エンタープライズ フェデレーション セットアップのこの手順では、Active Directory 内の同期するユーザーとグループが格納される内部ディレクトリを作成します。

1 つまたは複数の Active Directory ドメイン内のグループおよびユーザーを同期できます。
  • VMware Cloud services へのフェデレーション アクセス権を付与するすべてのユーザーおよびグループが単一の Active Directory ドメインに含まれている場合は、[単一 Active Directory ドメイン] オプションを選択します。複数の Active Directory ドメインを使用していて、これらのドメイン間に信頼が確立されていない場合は、このオプションを使用します。フェデレーションが設定されたら、追加の Active Directory ドメインごとに新しいディレクトリを追加することができます。
  • [複数の Active Directory ドメイン] を選択します。VMware Cloud services へのフェデレーション アクセス権を付与するユーザーおよびグループが複数の Active Directory ドメインに分散している場合は、マルチフォレスト Active Directory が構成されていて、複数のドメイン間に信頼が確立されています。

エンタープライズ フェデレーションを有効にすると、フェデレーション ワークフローのこの手順で同期したグループとユーザーが、Cloud Services Console[グループ] 画面に表示されます。この画面にアクセスするには、[ID とアクセスの管理] > [グループ] の順に選択します。フェデレーション セットアップを有効にした後に、エンタープライズの他のグループとユーザーを同期できます。

ユーザーが自分の企業アカウントを使用して VMware Cloud services にアクセスできるようにするには、すべてのフェデレーション アカウントを同期する必要があります。請求情報の表示や、サポート チケットの発行が必要な場合を除き、同期されたユーザーが、ログイン時に VMware アカウントの作成を要求されることはありません。エンタープライズ管理者が組織の所有者でもある場合、またはドメインのフェデレーション前にフェデレーション セットアップの完了を要求された場合、エンタープライズ管理者は VMware アカウントを作成する必要があります。ドメインがフェデレーションされた後に特別なフェデレーション組織に追加されたエンタープライズ管理者は、VMware アカウントを作成する必要はありません。

前提条件

  • Active Directory で SSL/TLS を使用したアクセスが必須の場合、ドメイン コントローラの中間証明書(使用されている場合)とルート CA 証明書をアップロードする必要があります。
  • グループとユーザーの同期では、Active Directory に対する読み取り権限を持つ任意のサービスまたはユーザー アカウントと、Active Directory に接続するバインド ユーザーの DN またはユーザー名の無期限のパスワードを使用する必要があります。
    注意: 会社のセキュリティ ポリシーにより、期限付きのパスワードを持つサービス アカウントの使用が必須で、パスワードが更新前に期限切れになった場合は、グループとユーザーは同期されません。同期が中断された場合は、Active Directory と Workspace ONE Access Connector 間の接続を再確立する必要があります。

手順

  1. [エンタープライズ フェデレーションの設定] 画面の [グループとユーザーの同期] セクションで、[起動] をクリックします。
    [ディレクトリの追加] セクションが表示されます。
  2. [ディレクトリ名] テキスト ボックスに、作成する内部ディレクトリの名前を入力します。
    エンタープライズ ディレクトリには任意の名前を設定できます。内部で使用する名前と一致させる必要はありません。
  3. この例の目的のために、デフォルトの [単一の Active Directory ドメイン] および [いいえ] メニュー項目を選択したままにします。
  4. [次へ] をクリックします。
    ワークフローの [バインド ユーザー認証情報の指定] セクションが展開されます。
  5. エンタープライズ Active Directory 内のグループとユーザーを同期するために使用されるサービス アカウントのバインド ユーザー管理者認証情報を指定します。
    次に、バインド ユーザー識別名 (DN) を定義する方法の例を示します。エンタープライズ ディレクトリ サービスのバインド ユーザー DN が admin@acme.com の場合を考えます。フェデレーション セットアップでのユーザー名の構文の定義方法を確認します。
    1. [バインド ユーザー DN] テキスト ボックスに "CN=admin,DC=acme,DC=com" と入力します。
      [ベース DN] テキスト ボックスに自動的にポピュレートされて、 "DC=acme,DC=com" と表示されます。
    2. [バインド ユーザーのパスワード] テキスト ボックスに、バインド ユーザー管理者のパスワードを入力します。
    注: 入力するバインド ユーザー DN とバインド DN 認証情報は、例に示された構文に従う必要があります。
  6. [次へ] をクリックします。
    ワークフローの [グループの同期] セクションが展開されます。
  7. 同期するグループのグループ識別名 (DN) を入力します。
    CN=Users,DC=acme,DC=com など、エンタープライズ ディレクトリ内の特定のユーザーとグループを定義するには、このタスクの手順 5 で入力したのと同様の構文を使用します。
    注: グループとユーザーを同期する最小限の属性は、名、姓、メール アドレス、ユーザー名、およびドメインです。企業がユーザー認証にユーザー プリンシパル名 (UPN) を使用している場合は、この属性にも同期用の値を設定する必要があります。ユーザー パスワードは同期されません。この手順で構成されたユーザーおよびグループの DN のみが同期され、Active Directory 全体は同期されません。
  8. [グループの選択] リンクをクリックします。
    ポップアップ ウィンドウが表示され、入力したグループ DN の条件を満たす使用可能なすべてのグループが結果として表示されます。検索結果のグループ数が 1,000 を超える場合は、手順 7 に戻って検索条件を絞り込みます。
  9. フェデレーション セットアップ用に同期するグループを選択し、[保存] をクリックします。
    フェデレーション ワークフロー画面が更新され、この手順で同期用に追加したグループの数が表示されます。 [追加] をクリックして、グループを追加できます。
  10. [次へ] をクリックします。
  11. 展開された [同期]セクションで、同期するユーザー DN を入力します。
    CN=admin,CN=users,DC=acme,DC=com など、エンタープライズ ディレクトリ内の特定のユーザーを定義するには、このタスクの手順 7 で入力したのと同様の構文を使用します。
    追加したすべてのグループとユーザーが [グループおよびユーザーの確認] セクションに表示されるようになります。
    フェデレーション設定をテストし、エンタープライズ ID プロバイダを使用するユーザー ログインを検証するには、フェデレーション セットアップをテストするグループおよびユーザー(自分など)を追加して、正常に同期するようにします。
    注: エンタープライズ フェデレーションを有効にすると、同期されていないユーザーはユーザー認証に失敗します。
  12. [同期] をクリックします。
    [同期が進行中] ステータスが表示され、 [同期ステータスの確認] をクリックするまで表示されたままになります。
  13. 同期の更新ステータスを表示するには、[同期ステータスの確認] をクリックする必要があります。
    注: 名、姓、メール アドレス、ユーザー名、ドメイン、UPN(使用する場合)などの最小限必要な属性がない場合、同期は失敗します。
    同期に成功すると、ステータスは緑に変わります。
    注: バインド ユーザー DN の例外エラーが発生した場合は、無視できます。その他のすべてのエラーについては、セットアップのトラブルシューティングを行う必要があります。
  14. [続行] をクリックします。

次のタスク

これで、VMware Cloud services を使用してエンタープライズ フェデレーションの企業 IdP を構成する準備ができました。