vCenter Single Sign-On を使用する代わりに、Microsoft ADFS を外部 ID プロバイダとして使用するように VMware Cloud Foundation を構成することができます。この構成では、外部 ID プロバイダが vCenter Server の代わりに ID ソースと通信します。

VMware Cloud Foundation に追加できる外部 ID プロバイダは 1 つのみです。

前提条件

Microsoft Active Directory フェデレーション サービス (ADFS) の要件:

  • Windows Server 2016 以降の Microsoft ADFS がすでにデプロイされている必要があります。
  • Microsoft ADFS は Active Directory に接続されている必要があります。
  • vCenter Server 管理者権限の付与対象となるユーザーを含む vCenter Server 管理者グループを Microsoft ADFS 内に作成しました。

Microsoft ADFS の構成の詳細については、Microsoft 社のドキュメントを参照してください。

vCenter Server およびその他の要件:

  • vSphere 7.0 以降
  • vCenter Server は、Microsoft ADFS 検出エンドポイントに接続可能で、さらに検出エンドポイント メタデータにアドバタイズされている認可、トークン、ログアウト、JWKS、およびその他のエンドポイントに接続可能である必要があります。

手順

  1. 管理者ロールを持つユーザーとして SDDC Manager ユーザー インターフェイス にログインします。
  2. ナビゲーション ペインで、[管理] > [シングル サインオン] をクリックします。
  3. [ID プロバイダ] をクリックします。
  4. [ID プロバイダの変更] をクリックし、[Microsoft ADFS] を選択します。
    [ADFS] を表示するメニュー オプション。
  5. [次へ] をクリックします。
  6. 前提条件を確認するチェックボックスを選択して、[次へ] をクリックします。
  7. Microsoft ADFS サーバ証明書が公的に信頼されている認証局によって署名されている場合は、[次へ] をクリックします。自己署名証明書を使用している場合は、信頼済みルート証明書ストアに追加された Microsoft ADFS ルート CA 証明書を追加します。
    1. [参照] をクリックします。
    2. 証明書に移動し、[開く] をクリックします。
    3. [次へ] をクリックします。
  8. リダイレクト URI をコピーします。
    これらの URI は次の手順で Microsoft ADFS アプリケーション グループを作成するときに必要になります。
  9. Microsoft ADFS で OpenID Connect 構成を作成します。

    vCenter Server と ID プロバイダの間で証明書利用者の信頼を確立するには、両者の間で識別情報と共有シークレット キーを確立する必要があります。Microsoft ADFS でこれを実行するには、サーバ アプリケーションと Web API で構成される、アプリケーション グループと呼ばれる OpenID Connect 構成を作成します。この 2 つのコンポーネントは、vCenter Server が Microsoft ADFS サーバを信頼し、これと通信するために使用する情報を指定します。Microsoft ADFS で OpenID Connect を有効にするには、https://kb.vmware.com/s/article/78029にある VMware のナレッジベースの記事を参照してください。

    Microsoft ADFS アプリケーション グループを作成するときは、次の点に注意してください。

    • 前の手順の 2 つのリダイレクト URI が必要です。
    • 次の手順で ID プロバイダを構成するときに使用するために、次の情報をファイルにコピーするか、または書き留めます。
      • クライアント識別子
      • 共有シークレット キー
      • Microsoft ADFS サーバの OpenID アドレス
  10. アプリケーション グループ情報を入力し、[次へ] をクリックします。
    前の手順で収集した情報を使用して以下を入力します。
    • クライアント識別子
    • 共有シークレット キー
    • Microsoft ADFS サーバの OpenID アドレス
  11. LDAP 経由の Active Directory 接続のユーザーおよびグループ情報を入力して、ユーザーとグループを検索します。
    vCenter Server は、認可と権限付与に使用する Active Directory ドメインをユーザーのベース識別名から導出します。vSphere オブジェクトに対する権限は、この Active Directory ドメインのユーザーおよびグループに対してのみ追加できます。Active Directory の子ドメインまたは Active Directory フォレスト内の他のドメインのユーザーまたはグループは、vCenter Server ID プロバイダ フェデレーションではサポートされません。
    オプション 説明
    ユーザーのベース識別名 ユーザーのベース識別名。
    グループのベース識別名 グループのベース識別名。
    ユーザー名 ユーザーおよびグループのベース DN に対して、最低限の読み取り専用アクセス権を持つドメイン内のユーザーの ID。
    パスワード ユーザーおよびグループのベース DN に対して、最低限の読み取り専用アクセス権を持つドメイン内のユーザーの ID。
    プライマリ サーバの URL ドメインのプライマリ ドメイン コントローラの LDAP サーバ。

    ldap://hostname:port の形式または ldaps://hostname:port の形式を使用します。通常のポートは、LDAP 接続では 389、LDAPS 接続では 636 です。Active Directory のマルチドメイン コントローラ デプロイの場合、通常のポートは LDAP 接続では 3268、LDAPS 接続では 3269 です。

    プライマリまたはセカンダリ LDAP の URL に ldaps:// を使用する場合は、Active Directory サーバの LDAPS エンドポイントに対する信頼を確立する証明書が必要です。

    セカンダリ サーバの URL フェイルオーバーに使用されるセカンダリ ドメイン コントローラの LDAP サーバのアドレス。
    証明書 (LDAPS 用) LDAPS を使用する場合は、[参照] をクリックして証明書を選択します。
  12. 情報を確認し、[送信] をクリックします。

次のタスク

Microsoft ADFS を外部 ID プロバイダとして正常に追加したら、ユーザーとグループを VMware Cloud Foundation に追加できます。 VMware Cloud Foundation へのユーザーやグループの追加を参照してください。