企業ドメインのエンタープライズ フェデレーションの設定は、複数の手順、ユーザー、ロールが関係するセルフサービスのプロセスです。

次のリストでは、フェデレーションのセットアップ ワークフローの手順の概要を示します。企業ドメインをフェデレーションする各手順のシナリオ例については、手順のリンクをクリックしてください。
手順 1:ドメインの確認

この手順では、フェデレーションするドメインの所有権を確認します。検証プロセスでは、ドメインの DNS TXT レコードを追加します。開始する前に、企業ドメインの DNS レコードが変更可能なことを確認してください。

この手順で追加したドメインが、企業の従業員が VMware Cloud services にアクセスする際に使用するトップ レベル パブリック ドメインになります。これらのドメインは内部 Active Directory ドメインではありません。フェデレーション セットアップの手順 3 で、内部 Active Directory ドメインのユーザーとグループを追加できます。同期用に追加した内部 Active Directory ドメインは外部に表示されないため、VMware Cloud services からアクセスできません。

注: 検証は自動実行されません。TXT レコードを送信して変更が有効になるまでに、最大で 72 時間かかる場合があります。
手順 2:Workspace ONE Access Connector のインストール

この手順では、Workspace ONE Access Connector の実行可能ファイルをダウンロードして、エンタープライズ ディレクトリへのアクセス権を持つ Windows マシンにインストールします。

注: エンタープライズが SAML 2.0 ベースの ID プロバイダを使用していない場合は、 Workspace ONE Access Connector でサポートされている認証方法を使用してユーザーを認証できます。

Workspace ONE Access Connector は、Active Directory、RADIUS、RSA SecurID などのオンプレミス インフラストラクチャと統合された Workspace ONE Access のオンプレミス コンポーネントです(旧称は VMware Identity Manager)。フェデレーションのセットアップでは、コネクタは、エンタープライズ管理者が構成したユーザーおよびグループと、エンタープライズ フェデレーションのために企業エンティティに対して作成されたホスト済みの Workspace ONE Access テナントを継続的に同期するために使用されます。

手順 3:グループとユーザーの同期

この手順では、エンタープライズ Active Directory にバインドします。必要に応じて、SSL/TLS 通信用のセキュリティ証明書を Workspace ONE Access Connector から Active Directory にアップロードします。次に、エンタープライズ ディレクトリ内で、Workspace ONE Access テナントと同期するユーザーとグループを検索します。フェデレーションのセットアップが完了した後も、他のグループとユーザーの同期を続行できます。

手順 4:ID プロバイダの構成

この手順では、ID プロバイダを構成します。エンタープライズのフェデレーションを有効にするには、SAML 2.0 ベースのサードパーティ ID プロバイダを使用します。セルフサービス フェデレーションのセットアップ プロセスでは、OktaPingIdentityMicrosoft Active Directory Federation ServicesOneLogin、および Azure Active Directory の IdP の構成サポートについてガイドします。エンタープライズ フェデレーション用のサードパーティ IdP を構成するには、ID プロバイダ コンソールと IdP のメタデータ URL にアクセスできる必要があります。

サードパーティ IdP を使用していない場合は、 Workspace ONE Access Connector を使用して Active Directory に対するユーザーの直接認証を有効にできます。
注意: フェデレーションのセットアップを有効にした後に、この手順で構成した ID プロバイダを変更することはできません。後で ID プロバイダを変更する必要がある場合は、サポート チケットを発行します。
手順 5:セットアップの完了
フェデレーションのセットアップの最後の手順では、次のアクションを実行する必要があります。
  • エンタープライズのユーザーが、企業の IdP を使用して VMware Cloud services にログインできることを検証します。
  • 手順 1 で指定したドメインのエンタープライズ ユーザーに、企業の認証情報を使用して VMware Cloud services にログインする必要があることを通知します。
  • 変更を確認して、エンタープライズのフェデレーションを有効にします。

フェデレーションのセットアップが完了すると、セルフサービス ワークフローを変更できなくなります。エンタープライズ管理者は、[エンタープライズ フェデレーション] ダッシュボードで初期セットアップを変更できます。

重要: エンタープライズ フェデレーションを有効にした後に、フェデレーション ドメインを使用するユーザーが VMware Cloud services にアクセスするには、企業アカウントを使用する必要があります。 VMware Cloud services にログインする際に、My VMware アカウントを使用することはできなくなります。
手順 6:VMware ID アカウントのリンク
ワークフローの最後の手順では、フェデレーション アカウントを VMware ID アカウントにリンクします。この手順は、次のロールに対して実行する必要があります。
  • エンタープライズ管理者、セルフサービス フェデレーションのセットアップに参加した組織の所有者。
  • 請求情報にアクセスする必要がある組織の所有者およびメンバー。
  • サポート リクエストの発行機能が必要になる組織の所有者およびメンバー。