管理ドメイン vCenter Server の ID プロバイダとして Okta を使用すると、SDDC ManagervCenter Server、および NSX Manager 間の ID フェデレーションが可能になります。

Okta を使用した ID フェデレーションの構成には、Okta 管理コンソールと SDDC Manager ユーザー インターフェイス でのタスクの実行が含まれます。ユーザーとグループが同期されたら、 SDDC ManagervCenter Server、および NSX Manager で権限を割り当てることができます。
  1. Okta で VMware Cloud Foundation 用の OpenID Connect アプリケーションを作成します。
  2. SDDC Manager ユーザー インターフェイス で、Okta を ID プロバイダとして構成します。
  3. SDDC Manager からのリダイレクト URI を使用して、Okta OpenID Connect アプリケーションを更新します。
  4. VMware Cloud Foundation 用の SCIM 2.0 アプリケーションを作成します。
  5. SDDC ManagervCenter Server、および NSX Manager の Okta ユーザーおよびグループに権限を割り当てます。
注: 異なる SSO ドメインを使用する、隔離された VI ワークロード ドメインを作成した場合は、vSphere Client を使用して、それらの SSO ドメインの ID プロバイダとして Okta を構成する必要があります。vSphere Client で隔離されたワークロード ドメインの ID プロバイダとして Okta ID を構成すると、 NSX Manager が証明書利用者として自動的に登録されます。つまり、必要な権限を持つ Okta ユーザーが隔離された VI ワークロード ドメイン vCenter Server にログインすると、再度ログインしなくても、 SDDC Manager ユーザー インターフェイス から VI ワークロード ドメインの NSX Manager に直接アクセスできます。

前提条件

Active Directory (AD) を Okta と統合します。詳細については、Okta ドキュメントの「 Active Directory 統合を管理する」を参照してください。
注: Active Directory と統合しない場合、または Active Directory と Okta を以前に統合した場合、これは必要ありません。

Okta での VMware Cloud Foundation 用の OpenID Connect アプリケーションの作成

Okta を VMware Cloud Foundation の ID プロバイダとして使用するには、Okta で OpenID Connect アプリケーションを作成し、ユーザーとグループを OpenID Connect アプリケーションに割り当てる必要があります。

手順

  1. Okta 管理コンソールにログインし、Okta ドキュメントの「OIDC アプリケーション統合の作成」に従って OpenID Connect アプリケーションを作成します。
    [新しいアプリケーション統合の作成] ウィザードで OpenID Connect アプリケーションを作成する場合:
    • ログイン方法として [OIDC - OpenID Connect] を選択します。
    • アプリケーション タイプとして [ネイティブ アプリケーション] を選択します。
    • OpenID Connect アプリケーションの適切な名前を入力します。たとえば、「Okta-VCF-app」などです。
    • [全般設定] で、[認証コード] をオンのままにし、[更新トークン][リソース所有者パスワード] をオンにします。
    • ここでは、[ログイン リダイレクト URI][ログアウト リダイレクト URI] を無視します(これらの値は後で入力します)。
    • アクセスを制御する方法を選択するときに、必要に応じて [今はグループの割り当てをスキップする] を選択できます。
  2. OpenID Connect アプリケーションが作成されたら、クライアント シークレットを生成します。
    1. [[全般]] タブを選択します。
    2. [クライアントの認証情報] で [編集] をクリックし、[クライアント認証] に対して [クライアント シークレット] をオンにします。
    3. [Proof Key for Code Exchange (PKCE)] に対して、[追加の検証として PKCE が必要] をオフにします。
    4. [保存] をクリックします。
      クライアント シークレットが生成されます。
    5. Client ID とクライアント シークレットの両方をコピーし、SDDC Manager で Okta ID プロバイダを作成する際に使用するために保存します。
      注: SDDC Manager は、クライアント識別子と共有シークレット キーという用語を使用します。
  3. OpenID Connect アプリケーションにユーザーとグループを割り当てます。
    1. [割り当て] タブを選択し、[割り当てる] ドロップダウンから [グループに割り当て] を選択します。
    2. 検索フィールドに検索するグループを入力します。
    3. グループを選択し、[割り当てる] をクリックします。
    4. 必要に応じて、他のグループを検索し、選択して割り当てます。
    5. グループの割り当てが完了したら、[完了] をクリックします。
      割り当てられているユーザーを表示するには、 [割り当て] 画面の [フィルタ] の下にある [People] をクリックします。
      Okta はグループを割り当てます。

SDDC Manager ユーザー インターフェイスでの ID プロバイダとしての Okta の構成

vCenter Single Sign-On を使用する代わりに、Okta を外部 ID プロバイダとして使用するように VMware Cloud Foundation を構成することができます。この構成では、外部 ID プロバイダが vCenter Server の代わりに ID ソースと通信します。

VMware Cloud Foundation に追加できる外部 ID プロバイダは 1 つのみです。

この手順では、管理ドメイン vCenter Server の ID プロバイダとして Okta を構成します。VMware Identity Services 情報エンドポイントは、管理ドメイン vCenter Server の拡張リンク モード (ELM) グループの一部である他のすべての vCenter Server ノードにレプリケートされます。つまり、ユーザーが管理ドメイン vCenter Server にログインして承認されると、同じ ELM グループの一部であるすべての VI ワークロード ドメイン vCenter Server でもそのユーザーが承認されます。ユーザーが最初に VI ワークロード ドメイン vCenter Server にログインした場合も、同じことが当てはまります。
注: Okta 構成情報とユーザー/グループ情報は、拡張リンク モードの vCenter Server ノード間でレプリケートされません。 vSphere Client を使用して、ELM グループの一部である VI ワークロード ドメイン vCenter Server の ID プロバイダとして Okta を構成しないでください。

前提条件

Okta の要件:
  • Okta のユーザーであり、専用のドメイン領域がある(例:https://your-company.okta.com)。
  • OIDC ログインを実行し、ユーザーとグループの権限を管理するには、次の Okta アプリケーションを作成する必要があります。
    • サインオン方法として OpenID Connect を使用する Okta ネイティブ アプリケーション。このネイティブ アプリケーションには、認可コード、リフレッシュ トークン、リソース所有者パスワードの付与タイプが含まれている必要があります。
    • OAuth 2.0 ベアラー トークンを使用して Okta サーバと vCenter Server 間のユーザーおよびグループの同期を実行する System for Cross-domain Identity Management (SCIM) 2.0 アプリケーション。

Okta の接続要件:

  • vCenter Server は、Okta 検出エンドポイントに接続可能で、さらに検出エンドポイント メタデータにアドバタイズされている認可、トークン、JWKS、およびその他のエンドポイントに接続可能である必要があります。
  • Okta も、SCIM プロビジョニング用のユーザーとグループのデータを送信するために vCenter Server に接続できる必要があります。
ネットワークの要件:
  • ネットワークが公開されていない場合は、vCenter Server システムと Okta サーバの間にネットワーク トンネルを作成し、パブリックにアクセス可能な適切な URL を SCIM 2.0 ベース URI として使用します。
vSphere および NSX の要件:
  • vSphere 8.0 Update 2 以降。
  • NSX 4.1.2 以降。
注: リモート Active Directory/LDAP ユーザーまたはグループの vCenter Server グループ メンバーシップを追加した場合、vCenter Server は、新しい ID プロバイダ構成と互換性を持つようにこれらのメンバーシップを準備しようとします。この準備プロセスはサービス起動時に自動的に実行されますが、Okta の構成を続行するには完了する必要があります。 [事前チェックの実行] をクリックして、続行する前にこのプロセスのステータスを確認します。

手順

  1. 管理者ロールを持つユーザーとして SDDC Manager ユーザー インターフェイス にログインします。
  2. ナビゲーション ペインで、[管理] > [シングル サインオン] をクリックします。
  3. [ID プロバイダ] をクリックします。
  4. [ID プロバイダの変更] をクリックし、[OKTA] を選択します。
    Okta を示す [外部プロバイダ] メニュー。
  5. [次へ] をクリックします。
  6. [前提条件] パネルで、前提条件を確認します。
  7. [事前チェックの実行] をクリックして、システムが ID プロバイダを変更する準備ができていることを確認します。
    事前チェックでエラーが検出された場合は、 [詳細表示] をクリックしてエラーを解決する手順を実行します。
  8. [ディレクトリ情報] パネルで、次の情報を入力します。
    ID プロバイダの接続ウィザードの [ディレクトリ情報] セクション。
    • ディレクトリ名:Okta からプッシュされたユーザーとグループを格納するために vCenter Server に作成するローカル ディレクトリの名前。vcenter-okta-directory のように入力します。
    • ドメイン名:vCenter Server と同期する Okta ユーザーおよびグループを含む Okta ドメイン名を入力します。

      Okta ドメイン名を入力したら、プラス記号アイコン (+) をクリックして追加します。複数のドメイン名を入力する場合は、デフォルトのドメインを指定します。

  9. [次へ] をクリックします。
  10. [OpenID 接続構成] パネルで、次の情報を入力します。
    ID プロバイダの接続ウィザードの [OpenID 接続構成] セクション。
    • リダイレクト URI:自動的に入力されます。OpenID Connect アプリケーションの作成に使用するリダイレクト URI を Okta 管理者に提供します。
    • ID プロバイダ名:「Okta」が自動的に入力されます。
    • クライアント識別子:Okta に OpenID Connect アプリケーションを作成したときに取得されます(Okta では、クライアント識別子がクライアント ID と呼ばれます)。
    • 共有シークレット キー:Okta で OpenID Connect アプリケーションを作成したときに取得されます(Okta では、共有シークレット キーがクライアント シークレットと呼ばれます)。
    • OpenID アドレス:https://Okta ドメイン領域/oauth2/default/.well-known/openid-configuration という形式になります。

      たとえば、Okta ドメイン領域が example.okta.com の場合、OpenID アドレスは https://example.okta.com/oauth2/default/.well-known/openid-configuration です。

      詳細については、https://developer.okta.com/docs/reference/api/oidc/#well-known-openid-configuration を参照してください。

  11. [次へ] をクリックします。
  12. 情報を確認し、[終了] をクリックします。

SDDC Manager からのリダイレクト URI を使用した Okta の OpenID Connect アプリケーションの更新

SDDC Manager ユーザー インターフェイス で Okta の ID プロバイダ構成を作成したら、SDDC Manager からのリダイレクト URI を使用して Okta の OpenID Connect アプリケーションを更新します。

前提条件

SDDC Manager ユーザー インターフェイス からリダイレクト URI をコピーします。
  1. SDDC Manager ユーザー インターフェイス にログインします。
  2. ナビゲーション ペインで、[管理] > [シングル サインオン] をクリックします。
  3. [ID プロバイダ] をクリックします。
  4. [OpenID Connect] セクションで、リダイレクト URI をコピーして保存します。
    リダイレクト URI が表示されている Okta の ID プロバイダの [OpenID Connect] セクション。

手順

  1. Okta 管理コンソールにログインします。
  2. 作成した OpenID Connect アプリケーションの [全般設定] 画面で、[編集] をクリックします。
  3. [ログイン リダイレクト URI] テキスト ボックスに、SDDC Manager からコピーしたリダイレクト URI を貼り付けます。
  4. [保存] をクリックします。

VMware Cloud Foundation で Okta を使用するための SCIM 2.0 アプリケーションの作成

Okta 用の SCIM 2.0 アプリケーションを作成すると、vCenter Server にプッシュする Active Directory ユーザーとグループを指定できます。

前提条件

SDDC Manager ユーザー インターフェイス からテナント URL とシークレット トークンをコピーします。
  1. SDDC Manager ユーザー インターフェイス にログインします。
  2. ナビゲーション ペインで、[管理] > [シングル サインオン] をクリックします。
  3. [ID プロバイダ] をクリックします。
  4. [ユーザー プロビジョニング] セクションで [生成] をクリックし、シークレット トークンとテナント URL をコピーして保存します。
    テナント URL とシークレット トークンを示す、Okta の ID プロバイダの [ユーザー プロビジョニング] セクション。

この情報は、以下の手順 4 で使用されます。

手順

  1. Okta 管理コンソールにログインします。
  2. アプリケーション カタログで SCIM 2.0 Test App (OAuth Bearer Token) を参照し、[統合の追加] をクリックします。
    注: 「テスト」は、Okta が選んだ言葉です。この「テスト」テンプレートを使用して作成する SCIM アプリケーションは、本番環境の品質です。
  3. SCIM 2.0 アプリケーションを作成する場合は、次の設定を使用します。
    • SCIM 2.0 アプリケーションの適切な名前を入力します。たとえば、「VCF SCIM 2.0 app」などです。
    • [[全般設定 - 必須]] 画面で、[ユーザーがログイン ページに移動したときに自動的にログイン] をオンのままにします。
    • [サインオン オプション] 画面で、次の手順を実行します。
      • サインオン方法の場合、[SAML 2.0] をオンのままにします。
      • 認証情報の詳細の場合:
        • アプリケーション ユーザー名の形式:[AD SAM アカウント名] を選択します。
        • アプリケーション ユーザー名の更新:[作成して更新] を選択したままにします。
        • パスワードの表示:[ユーザーが自分のパスワードを安全に表示できるようにする] を選択したままにします。
  4. SCIM 2.0 アプリケーションにユーザーとグループを割り当てて、Active Directory から vCenter Server にプッシュします。
    1. Okta SCIM 2.0 アプリケーションの [プロビジョニング] で、[API 統合の構成] をクリックします。
    2. [API 統合の有効化] チェックボックスをオンにします。
    3. SCIM 2.0 ベース URL と OAuth ベアラー トークンを入力します。
      SDDC Manager は SCIM 2.0 ベース URL を「テナント URL」、OAuth ベアラー トークンを「シークレット トークン」と呼びます。
      注: vCenter Server システムと Okta サーバ間にネットワーク トンネルがある場合は、公的にアクセス可能な適切な URL をベース URL として使用します。
    4. [グループのインポート] を選択したままにします。
    5. SCIM 認証情報を確認するには、[API 認証情報をテスト] をクリックします。
    6. [保存] をクリックします。
  5. ユーザーをプロビジョニングします。
    1. [プロビジョニング] タブをクリックし、[アプリケーションへ] を選択して、[編集] をクリックします。
    2. [ユーザーの作成][ユーザー属性の更新][ユーザーの無効化] をオンにします。
    3. [パスワードの同期] をオンにしないでください。
    4. [保存] をクリックします。
  6. 割り当てを実行します。
    1. [割り当て] タブをクリックし、[割り当てる] ドロップダウンから [グループに割り当て] を選択します。
    2. 検索フィールドに検索するグループを入力します。
    3. グループを選択し、[割り当てる] をクリックします。
    4. 必要に応じて属性情報を入力し、[保存して戻る] をクリックします。
    5. 必要に応じて、他のグループを検索し、選択して割り当てます。
    6. グループの割り当てが完了したら、[完了] をクリックします。
    7. [フィルタ] で [People][グループ] を選択して、割り当てられているユーザーとグループを表示します。
  7. [グループをプッシュ] タブをクリックし、[グループをプッシュ] ドロップダウン メニューからオプションを選択します。
    • [グループを名前で検索]:グループを名前で検索するには、このオプションを選択します。
    • [グループをルールで検索]:一致するグループをアプリケーションにプッシュする検索ルールを作成するには、このオプションを選択します。
    注: [グループ メンバーシップをすぐにプッシュする] チェック ボックスをオフにしない限り、選択したメンバーシップはすぐにプッシュされ、[プッシュ ステータス] に「アクティブ」と表示されます。詳細については、Okta ドキュメントの「 グループ プッシュを有効にする」を参照してください。

SDDC Manager、vCenter Server、および NSX Manager での管理者としての Okta ユーザーおよびグループの割り当て

Okta を正常に構成し、そのユーザーとグループを同期したら、SDDC ManagervCenter Server、および NSX Manager でユーザーとグループを管理者として追加できます。これにより、管理者ユーザーは 1 つの製品ユーザー インターフェイス(SDDC Manager など)にログインでき、別の製品ユーザー インターフェイス(NSX Manager など)にログインするときに認証情報の入力を再度求められなくなります。

手順

  1. Okta ユーザー/グループを管理者として SDDC Manager に追加します。
    1. SDDC Manager ユーザー インターフェイス で、[管理] > [シングル サインオン] をクリックします。
    2. [ユーザーおよびグループ] をクリックし、[+ ユーザーまたはグループ] をクリックします。
      ユーザーまたはグループの追加ボタンを示す図。
    3. ユーザーまたはグループの横にあるチェック ボックスをクリックして、1 つまたは複数のユーザーまたはグループを選択します。
      ユーザーまたはグループを、名前で検索するか、ユーザー タイプまたはドメインでフィルタリングすることができます。
      注: Okta のユーザーとグループは、 SDDC Manager ユーザー インターフェイス の ID プロバイダとして Okta を構成したときに指定したドメインに表示されます。
    4. 各ユーザーとグループの [管理者] ロールを選択します。
      [ロールの選択] ドロップダウン メニュー。
    5. 画面の一番下までスクロールし、[追加] をクリックします。
  2. Okta ユーザー/グループを管理者として vCenter Server に追加します。
    1. vSphere Client にローカル管理者としてログインします。
    2. [管理] を選択し、[アクセス コントロール] 領域で [グローバル権限] をクリックします。
      [グローバル権限] メニュー。
    3. [追加] をクリックします。
    4. [ドメイン] ドロップダウン メニューから、ユーザーまたはグループのドメインを選択します。
    5. [検索] ボックスに名前を入力します。
      ユーザー名およびグループ名が検索されます。
    6. ユーザーまたはグループを選択します。
    7. [ロール] ドロップダウン メニューから [管理者] を選択します。
    8. [子へ伝達] チェック ボックスをオンにします。
      [権限の追加] ダイアログ ボックス。
    9. [OK] をクリックします。
  3. Okta ユーザーで SDDC Manager にログインしていることを確認します。
    1. SDDC Manager ユーザー インターフェイス からログアウトします。
    2. [SSO を使用してログイン] をクリックします。
      [SSO を使用してログイン] ボタン。
    3. ユーザー名とパスワードを入力し、[ログイン] をクリックします。
      Okta のログイン画面。
  4. Okta ユーザーで vCenter Server にログインしていることを確認します。
    1. vSphere Client からログアウトします。
    2. [SSO を使用してログイン] をクリックします。
      [SSO を使用してログイン] ボタン。
  5. Okta ユーザー/グループを管理者として NSX Manager に追加します。
    1. NSX Manager にログインします。
    2. [システム] > [ユーザー管理] に移動します。
      [ユーザー管理] メニュー。
    3. [ユーザー ロールの割り当て] タブで、[OpenID Connect ユーザーのロールの追加] をクリックします。
      ユーザー管理のためのユーザー ロールの割り当て。
    4. ドロップダウン メニューから [vcenter-idp-federation] を選択し、テキストを入力して Okta ユーザーまたはグループを検索、選択します。
    5. [ロール列] で [設定] をクリックします。
    6. [ロールを追加] をクリックします。
    7. ドロップダウン メニューから [エンタープライズ管理者] を選択し、[追加] をクリックします。
      [ロール/範囲の設定] ダイアログ ボックス。
    8. [適用] をクリックします。
    9. [保存] をクリックします。
  6. Okta ユーザーで NSX Manager にログインしていることを確認します。
    1. NSX Manager からログアウトします。
    2. [vCenter-IPD-Federation を使用してログイン] をクリックします。
      [vCenter-IPD-Federation を使用してログイン] ボタン。