vCenter Single Sign-On を使用する代わりに、Active Directory フェデレーション サービス (AD FS) を外部 ID プロバイダとして使用するように VMware Cloud Foundation を構成することができます。この構成では、外部 ID プロバイダが vCenter Server の代わりに ID ソースと通信します。
VMware Cloud Foundation に追加できる外部 ID プロバイダは 1 つのみです。ID プロバイダを vCenter Single Sign-On から AD FS に変更すると、LDAP 経由の Active Directory または OpenLDAP ID ソースから VMware Cloud Foundation に追加したユーザーとグループがすべて削除されます。システム ドメインのユーザーとグループ(vsphere.local など)は影響を受けません。
前提条件
Active Directory フェデレーション サービスの要件:
- Windows Server 2016 以降の AD FS がすでにデプロイされている必要があります。
- AD FS は Active Directory に接続されている必要があります。
- vCenter Server 管理者権限の付与対象となるユーザーを含む vCenter Server 管理者グループを AD FS 内に作成しました。
AD FS の構成の詳細については、Microsoft 社のドキュメントを参照してください。
vCenter Server およびその他の要件:
- vSphere 7.0 以降
- vCenter Server は、AD FS 検出エンドポイントに接続可能で、さらに検出エンドポイント メタデータにアドバタイズされている認可、トークン、ログアウト、JWKS、およびその他のエンドポイントに接続可能である必要があります。
- フェデレーションされた認証に必要な vCenter Server ID プロバイダを作成、更新、削除するには、VcIdentityProviders.Manage 権限が必要です。ユーザーが ID プロバイダの構成情報のみを表示するように制限するには、VcIdentityProviders.Read 権限を割り当てます。
手順
- ナビゲーション ペインで、 をクリックします。
- [ID プロバイダ] をクリックします。
- [ID プロバイダの変更] をクリックし、[AD FS] を選択します。
[ID プロバイダの接続] ウィザードが開きます。
- [次へ] をクリックします。
- 前提条件を確認するチェックボックスを選択して、[次へ] をクリックします。
- AD FS サーバ証明書が公的に信頼されている認証局によって署名されている場合は、[次へ] をクリックします。自己署名証明書を使用している場合は、信頼済みルート証明書ストアに追加された AD FS ルート CA 証明書を追加します。
- [参照] をクリックします。
- 証明書に移動し、[開く] をクリックします。
- [次へ] をクリックします。
- リダイレクト URI をコピーします。
これらの URI は次の手順で AD FS アプリケーション グループを作成するときに必要になります。
- AD FS で OpenID Connect 構成を作成します。
vCenter Server と ID プロバイダの間で証明書利用者の信頼を確立するには、両者の間で識別情報と共有シークレット キーを確立する必要があります。AD FS でこれを実行するには、サーバ アプリケーションと Web API で構成される、アプリケーション グループと呼ばれる OpenID Connect 構成を作成します。この 2 つのコンポーネントは、vCenter Server が AD FS サーバを信頼し、これと通信するために使用する情報を指定します。AD FS で OpenID Connect を有効にするには、https://kb.vmware.com/s/article/78029にある VMware のナレッジベースの記事を参照してください。
AD FS アプリケーション グループを作成するときは、次の点に注意してください。
- 前の手順の 2 つのリダイレクト URI が必要です。
- 次の手順で ID プロバイダを構成するときに使用するために、次の情報をファイルにコピーするか、または書き留めます。
- クライアント識別子
- 共有シークレット キー
- AD FS サーバの OpenID アドレス
- アプリケーション グループ情報を入力し、[次へ] をクリックします。
前の手順で収集した情報を使用して以下を入力します。
- クライアント識別子
- 共有シークレット キー
- AD FS サーバの OpenID アドレス
- LDAP 経由の Active Directory 接続のユーザーおよびグループ情報を入力して、ユーザーとグループを検索します。
vCenter Server は、認可と権限付与に使用する Active Directory ドメインをユーザーのベース識別名から導出します。vSphere オブジェクトに対する権限は、この Active Directory ドメインのユーザーおよびグループに対してのみ追加できます。Active Directory の子ドメインまたは Active Directory フォレスト内の他のドメインのユーザーまたはグループは、vCenter Server ID プロバイダ フェデレーションではサポートされません。
オプション |
説明 |
ユーザーのベース識別名 |
ユーザーのベース識別名。 |
グループのベース識別名 |
グループのベース識別名。 |
ユーザー名 |
ユーザーおよびグループのベース DN に対して、最低限の読み取り専用アクセス権を持つドメイン内のユーザーの ID。 |
パスワード |
ユーザーおよびグループのベース DN に対して、最低限の読み取り専用アクセス権を持つドメイン内のユーザーの ID。 |
プライマリ サーバの URL |
ドメインのプライマリ ドメイン コントローラの LDAP サーバ。 ldap://hostname:port の形式または ldaps://hostname:port の形式を使用します。通常のポートは、LDAP 接続では 389、LDAPS 接続では 636 です。Active Directory のマルチドメイン コントローラ デプロイの場合、通常のポートは LDAP 接続では 3268、LDAPS 接続では 3269 です。 プライマリまたはセカンダリ LDAP の URL に ldaps:// を使用する場合は、Active Directory サーバの LDAPS エンドポイントに対する信頼を確立する証明書が必要です。 |
セカンダリ サーバの URL |
フェイルオーバーに使用されるセカンダリ ドメイン コントローラの LDAP サーバのアドレス。 |
証明書 (LDAPS 用) |
LDAPS を使用する場合は、[参照] をクリックして証明書を選択します。 |
- 情報を確認し、[送信] をクリックします。
次のタスク
AD FS を外部 ID プロバイダとして正常に追加したら、ユーザーとグループを
VMware Cloud Foundation に追加できます。
VMware Cloud Foundation へのユーザーやグループの追加を参照してください。