リモート クラウド サイトのレプリケーションを管理するには、認証トークンを受け入れるか、ローカル VMware Cloud Director の認証情報を指定して、そのサイトへのセッションを拡張します。リモート クラウド サイトへのレプリケーション操作、およびリモート クラウド サイトからの特定のレプリケーション操作には、拡張セッションが必要です。

クラウドからクラウドへのセッション認証の拡張

VMware Cloud Director ユーザー ログインはセッションを作成し、将来の要求の認証に使用されるベアラー JSON Web Token (JWT) を受け取ります。

Cloud Service は、 VMware Cloud Director セッションに直接関連付けられていない独自のセッションを管理します。次の 2 つの認証方法のいずれかを使用して、ローカル Cloud Service セッションを作成します。
  • Cloud Service セッションを作成するための認証用のローカル VMware Cloud Director ユーザーとパスワードを指定します。内部的には、Cloud Service はこれらの認証情報を使用して新しい VMware Cloud Director セッションを作成し、新しい JWT が生成されます。
  • または、必要な操作を実行するために既存の VMware Cloud Director セッションを使用する Cloud Service の認証情報を指定せずに、既存の JWT を使用します。ローカル VMware Cloud DirectorVMware Cloud Director Availability プラグインは、自動的に既存の JWT を使用して認証を実行します。

クラウド サイトのローカルで、Cloud Service セッションを作成することで、ローカル サイトのレプリケーション、タスクなどを使用できます。現在の Cloud Service セッションがローカル VMware Cloud Director の JWT に関連付けられているため、ローカル VMware Cloud Director を参照することもできます。JWT の有効期限が切れていない間は、ローカル VMware Cloud Director へのアクセスを必要とするレプリケーション操作を実行できます。

リモート クラウド サイトでレプリケーション操作を実行するには、次の 2 つの認証方法のいずれかを使用してローカル Cloud Service セッションをリモート クラウド サイトに拡張する必要があります。

  • リモート VMware Cloud Director 組織でローカル ユーザーを使用する場合は、ユーザー認証情報を指定します。
  • ローカルおよびリモートの VMware Cloud Director とその組織が関連付けられている場合は、[マルチサイトの使用] をクリックします。1 つの組織を複数のリモート組織に関連付けることができるため、認証する組織を選択します。
  • VMware Cloud Director Availability 4.3 の場合、複数のクラウド サイトが単一の VMware Cloud Director インスタンスを使用している場合は、[マルチサイトの使用] をクリックします。組織を選択するためのドロップダウン メニューには、現在の組織のみが含まれます。

リモート VMware Cloud Director のローカル ユーザー認証情報を指定せずに、Cloud Service セッションをローカルからリモート VMware Cloud Director に拡張すると、JWT を使用してリモート サイトへの拡張セッションが認証されます。

リモート サイトへの認証後、Cloud Service は新しく作成された拡張セッションを保持し、リモート サイトでのレプリケーション操作では認証情報を必要とせずに拡張セッションを使用します。

クラウドへのオンプレミス認証

4.3 より前の VMware Cloud Director Availability または vCenter Server 7.0 より前のバージョンの場合、オンプレミス テナントには、クラウド サイトへの認証を必要とするディザスタ リカバリ操作を実行するための次の 2 つのオプションがあります。
  • VMware Cloud Director Availability vSphere Client Plug-In で認証情報の入力を求められたら、ローカル VMware Cloud Director ユーザー認証情報を入力して認証を実行します。このオプションを使用すると、オンプレミス インフラストラクチャへのアクセスを制限できますが、認証のために専用の ID 管理ソリューションを使用することはできません。
  • または、レプリケーション管理の操作に VMware Cloud DirectorVMware Cloud Director Availability プラグインを使用します。このオプションを使用すると、認証のために専用の ID 管理ソリューションを使用できますが、ローカルのオンプレミス インフラストラクチャへのアクセスを制限することはできません。これは、ペアリング中に [クラウドからのアクセスを許可] を選択する必要があるためです。
vCenter Server 7.0 以降では、 VMware Cloud Director Availability 4.3 はオンプレミス テナントが VMware Cloud Director Availability vSphere Client Plug-In でディザスタ リカバリ操作を実行するための新しい認証メカニズムを 1 つ提供します。これは、たとえば新しいレプリケーションの構成やフェイルオーバーなど、クラウド サイトへの認証を必要とします。
  • VMware Cloud Director 組織が SAML などの外部 ID プロバイダを使用している場合、オンプレミス テナントはこの方法を認証に使用できるようになります。
  1. 認証を必要とするレプリケーション操作を実行すると、VMware Cloud Director Availability vSphere Client Plug-In はリモート サイトの認証情報を入力するように求めるプロンプトを表示します。プロンプトに対して [API トークン認証を使用] をクリックすると、認証用の一時トークンが生成されて表示されます。これは、VMware Cloud DirectorVMware Cloud Director Availability プラグインで受け入れる必要があります。
  2. [ログイン] をクリックすると、VMware Cloud DirectorVMware Cloud Director Availability プラグインを含む新しいブラウザ ウィンドウが開きます。
    1. テナントは、Single Sign-On や多要素認証など、VMware Cloud Director に対して認証を行うための一般的な認証方法を選択できます。
    2. VMware Cloud Director で認証されると、一時トークンが VMware Cloud Director Availability vSphere Client Plug-In で表示されたものと一致することを確認して受け入れるよう求めるプロンプトが表示されます。
  3. 一時トークンを受け入れることで、VMware Cloud Director セッションの既存の JWT に関連付けられます。この関連付けにより、セッション中にクラウド サイトへの VMware Cloud Director Availability vSphere Client Plug-In アクセス権が付与され、テナントは認証情報を要求したディザスタ リカバリ ワークフローを再開できます。
注:
  • トークンの受け入れ間隔は 5 分です。この期間が終了すると、VMware Cloud Director Availability は新しいトークンの生成を要求します。
  • 1 つのトークンで許可される受け入れまたは拒否は 1 回のみです。
  • トークンを受け入れると通常のセッションが作成されます。このセッションは最大 24 時間アクティブで、アクティビティが停止すると 30 分間のみ有効になります。
  • vSphere からログアウトすると、受け入れられたトークンが無効になります。再認証後、認証を必要とするレプリケーション操作を実行する場合は、新しいトークンを生成して受け入れる必要があります。
  • テナントは、オンプレミス サイトの正しい VMware Cloud Director 組織にログインしていることを確認する必要があります。そうでない場合は、トークンを受け入れることができません。
  • トークンを使用したオンプレミス認証には、オンプレミス サイトで vCenter Server 7.0 以降、および各サイトで VMware Cloud Director Availability 4.3 以降が必要であり、VMware Cloud Director Availability vSphere Client Plug-In を使用することによってのみ使用できます。

セッションの有効期限

  • ローカル Cloud Service セッションには、アクティビティ停止によるソフト時間制限があります。デフォルトでは、セッションが 30 分以上アイドル状態になった後、セッションのソフト存続期間の有効期限が切れ、管理インターフェイス ページの動的な更新が表示されません。
  • ローカル Cloud Service セッションには、再認証なしでは延長できないハード時間制限もあります。デフォルトでは、セッションのハード存続期間は 24 時間後に有効期限が切れます。この間、管理インターフェイスからログアウトするまで、または [ピア サイト] 画面でサイトを選択して [ログアウト] をクリックするまで、すべての操作を実行できます。セッションの 2 種類の存続期間の詳細については、「セキュリティ構成のプロパティ」を、ユーザー セッションの詳細については『https://docs.vmware.com/jp/VMware-Cloud-Director-Availability/4.6/VMware-Cloud-Director-Availability-Security-Guide/GUID-2FA5AD34-78DD-4D22-A781-D5EFD89242D9.html』の「Security Guideユーザー ロールの権限とセッション」を参照してください。
  • リモート クラウド サイトへの拡張 Cloud Service セッションは、リモート JWT が無効になった場合(有効期限が切れた、または手動でログアウトした)に期限切れになります。デフォルトでは、VMware Cloud Director JWT の存続期間も 24 時間で有効期限が切れます。JWT の存続期間を変更する場合(たとえば 1 時間に短縮する場合)、拡張セッションは 1 時間後に期限切れになります。JWT の存続期間を 24 時間以上に延長すると、Cloud Service セッションのいずれかの存続期間に従って拡張セッションの有効期限が切れます。つまり、24 時間経過するか、アクティビティ停止から 30 分後に有効期限が切れます。

拡張セッションの認証を必要とするレプリケーション操作

レプリケーションが配置されている場所に応じて、次のレプリケーション操作のためにリモート サイトへのセッションを拡張します。
クラウドからの受信レプリケーション
リモート サイトのレプリケーションを管理する場合、一部のレプリケーション操作はリモート サイトの認証情報を認証して指定することなく実行できますが、その他のレプリケーション操作を実行するにはリモート サイトの認証情報を認証して指定する必要があります。
認証を必要としないレプリケーション操作:認証情報は必要ありません 認証を必要とするレプリケーション操作:リモート サイトの認証情報を指定します
移行 新しい保護
フェイルオーバー 新しい移行
フェイルオーバーのテスト ネットワーク設定
レプリケーション設定 ディスク設定
所有者を変更
ストレージ ポリシーの変更
同期
一時停止
レジューム
レプリケーションの削除
クラウドへの送信レプリケーション
リモート クラウド サイトのレプリケーションを管理するには、すべてのレプリケーション操作に対してリモート サイトの認証情報を認証して指定する必要があります。
認証を必要とするレプリケーション操作:リモート サイトの認証情報を指定します
移行
フェイルオーバー
フェイルオーバーのテスト
新しい保護
新しい移行
レプリケーション設定
ネットワーク設定
ディスク設定
ストレージ ポリシーの変更
同期
一時停止
レジューム
レプリケーションの削除

テナント組織のなりすまし

テナントとしてのなりすましの詳細については、VMware Cloud Director™ プロバイダ管理ポータルを使用したログインを参照してください。