システム管理者または仮想インフラストラクチャ管理者は、シングル サインオンを使用して SSO ユーザーを有効にし、VMware Aria Operations 環境に安全にログインできるようにします。

シングル サインオン ソースが構成されると、ユーザーは認証のために SSO ID ソースにリダイレクトされます。一度ログインすると、ユーザーは再度ログインしなくても、vCenter Server などの他の vSphere コンポーネントにアクセスできます。

前提条件

  • シングル サインオン ソースと VMware Aria Operations のサーバ システム時間が同期されていることを確認します。Network Time Protocol (NTP) を構成する必要がある場合は、『VMware Aria Operations スタート ガイド』で、クラスタやノードのメンテナンスに関する説明を参照してください。
  • vCenter Server によって Platform Services Controller にアクセスできることを確認します。詳細については、VMware vSphere 情報センターを参照してください。

手順

  1. VMware Aria Operations に管理者としてログインします。
  2. 左側のメニューで、[管理] > [コントロール パネル] の順にクリックし、[認証ソース] タイルをクリックします。
  3. [追加] をクリックします。
  4. [ユーザーおよびグループのインポートのソースを追加] ダイアログ ボックスで、シングル サインオン ソースの情報を指定します。
    オプション 操作
    ソースの表示名 インポートのソースの名前を入力します。
    ソース タイプ [SSO SAML] が表示されていることを確認します。
    ホスト シングル サインオン サーバが存在するホスト マシンの IP アドレスまたは FQDN を入力します。ホスト マシンの FQDN を入力した場合は、VMware Aria Operations クラスタ内のすべてのノードがシングル サインオン ホストの FQDN を解決できることを確認します。
    ポート シングル サインオン サーバのリスン ポートを設定します。デフォルトでは、このポートは 443 に設定されます。
    ユーザー名 SSO サーバにログインできるユーザー名を入力します。
    パスワード パスワードを入力します。
    今後の構成のために管理者ロールを VMware Aria Operations に付与しますか? VMware Aria Operations のセットアップに変更を加えた場合に SSO ソースが自動的に再登録されるように、[はい] を選択します。[いいえ] を選択していて、VMware Aria Operations のセットアップが変更された場合、シングル サインオン ソースを手動で再登録するまでシングル サインオン ユーザーはログインできなくなります。
    vRealize Operation のシングル サインオン URL に自動的にリダイレクトしますか? ユーザーが vCenter シングル サインオンのログイン ページにリダイレクトされるように、[はい] を選択します。[いいえ] を選択すると、ユーザーは認証のために SSO にリダイレクトされません。
    現在のソースを追加した後、シングル サインオン ユーザー グループをインポートしますか? SSO ソースのセットアップ完了時にウィザードが [ユーザー グループのインポート] ページにリダイレクトするように、[はい] を選択します。ユーザー アカウントをインポートする場合、またはユーザー グループを後の段階でインポートする場合は、[いいえ] を選択します。
    詳細オプション 環境内でロード バランサーを使用している場合は、ロード バランサーの IP アドレスを入力します。
  5. [テスト] をクリックしてソースの接続をテストし、[OK] をクリックします。
    証明書の詳細が表示されます。
  6. [この証明書を受け入れる] チェック ボックスをオンにし、[OK] をクリックします。
  7. [ユーザー グループのインポート] ダイアログ ボックスで、別のマシン上の SSO サーバからユーザー アカウントをインポートします。
    オプション 操作
    インポート元 シングル サインオン ソースを構成するときに指定した、シングル サインオン サーバを選択します。
    ドメイン名 ユーザー グループのインポート元のドメイン名を選択します。PSC で Active Directory が LDAP ソースとして構成されている場合、vCenter Server が同じドメイン内に置かれていれば、ユニバーサル グループとドメイン ローカル グループのみをインポートできます。
    結果の最大表示件数 検索の実行時に表示する結果の件数を入力します。
    検索プリフィックス ユーザー グループの検索に使用するプリフィックスを入力します。
  8. 表示されるユーザー グループのリストで、1 つ以上のユーザー グループを選択し、[次へ] をクリックします。
  9. [ロールおよびオブジェクト] ペインで、[ロールの選択] ドロップダウン メニューからロールを選択し、[このロールをグループに割り当てます] チェック ボックスを選択します。
  10. グループのユーザーがこのロールを保有している場合にアクセスできるオブジェクトを選択します。
    ユーザーが VMware Aria Operations のすべてのオブジェクトにアクセスできるように権限を割り当てるには、 [システムのすべてのオブジェクトへのアクセスを許可] チェック ボックスを選択します。
  11. [OK] をクリックします。
  12. シングル サインオンについて十分に理解し、シングル サインオン ソースを正しく構成していることを確認します。
    1. VMware Aria Operations からログアウトします。
    2. シングル サインオン サーバからインポートしたユーザー グループに属するユーザーのいずれかとして、vSphere Web Client にログインします。
    3. 新しいブラウザ タブで、VMware Aria Operations 環境の IP アドレスを入力します。
    4. シングル サインオン サーバが正しく構成されていれば、ユーザー認証情報を入力する必要なく VMware Aria Operations にログインできます。