このトピックでは、VMware Cloud services を使用した企業ドメインのエンタープライズ フェデレーションに関するよくある質問 (FAQ) について説明します。

Q: 企業ドメインにエンタープライズ フェデレーションをセットアップした後も、My VMware ID (My VMware) アカウントを使用して my.vmware.com にアクセスできますか?

A: はい。ドメインがフェデレーションされている場合、VMware Cloud services にアクセスするには企業アカウントを使用する必要がありますが、引き続き My VMware アカウントを使用して my.vmware.com にアクセスできます。

Q: 企業アカウントがフェデレーションされている場合でも、VMware アカウントを作成する必要はありますか?

A: フェデレーション アカウントのユーザーは、サポート チケットを発行する場合、または請求やサブスクリプションに関連する操作を実行する場合にのみ、My VMware アカウントを作成する必要があります。

Q: 自社にフェデレーションをセットアップした後も、引き続き My VMware ID アカウントを使用して VMware Cloud Services ポータルにログインできますか?

A: いいえ。企業 ID プロバイダによってエンタープライズ フェデレーションが設定された場合は、VMware Cloud services への以降のすべてのログインに企業の認証情報を使用する必要があります。

Q: My VMware ID アカウントを企業アカウントにリンクすると、企業アカウントに変更されますか?

A: 企業アカウントを My VMware アカウントにリンクしても、企業アカウントは変更されません。リンクすると、内部マッピングが作成されますが、これによって企業アカウントの属性が変更されることはありません。

Q: エンタープライズ フェデレーションのセットアップ後に、VMware Cloud Services にアクセスするために多要素認証 (MFA) を実行することはできますか?

A: 企業のセットアップによって異なります。企業が使用する ID プロバイダが MFA を実行するように設定されている場合は、MFA を実行できます。ログイン時に、MFA を使用して VMware Cloud services にアクセスするように要求されます。

Q: エンタープライズ フェデレーションは、VMware Cloud Services 内の特定の組織またはサービスに関連付けられていますか?

A: いいえ。エンタープライズ フェデレーションの対象はドメイン全体です。登録済みドメインおよび検証済みドメインを持つユーザーは、任意の VMware Cloud services 組織、およびこの組織がサブスクライブされているサービスにアクセスできます。

また、VMware から追加のクラウド サービスにサブスクライブしている場合は、新しいサービスにアクセスする際に引き続き企業の認証情報を使用します。

Q: エンタープライズ フェデレーションを有効にした後で取り消すことはできますか

A: はい。ドメインのフェデレーション セットアップを取り消すには、Cloud Services Console でサポート チケットを発行します。VMware のサポートによってエンタープライズ フェデレーション セットアップが元に戻された場合、フェデレーションのセットアップ後に追加された資格、ユーザー、およびグループは失われる可能性があります。

Q: 企業アカウントを使用してログインした後に、組織内のサービスが表示されなくなるのはなぜですか?

企業にエンタープライズ フェデレーションをセットアップする前は、My VMware アカウントを使用して VMware Cloud services による認証を行っていました。フェデレーションの有効化後は、企業アカウントを使用して VMware Cloud services にログインし、企業の ID プロバイダに対して直接認証します。My VMware アカウントを使用してログインすることにより、以前に使用していたサービスにアクセスするには、企業アカウントを VMware ID にリンクする必要があります。2 つのアカウントがリンクされている場合に限り、組織内でユーザーが保持している組織ロールおよびサービス ロールのアクセス権に基づいてサービスが表示され、アクセス可能になります。

Q: エンタープライズ フェデレーションを有効にした後に、ID とアクセスのタブに 2 つのアカウントが表示されるのはなぜですか?

最初は、My VMware アカウントを使用して VMware Cloud services にアクセスしていました。たとえば、joe@acme.com を使用して My VMware アカウントを作成し、このアカウントを使用して VMware Cloud services にログインしていました。フェデレーション後は、フェデレーション アカウントとリンクされた My VMware アカウントを使用して VMware Cloud services にアクセスします。最初の joe@acme.com はグレーアウトされ、「VMware ID」ラベルが付加されています。これは、この My VMware アカウントが使用されなくなったことを示しますが、引き続き「シャドウ アカウント」として表示されます。

シャドウ アカウントに、組織ロールまたはサービス ロールの割り当てに関する変更を行うことはできません。エンタープライズ フェデレーションのセットアップを取り消す場合を想定し、フェデレーションのセットアップを有効にした後も、これらのエントリを数か月間以上保持することを推奨します。

Q:サポートされているサードパーティ ID プロバイダは、どのタイプですか?

A: VMware Cloud services とのエンタープライズ フェデレーションでは、SAML 2.0 に準拠しているサードパーティ ID プロバイダがサポートされています。

Q: SAML 2.0 に準拠しているサードパーティ ID プロバイダを使用せずに、企業の Active Directory (AD) に対して直接認証する必要があります。この方法はサポートされますか?

可。オンプレミス Workspace ONE Access Connector の組み込み認証方法を使用して、企業の Active Directory に対してユーザーを直接認証することができます。

Q: VMware テクノロジーを使用して作成された Windows 仮想マシンを使用して、オンプレミス Workspace ONE Access Connector をインストールできますか?

A: はい。VMware テクノロジーを使用して、Workspace ONE Access Windows コネクタをインストールする際に使用可能な Windows 仮想マシンを作成できます。

Q: Workspace ONE Access Connector をオンプレミスでインストールする必要はありますか?

A: Workspace ONE Access Windows コネクタは、通常、企業のイントラネットまたはグリーン ゾーンにインストールされるオンプレミス コンポーネントです。ただし、お客様がクラウドにコネクタをインストールするには、ポート 389、636 で LDAP/LDAPS プロトコルを介してエンタープライズ Active Directory と通信できる必要があります。

自社に、VMware を通して購入した他の製品の一部として、Workspace ONE Access テナントがすでに構成されています。セルフサービス フェデレーションのセットアップで新しいテナント インスタンスを作成せずに、既存のテナント インスタンスを使用することはできますか?

いいえ。既存の Workspace ONE Access(旧称は VMware Identity Manager)テナントを使用することはできません。新しい Workspace ONE Access テナントは、セルフ サービス フェデレーション セットアップの一部として実行されます。このテナントは VMware Cloud Services 専用です。新しい Workspace ONE Access テナントを使用して VMware Cloud Services にアクセスするためのコスト要件またはライセンス要件はありません。

これは、既存の Workspace ONE Access Connector を使用する場合にも当てはまります。フェデレーションのセットアップでは、新しいコネクタが必要になります。

自社に、オンプレミス Workspace ONE Access Connector がすでに導入されています。セルフサービス フェデレーションのセットアップで新しいコネクタを作成せずに、既存のコネクタを使用することはできますか?

この設定はできません。セルフサービス フェデレーションのセットアップでは、VMware Cloud Services とのフェデレーションにのみ使用される専用の Workspace ONE Access Connector を企業がインストールして、構成する必要があります。

これは、既存の Workspace ONE Access テナントを使用する場合にも当てはまります。フェデレーションのセットアップでは、新しいコネクタが必要になります。

Q: Workspace ONE Access Connector が Workspace ONE Access サービス インスタンスとの信頼を確立するためにファイアウォール ポートを開く必要はありますか?

A: Workspace ONE Access Connector は、ID ブローカとして機能する Workspace ONE Access サービス インスタンスに送信 HTTPS/443 チャネルを介して通信します。ファイアウォールによって外部ドメインへのアクセスがブロックされている場合は、一部の VMware ドメインにアクセス権を付与する必要があります。

Q: どのデータがオンプレミス Workspace ONE Access Connector と同期されますか?

A: オンプレミス Workspace ONE Access Connector は、ユーザーおよびグループが Workspace ONE Access サービス インスタンス(ID ブローカ)をお客様の ID プロバイダに対して同期する場合に使用されます。セルフサービスのセットアップ中に構成されたユーザーおよびグループの DN のみが同期されます。Active Directory 全体は同期されません。名、姓、メール アドレス、ユーザー名、ドメインなど、一連の必須属性のみが同期されます。企業がユーザー認証にユーザー プリンシパル名 (UPN) を使用している場合は、この属性にも同期用の値を設定する必要があります。
重要: ユーザー パスワードは同期されません。

Q: Workspace ONE Access サービス インスタンス(ID ブローカ)はどのリージョンにホストされていますか?

A: Workspace ONE Access サービス インスタンスは、米国リージョンの AWS にホストされています。

Q: acme.com、ext.acme.com、company.com など、自分が所有しているさまざまなドメインのユーザーが ID プロバイダに対して認証するように設定することはできますか?

A: はい。自分が所有しているすべてのパブリック ドメインを確認できる場合、これらのドメインのユーザーは、企業の認証情報を使用して VMware Cloud services との認証を行うことができます。これらのすべてのドメインのユーザーは、最初に Workspace ONE Access サービス インスタンス(ID ブローカ)と同期する必要があります。

Q:エンタープライズ フェデレーション組織にサービスを追加することはできますか?

A: いいえ。エンタープライズ フェデレーション組織にサービスを追加することはできません。追加しないでください。ユーザーがエンタープライズ フェデレーション組織にアクセスできるのは、特定のドメインのすべてのサービスおよび組織に影響を与える操作を実行する場合に限られます。

企業の認証情報を使用してログインできない場合、VMware Cloud Services にアクセスする際に使用できる Break Glass アカウントはありますか?

フェデレーションされていないドメインを使用する組織に My VMware アカウントを追加できます。たとえば、acme.com ドメインがフェデレーションされている場合は、non-acme.com ドメインを使用する任意の My VMware アカウントを使用して VMware Cloud services にログインできます。My VMware アカウントを使用するユーザーは、組織の所有者または組織メンバーとして組織に追加する必要があります。

企業の Active Directory に対して同期されている属性が AWS 上の Workspace ONE Access サービス インスタンスおよび VMware Cloud Services に保持されている場合、これらの属性は暗号化されますか?

この設定はできません。名、姓、メール アドレス、ユーザー名、ドメイン、および UPN というユーザー属性が AWSVMware Cloud services で保持されている場合、これらは暗号化されません。

コネクタ サーバがダウンしている場合、Cloud Services Console にアクセスしているユーザーにはどのような影響がありますか? コネクタを HA モードで構成することはできますか?

企業がコネクタ ベースの認証方法ではなく、サードパーティ ID プロバイダの認証を使用している場合、すべてのユーザー認証は ID プロバイダに対して直接行われます。この場合、コネクタがダウンしていれば、ユーザーがログインしても、すでに同期されているユーザーに影響はありません。コネクタはユーザーとグループの同期にのみ使用されるため、HA モードのコネクタは必要ない場合があります。