プロバイダ組織の企業ドメインにフェデレーション ID を設定できます。連携した組織は、組織のシングル サインオンと ID ソースを使用して VMware Cloud Partner Navigator にログインできます。また、連携した組織は、組織の Active Directory からエンタープライズ グループにユーザー ロールを割り当てることで、ユーザー ロールをバッチで管理することもできます。

エンタープライズ フェデレーションの設定は、複数の手順、ユーザー、ロールが関係するセルフサービスのプロセスです。 プロバイダ管理者または プロバイダ運用管理者は、組織のためにセルフサービス フェデレーション ワークフローを開始し、セットアップを完了するために エンタープライズ管理者を招待します。 エンタープライズ管理者は、エンタープライズにとって最適なフェデレーション セットアップのタイプを決定する必要があります。次の表に、2 つのセットアップ オプションの違いを示します。
フェデレーションのセットアップ 認証方法 ユーザーとグループのプロビジョニング
動的(コネクタなし)認証設定 SAML 2.0 ID プロバイダまたは OpenID Connect ID プロバイダ 動的プロビジョニング:
  • SAML JIT(ユーザーとグループのプロビジョニング)
  • OIDC(ユーザーのプロビジョニング)
コネクタベースの認証設定 SAML 2.0 ID プロバイダまたは Workspace ONE Access Connector の認証方法 事前プロビジョニング: ユーザーの Active Directory からユーザーとグループを同期

動的(コネクタなし)認証設定

エンタープライズ ドメインのエンタープライズ フェデレーションがサードパーティ ID プロバイダを使用するように設定されている場合、フェデレーション ドメインから VMware Cloud Partner Navigator にアクセスするユーザーは、エンタープライズの ID プロバイダのログイン画面にリダイレクトされます。ユーザーは、SAML または OIDC JIT 動的プロビジョニングを通じて直接 ID プロバイダで認証されます。

コネクタベースの認証設定

このフェデレーション セットアップでは、Workspace ONE Access Connector のオンプレミス インスタンスによって、ユーザーとグループが Active Directory から Workspace ONE Access テナントの専用インスタンスに同期されます。同期されたグループとユーザーのみが、企業の認証情報を使用して VMware Cloud Partner Navigator にログインできます。ユーザー認証は、SAML 2.0 ベースの IdP または Workspace ONE Access Connector の認証方法を使用するように設定できます。

セットアップが正常に完了すると、エンタープライズ フェデレーションは企業ドメイン内のすべてのユーザーが使用できるようになり、すべての組織のすべてのサービスに適用されます。

組織にフェデレーションを設定する方法

プロバイダ管理者または プロバイダ運用管理者は、 VMware Cloud Partner Navigator でセルフサービス フェデレーションのセットアップを開始します。
  1. フェデレーションのセットアップを開始し、認証オプションを選択して、エンタープライズ管理者を特定します。
  2. エンタープライズ管理者ユーザーは、動的またはコネクタ ベースの認証設定を完了します。
  3. フェデレーション ドメインを VMware Cloud Partner Navigator に登録します。

手順 1 および 3 では、上記のリンクをクリックします。手順 2 では、エンタープライズ管理者VMware Cloud Services によるエンタープライズ フェデレーションの設定を参照してセットアップを完了する必要があります。次の表に、追加情報が記載されている役立つリンクを示します。

対象 参照先
セルフサービス フェデレーションの概要 エンタープライズ フェデレーションの設定に関係する要素
準備が必要なアイテムのリスト セルフサービス フェデレーションのセットアップを開始する前に
動的(コネクタレス)セットアップの手順 動的(コネクタなし)フェデレーション セットアップの手順の概要
コネクタベースのセットアップの手順 コネクタベースのフェデレーション セットアップの手順の概要

すべての手順を完了し、フェデレーション ドメインが正常に登録されると、[ID およびアクセス権の管理] > [エンタープライズ グループ] タブにアクセスして、組織の Active Directory からエンタープライズ グループを追加し、組織のリソースへのアクセスをロールベースで管理できます。詳細については、このトピックを参照してください。

フェデレーション後に既存のおユーザーがグレーアウトされる理由

組織内の既存のすべてのユーザーは、VMware ID 認証情報を使用して VMware Cloud Partner Navigator の認証を受けることができなくなったため、[ID およびアクセスの管理] メニューでグレーアウトされます。フェデレーションの後、これらのユーザーのメール アドレスは、古い VMware ID ではなく、新しく連携された会社の企業ドメインに関連付けられます。会社の認証情報を使用して VMware Cloud Partner Navigator に直接アクセスするには、ユーザーのメール アドレスが以前の VMware ID と一致している場合でも、連携されたすべてのユーザーが個別またはエンタープライズ グループで追加されている必要があります。その後、ユーザーは VMware ID をリンクして、フェデレーションが設定される前のユーザー アカウントのロールをリストアできます。