フェデレーション セットアップのこの手順では、Active Directory 内の同期するユーザーとグループが格納される内部ディレクトリを作成します。
1 つまたは複数の Active Directory ドメイン内のグループおよびユーザーを同期できます。
- VMware Cloud services へのフェデレーション アクセス権を付与するすべてのユーザーおよびグループが単一の Active Directory ドメインに含まれている場合は、[単一 Active Directory ドメイン] オプションを選択します。複数の Active Directory ドメインを使用していて、これらのドメイン間に信頼が確立されていない場合は、このオプションを使用します。フェデレーションが設定されたら、追加の Active Directory ドメインごとに新しいディレクトリを追加することができます。
- [複数の Active Directory ドメイン] を選択します。VMware Cloud services へのフェデレーション アクセス権を付与するユーザーおよびグループが複数の Active Directory ドメインに分散している場合は、マルチフォレスト Active Directory が構成されていて、複数のドメイン間に信頼が確立されています。
エンタープライズ フェデレーションを有効にすると、フェデレーション ワークフローのこの手順で同期したグループとユーザーが、Cloud Services コンソール の [グループ] 画面に表示されます。この画面にアクセスするには、 の順に選択します。フェデレーション セットアップを有効にした後に、エンタープライズの他のグループとユーザーを同期できます。
ユーザーが自分の企業アカウントを使用して VMware Cloud services にアクセスできるようにするには、すべてのフェデレーション アカウントを同期する必要があります。請求情報の表示や、サポート チケットの発行が必要な場合を除き、同期されたユーザーが、ログイン時に VMware アカウントの作成を要求されることはありません。エンタープライズ管理者が組織の所有者ユーザーでもある場合、またはドメインのフェデレーション前にフェデレーション セットアップの完了を要求された場合、エンタープライズ管理者は VMware アカウントを作成する必要があります。ドメインがフェデレーションされた後に特別なフェデレーション組織に追加されたエンタープライズ管理者は、VMware アカウントを作成する必要はありません。
前提条件
- Active Directory で SSL/TLS を使用したアクセスが必須の場合、ドメイン コントローラの中間証明書(使用されている場合)とルート CA 証明書をアップロードする必要があります。
- グループとユーザーの同期では、Active Directory に対する読み取り権限を持つ任意のサービスまたはユーザー アカウントと、Active Directory に接続するバインド ユーザーの DN またはユーザー名の無期限のパスワードを使用する必要があります。
注意: 会社のセキュリティ ポリシーにより、期限付きのパスワードを持つサービス アカウントの使用が必須で、パスワードが更新前に期限切れになった場合は、グループとユーザーは同期されません。同期が中断された場合は、Active Directory と Workspace ONE Access Connector 間の接続を再確立する必要があります。
手順
次のタスク
これで、VMware Cloud services を使用してエンタープライズ フェデレーションの企業 IdP を構成する準備ができました。