OpenID Connect (OIDC) の ID プロバイダからユーザーおよびグループをシステム組織にインポートする場合は、この OIDC の ID プロバイダで、システム組織を構成する必要があります。インポートされたユーザーは、OIDC ID プロバイダで確立した認証情報を使用してシステム組織にログインできます。

OAuth は、ユーザー アクセスを委任するオープン フェデレーション標準です。OpenID Connect は、OAuth 2.0 プロトコルの最上部の認証レイヤーです。クライアントは OpenID Connect を使用して、認証済みセッションとエンドユーザーに関する情報を受信できます。OAuth 認証エンドポイントには、VMware Cloud Director セルからアクセス可能である必要があります。パブリック ID プロバイダまたはプロバイダ管理のセルを使用している場合はこの方法が最適です。

指定した JWKS エンドポイントから OIDC キー構成を自動的に更新するように VMware Cloud Director を構成できます。キー更新プロセスの頻度と、VMware Cloud Director で新しいキーを追加するか、古いキーを新しいキーで置き換えるか、または古いキーが一定期間後に失効するかを決定するローテーション方法を設定できます。

VMware Cloud Director は、イベント トピック com/vmware/vcloud/event/oidcSettings/keys/modify の下に、成功したキー更新と失敗したキー更新の両方の監査イベントを生成します。失敗したキー更新の監査イベントには、失敗に関する追加情報が含まれます。

手順

  1. 上部ナビゲーション バーで [管理] を選択します。
  2. 左側のパネルの [ID プロバイダ] で、[OIDC] をクリックします。
  3. OIDC を最初に構成する場合、クライアント構成リダイレクト URI をコピーし、それを使用して OpenID Connect 標準(VMware Workspace ONE Access など)に準拠した ID プロバイダへのクライアント アプリケーション登録を作成します。
    この登録は、OIDC ID プロバイダ構成時に使用する必要があるクライアント ID およびクライアント シークレットの取得に必要です。
  4. [構成] をクリックします。
  5. OpenID Connect がアクティブになっていることを確認し、OIDC サーバ登録からのクライアント ID とクライアント シークレット情報を入力します。
  6. (オプション) 既知のエンドポイントからの情報を使用して、構成情報が自動的に入力されるようにするには、[構成検出] トグルをオンにし、VMware Cloud Director で認証要求の送信に使用可能なプロバイダのサイトで URL を入力します。
  7. [次へ] をクリックします。
  8. 手順 6 で [構成検出] を使用しなかった場合は、[エンドポイント] セクションに情報を入力します。
    1. エンドポイントおよび発行者 ID 情報を入力します。
    2. VMware Workspace ONE Access を ID プロバイダとして使用している場合、アクセス タイプとして [SCIM] を選択します。VMware Cloud Director 10.4.1 以降、[SCIM] オプションは廃止されました。
      その他の ID プロバイダの場合、デフォルトの [ユーザー情報] 選択のままにします。
    3. UserInfo エンドポイントと ID トークンからの要求を組み合わせる場合は、[ID トークンを優先] トグルをオンにします。
      ID プロバイダは、 UserInfo エンドポイントで設定された必要な要求をすべて提供するわけではありません。 [ID トークンを優先] トグルをオンにすると、 VMware Cloud Director は両方のソースから要求を取得して使用できるようになります。
    4. 許容される最大クロック スキューを入力します。
      最大クロック スキューは、クライアントとサーバ間で許容される最大時間差です。この時間は、トークン検証時のタイムスタンプの小さな時間差を補います。デフォルト値は 60 秒です。
    5. [次へ] をクリックします。
  9. 手順 6 で [構成検出] を使用しなかった場合は、範囲情報を入力し、[次へ] をクリックします。
    VMware Cloud Director はその範囲を使用して、ユーザー詳細へのアクセスを認証します。クライアントがアクセス トークンを要求すると、これらの範囲によってこのトークンがユーザー情報にアクセスする必要がある権限が定義されます。
  10. アクセス タイプとして [ユーザー情報] を使用している場合、要求をマッピングして [次へ] をクリックします。
    このセクションを使用して、 VMware Cloud Director がユーザー情報エンドポイントから取得した情報を特定の要求にマッピングできます。要求は、 VMware Cloud Director 応答のフィールド名の文字列です。
  11. VMware Cloud Director によって OIDC キー構成を自動的に更新するには、[自動キー更新] をオンにします。
    1. 手順 6 で [構成検出] を使用しなかった場合は、[キー更新エンドポイント] を入力します。
      [キー更新エンドポイント] は、JSON Web Key Set (JWKS) エンドポイントであり、 VMware Cloud Director は、このエンドポイントからキーを取得します。
    2. キーの更新頻度を選択します。
      この期間は、1 時間から 30 日まで 1 時間単位で設定できます。
    3. [キーの更新方法] を選択します。
      オプション 説明
      [追加]

      受信キー セットを既存のキー セットに追加します。マージされたセット内のすべてのキーは有効で、使用可能です。

      たとえば、既存のキー セットにキー A、B、D が含まれ、受信キー セットにキー B、C、D が含まれている場合、キーの更新が発生すると、新しいセットにはキー A、B、C、D が含まれます。
      [置き換え]

      既存のキー セットを受信キー セットで置き換えます。

      たとえば、既存のキー セットにキー A、B、D が含まれ、受信キー セットにキー B、C、D が含まれている場合、キーの更新が発生すると、キー A はキー C に置き換えられます。受信キー B、C、D が有効なキーの新しいセットとなり、元のセットとの重複はありません。
      [有効期限終了日]

      既存のキー セットと受信キー セットの間の重複期間を構成できます。重複期間は、[キーが期限切れになるまでの期間] を使用して設定できます。この期間は、1 時間から 1 日まで 1 時間単位で設定できます。

      キーの更新は、毎時 0 分に開始されます。キーの更新が発生すると、既存のキー セット内で受信セットに含まれていないキーは、VMware Cloud Director によって有効期限間近とタグ付けされます。次回のキー更新が実行されると、VMware Cloud Director は有効期限間近のキーの使用を停止します。受信セットに含まれるキーのみが有効で、使用可能です。

      たとえば、既存のキー セットにキー A、B、D が含まれ、受信セットにキー B、C、D が含まれている場合、既存のキーが 1 時間で期限切れになるように構成すると、両方のセットが有効になる重複期間が 1 時間発生します。VMware Cloud Director はキー A を有効期限間近とマークし、次のキー更新の実行までキー A、B、C、D が使用可能になります。次回の実行時にキー A が期限切れになり、B、C、D のみが引き続き機能します。
  12. 手順 6 で [構成検出] を使用しなかった場合、ID プロバイダでトークンの署名に使用されるプライベート キーをアップロードします。
  13. [保存] をクリックします。

次のタスク

  • com/vmware/vcloud/event/oidcSettings/keys/modify イベント トピックにサブスクライブします。
  • [前回の実行][前回成功した実行] が同一であることを確認します。実行は、0 分に開始されます。[前回の実行] は、前回のキー更新試行のタイムスタンプです。[前回成功した実行] は、前回成功したキー更新のタイムスタンプです。タイムスタンプが一致しない場合、キーの自動更新は失敗し、監査イベントを確認することで問題を診断できます。