管理ドメイン vCenter Server の ID プロバイダとして Microsoft Entra ID を使用すると、SDDC ManagervCenter Server、および NSX Manager 間の ID フェデレーションが可能になります。

Microsoft Entra ID を使用した ID フェデレーションの構成には、Microsoft Entra 管理コンソールと SDDC Manager ユーザー インターフェイス でのタスクの実行が含まれます。ユーザーとグループが同期されたら、 SDDC ManagervCenter Server、および NSX Manager で権限を割り当てることができます。
  1. Microsoft Entra ID で VMware Cloud Foundation 用の OpenID Connect アプリケーションを作成します。
  2. SDDC Manager ユーザー インターフェイス で、Microsoft Entra ID を ID プロバイダとして構成します。
  3. SDDC Manager からのリダイレクト URI を使用して、Microsoft Entra ID OpenID Connect アプリケーションを更新します。
  4. VMware Cloud Foundation 用の SCIM 2.0 アプリケーションを作成します。
  5. SDDC ManagervCenter Server、および NSX Manager の Microsoft Entra ID ユーザーおよびグループに権限を割り当てます。
注: 異なる SSO ドメインを使用する、隔離された VI ワークロード ドメインを作成した場合は、vSphere Client を使用して、それらの SSO ドメインの ID プロバイダとして Microsoft Entra ID を構成する必要があります。vSphere Client で隔離されたワークロード ドメインの ID プロバイダとして Microsoft Entra ID を構成すると、 NSX Manager が証明書利用者として自動的に登録されます。つまり、必要な権限を持つ Microsoft Entra ID ユーザーが隔離された VI ワークロード ドメイン vCenter Server にログインすると、再度ログインしなくても、 SDDC Manager ユーザー インターフェイス から VI ワークロード ドメインの NSX Manager に直接アクセスできます。

前提条件

Active Directory (AD) と Microsoft Entra ID を統合します。詳細については、Microsoft のドキュメントを参照してください。
注: Active Directory と統合しない場合、または Active Directory と Microsoft Entra ID を以前に統合した場合、これは必要ありません。

Microsoft Entra ID での VMware Cloud Foundation 用の OpenID Connect アプリケーションの作成

Microsoft Entra ID を VMware Cloud Foundation の ID プロバイダとして使用するには、Microsoft Entra ID で OpenID Connect アプリケーションを作成し、ユーザーとグループを OpenID Connect アプリケーションに割り当てる必要があります。

手順

  1. Microsoft Entra 管理コンソールにログインし、Microsoft のドキュメントに従って OpenID Connect アプリケーションを作成します。
    [新しいアプリケーション統合の作成] ウィザードで OpenID Connect アプリケーションを作成する場合:
    • [ホーム] > [Azure AD ディレクトリ] > [アプリケーション登録] > [新規登録] を選択します。
    • OpenID Connect アプリケーションの適切な名前を入力します。たとえば、「EntraID-vCenter-app」などです。
    • [サポート対象のアカウント タイプ] はデフォルトのままにするか、要件に従って選択します。
    • [リダイレクト URI][Web] として設定します。リダイレクト URI を入力する必要はありません。これは後で入力できます。
  2. OpenID Connect アプリケーションが作成されたら、クライアント シークレットを生成します。
    1. [証明書とシークレット] > [クライアント シークレット] > [新しいクライアント シークレット] をクリックします。
    2. クライアント シークレットの説明を入力し、[有効期限] ドロップダウン メニューで有効性を選択します。
    3. [追加] をクリックします。
    4. シークレットが生成されたら、[値] の下のコンテンツをコピーして保存し、SDDC Manager で Microsoft Entra ID の ID プロバイダを作成する際に使用します。
      注: SDDC Manager は、「クライアント シークレット」に「共有シークレット キー」という用語を使用します。
  3. クライアント ID を取得します。
    1. [概要] をクリックします。
    2. アプリケーション(クライアント)ID から値をコピーします。
      注: SDDC Manager は、「クライアント ID」に「クライアント識別子」という用語を使用します。
  4. [概要] > [エンドポイント] をクリックし、OpenID Connect メタデータ ドキュメントの値をコピーします。
  5. [管理] > [認証] をクリックし、[詳細設定] セクションまでスクロールして、[次のモバイルおよびデスクトップ フローを有効にする] トグルを [はい] にスライドし、[保存] をクリックします。
    モバイル フローとデスクトップ フローを有効にするオプションを示す [詳細設定] 画面。
  6. [管理] > [API 権限] をクリックし、[<tenant_organization_name> に対する管理者の同意を付与する] をクリックします。たとえば、[vCenter Server 認証サービスに対する管理者の同意を付与する] などです。
    [vCenter Server 認証サービスに対する管理者の同意を付与する] オプションを示す画面。vCenter Server 認証サービスは、テナント組織名の例です。

次のタスク

コピーしたクライアント シークレット、クライアント ID、OpenID Connect の情報を使用して、 SDDC Manager ユーザー インターフェイス で Microsoft Entra ID を ID プロバイダとして構成します。

SDDC Manager ユーザー インターフェイスでの ID プロバイダとしての Microsoft Entra ID の構成

vCenter Single Sign-On を使用する代わりに、Microsoft Entra ID を外部 ID プロバイダとして使用するように VMware Cloud Foundation を構成することができます。この構成では、外部 ID プロバイダが vCenter Server の代わりに ID ソースと通信します。

VMware Cloud Foundation に追加できる外部 ID プロバイダは 1 つのみです。

この手順では、管理ドメイン vCenter Server の ID プロバイダとして Microsoft Entra ID を構成します。VMware Identity Services 情報エンドポイントは、管理ドメイン vCenter Server の拡張リンク モード (ELM) グループの一部である他のすべての vCenter Server ノードにレプリケートされます。つまり、ユーザーが管理ドメイン vCenter Server にログインして承認されると、同じ ELM グループの一部であるすべての VI ワークロード ドメイン vCenter Server でもそのユーザーが承認されます。ユーザーが最初に VI ワークロード ドメイン vCenter Server にログインした場合も、同じことが当てはまります。
注: Microsoft Entra ID 構成情報とユーザー/グループ情報は、拡張リンク モードの vCenter Server ノード間でレプリケートされません。 vSphere Client を使用して、ELM グループの一部である VI ワークロード ドメイン vCenter Server の ID プロバイダとして Microsoft Entra ID を構成しないでください。

前提条件

Microsoft Entra ID の要件:
  • Microsoft Entra ID のユーザーであり、Azure AD アカウントを持っている。
  • OIDC ログインを実行し、ユーザーとグループの権限を管理するには、次の Microsoft Entra ID アプリケーションを作成する必要があります。
    • サインオン方法として OpenID Connect を使用する Microsoft Entra ID ネイティブ アプリケーション。このネイティブ アプリケーションには、認可コード、リフレッシュ トークン、リソース所有者パスワードの付与タイプが含まれている必要があります。
    • OAuth 2.0 ベアラー トークンを使用して Microsoft Entra ID サーバと vCenter Server 間のユーザーおよびグループの同期を実行する System for Cross-domain Identity Management (SCIM) 2.0 アプリケーション。
ネットワークの要件:
  • ネットワークが公開されていない場合は、vCenter Server システムと Microsoft Entra ID サーバの間にネットワーク トンネルを作成し、パブリックにアクセス可能な適切な URL を SCIM 2.0 テナント URL として使用する必要があります。
vSphere および NSX の要件:
  • vSphere 8.0 Update 2 以降。
  • NSX 4.1.2 以降。
注: リモート Active Directory/LDAP ユーザーまたはグループの vCenter Server グループ メンバーシップを追加した場合、vCenter Server は、新しい ID プロバイダ構成と互換性を持つようにこれらのメンバーシップを準備しようとします。この準備プロセスはサービス起動時に自動的に実行されますが、Microsoft Entra ID の構成を続行するには完了する必要があります。 [事前チェックの実行] をクリックして、続行する前にこのプロセスのステータスを確認します。

手順

  1. 管理者ロールを持つユーザーとして SDDC Manager ユーザー インターフェイス にログインします。
  2. ナビゲーション ペインで、[管理] > [シングル サインオン] をクリックします。
  3. [ID プロバイダ] をクリックします。
  4. [ID プロバイダの変更] をクリックし、[Microsoft Entra ID] を選択します。
    Microsoft Entra ID を示す [外部プロバイダ] メニュー。
  5. [次へ] をクリックします。
  6. [前提条件] パネルで、前提条件を確認します。
  7. [事前チェックの実行] をクリックして、システムが ID プロバイダを変更する準備ができていることを確認します。
    事前チェックでエラーが検出された場合は、 [詳細表示] をクリックしてエラーを解決する手順を実行します。
  8. [ディレクトリ情報] パネルで、次の情報を入力します。
    ID プロバイダの接続ウィザードの [ディレクトリ情報] セクション。
    • ディレクトリ名:Microsoft Entra ID からプッシュされたユーザーとグループを格納するために vCenter Server に作成するローカル ディレクトリの名前。vcenter-entra-directory のように入力します。
    • ドメイン名:vCenter Server と同期する Microsoft Entra ID のユーザーとグループを含むドメイン名を入力します。

      ドメイン名を入力したら、プラス記号アイコン (+) をクリックして追加します。複数のドメイン名を入力する場合は、デフォルトのドメインを指定します。

  9. [次へ] をクリックします。
  10. [OpenID 接続構成] パネルで、次の情報を入力します。
    ID プロバイダの接続ウィザードの [OpenID 接続構成] セクション。
    • リダイレクト URI:自動的に入力されます。OpenID Connect アプリケーションの作成に使用するリダイレクト URI を Microsoft Entra ID 管理者に提供します。
    • ID プロバイダ名:「Entra」が自動的に入力されます。
    • クライアント識別子:Microsoft Entra ID に OpenID Connect アプリケーションを作成したときに取得されます(Microsoft Entra ID では、クライアント識別子がクライアント ID と呼ばれます)。
    • 共有シークレット キー:Microsoft Entra ID に OpenID Connect アプリケーションを作成したときに取得されます(Microsoft Entra ID では、共有シークレット キーがクライアント シークレットと呼ばれます)。
    • OpenID アドレス:Microsoft Entra ID に OpenID Connect アプリケーションを作成したときに取得されます(Microsoft Entra ID では、OpenID アドレスが OpenID Connect メタデータ ドキュメントと呼ばれます)。
  11. [次へ] をクリックします。
  12. 情報を確認し、[終了] をクリックします。

SDDC Manager からのリダイレクト URI を使用した Microsoft Entra ID の OpenID Connect アプリケーションの更新

SDDC Manager ユーザー インターフェイス で Microsoft Entra ID の ID プロバイダ構成を作成したら、SDDC Manager からのリダイレクト URI を使用して Microsoft Entra ID の OpenID Connect アプリケーションを更新します。

前提条件

SDDC Manager ユーザー インターフェイス からリダイレクト URI をコピーします。
  1. SDDC Manager ユーザー インターフェイス にログインします。
  2. ナビゲーション ペインで、[管理] > [シングル サインオン] をクリックします。
  3. [ID プロバイダ] をクリックします。
  4. [OpenID Connect] セクションで、リダイレクト URI をコピーして保存します。
    リダイレクト URI が表示されている Microsoft Entra ID の ID プロバイダの [OpenID Connect] セクション。

手順

  1. Microsoft Entra 管理コンソールにログインします。
  2. OpenID Connect アプリケーションの [アプリ登録] 画面で、[認証] をクリックします。
  3. [プラットフォームを追加] を選択し、[Web] を選択します。
  4. [リダイレクト URI] テキスト ボックスに、SDDC Manager からコピーしたリダイレクト URI を貼り付けます。
  5. [構成] をクリックします。

VMware Cloud Foundation で Microsoft Entra ID を使用するための SCIM 2.0 アプリケーションの作成

Microsoft Entra ID 用の SCIM 2.0 アプリケーションを作成すると、vCenter Server にプッシュする Active Directory ユーザーとグループを指定できます。

vCenter Server が受信トラフィックを受け入れる場合は、次の手順に従って SCIM 2.0 アプリケーションを作成します。 vCenter Server が受信トラフィックを受け入れない場合は、Microsoft Entra ID のドキュメントを参照して別の方法を確認してください。
  • Microsoft Entra Connect プロビジョニング エージェント
  • Microsoft Entra アプリケーション プロキシ エージェント

前提条件

SDDC Manager ユーザー インターフェイス からテナント URL とシークレット トークンをコピーします。
  1. SDDC Manager ユーザー インターフェイス にログインします。
  2. ナビゲーション ペインで、[管理] > [シングル サインオン] をクリックします。
  3. [ID プロバイダ] をクリックします。
  4. [ユーザー プロビジョニング] セクションで [生成] をクリックし、シークレット トークンとテナント URL をコピーして保存します。
    テナント URL とシークレット トークンを示す、Microsoft Entra ID の ID プロバイダの [ユーザー プロビジョニング] セクション。

この情報を使用して、以下のプロビジョニング設定を構成します。

手順

  1. Microsoft Entra 管理コンソールにログインします。
  2. [アプリケーション] > [エンタープライズ アプリケーション] に移動し、[新規アプリケーション] をクリックします。
  3. [VMware Identity Service] を検索し、検索結果で選択します。
  4. SCIM 2.0 アプリケーションの適切な名前を入力します。たとえば、「VCF SCIM 2.0 app」などです。
  5. [作成] をクリックします。
  6. SCIM 2.0 アプリケーションが作成されたら、[管理] > [プロビジョニング] をクリックし、プロビジョニング設定を指定します。
    1. プロビジョニング モードとして [自動] を選択します。
    2. SDDC Manager ユーザー インターフェイス からコピーしたテナント URL とシークレット トークンを入力し、[テスト接続] をクリックします。
      注: vCenter Server システムと Microsoft Entra ID サーバ間にネットワーク トンネルがある場合は、公的にアクセス可能な適切な URL をテナント URL として使用します。
    3. [保存] をクリックします。
    4. [マッピング] セクションを展開し、[Azure Active Directory ユーザーのプロビジョニング] をクリックします。
    5. [属性マッピング] 画面で、[userPrincipalName] をクリックします。
    6. [属性を編集] 画面で設定を更新し、[OK] をクリックします。
      オプション 説明
      マッピング タイプ [式] を選択します。
      次のテキストを入力します。
      Item(Split[userPrincipalName], "@"), 1)
    7. [新しいマッピングの追加] をクリックします。
    8. [属性を編集] 画面で設定を更新し、[OK] をクリックします。
      オプション 説明
      マッピング タイプ [式] を選択します。
      次のテキストを入力します。
      Item(Split[userPrincipalName], "@"), 2)
      ターゲット属性 [urn:ietf:params:scim:schemas:extension:ws1b:2.0:User:domain] を選択します。
    9. [保存] をクリックします。
    10. [プロビジョニング ステータス][オン] に設定します。
  7. ユーザーをプロビジョニングします。
    1. [管理] > [ユーザーおよびグループ] をクリックします。
    2. [ユーザー/グループの追加] をクリックします。
    3. ユーザーとグループを検索し、[選択] をクリックします。
    4. [割り当て] をクリックします。
    5. [管理] > [プロビジョニング] をクリックします。
    6. [プロビジョニングを開始] をクリックします。

SDDC Manager、vCenter Server、および NSX Manager での管理者としての Microsoft Entra ID ユーザーおよびグループの割り当て

Microsoft Entra ID を正常に構成し、そのユーザーとグループを同期したら、SDDC ManagervCenter Server、および NSX Manager でユーザーとグループを管理者として追加できます。これにより、管理者ユーザーは 1 つの製品ユーザー インターフェイス(SDDC Manager など)にログインでき、別の製品ユーザー インターフェイス(NSX Manager など)にログインするときに認証情報の入力を再度求められなくなります。

手順

  1. SDDC Manager で Microsoft Entra ID ユーザー/グループを管理者として追加します。
    1. SDDC Manager ユーザー インターフェイス で、[管理] > [シングル サインオン] をクリックします。
    2. [ユーザーおよびグループ] をクリックし、[+ ユーザーまたはグループ] をクリックします。
      ユーザーまたはグループの追加ボタンを示す図。
    3. ユーザーまたはグループの横にあるチェック ボックスをクリックして、1 つまたは複数のユーザーまたはグループを選択します。
      ユーザーまたはグループを、名前で検索するか、ユーザー タイプまたはドメインでフィルタリングすることができます。
      注: Microsoft Entra ID のユーザーとグループは、 SDDC Manager ユーザー インターフェイス の ID プロバイダとして Microsoft Entra ID を構成したときに指定したドメインに表示されます。
    4. 各ユーザーとグループの [管理者] ロールを選択します。
      [ロールの選択] ドロップダウン メニュー。
    5. 画面の一番下までスクロールし、[追加] をクリックします。
  2. vCenter Server で Microsoft Entra ID ユーザー/グループを管理者として追加します。
    1. vSphere Client にローカル管理者としてログインします。
    2. [管理] を選択し、[アクセス コントロール] 領域で [グローバル権限] をクリックします。
      [グローバル権限] メニュー。
    3. [追加] をクリックします。
    4. [ドメイン] ドロップダウン メニューから、ユーザーまたはグループのドメインを選択します。
    5. [検索] ボックスに名前を入力します。
      ユーザー名およびグループ名が検索されます。
    6. ユーザーまたはグループを選択します。
    7. [ロール] ドロップダウン メニューから [管理者] を選択します。
    8. [子へ伝達] チェック ボックスをオンにします。
      [権限の追加] ダイアログ ボックス。
    9. [OK] をクリックします。
  3. Microsoft Entra ID ユーザーで SDDC Manager にログインしていることを確認します。
    1. SDDC Manager ユーザー インターフェイス からログアウトします。
    2. [SSO を使用してログイン] をクリックします。
      [SSO を使用してログイン] ボタン。
    3. ユーザー名とパスワードを入力し、[ログイン] をクリックします。
  4. Microsoft Entra ID ユーザーで vCenter Server にログインしていることを確認します。
    1. vSphere Client からログアウトします。
    2. [SSO を使用してログイン] をクリックします。
      [SSO を使用してログイン] ボタン。
  5. NSX Manager で Microsoft Entra ID ユーザー/グループを管理者として追加します。
    1. NSX Manager にログインします。
    2. [システム] > [ユーザー管理] に移動します。
      [ユーザー管理] メニュー。
    3. [ユーザー ロールの割り当て] タブで、[OpenID Connect ユーザーのロールの追加] をクリックします。
      ユーザー管理のためのユーザー ロールの割り当て。
    4. ドロップダウン メニューから [vcenter-idp-federation] を選択し、テキストを入力して Microsoft Entra ID ユーザーまたはグループを検索、選択します。
    5. [ロール列] で [設定] をクリックします。
    6. [ロールを追加] をクリックします。
    7. ドロップダウン メニューから [エンタープライズ管理者] を選択し、[追加] をクリックします。
      [ロール/範囲の設定] ダイアログ ボックス。
    8. [適用] をクリックします。
    9. [保存] をクリックします。
  6. Microsoft Entra ID ユーザーで NSX Manager にログインしていることを確認します。
    1. NSX Manager からログアウトします。
    2. [vCenter-IPD-Federation を使用してログイン] をクリックします。
      [vCenter-IPD-Federation を使用してログイン] ボタン。