FlexOrgs での作業

FlexOrgs の作成と管理

FlexOrgs は、組織単位 (OU)、ユーザー、ユーザーグループ、ロールドキュメントで構成されています。

手順 1：組織単位を使用した組織階層の作成

組織は、階層形式で編成された 1 つ以上の組織単位 (OU) で構成されます。

OU は、AWS アカウント、Azure サブスクリプション、および GCP プロジェクトの境界を中心に配置されるため、階層を構築するには、VMware Aria Cost で構成したアカウント、サブスクリプション、またはプロジェクトを OU でグループ分けする必要があります。

作成する OU で AWS アカウント、Azure サブスクリプション、GCP プロジェクト境界に従って明確な境界が定められない場合（たとえば、同じ AWS アカウントを共有する OU が 2 つ以上ある場合）は、階層構築に関するヒントについて VMware Aria Cost アカウントマネージャに問い合わせてください。

組織単位の詳細については、組織単位を使用して組織階層を定義を参照してください。

VMware Aria Cost プラットフォームで左側のメニューから セットアップ > 管理 > FlexOrgs の順に選択します。組織の追加 をクリックします。初期状態では、VMware Aria Cost プラットフォームで構成した AWS アカウント、Azure サブスクリプション、GCP プロジェクトはいずれも、最上位の組織単位 (TLOU) に割り当てられます。
組織の追加 ダイアログボックスで名前を入力し、オプションとして組織の説明を入力します。[保存] をクリックして組織を作成します。
組織のリストから新しく作成した組織を選択し、アカウント タブに切り替えます。アカウントの割り当て をクリックします。
アカウントの割り当て のポップアップウィンドウで、プロバイダ のドロップダウンをクリックし、[アカウント]、[サブスクリプション]、または [プロジェクト] から選択します。組織に割り当てるアカウントを選択し、割り当て をクリックします。
すべてのアカウント、サブスクリプション、またはプロジェクトが組織に割り当てられるまで同じプロセスを繰り返します。プロセスが完了すると、階層に定義された各 OU の一番上のレベルが表示されます。以下に例を示します。
追加のレベルを作成するには、次のレベルを作成する組織単位 (OU) に切り替えます。VMware Aria Cost プラットフォームの左下隅にある組織スイッチャーを使用して切り替えます。OU に切り替えた後、手順 1～4 を繰り返して、下位の組織を作成します。レベルを経るごとに、OU への割り当てに利用できるアカウント、サブスクリプション、またはプロジェクトは少なくなります。FlexOrgs ページの組織ツリーには、構築した階層が反映されます。この図は、TLOU に表示される階層の概観を示したものです。

手順 2：ロールドキュメントの作成

ロールドキュメントにより、ユーザーに付与する権限を定義します。これにより、あるユーザーがアクセスできるプラットフォームの機能が決まります。たとえば、管理者のロールドキュメントでは、完全な読み取り/編集権限を付与することができます。また、エンドユーザーのロールドキュメントによって、制限付きの読み取り権限が付与される場合があります。複数のロールドキュメントを 1 つの OU に割り当てると、権限の重複するタペストリが作成されます。

詳細については、「ロールドキュメントを使用して権限を定義」を参照してください。

VMware Aria Cost プラットフォームで左側のメニューから セットアップ > 管理 > ロールドキュメント の順に選択します。組み込みロールドキュメント（標準ユーザー、管理者、またはパワーユーザー）の 1 つをコピーし、コピーを変更して独自のロールドキュメントを作成できます。新規ロールドキュメント を選択して、新しいロールドキュメントを作成することもできます。
組み込みロールドキュメントのいずれかをクリックして、その構造を理解します。次に、既存のロールドキュメントをカスタマイズするか、新しいロールドキュメントを作成するかを決めます。ここでは、標準ユーザーのロールドキュメントの構造について説明します。ロールドキュメントは、VMware Aria Cost プラットフォームのさまざまな操作用の権限（読み取り、書き込み、更新、削除）のセットです。

手順 3：ユーザーグループの作成

ユーザーグループ は、1 つ以上の OU のコンテンツに対して同じレベルのアクセス権を必要とするユーザーの集合です。たとえば、あるユーザーグループは、同じチームに属する従業員として定義される場合があります。ユーザーグループは、ユーザー、OU、およびロールドキュメント間の関係を定義します。

詳細については、「ユーザーグループを使用した FlexOrgs 関係の定義」を参照してください。

VMware Aria Cost プラットフォームで左側のメニューから セットアップ > 管理 > ユーザーグループ の順に選択します。新規ユーザーグループ をクリックします。
詳細タブで、ユーザーグループの名前およびオプションの説明を入力します。FlexOrgs でシングルサインオン (SSO) を使用している場合は、このユーザーグループに関連付けられているユーザープロファイルに、アサーションとして添付されているキー値ペアを指定します。
メンバー タブで [メンバーを追加] をクリックします。メンバーを追加 ダイアログボックスで、ユーザーグループに追加するユーザーを特定します。次に、確認をクリックします。
[割り当て] タブで、ユーザーグループに適用可能な 1 つまたは複数のロールドキュメントを追加します。ロールドキュメントごとに、該当する OU を選択します。複数のロールドキュメントを 1 つの OU に割り当てると、権限の重複するタペストリが作成されます。保存をクリックします。

FlexOrgs のユーザーグループおよび組織へのユーザーの招待

ユーザーに E メールの招待状を送信し、ユーザーグループと、ユーザーがアクセス権を持つ組織を指定します

前提条件

ユーザーを招待する前に、VMware Aria Cost プラットフォームで次のアクションを実行していることを確認してください。
- ユーザーの FlexOrgs 組織またはサブ組織を作成して特定しました。組織階層の作成を参照してください。
- ユーザーのユーザーグループを作成して特定しました。ユーザーグループの作成を参照してください。
ユーザーの招待方法
1. VMware Aria Cost プラットフォームで左側のメニューから セットアップ > 管理 > ユーザー の順に選択します。ユーザーを招待 をクリックします。
2. ユーザーの名前とメールアドレスを入力します。
3. 組織ドロップダウンで、FlexOrgs 組織までスクロールし、ユーザーがアクセスできる組織を選択します。ツリー構造を拡張して階層を表示することで、FlexOrgs 組織と従来の組織を視覚的に区別できます。
4. ユーザーグループドロップダウンで、ログイン時にこのユーザーが割り当てられるユーザーグループを選択します。
5. ユーザーを招待 をクリックします。ユーザーが招待を受け入れて VMware Aria Cost プラットフォームにログインすると、ユーザーは割り当てられた組織に移動し、特定したユーザーグループに分類されます。

FlexOrgs の SAML SSO を有効にする

ユーザーグループにシングルサインオン (SSO) 属性を適用して、ユーザーがログインするときに正しいユーザーグループに動的にソートされるようにします。

FlexOrgs を使用して組織を管理している場合は、次の手順に従って SAML SSO を有効にします。従来の組織の SAML SSO を有効にするには、従来の組織の SAML SSO を有効にするを参照してください。

SAML SSO について

VMware Aria Cost では、ユーザー名/パスワードベースの認証の代わりにシングルサインオン (SSO) が許可されます。社内の ID 管理を利用している場合でも、別の ID プロバイダ (IDP) を使用している場合でも、Security Assertion Markup Language (SAML) プロトコルを使用してユーザーを認証できます。

SAML は、当事者間（特に、Okta、Ping、Azure AD、ADFS などの IDP と Auth0 や VMware Aria Cost などのサービスプロバイダとの間）で認証と認証データを交換するための XML ベースのオープンスタンダードのデータ形式です。

IDP は、ユーザーアクセスの管理に関連して構築されたソフトウェアです。IDP が構成されていれば、SAML データを VMware Aria Cost プラットフォームに送信します。このデータはアサーションといい、「email」、「name」、「roles」属性を含む必要があります。アサーションの属性によって、VMware Aria Cost プラットフォームでユーザーを認証できます。VMware Aria Cost では、同じ IDP を使用して複数のドメインを認証できます。

VMware Aria Cost では混合モード認証をサポートしていません。VMware Aria Cost プラットフォームで IDP を使用して SAML SSO を構成した後は、その IDP 経由でのみユーザーを招待できます。VMware Aria Cost プラットフォームを使用してユーザーの招待を送信することはできなくなります。

動的マッピングの仕組み

FlexOrgs では、SSO 属性に基づいてユーザーをユーザーグループに動的にマッピングすることができます。ID プロバイダ (IDP) で属性を指定します。

この機能を使用して、IDP でユーザーを集中管理することができます。ユーザーは、属性を変更すると、新しい権限を持つ別のユーザーグループにマッピングされます。

ユーザーをユーザーグループに動的にマッピングしない場合は、ユーザーを手動で招待することができます。

手順 1：ユーザーグループ定義での SSO 属性の指定

IDP でユーザーをマッピングするための属性を適用する前に、ユーザーグループが IDP アサーションで探すキー/値ペアを指定します。

VMware Aria Cost プラットフォームで左側のメニューから セットアップ > 管理 > ユーザーグループ > 新しいユーザーグループ の順に選択します。
詳細タブで、次の情報を入力します。
- 名前
- ユーザーグループの説明（オプション）
- このユーザーグループに関連付けられているユーザープロファイルに IDP アサーションとして適用されたキー/値ペア。SSO キーに複数の SSO 値が定義されている場合、ユーザーはいずれかの値に一致すれば、ユーザーグループにマッピングされます。
メンバー タブで [メンバーを追加] をクリックします。ユーザーグループに含めるユーザーを選択します。SSO キー/値ペアを使用してユーザーをユーザーグループにマッピングする場合は、この手順をスキップします。
割り当て タブで、ユーザーグループに 1 つまたは複数のロールドキュメントを追加します。ロールドキュメントごとに、該当する OU を選択します。複数のロールドキュメントを 1 つの OU に割り当てると、権限の重複するタペストリが作成されます。

手順 2：IDP での SAML 設定の構成

SAML SSO をサポートする IDP を選択して、次の手順を実行します。

シングルサインオン URL、または SSO コールバックを指定します。ドメインは company.com: https://cloudhealthtech.auth0.com/login/callback?connection=company-com です。
対象ユーザー URI を指定します。ドメインは company.com: urn:auth0:cloudhealthtech:company-com です。
IDP から次の SAML 認証情報を見つけます。
- X.509 証明書
- SAML 2.0 エンドポイント

手順 3：VMware Aria Cost プラットフォームでの SAML SSO の構成

VMware Aria Cost プラットフォームの左側のメニューで セットアップ > 管理 > シングルサインオン > 構成 の順に選択します。
[SSO プロバイダ] ドロップダウンから SAML を選択し、次の情報を入力します。
- SSO のドメイン：company.com 形式でドメイン名を入力します。ドメイン名の後には、必ずスペース 1 つを入力します。
- ログインエンドポイント：IDP からの SAML 2.0 エンドポイントを入力します。
- 署名証明書：IDP からの X.509 証明書の内容を貼り付けます。
- ユーザーと組織の関連付け：ユーザーが割り当てられる組織を渡すことが IDP によってサポートされていない場合は、このオプションをオンにします。
- デフォルトの組織：ドロップダウンから、すべての新しいユーザーを割り当てる組織を選択します。
SSO 構成の更新 をクリックします。VMware Aria Cost は、SAML SSO の構成中に指定した各ドメインの DNS トークンを生成します。ドメインは「保留中」ステータスになります。

手順 4：保留中の SSO ドメインの検証

VMware Aria Cost プラットフォームで左側のメニューから セットアップ > 管理 > SSO ドメイン の順に選択します。
保留中のドメイン セクションで、検証するドメインの [DNS トークン] の値をコピーします。トークンをテキストファイルに貼り付け、先頭に文字列 cloudhealth= を付加します。
ドメインプロバイダに移動し、変更した DNS トークンを TXT トークンとしてドメインに追加します。VMware Aria Costは TXT トークンを使用してドメインを検証します。このプロセスには最大 72 時間かかることがあります。検証されたトークンは 要求されたドメイン セクションに表示されます。
ドメインが検証されると、IDP にリストされているすべてのユーザーが VMware Aria Cost プラットフォームにアクセスできるようになります。ユーザーは、既存の認証情報を使用して VMware Aria Cost プラットフォームにログインできません。

SSO 構成で複数のドメインが使用されている場合は、検証する前に、すべてのドメインに TXT レコードが存在することを確認します。ドメインが検証されると、要求されたドメイン のユーザーのみが SSO を介してログインできるためです。

手順 5：ユーザーのセッションの長さの構成（オプション）

VMware Aria Cost プラットフォームで、ユーザーのセッションの長さを構成できます。デフォルトのセッションの長さは、ブラウザが閉じるまで です。ただし、ユーザーが最後にログインした時間からではなく、ユーザーが最後にアクティブだった時間から測定される、より短い長さを指定することをお勧めします。

VMware Aria Cost プラットフォームで セットアップ > 管理 > 設定 を選択します。
顧客の編集 タブで、[設定] ペインに移動します。
ドロップダウンメニューからセッションの長さを選択します。

FlexOrgs でのローカルおよび共有のパースペクティブの管理（ベータ版）

組織全体で使用されているパースペクティブを共有し、FlexOrgs 環境を一元的に管理できるようにします。

ローカルパースペクティブと共有パースペクティブの管理機能は、AWS でのみ使用でき、現在ベータ版であり、変更される可能性があります。ベータ版への参加をご希望の場合は、[email protected] に E メールでお問い合わせください。

ローカルパースペクティブは、単一の組織単位に存在するパースペクティブです。共有パースペクティブは、最上位の OU に存在し、FlexOrgs の階層全体で他のすべての OU に共有されるパースペクティブです。

ローカルおよび共有のパースペクティブのメリット

組織全体で使用されているパースペクティブを共有することで、FlexOrgs 環境を一元的に管理できるようになります。
これにより、FlexOrgs 階層内の個々の組織単位は、管理を一元化するための独自のローカルパースペクティブを作成および管理できます。
階層内のすべてのレベルのレポートおよびポリシーで、ローカルパースペクティブと共有パースペクティブの両方を使用できます。

パースペクティブの共有方法

OU 内にパースペクティブを作成すると、そのパースペクティブはその OU に対してローカルになります。

パースペクティブを共有するには、パースペクティブのメニューをクリックして、サブ組織と共有 を選択します。

VMware Aria Cost は、共有されたパースペクティブをサブ OU の下に伝達します。

ベータ版の制限事項

FlexOrgs 階層には、TLOU を含め、その下には 3 つ以上のレベルがないようにする必要があります。
OU の合計数は 25 に制限されています。
TLOU 内のパースペクティブの合計数は変更されません。
TLOU は、階層内の OU と最大 4 つのパースペクティブを共有できます。
各サブ OU は、4 つの共有パースペクティブを継承し、4 つのローカルパースペクティブを作成できます。これにより、1 つのサブ OU につき合計 8 つのパースペクティブが可能になります。
コストの再配賦は OU ごとに構成する必要があります。

重要な注意事項

この機能は現在、AWS でのみ使用できます。他のクラウドプロバイダでは、すべてのパースペクティブが、最上位の組織単位 (TLOU) で引き続き提供され、管理されます。
この機能が有効になっている場合は、TLOU がパースペクティブを共有するまで、サブ OU は TLOU のすべてのパースペクティブにアクセスできなくなります。このため、サブ OU でこれらの最上位レベルのパースペクティブに基づいて作成されたすべてのコンテンツは削除されます。

既存の組織の FlexOrg へのアップグレード

既存の組織を FlexOrg にアップグレードして、FlexOrg のメリットの実現を開始します。

この手順は、従来の VMware Aria Cost 組織を FlexOrg にアップグレードするのに役立ちます。FlexOrg は、VMware Aria Cost 内にユーザーのビジネスを密接に反映した組織を構築するのに役立ちます。階層内の 1 つ、多数、またはすべての FlexOrg にユーザーを割り当てることができます。また、FlexOrg を使用すると、ユーザーの権限をさらに制御できます。たとえば、あるユーザーはプライマリ組織への編集アクセス権を所有し、他の組織の表示専用権限を持つことができます。FlexOrg の詳細については、FlexOrg を参照してください。

組織のアップグレード機能を使用して、VMware Aria Cost プラットフォーム内の現在の VMware Aria Cost 組織から FlexOrg にアップグレードできます。

アップグレード中、すべてのクラウドとハイパーバイザーの組織と次のコンテンツタイプが移行されます。

保存済みレポート
サブスクリプション
ポリシー
予算
（オプション）ユーザーおよびユーザーロール

組織のアップグレードは元に戻すことができません。アップグレード後、新しい組織には FlexOrg としてのみアクセスできます。

従来の組織をアップグレードするための準備

アップグレードが円滑に行われるようにするには、いくつかの点を考慮する必要があります。

組織の構造を定義する

FlexOrg に移行する前に、既存の組織構造を確認し、組織的な変更を行うかどうかを決定します。組織を FlexOrg にアップグレードした後、親組織を別の親組織に移動することはできません。そのため、続ける前に階層が正しいことを確認してください。

組織の構造化に関するベストプラクティスについては、FlexOrg の計画のベストプラクティスを参照してください。

新しいユーザーワークフローを定義する

新しいユーザーが自分の組織に参加するときに何をするかを決定します。標準認証を使用するか、シングルサインオン (SSO) を使用するかに応じて、いくつかのオプションがあります。

新しいユーザーは VMware Aria Cost に手動で追加され、適切なユーザーグループに直接配置されます。
新しいユーザーは SSO を介して VMware Aria Cost に追加され、手動で適切なユーザーグループに配置されます。
- このように新しいユーザーを追加する場合は、ロールドキュメントや組織が割り当てられていないユーザーグループを構成し、SSO を使用して、このユーザーグループにすべてのユーザーを割り当てることをお勧めします。次に、手動でユーザーを長期ユーザーグループに追加します。
新しいユーザーは、SSO を使用して VMware Aria Cost の特定のユーザーグループに追加されます。

制限事項およびその他の考慮事項

FlexOrg にアップグレードする前に、次の制限事項に注意してください。

FlexOrg では、同じレベルのサブ組織間でアカウントを共有することはできません。共有アカウントを持つ組織では、親子関係に移行することを検討してください。
FlexOrg は、現在 Oracle Cloud をサポートしていません。

従来の組織の FlexOrg へのアップグレード

組織を FlexOrg にアップグレードする場合は、まず組織階層の最上位にある組織を使用します。

左側のナビゲーションで セットアップ > 管理 > FlexOrgs の順に選択します。
最上位の組織を選択し、右側のペインで 従来の組織 タブをクリックします。現在の従来の組織がすべて表示されます。
アップグレードする組織を特定します。従来の組織名の横にある省略記号をクリックし、アップグレード をクリックします。
ユーザー設定 セクションで、ユーザー設定をアップグレードするかどうかを選択します。
親組織 を選択します。
競合があれば、解決します。
- アカウントは、階層レベルごとに 1 つの組織単位のみに含めることができ、重複している組織単位の競合を解決してからアップグレードを続行する必要があります。
- 競合を解決するには、親組織を変更するか、競合するアカウントを新しい FlexOrg から割り当て解除します。
FlexOrg に移行するコンテンツのサマリを確認します。
残りの組織を FlexOrg にアップグレードするには、必要に応じてこの手順を繰り返します。
SSO を使用している場合は、SSO 属性を使用してユーザーをユーザーグループに動的にマッピングの説明に従って、SSO を構成します。