企業ドメインのエンタープライズ フェデレーションの設定は、複数の手順、ユーザー、ロールが関係するセルフサービスのプロセスです。
- 手順 1:ドメインの確認
-
この手順では、フェデレーションするドメインの所有権を確認します。検証プロセスでは、ドメインの DNS TXT レコードを追加します。開始する前に、企業ドメインの DNS レコードが変更可能なことを確認してください。
この手順で追加したドメインが、企業の従業員が VMware Cloud services にアクセスする際に使用するトップ レベル パブリック ドメインになります。これらのドメインは内部 Active Directory ドメインではありません。フェデレーション セットアップの手順 3 で、内部 Active Directory ドメインのユーザーとグループを追加できます。同期用に追加した内部 Active Directory ドメインは外部に表示されないため、VMware Cloud services からアクセスできません。
注: 検証は自動実行されません。TXT レコードを送信して変更が有効になるまでに、最大で 72 時間かかる場合があります。 - 手順 2:Workspace ONE Access Connector のインストール
-
この手順では、Workspace ONE Access Connector の実行可能ファイルをダウンロードして、エンタープライズ ディレクトリへのアクセス権を持つ Windows マシンにインストールします。
注: エンタープライズが SAML 2.0 ベースの ID プロバイダを使用していない場合は、 Workspace ONE Access Connector でサポートされている認証方法を使用してユーザーを認証します。これは、セルフサービス フェデレーション ワークフローの手順 4 で構成します。Workspace ONE Access Connector は、Active Directory、RADIUS、RSA SecurID などのオンプレミス インフラストラクチャと統合された Workspace ONE Access のオンプレミス コンポーネントです(旧称は VMware Identity Manager)。フェデレーションのセットアップでは、コネクタは、エンタープライズ管理者が構成したユーザーおよびグループと、エンタープライズ フェデレーションのために企業エンティティに対して作成されたホスト済みの Workspace ONE Access テナントを継続的に同期するために使用されます。
- 手順 3:グループとユーザーの同期
-
この手順では、エンタープライズ Active Directory にバインドします。必要に応じて、SSL/TLS 通信用のセキュリティ証明書を Workspace ONE Access Connector から Active Directory にアップロードします。次に、エンタープライズ ディレクトリ内で、Workspace ONE Access テナントと同期するユーザーとグループを検索します。フェデレーションのセットアップが完了した後も、他のグループとユーザーの同期を続行できます。
- 手順 4:ID プロバイダの構成
-
この手順では、ID プロバイダとして機能するように Workspace ONE Access Connector を構成し、Active Directory に対する直接ユーザー認証を有効にします。ユーザーのブラウザと Workspace ONE Access サービスの間で安全な通信を確保するために、Kerberos 認証方法を有効にします。
Kerberos 認証の詳細については、Configuring Kerberos Authentication in Workspace ONE Accessを参照してください。
注意: フェデレーションのセットアップを有効にした後に、この手順で構成した ID プロバイダを変更することはできません。後で ID プロバイダを変更する必要がある場合は、サポート チケットを発行します。 - 手順 5:セットアップの完了
-
フェデレーションのセットアップの最後の手順では、次のアクションを実行する必要があります。
- エンタープライズのユーザーが、企業の IdP を使用して VMware Cloud services にログインできることを検証します。
- 手順 1 で指定したドメインのエンタープライズ ユーザーに、企業の認証情報を使用して VMware Cloud services にログインする必要があることを通知します。
- 変更を確認して、エンタープライズのフェデレーションを有効にします。
フェデレーションのセットアップが完了すると、セルフサービス ワークフローを変更できなくなります。エンタープライズ管理者は、[エンタープライズ フェデレーション] ダッシュボードで初期セットアップを変更できます。
重要: エンタープライズ フェデレーションを有効にした後に、フェデレーション ドメインを使用するユーザーが VMware Cloud services にアクセスするには、企業アカウントを使用する必要があります。 VMware Cloud services にログインする際に、My VMware アカウントを使用することはできなくなります。 - 手順 6:VMware ID アカウントのリンク
-
ワークフローの最後の手順では、フェデレーション アカウントを VMware ID アカウントにリンクします。この手順は、次のロールに対して実行する必要があります。
- セルフサービス フェデレーションのセットアップに参加したエンタープライズ管理者および組織の所有者ユーザー。
- 請求情報にアクセスする必要がある組織の所有者および組織のメンバー ユーザー。
- サポート リクエストの発行機能が必要になる組織の所有者および組織のメンバー ユーザー。