ユーザーは、vCenter Single Sign-On の ID ソースとして追加されたドメインに属している場合のみ SDDC Manager ユーザー インターフェイス にログインできます。vCenter Single Sign-On の管理者ユーザーは、ID ソースの追加や、追加した ID ソースの設定を変更することができます。

ID ソースを使用すると、vCenter Single Sign-On に 1 つ以上のドメインを接続できます。ドメインは vCenter Single Sign-On サーバが VMware Cloud Foundation によるユーザー認証に使用できるユーザーまたはグループのリポジトリです。デフォルトでは、vCenter Single Sign-On には ID ソースとしてシステム ドメイン (vsphere.local など) が含まれています。LDAP 経由の Active Directory または OpenLDAP ディレクトリ サービスを ID ソースとして追加できます。

手順

  1. ナビゲーション ペインで、[管理] > [シングル サインオン] をクリックします。
  2. [ID プロバイダ] をクリックします。
  3. [追加] をクリックし、[LDAP を介した Active Directory] または [OpenLDAP] を選択します。
    ID プロバイダの接続ウィザードの最初の画面。[LDAP を介した Active Directory] が選択されています。
  4. [次へ] をクリックします。
  5. サーバの設定を入力し、[次へ] をクリックします。
    表 1. LDAP 経由の Active Directory および OpenLDAP サーバの設定
    オプション 説明
    [ID ソース名] ID ソースの名前。
    [ユーザーのベース識別名] ユーザーのベース識別名。ユーザー検索を開始する DN を入力します。たとえば、cn=Users,dc=myCorp,dc=com のように入力します。
    [グループのベース識別名] グループのベース識別名。グループ検索を開始する DN を入力します。たとえば、cn=Groups,dc=myCorp,dc=com のように入力します。
    [ドメイン名] ドメインの FQDN。
    [ドメイン エイリアス] Active Directory の ID ソースの場合は、ドメインの NetBIOS 名。SSPI 認証を使用している場合は、Active Directory ドメインの NetBIOS 名を ID ソースのエイリアスとして追加します。

    OpenLDAP の ID ソースの場合、エイリアスを指定しないと、大文字で表記されたドメイン名が追加されます。

    [ユーザー名] ユーザーおよびグループのベース DN に対して、最低限の読み取り専用アクセス権を持つドメイン内のユーザーの ID。ID は次のいずれかの形式にすることができます。
    • UPN ([email protected])
    • NetBIOS(ドメイン\ユーザー)
    • DN (cn=user,cn=Users,dc=domain,dc=com)
    ユーザー名は完全修飾名にする必要があります。「user」という入力は機能しません。
    [パスワード] [ユーザー名] で指定したユーザーのパスワード。
    [プライマリ サーバの URL] ドメインのプライマリ ドメイン コントローラの LDAP サーバ。ホスト名または IP アドレスのいずれかを使用できます。

    ldap://hostname_or_IPaddress:port の形式または ldaps://hostname_or_IPaddress:port の形式を使用します。通常のポートは、LDAP 接続では 389、LDAPS 接続では 636 です。Active Directory のマルチドメイン コントローラ デプロイの場合、通常のポートは LDAP 接続では 3268、LDAPS 接続では 3269 です。

    プライマリまたはセカンダリ LDAP の URL に ldaps:// を使用する場合は、Active Directory サーバの LDAPS エンドポイントに対する信頼を確立する証明書が必要です。

    [セカンダリ サーバの URL] フェイルオーバーに使用されるセカンダリ ドメイン コントローラの LDAP サーバのアドレス。ホスト名または IP アドレスのいずれかを使用できます。
    [証明書 (LDAPS 用)] Active Directory LDAP サーバまたは OpenLDAP サーバの ID ソースで LDAPS を使用する場合、[参照] をクリックして証明書を選択します。ルート CA 証明書を Active Directory からエクスポートするには、Microsoft のドキュメントを参照してください。
  6. 情報を確認し、[送信] をクリックします。

次のタスク

ID ソースを正常に追加したら、ドメインからユーザーとグループを追加できます。 VMware Cloud Foundation へのユーザーやグループの追加を参照してください。