するアカウントを新しい FlexOrg から割り当て解除します。
- FlexOrg に移行するコンテンツのサマリを確認します。
- 残りの組織を FlexOrg にアップグレードするには、必要に応じてこの手順を繰り返します。
- SSO を使用している場合は、SSO 属性を使用してユーザーをユーザー グループに動的にマッピングの説明に従って、SSO を構成します。