エンタープライズ管理者は、開始中にエンタープライズ用に作成したフェデレーション組織からセルフサービス フェデレーション ワークフローにアクセスします。フェデレーションを開始した組織の所有者、または参加を要請したエンタープライズ管理者ユーザーから招待メールが送信され、その一部としてフェデレーション組織へのアクセス リンクを受け取ります。

前提条件

セルフサービス フェデレーションのセットアップ ワークフローには複数の手順があり、複数の エンタープライズ管理者が一定期間操作できます。開始する前に、エンタープライズ フェデレーションをセットアップするための前提条件と要件を確認および理解します。
注目: エンタープライズは、 VMware Cloud services によるアクセスのためにフェデレーションするドメインを所有している必要があり、この所有権をセルフサービス ワークフローの最初の手順で確認する必要があります。サービス プロバイダに属するドメインをフェデレーションすることはできません。
  • セルフサービス ワークフローを通してフェデレーションをセットアップするには、エンタープライズ管理者がアクセスする必要があります。
  • ブラウザにワークフローのすべての手順が正しく表示されるようにするには、サードパーティ製の Cookie を有効にする必要があります。
    注: フェデレーションのセットアップ ワークフローを使用する場合は、ブラウザのシークレット モードを使用していないことを確認してください。
  • ドメイン検証用のフェデレーション ドメインの DNS レコードにアクセスおよび変更できることを確認してください。
    注目: エンタープライズは、 VMware Cloud services によるアクセスのためにフェデレーションするドメインを所有している必要があり、この所有権をセルフサービス ワークフローの最初の手順で確認する必要があります。サービス プロバイダに属するドメインをフェデレーションすることはできません。
  • 選択したセルフサービス フェデレーション セットアップに基づく前提条件は次のとおりです。
    動的(コネクタなし)認証設定の場合は、以下が必要です。
    • ID プロバイダ コンソールにアクセスできることを確認します。
    • SAML ベースのフェデレーションのセットアップの場合は、IdP のメタデータ URL にアクセスできることを確認します。
    コネクタベースの認証設定の場合は、以下が必要です。
    • ドメイン検証用のフェデレーション ドメインの DNS レコードにアクセスおよび変更できることを確認してください。
    • ホスト マシンに MS Windows Server 2012 R2 以降がインストールされていて、エンタープライズ ディレクトリにアクセスできることを確認します。
    • ホストの Windows マシンには、固定 IP アドレス、および DNS で解決可能な FQDN が必要です。
    • コネクタには、ポート 389/636 から Active Directory へのネットワーク アクセス権が必要です。
    • 企業ファイアウォールは、ホストされたテナント サービスとの通信用に Workspace ONE Access Connector からポート 443 への送信接続を確立するように構成されています。
    • 許可リストにドメインを追加する場合は、*.workspaceoneaccess.com(Workspace ONE Access 本番テナントの URL)ドメインを許可ドメインのリストに追加する必要があります。

      ホストの Windows サーバ マシンまたは仮想マシンは、オンプレミスにも、VMware Cloud on AWS にもデプロイできます。また、Elastic Compute Cloud インスタンスにすることも可能です。Workspace ONE Access Connector がインストールされているホストからエンタープライズ ディレクトリに、LDAP/LDAPS を使用してアクセスできる必要があります。

      Workspace ONE Access Connector のインストールの詳細については、Workspace ONE Access Connector 20.01 のシステム要件全体を確認してください。

    • Active Directory に対する読み取り権限があるユーザーまたはサービス アカウントがあり、グループとユーザーを同期する Active Directory バインド ユーザーの DN/ユーザー名に対する無期限のパスワードがあることを確認します。サービス アカウントには、名、姓、表示名、およびメール アドレスの属性が必要です。サービス アカウントのメール アドレスにはダミー値を設定できます。
      注: 有効期限があるパスワードのポリシーに沿ってサービス アカウントを使用しているときに、更新前にパスワードが期限切れになった場合は、Active Directory と Workspace ONE Access Connector 間の接続を再確立しない限り、グループとユーザーを同期できません。
    • VMware Cloud services にアクセスするためのユーザー同期に必要な属性は名、姓、メール アドレス、ユーザー名、およびドメインです。エンタープライズが認証にユーザー プリンシパル名 (UPN) を使用している場合は、UPN がユーザー プロファイル属性として使用できる必要があります。
      重要: ユーザー パスワードは同期されません。