ユーザーが vSphere コンポーネントにログインする際、または、vCenter Server のソリューション ユーザーが別の vCenter Server サービスにアクセスする際に、vCenter Single Sign-On が認証を実施します。ユーザーは、vCenter Single Sign-On によって認証され、vSphere オブジェクトを操作するために必要な権限を持っている必要があります。

vCenter Single Sign-On は、ソリューション ユーザーとその他のユーザーの両方を認証します。
  • ソリューション ユーザーは、vSphere 環境内の一連のサービスを表します。インストールの際、VMCA はデフォルトで、各ソリューション ユーザーに証明書を割り当てます。ソリューション ユーザーは、その証明書を使用して vCenter Single Sign-On への認証を行います。vCenter Single Sign-On は、ソリューション ユーザーに SAML トークンを提供し、その後、ソリューション ユーザーは、環境内の他のサービスと連携することが可能になります。
  • たとえば、他のユーザーが vSphere Client から環境内にログインしてきた場合、vCenter Single Sign-On によって、ユーザー名とパスワードが求められます。その認証情報を持つユーザーが、対応する ID ソース内に見つかると、vCenter Single Sign-On はそのユーザーに SAML トークンを割り当てます。このユーザーは、再び認証を求められることなく、環境内の他のサービスにアクセスできます。

    ユーザーが表示できるオブジェクトと、何を実行できるかは、通常 vCenter Server の権限設定で決まります。vCenter Server 管理者は、vCenter Single Sign-On からではなく、vSphere Web Client または vSphere Client[権限] インターフェイスから権限を割り当てます。『vSphere のセキュリティ』を参照してください。

vCenter Single Sign-On ユーザーと vCenter Server ユーザー

ユーザーはログイン ページで認証情報を入力して、vCenter Single Sign-On に対して認証を行います。vCenter Server への接続後、認証済みユーザーは、ロールによって権限が付与されたすべての vCenter Server インスタンスまたは他の vSphere オブジェクトを表示することができます。それ以降の認証は不要になります。

インストール後、cloudadmin@vmc.local ユーザー vCenter Server には、vCenter Single Sign-OnvCenter Server の両方に対する管理者アクセス権が付与されます。このユーザーも vmc.local ドメインで ID ソースを追加し、デフォルトの ID ソースを設定して、ポリシーを設定できます。vmc.local ドメイン内の特定の管理操作は、VMware Cloud on AWS の運用担当者に制限されています。

注: vSphere Client から Software-Defined Data Center (SDDC) のパスワードを変更すると、新しいパスワードとデフォルトの vCenter Server の認証情報ページに表示されるパスワードは同期されません。ページでは、デフォルトの認証情報のみが表示されます。認証情報を変更した場合、新しいパスワードの保管と管理はユーザーの責任となります。テクニカル サポートに連絡し、パスワードの変更を要求します。

vCenter Single Sign-On 管理者ユーザー

vCenter Single Sign-On 管理インターフェイスには、vSphere Client または vSphere Web Client のいずれかからアクセスできます。

vCenter Single Sign-On を設定し、vCenter Single Sign-On ユーザーとグループを管理するには、administrator@vsphere.local ユーザーまたは vCenter Single Sign-On 管理者グループのユーザーが vSphere Client にログインする必要があります。認証にあたっては、このユーザーが vSphere Client から vCenter Single Sign-On 管理インターフェイスにアクセスして、ID ソースとデフォルトのドメインを管理し、パスワード ポリシーを指定するほか、他の管理タスクを実行することができます。